过半安全领导者仍依赖电子表格
星期四, 五月 21, 2020
Panaseer最近发布的金融行业安全决策者调查显示:
金融服务公司中的高级安全领导者正面临缺乏可靠数据的挑战,导致无法制定有效的安全决策并降低网络事件的风险。
来自对大型金融服务公司中的400多位安全主管进行的全球调查的结果表明,人们对安全度量和度量标准存在担忧,这些评估标准包括数据置信度、手动流程、资源浪费和请求超载。
调查结果表明,充分了解组织的网络状况所需的过程、人员和技术存在无数问题,同样,那些阻止安全控制故障演变成安全事件所需的预防措施也是问题重重。
绝大多数(96.77%)的受访者声称他们使用指标来衡量其网络状况,安全指标的主要用途是风险管理(41.69%),证明安全措施的有效性(28.04%),支持安全投资业务案例(19.11%)和董事会/执行人员报告(10.17%)。
超过三分之一(36.72%)的安全负责人表示,他们在创建安全度量标准以衡量和报告风险方面面临的最大挑战是“对数据的信任”,其次是产生数据所需的资源(21.34%),请求的频率( 14.64%)和对要使用什么指标的困惑(15.3%)。
不到一半的受访者(47.75%)“非常确信”使用了正确的安全指标来衡量网络风险。
资源需求和请求超载是助长安全指标混乱的两大问题。安全团队平均每月耗时5.34天来编制风险管理指标,这还不包括团队为其他利益相关者(包括监管机构、审计师和董事会)编制指标的时间。安全领导者还声称,他们必须每16天为风险团队刷新一次安全指标。
人工流程也被认为是加剧数据不信任的原因。超过一半(59.8%)的安全领导者仍然依靠电子表格来生成指标,而52.85%的安全领导者正在使用自定义脚本。将近五分之一(18.75%)的人承认完全依靠手动流程来制定其风险安全度量标准。
Panaseer首席执行官Nik Whitfield 表示:安全指标经常被认为是安全团队悲惨生活的祸根。不了解安全评估标准的准确性、及时性,甚至是局限性,安全指标就会变得毫无用处。在严格的监管和不断增长的攻击面的背景下,这种情况是完全不可接受的。欧洲中央银行行长最近公开警告称,对主要金融机构的网络攻击可能引发流动性危机。
我们必须从过时的,不准确的指标时代过渡到对它们进行自动化和连续测量的时代。特别是金融服务组织,需要将可信赖的最新的度量标准纳入组织的技术风险中,并尽可能将其为关键运营细分。有了这些信息,董事会就可以更好地了解客户面临的数据安全风险是否在可接受范围内。
相关阅读