Onko Yhdistyneen kuningaskunnan kyberresilience tasoittunut? ISMS.online

Onko Yhdistyneen kuningaskunnan kyberresilience tasoittunut?

Dan Raywoodin kirjoittama • 14 toukokuuta 2024

Kaikkien yritysten tulisi pyrkiä olemaan kybervastustuskykyisempiä. Tämä tarkoittaa, että he pystyvät paremmin puolustautumaan hyökkäystä vastaan ja selviytymään hyökkäyksestä ja toipumaan onnettomuuden sattuessa. Kyberresilienssin mittaaminen voi kuitenkin olla haaste. Siellä hallitus on Kyberturvallisuuden pitkittäinen tutkimus tulee sisään

Julkaistu aikaisemmin tänä vuonna, se toteaa, että organisaatiot ovat tuskin parantaneet kybersietokykyään verrattuna aikaisempina vuosina tehtyihin tutkimuksiin. Kiinnostuksen puute Cyber Essentialsia ja ISO 27001 -standardia kohtaan on erityisen huolestuttavaa.

Joustavuus pysyy vakaana

Tämän tutkimuksen avain on, että se seuraa samoja 1000 yritystä jokaista vuotuista "aaltoa" kohden, jonka se suorittaa keskisuurten ja suurten brittiyritysten edistymisen mittaamiseksi ajan mittaan. Tämä viimeisin aalto (kolme) havaitsee, että kyberresilience on suurelta osin pysynyt vakaana huolimatta todennäköisestä budjetin ja prioriteettien muutoksista pandemian seurauksena.

Politiikan puolella on hieman lisääntynyt niiden yritysten määrä, jotka ovat laatineet liiketoiminnan jatkuvuussuunnitelman, joka kattaa kyberturvallisuuden (76 % vs. 69 % kaksi vuotta sitten), kirjallisen luettelon yrityksensä haavoittuvuuksista (61 % vs. 54). %), kirjallinen tapausvastausprosessi (59 % vs. 51 %) ja kybervakuutus (79 % vs. 66 %).

Näistä marginaalisista parannuksista huolimatta Brian Honan, BH Consultingin toimitusjohtaja, väittää, että tilastoja ei voida pitää yrityksen kyberturvallisuuden sietokyvyn indikaattoreina.

"Monet näistä kohteista ovat nyt vähimmäisvaatimuksia yrityksille, jotka haluavat ottaa kybervakuutuksemme", hän kertoo ISMS.online-sivustolle.

Hän lisää, että monet yritykset eivät edelleenkään näe kyberturvallisuutta kriittisenä liiketoimintariskinä, vaan pikemminkin IT-ongelmana.

"Mitä nopeammin yritykset ymmärtävät, kuinka paljon he luottavat IT-järjestelmiinsä, Internetiin ja tietoihinsa, sitä nopeammin ne ymmärtävät, että kyberturvallisuutta tulee käsitellä ja hallita kriittisenä liiketoimintariskinä", hän perustelee.

Cyber Resilience Centren toimitusjohtaja Simon Newman kertoo ISMS.onlinelle, että hän näkee edelleen monien yritysten kamppailevan jopa peruskyberhygienian kanssa.

"Yksi tärkeimmistä syistä on havaittu taidon tai tiedon puute, mutta tiedämme myös, että on todellinen haaste saada heidät ymmärtämään uhka alun perin", hän väittää.

Erityisesti hän on nähnyt yritysten ajattelevan, että on parasta odottaa muutama viikko ennen ohjelmiston päivittämistä, koska he "kuulevat tarinoita" uusista päivityksistä, jotka aiheuttavat ongelmia.

Honan lisää, että kyberasennon vahvistamiseksi organisaatioiden tulisi perustaa kyberturvallisuusstrategiansa kattavaan kyberriskiohjelmaan, jossa on kypsän tason prosessit ja menettelyt sekä kattava sisäänosto ja ylimmän johdon johtajuus.

Ovatko pomot tietoisia?

Pitkittäistutkimuksen mukaan 55 prosentilla yrityksistä on nyt hallituksessaan jäsen, jonka tehtäviin kuuluu kyberturvallisuusriskien valvonta. Myös niiden yritysten osuus on lisääntynyt, jotka ilmoittavat hallituksessaan keskustelevansa kyberturvallisuudesta – 43 prosenttia tänä vuonna, kun Wave Onessa vastaava luku oli 37 prosenttia.

Honanin mukaan hallitusten ja ylimmän johdon on ymmärrettävä, että jatkuvasti kasvava määrä kyber-, tietosuoja-, tekoäly- ja esineiden Internetiä koskevia määräyksiä – sekä Isossa-Britanniassa että EU:ssa – lisää vastuuta kyberturvallisuudesta ylimmässä johdossa ja hallituksessa. taso.

Luota prosessiin

Valitettavasti parhaiden käytäntöjen standardien ja kehysten noudattaminen näyttää pysähtyvän. Tutkimus paljastaa, että vain 38 % yrityksistä noudattaa nyt Cyber Essentialsin (joko Standard- tai Plus-sertifiointi) tai ISO 27001 -standardin parhaita käytäntöjä koskevia neuvoja. Cyber Resilience Centren Newmanin mukaan nämä vaihtoehdot voivat olla hyödyllisiä, mutta usein haasteena on mitä hän kutsuu "tietämättömäksi asiakkaaksi", jossa käyttäjät eivät tiedä mistä hakea teknistä asiantuntemusta.

Newman lisää, että Cyber Essentialsin tietoisuus ja käyttöaste ovat edelleen liian alhaiset – varsinkin pienten yritysten keskuudessa, jotka eivät välttämättä näe sen seuraamisen arvoa. Toiset tekevät sen vain täyttääkseen sopimusvaatimukset. Hän väittää, että osa ongelmaa on hallituksen kyvyttömyys edistää Cyber Essentialsin arvoa ja National Cyber Security Centerin (NCSC) parhaita käytäntöjä koskevia neuvoja.

Newman väittää, että myös kustannukset ovat ongelma, sillä kiinnitykset nostavat usein Cyber Essentialsin kokonaiskustannukset jopa 1000 XNUMX puntaa. Vaikka useimmat organisaatiot ovat ottaneet käyttöön Cyber Essentialsin saavuttamiseksi vaadittavat tarkastukset, monet eivät ole tutkimuksen mukaan saaneet täyttä akkreditointia.

Pienen avun kanssa

Tämänvuotisen tutkimuksen mukaan vain 19 % vastaa ISO 27001 -standardin vaatimuksista – ei juurikaan eroa Wave Onesta (15 %). Tämä näyttää olevan ristiriidassa tutkimuksen ehdotuksen kanssa, jonka mukaan "laadullisten haastattelujen havainnot viittaavat siihen, että yritykset pitävät ISO 27001 -sertifikaattia vankampana ja olennaisimpana akkreditointina."

BH Consultingin Honan väittää, että monet organisaatiot pitävät ISO 27001 -standardia liian raskaana tai kalliina saavuttaa ja ylläpitää.

"Joten vaikka monet yritykset voivat käyttää ISO 27001 -standardia kyberturvallisuusohjelmansa perustana, kaikki eivät välttämättä ota seuraavaa askelta hakeakseen standardin mukaista sertifiointia", hän sanoo.

Sertifioinnin saaminen ja vaatimustenmukaisuuden ylläpitäminen voi viedä aikaa, rahaa ja resursseja, vaikka kolmannen osapuolen vaatimustenmukaisuuden asiantuntijat voivat virtaviivaistaa prosessia merkittävästi digitaalisten työkalujen avulla.

ISO 27001 -standardin kaltaisen standardin mukainen sertifiointi voi antaa organisaatiolle mahdollisuuden osoittaa keskeisille sidosryhmille, kuten hallitukselle, ylimmälle johdolle, asiakkaille ja sääntelyviranomaisille, että ne noudattavat alan tunnustamia kyberturvallisuuden parhaita käytäntöjä.

Voisiko tekoäly auttaa näitä yrityksiä nopeuttamaan vaatimustenmukaisuutta? Honan sanoo, että avain ISO 27001:een ja todellakin moniin nykyisiin kybersäädöksiin on riskiin perustuva lähestymistapa turvallisuuteen.

"Jotta ISO 27001 voidaan soveltaa organisaatioosi, sen on keskityttävä liiketoiminnan vaatimuksiin", hän sanoo. "Vaikka mallidokumentit ja jopa tekoäly voivat auttaa kehittämään ISO 27001 -projektiasi, pidän huolella siitä, etteivät näiden työkalujen tulokset ole liian yleisiä yrityksellesi."

Dan Raywood

Dan Raywood on kirjoittanut tietoturvasta vuodesta 2008 lähtien ja on entinen 451 Researchin tietoturvakäytännön analyytikko. Hän on puhunut näytöksissä, mukaan lukien 44CON, SecuriTay, SteelCon, Irisscon ja Infosecurity Europe, sekä kirjoittanut useille toimittajablogeille ja esittänyt webcast-lähetyksissä.

Lue lisää Dan Raywoodilta

tietoverkkoturvallisuus 30 syyskuu 2025

Aiheuttaako Grokin tietomurto GenAI:n tietoturvaongelmia?

Äskettäinen tapaus on herättänyt huolta siitä, miten GenAI-työkalut käsittelevät tietoja. Onko aika varmistaa, että tietosi eivät päädy heidän tietoihinsa...

Dan Raywood

tietoverkkoturvallisuus 29 toukokuuta 2025

IO-kyberturvallisuus ja yksityisyys NIST:n viitekehykselle annettiin kasvojenkohotus

Kyberturvallisuus ja yksityisyys: NIST:n viitekehys sai kasvojenkohotuksen

NIST ilmoitti hiljattain suunnitelmistaan päivittää yksityisyydensuojakehyksensä ja tehdä siitä orgaanisemman ja vähemmän staattisen tarjonnan. Onko tästä hyötyä käytännössä...

Dan Raywood

tietoverkkoturvallisuus 21 tammikuu 2025

nollapäivän haavoittuvuudet, miten voit valmistautua odottamattomaan banneriin

Nollapäivän haavoittuvuudet: miten voit valmistautua odottamattomiin?

Maailmanlaajuisten kyberturvallisuusvirastojen varoitukset osoittivat, kuinka haavoittuvuuksia usein hyödynnetään nollapäivähaasteena. Tällaisen arvaamattoman tilanteen edessä...

Dan Raywood