ACM通信
的观点
网络安全:比我们想象的还要糟糕吗?
信贷:圆弧Aleksey
网络安全一直受到高度重视,迫使各组织采取预防措施,以防止事故和数据泄露。许多著名的机构,如德勤,威瑞森,波内蒙研究所和ISACA,每年都会发布大量的调查,以更好地了解组织在应对这些压力时做了什么。一般的态度是,威胁发展很快,许多组织努力跟上。5这方面的大部分数据直接来自网络安全专业人士,这为研究结果提供了合法性。然而,它也代表了一个有偏见的样本,即答复的组织已经承诺资源来处理这些复杂的问题。此外,由于此类报告通常提供行业级别的观察结果,因此对单个组织如何随时间变化的分析有限。我们寻求通过调查组织内的具体网络安全实践来补充无数的安全研究笔记,以评估组织在哪里显示出改进,在哪里他们停滞不前,以及什么可能影响这些变化。我们的研究结果证实,网络安全在表面上继续受到关注,但在表面印象之外,进展令人惊讶地缺乏。
剥离图层
每年,信息管理协会(SIM)都会进行IT趋势研究——一项对cio和顶级IT高管的广泛调查,以评估组织内的IT实践。1这些机构来自30个不同的行业,规模也各不相同,平均收入为40亿美元,平均收入为4亿美元。这项研究的一个特点是“组织的顶级IT管理问题”的年度排名,受访者被要求从41个“他们组织最关心的”IT相关问题中选择最多5个。网络安全在过去的三年里一直是最受关注的问题,十年来一直排在前十,这表明企业对网络安全的担忧超过了其他任何IT问题。然而,2017年选择网络安全的组织比例仅为41.9%,2018年为38.3%,2019年为35.9%,这表明现实情况是,相对较少的组织将网络安全视为首要问题。
这种下降的一个可能的解释是,网络安全已经有了显著的改善,将组织的重点转移到了其他地方。为了更好地评估情况是否如此,我们询问受访者他们的组织是否:
- 有CISO或同等证书吗?
- 需要对员工进行网络安全培训?
- 在软件开发、变更管理、IT采购和/或整体业务战略中考虑网络安全?
- 测量和评估网络安全性能?
- 是否有网络保险?
虽然这些问题不能绝对保证一个组织已经充分准备好应对所有网络安全威胁,但它们确实提供了一个机会,以了解组织是如何随着时间的推移而变化的(因为许多受访者参与了多年)。此外,负面回应表明该组织显然没有采用常见的网络安全最佳做法。从2016年与2019年的对比来看,很明显,一些领域有所改善,但另一些领域的增长停滞不前表格这里)。
表格不同班级的准备变化。
最引人注目的变化来自于网络保险的形式。2016年,只有不到一半的组织实现了这一覆盖,但2019年实现了近三分之二。通过将风险转移到第三方,组织可能会专注于其他最重要的事项。然而,网络保险绝不是万能药,因为它通常不会为销售损失、声誉损害或与强化系统相关的成本提供经济补偿。2例如,据塔吉特估计,他们在2013年违约的财务影响为2.91亿美元,但只有9000万美元通过保险补偿。6虽然采用网络保险计划的公司显著增加是令人钦佩的,但在缺乏其他显著的安全改进的情况下,它可能为组织机构提供有限的风险降低。
自2016年以来,网络安全在IT采购过程中的参与也有了显著改善。考虑到云利用率的上升1而供应商/供应商系统的互联性,风险暴露持续从组织向外扩展。此外,2018年59%的入侵事件涉及第三方系统或故障。3.因此,在购买it组件或与第三方合作时,组织似乎更加强调确保提供足够的安全性。
网络保险绝不是万灵药,因为它通常不会为销售损失、声誉损害或与强化系统相关的成本提供经济补偿。
尽管在过去四年中有所改善,但仍有增长空间。表中最后一行显示的数字代表了总体准备情况的总和,对调查中包括的5个问题中的每个问题给出肯定的答案,奖励1分(组织对每个业务流程安全集成得到0.25分)。虽然在过去四年中观察到逐步的改善,但在2019年,平均每家机构仍然只实施了5个标准最佳实践中的3个。
虽然我们的样本偏向于中小型组织,但大公司也遇到了问题。在2019年收入超过10亿美元的组织中(占我们样本的30%),只有75.2%拥有CISO或同等职位,平均准备度得分为3.51。对于收入超过50亿美元的组织(占我们样本的13%),81.4%拥有CISO,平均准备得分为3.57。虽然大公司的情况略好,但仍有改善的空间。
那么,网络安全比我们想象的还要糟糕吗?我们认为答案是肯定的——在剥离层次以确定组织内的具体实践之后,还有很多需要做的。大约有50%的组织任命了网络安全负责人,并将安全问题纳入总体业务战略规划,许多组织,甚至是那些准备工作得分相当高的组织,都将网络安全更多地视为一个IT过程,而不是企业范围内的问题。当然,除非公司真正意识到网络安全的重要性,否则仅仅任命一个领导者或在战略规划会议上提供一个席位是没有效果的。
优先考虑网络安全
为了更好地理解高层以网络安全为重点设定基调的影响,我们很好奇组织的优先级是否对网络安全实践有任何影响。我们比较了那些连续两年提供响应的组织在两年内的网络安全准备得分和组织优先级。每个组织被分为四个类别之一:一个
- “领导者”:两年内组织优先级(28.0%的组织)
- “落后者”:两年内都不是组织优先考虑的对象(37.9%)
- “升级者”:第二年是组织优先考虑的对象,但第一年不是(17.6%)
- “降级”:第一年的组织优先级,但第二年没有(16.4%)
准备就绪评分(参见数字)揭示了两个在统计上意义重大的见解。b首先,重视网络安全的组织有更高的准备得分。领导者高于其他人,而降级者紧随其后。其次,这些级别的网络安全准备的改进是不同的。当比较这些等级时,我们看到表现最差的等级,就改善而言,是“降级”(+0.07),而“升级”带来了最大的一年改善(+0.53)。这表明,将注意力从网络安全上转移开的组织实际上看不到任何改善,而那些有意识地决定开始将其作为优先考虑的组织则观察到更大的改善。
数字网络安全实践:2016年与2019年。
这些结果只提供了两年的概况,众所周知,改善网络安全防御需要时间。对于139个组织,我们有36个月的数据,第一年到第二年的改善几乎与第二年到第三年在所有四个类别上的改善相同。因此,观察到的改善的速度是多年来稳定的。
这一切意味着什么?
根据我们的分析,我们相信在许多组织的表面之下隐藏着一个残酷的现实。虽然他们可能在公开场合说了正确的话来满足投资者、承销商和客户,但在促进一个真正有弹性和安全的组织方面显然缺乏紧迫性。我们的研究无需深入挖掘就能发现组织安全实践中令人惊讶的漏洞。此外,组织最常缺少的安全实践往往是那些提供可见性、领导能力和与业务集成的实践。
我们的数据还表明,当组织说网络安全是他们最关心的问题之一时,他们往往会采取更多措施。然而,他们似乎仍然不愿雇佣首席信息安全官,也不愿在商业战略会议上为网络安全提供席位。我们的数据表明,大公司在这方面做得更好,但即使是他们也很难实现所有这些基本的安全实践。
为什么会这样呢?虽然我们不能客观地回答这个问题,但我们可以提供几种可能的猜想。首先,网络安全预算是出了名的难以证明,因为没有真正的ROI。4雇佣一位首席信息官是一项巨大的投资,而开发一段简短的培训视频或文档并将其分发给所有员工只需要最少的资金。其次,首席执行官的风险承受能力可能正在提高。考虑到高管薪酬结构的变化,以及投资者要求获得短期收益的压力,几乎没有动力将资源从能够带来短期回报的风险投资中转移出去。因此,首席执行官可能会对邀请安全人员参与战略规划讨论持谨慎态度,因为他们担心安全需求会抑制生产力和创新。最后,失败主义的心态有可能在各个组织中出现。在网络安全事件方面,每个人都听说过“这不是如果的问题,而是何时的问题”,所以也许组织只是在做最简单的事情,并准备好面对不可避免的后果。
网络安全威胁不会消失,即使是准备充分的组织也会继续遭遇入侵。然而,这并不意味着我们应该放弃。一旦你深入了解,各种形式和规模的组织都有很大的改进空间。
参考文献
1.L. Kappelman等人。2018年SIM IT问题和趋势研究。季度行政管理信息系统.(2019)。
2.马克。。AdvisorSmith 187 (2019);https://bit.ly/3a2IlDq
3.波耐蒙研究所。(2018年11月);https://bit.ly/2W4f8zI
4.Schneier B。方案9, 2(2008年11月);https://bit.ly/3qMpMta
5.员工,网络安全。Commun。ACM 60, 4(2017年4月)。
6.目标。SEC埃德加525 (2016);https://bit.ly/37SIN4t
脚注
A.在2016年至2019年期间,至少连续两年有414家独特的机构参与了调查,139家机构提供了至少连续三年的数据,43家机构提供了四年的数据。
b.评估了组织和部门的混合控制模型。仅基于组织关注的准备差异(0或1)在0.01水平上具有统计学意义。不同优先级的准备就绪程度差异显著(0.05)。
数字图书馆是由计算机协会出版的。版权所有©2021 ACM, Inc。
没有发现记录