网络安全研究揭示了英国工业缺乏董事会治理
一项由全球技术公司CGI委托的一项研究揭示了近一半的英国公司缺乏缺乏发达的危机管理计划。
虽然81%的答复者表示,在谈判违约之后,他们有增加的网络安全审查,但只有53%的人表示,根据经济和商业研究中心(Cebrec)的150多名英国董事会成员的调查)。
该调查还透露,48%的受访者表示网络安全只会在议程上出现“每隔几个月”,许多人每年占用不到两次,而且平均只有9%的IT预算旨在预防网络攻击。
该研究旨在探索C级高管和董事会成员如何在零售,电信,金融,保险和公用事业部门管辖安全风险,他们对网络安全的责任以及如何编写它们来解决它们。
该研究表明,英国经济关键部门的英国董事会近30%仍将网络安全视为IT问题,只有35%的会议高管相信其董事会在网络安全方面拥有高水平的个人专业知识。
非执行董事(NEDS),这一信任水平下降至仅23%,暗示纽约人提供“建设性挑战”在管理网络安全风险方面取得“建设性挑战”的传统作用。
不到一半的英国会议室在今天收到的IT安全建议上充满信心。虽然这些关键部门的董事会依赖于其要求的15%的外部源网络专业知识,但68%表示,他们计划在未来几年内增加对外部顾问的依赖。
CebR调查显示,只有9%的受访者预算致力于预防网络攻击受访者对受访者来说,他们的公司目前在绝大多数案件中为CEO(38%)和CIO(31%)分配了对Cyber(38%)和CIO(31%)的最终责任,专家Cisos只是少数少数公司(3%) 。CEO是B2B公司的首选,而CIO主要负责B2C公司。
根据调查,38%的C-Suite高管认为,在明年可能会在组织中违反网络安全漏洞。这些企业估计,如果他们最有价值的数据丢失或损坏,则为一年的平均成本期限为1.2米。
该研究纳入了经济分析,该研究表明,与银行,保险和零售额相比,电信和公用事业部门受到显着暴露。
相对于分析的其他关键部门,电信和公用事业最为“风险”,英国经济的部门。电信部门认为自己落后于其他人,其中董事会网络安全专业知识最低。
只需29%的电信板被视为具有高度专业知识,而本行业的公司则持有敏感数据,估计价值超过4200万英镑。
相对于经济的其他关键部门,电信受访者也对今年的袭击风险最不信任,52%相信他们的公司可能在未来12个月内遇到重大违规行为。
也许是回应,76%的电信板计划增加他们对外部网络安全专业知识的使用。该部门还计划通过将技术和人员花费今年增加12%的技术和人员来增加网络安全投资,而零售和保险等部门认为网络风险不那么紧急。
公用事业行业也处于相对较高的风险,董事会讨论网络安全最不经常 - 在40%的公用事业公司中,问题每年只需两次董事会议程。该行业的公司平均估计超过5000万英镑的敏感数据,但在拥有强大的计划到处理网络事件的情况下,发现其他部门的大大作品落后于其他部门,只有五分之一的受访者确认他们公司的网络危机管理策略发达。
公用事业公司计划将网络安全投资提高14%,银行业务后的第二大增长,超过70%的公用事务委员会计划向外部顾问寻求未来几年的外部顾问。
英国CGI的网络安全主管安德鲁罗伊斯基(Andrew Rogoyski)表示,英国会议室正在努力获得网络安全问题的句柄。“董事会知道这是一种风险,但在他们的方法中不确定,往往未能优先考虑花费在网络安全上,”他说。
我们的研究表明,董事会现在似乎更加认真地采取网络安全,审查,投资和外部咨询安德鲁罗伊斯基,CGI计划增加根据Rogoyski的说法,除非在最高级别提高理解和治理的情况下,否则可能会更加高调的违规行为。
“鼓励,我们的研究表明,董事会现在似乎更认真地采取网络安全,审查,投资和外部建议的计划增加。
据他说,“基于Cebr的分析,特别是必须加快这些努力,这是符合最近英国,美国和欧洲政府行动的努力,以改善关键国家基础设施的保护。”
CGI建议改进网络安全治理的七个步骤:
任命董事会层面的高级行政部门负责网络安全与管理局和专业知识,并诀窍解决风险。每个董事会议程的Cyber安全性,报告对业务的风险,敏感数据的性质和减缓进展最小。网络安全作为一家公司的企业风险和评估,随着其他主要业务风险,鼓励有关风险偏好,风险避免,风险缓解和网络安全保险的讨论。该公司了解迅速发展的法律景观适用于网络风险,包括以一般数据保护法规(GDPR)和网络和信息安全指令(NISD)的新兴欧洲立法。重点专业专业知识,用于建议和通知董事会,无论是来自内部团队还是外部顾问。设置管理网络风险的工作计划,允许现实的时间和经济型.DEMAND从您的IT供应商中提高了安全性,包括产品,系统和服务。