为什么IT部门错过基本IT安全卫生
对300个IT运营和300项IT安全专业人员的调查发现,对谁负责修补IT系统的感知,发现了一个很大的差距。
在调查中,由Vanson Bourne进行咨询公司1E进行的,三季度(75%)的IT专业人士同意其组织中的IT运营团队具有“灯光 - 亮相”的心态,重点关注可用性安全。
近三分之二(62%)认为IT安全团队知道如何使组织更安全,但IT运营使其更加困难。
安全景观不断变化,但在一个小组讨论中,在根据调查的调查结果,从1E的订单报告中绑定了您的房子,有一种感觉,许多IT部门未能获得基础知识。
Forrester高级分析师Paul McKay说:“每次攻击都非常复杂时有一段时间,但大多数攻击都是非常基本的,例如人们点击电子邮件时。这就是大多数攻击来自的地方。这些是卫生问题。“
领导Techuk Cyber和国家安全计划的Talal Tajab引用了最近的文化,媒体和体育(DCMS)网络安全漏斗调查2019年报告说明,如果有的话,如果有的话,如果有的话,如果有的话,在改善英国的IT安全方面取得了进展企业。“我们看到仍在发生的基本错误水平,”他说。
小组成员同意调查的调查结果,即IT运营的角色与IT安全的作用之间存在差距。
在报告中,杰森桑迪职称是微软“最有价值的专业”,说:“目标缺乏凝聚力和差异。IT安全认为它被视为敌人 - 遭受的生产力。IT运营将继续使用项目,但它将受到IT安全团队的抑制,这自然必须谨慎。它蹦蹦跳跳。“
斯宾塞传票是一个在上游燃气公司工作的独立CISO,说:“我在地面上看到了什么,特别是在IT运营和IT安全方面,是由于[两个团队]不同的目标存在冲突。”
在他的经验中,这导致了两支球队之间的加热谈话,沟通不良和在他们分享的工作中缺乏整合。有时,他说,“IT安全只会在一个项目结束时带来,这使得改造安全性更加困难和昂贵”。
当有数据违约时,它的安全性就变成了本月的味道。他自己的经验来自分析师Forrester的镜像研究,发现该公司花费了30%的IT安全的公司是经历了最近的数据违约的公司。
传票认为,对它的战术方法有缺陷。“不理解威胁驱动了一种方法来接近IT安全性,”他说。
相反,他敦促组织对整个组织发生的事情进行了可见性。“通过从安全角度创造可见性,我们可以开始在业务中看待一切,”他说。
他补充说,这提供了一种业务价值链,使组织能够使用普通数据保护规范(GDPR)遵守概率,以推动新的机会。
该研究发现,尽管在许多领域具有重要的网络安全投资,但由于组织漏洞的最大因素,保持了适当修补和更新的最大因素。虽然大部分安全部门在最新的流行语,威胁和解决方案上定影了1E,但最大的差距继续忍受在明显的视线上。
CEO SUMIR KARAYI,CEO在1E时表示,WANNACRY和NOTPETYA攻击展示了如何轻松地利用攻击攻击未包邮系统的脆弱性。调查发现,平均而言,受访者的可见性为其组织总软件的64%,只有66%的软件是最新的。例如,Karayi说:“三分之一的企业不在Windows 10上,这是一个四岁的操作系统”。
他警告说,网络罪犯了解Windows 7 PC中存在的所有漏洞。从IT部门的角度来看,他说,“组织没有控制他们的三分之一的机器,因此他们甚至无法看到这些机器是否受到恶意软件的感染”。
鉴于IT操作与IT安全之间的断开连接,Karayi表示,“IT安全性不值得信任修补这些机器”。与此同时,IT操作通常不会将修补程序视为高优先级。
“CIO有挑战,解释对修补等地区的关键需求,可以感到平凡。但如果没有这种卫生,公司必须不断抵御新的漏洞或冒着重大违规风险。“
下一步
遥控器员工时代的适当网络卫生的4个提示