過半安全領導者仍依賴電子表格
責編:gltian |2020-05-22 13:32:08Panaseer最近發布的金融行業安全決策者調查顯示:
金融服務公司中的高級安全領導者正面臨缺乏可靠數據的挑戰,導致無法制定有效的安全決策并降低網絡事件的風險。
來自對大型金融服務公司中的400多位安全主管進行的全球調查的結果表明,人們對安全度量和度量標準存在擔憂,這些評估標準包括數據置信度、手動流程、資源浪費和請求超載。
流程、人員和技術問題
調查結果表明,充分了解組織的網絡狀況所需的過程、人員和技術存在無數問題,同樣,那些阻止安全控制故障演變成安全事件所需的預防措施也是問題重重。
絕大多數(96.77%)的受訪者聲稱他們使用指標來衡量其網絡狀況,安全指標的主要用途是風險管理(41.69%),證明安全措施的有效性(28.04%),支持安全投資業務案例(19.11%)和董事會/執行人員報告(10.17%)。
超過三分之一(36.72%)的安全負責人表示,他們在創建安全度量標準以衡量和報告風險方面面臨的最大挑戰是“對數據的信任”,其次是產生數據所需的資源(21.34%),請求的頻率( 14.64%)和對要使用什么指標的困惑(15.3%)。
不到一半的受訪者(47.75%)“非常確信”使用了正確的安全指標來衡量網絡風險。
太多的安全主管仍在使用電子表格
資源需求和請求超載是助長安全指標混亂的兩大問題。安全團隊平均每月耗時5.34天來編制風險管理指標,這還不包括團隊為其他利益相關者(包括監管機構、審計師和董事會)編制指標的時間。安全領導者還聲稱,他們必須每16天為風險團隊刷新一次安全指標。
人工流程也被認為是加劇數據不信任的原因。超過一半(59.8%)的安全領導者仍然依靠電子表格來生成指標,而52.85%的安全領導者正在使用自定義腳本。將近五分之一(18.75%)的人承認完全依靠手動流程來制定其風險安全度量標準。
Panaseer首席執行官Nik Whitfield 表示:安全指標經常被認為是安全團隊悲慘生活的禍根。不了解安全評估標準的準確性、及時性,甚至是局限性,安全指標就會變得毫無用處。在嚴格的監管和不斷增長的攻擊面的背景下,這種情況是完全不可接受的。歐洲中央銀行行長最近公開警告稱,對主要金融機構的網絡攻擊可能引發流動性危機。
我們必須從過時的,不準確的指標時代過渡到對它們進行自動化和連續測量的時代。特別是金融服務組織,需要將可信賴的最新的度量標準納入組織的技術風險中,并盡可能將其為關鍵運營細分。有了這些信息,董事會就可以更好地了解客戶面臨的數據安全風險是否在可接受范圍內。
上一篇:三大微隔離架構有何區別?