Er den britiske cyberresilience plateauet?
Indholdsfortegnelse:
Alle virksomheder bør stræbe efter at være mere cyber-resiliente. Det betyder, at de er mere i stand til at forsvare sig mod og overleve et angreb og komme sig, når en hændelse opstår. Det kan dog være en udfordring at måle cyberresiliens. Det er der, regeringen er Cybersikkerheds longitudinelle undersøgelse kommer i.
Frigivet tidligere i år, konstaterer den, at organisationer næppe har forbedret deres cyberresiliens sammenlignet med undersøgelser udført i tidligere år. En manglende interesse for Cyber Essentials og ISO 27001 er særligt bekymrende.
Modstandsdygtighed forbliver stabil
Nøglen med denne undersøgelse er, at den sporer de samme 1000 virksomheder for hver årlige "bølge", som den udfører for at måle fremskridt over tid blandt mellemstore og store britiske virksomheder. Denne seneste bølge (tre) konstaterer, at cyberresiliens stort set er forblevet stabil på trods af en sandsynlig ændring i budgetter og prioriteter i kølvandet på pandemien.
På den politiske side har der været en lille stigning i antallet af virksomheder, der har udarbejdet en forretningskontinuitetsplan, der dækker cybersikkerhed (76 % mod 69 % for to år siden), en skriftlig liste over deres virksomheds sårbarheder (61 % versus 54 %), en skriftlig hændelsesproces (59 % mod 51 %) og en cyberforsikring (79 % mod 66 %).
På trods af disse marginale forbedringer hævder Brian Honan, administrerende direktør for BH Consulting, at statistikkerne ikke kan tages som indikatorer for en virksomheds modstandsdygtighed over for cybersikkerhed.
"Mange af disse varer bliver nu angivet som minimumskrav for virksomheder, der ønsker at tage vores cyberforsikring," siger han til ISMS.online.
Han tilføjer, at mange virksomheder stadig ikke ser cybersikkerhed som en kritisk forretningsrisiko, men snarere et it-problem.
"Jo hurtigere virksomheder bedre forstår, hvor meget de stoler på deres it-systemer, internettet og de data, de har, jo hurtigere vil de indse, at cybersikkerhed bør behandles og styres som en kritisk forretningsrisiko," argumenterer han.
Simon Newman, administrerende direktør for Cyber Resilience Centre, siger til ISMS.online, at han stadig ser mange virksomheder kæmpe med selv grundlæggende cyberhygiejne.
"En af hovedårsagerne er en opfattet mangel på færdigheder eller viden, men vi ved også, at der er en reel udfordring i at få dem til at forstå truslen i første omgang," argumenterer han.
Især har han set virksomheder synes, det er bedst at vente et par uger, før de opdaterer deres software, da de "hører historier" om nye opdateringer, der forårsager problemer.
Honan tilføjer, at for at styrke cyberpositionen bør organisationer basere deres cybersikkerhedsstrategi på et omfattende cyberrisikoprogram med et modent niveau af processer og procedurer og omfattende buy-in og ledelse fra den øverste ledelse.
Er chefer opmærksomme?
Den longitudinelle undersøgelse viser, at 55 % af virksomhederne nu har et medlem i deres bestyrelse, hvis roller omfatter overvågning af cybersikkerhedsrisici. Der har også været en stigning i andelen af virksomheder, der rapporterer, at deres bestyrelse diskuterer cybersikkerhed – 43 % i år, op fra 37 % i Wave One.
Honan siger, at bestyrelser og topledelse er nødt til at forstå, at en stadigt stigende mængde af reguleringer omkring cyber, databeskyttelse, AI og Internet of Things – både i Storbritannien og i EU – øger ansvarligheden for cybersikkerhed hos den øverste ledelse og bestyrelse. niveau.
Stol på processen
Desværre ser det ud til, at overholdelse af standarder og rammer for bedste praksis er gået i stå. Undersøgelsen afslører, at kun 38 % af virksomhederne nu følger rådene om bedste praksis i Cyber Essentials (enten Standard- eller Plus-certificeringer) eller ISO 27001. Cyber Resilience Centres Newman siger, at disse muligheder kan være nyttige, men der er ofte udfordringen med at det han kalder en "uoplyst kunde", hvor brugerne ikke ved, hvor de skal henvende sig for teknisk ekspertise.
Newman tilføjer, at bevidstheden om og udbredelsen af Cyber Essentials forbliver for lav – især blandt mindre virksomheder, som ikke nødvendigvis ser værdien i at følge det. Andre gør det kun for at opfylde kontraktkravene. Han hævder, at en del af problemet er regeringens manglende evne til at fremme værdien af Cyber Essentials og rådgivning om bedste praksis fra National Cyber Security Center (NCSC).
Newman hævder, at omkostningerne også er et problem, hvor bolt-on ofte bringer det samlede udlæg for Cyber Essentials op på £1000. Selvom de fleste organisationer har implementeret de nødvendige kontroller for at opnå Cyber Essentials, har mange faktisk ikke opnået fuld akkreditering ifølge undersøgelsen.
Med lidt hjælp
Dette års undersøgelse viste, at kun 19 % overholder ISO 27001-standarden – lidt ændret fra Wave One (15 %). Det virker i modstrid med undersøgelsens forslag om, at "resultater fra de kvalitative interviews tyder på, at ISO 27001-certificeringen af virksomheder anses for at være den mest robuste og materielle akkreditering, der findes."
BH Consultings Honan hævder, at mange organisationer anser ISO 27001 for besværligt eller dyrt at opnå og vedligeholde.
"Så selvom mange virksomheder måske bruger ISO 27001 som en ramme, hvorpå de kan bygge deres cybersikkerhedsprogram, er det ikke sikkert, at alle tager det næste skridt for at søge certificering til standarden," siger han.
At opnå certificering og opretholde overholdelse kan tage tid, penge og ressourcer, selvom tredjeparts compliance-specialister kan strømline processen betydeligt gennem digitale værktøjer.
At være certificeret til en standard som ISO 27001 kan give en organisation mulighed for at demonstrere over for nøgleinteressenter såsom bestyrelsen, den øverste ledelse, kunder og regulatorer, at de følger industriens anerkendte cybersikkerhedsbestemmelser.
Kunne kunstig intelligens hjælpe disse virksomheder med at fremskynde deres overholdelsesrejse? Honan siger, at nøglen til ISO 27001, og faktisk mange nuværende cyberregler er at tage en risikobaseret tilgang til sikkerhed.
"Som sådan er det nødvendigt at fokusere på virksomhedens krav for at gøre ISO 27001 gældende for din organisation," siger han. "Mens skabelondokumenter og endda AI kan hjælpe med at udvikle dit ISO 27001-projekt, vil jeg være omhyggelig med at sikre, at resultaterne af disse værktøjer ikke er for generiske for din virksomhed."
