Uitvoerende insigte: Die stand van inligtingsekuriteit in 2024
INHOUDSOPGAWE:
Ek is bly om die bevindinge van ons jongste aan te bied Staat van inligtingsekuriteitsverslag, uitgevoer in vennootskap met die onafhanklike marknavorsingsfirma Censuswide. Hierdie jaar het ons ons opname uitgebrei om respondente van die Verenigde Koninkryk, die VSA en Australië in te sluit, wat 'n werklik omvattende oorsig van die huidige inligtingsekuriteit- en voldoeningslandskap bied.
Vir my beklemtoon die verslag 'n deurslaggewende evolusie in inligtingsekuriteit. Te midde van die vinnige tegnologiese vooruitgang en verskuiwings in die globale sake-omgewing, beklemtoon ons bevindinge die diepgaande impak van inligtingsekuriteit op besigheidsveerkragtigheid en sukses.
Die rol van robuuste inligtingsekuriteitspraktyke het oorgeskakel van 'n voorkomende maatreël na 'n fundamentele drywer van besigheidsgroei. Die verslag onthul dat organisasies wat inligtingsekuriteit diep in hul operasionele etos integreer hul verdediging teen kuberbedreigings verbeter en hul markposisie versterk, wat uiteindelik aansienlike mededingende en finansiële voordele behaal.
Karteer vandag se risikolandskap
Terwyl ek oor die bedryf se uitdagings nadink, is dit duidelik dat vandag se sake-IT-leiers ongekende waters betree. Die pandemie en die daaropvolgende ekonomiese onsekerhede het digitale transformasie versnel, maar elke nuwe belegging en vennootskap brei ons digitale aanvaloppervlak uit.
Namate voorsieningskettings toenemend die lewensbloed van globale handel word, neem hul kwesbaarheid vir kuberaanvalle toe, met kubermisdadigers wat dikwels kleiner verskaffers teiken om groter organisasies te infiltreer. Ons opname dui aan dat 64% van die respondente meer gereelde voorsieningskettingsekuriteitsrisiko's sien, met 79% wat ten minste een voorval in die afgelope jaar ervaar het.
Hierdie realiteit onderstreep waarom 38% van die respondente die bestuur van verskaffer- en derdeparty-risiko as die belangrikste uitdaging wat hul besighede in die gesig staar, gemerk het, wat die nommer een plek ingeneem het. Boonop was die bestuur en beveiliging van IoT- en BYOD-toestelle (30%) ook onder die top vyf bekommernisse. Hierdie beleggings hou aansienlike besigheidswaarde in, maar daardie waarde kan slegs gerealiseer word as risiko's toepaslik bestuur word.
Voldoening aan 'n komplekse web van internasionale en binnelandse regulasies was die tweede grootste uitdaging, aangehaal deur 33% van inligtingsekuriteitsleiers.
Doeltreffende risikobestuur en nakoming gaan nie net oor die vermyding van boetes nie. Hulle is van kritieke belang om die integriteit en betroubaarheid van sakebedrywighede te verseker, mededingende voordeel te verbeter en besigheidswaarde te dryf. Die vaartbelyning van voldoeningsprosesse is noodsaaklik om voor te bly.
Die meedoënlose bedreiging van kuberakteurs
Namate die risikolandskap verskerp, herinner kubermisdadigers se meedoënlose innovasie ons voortdurend aan die kwesbaarhede waarteen ons moet waak. Oor die afgelope jaar was wanware-infeksies die meeste aangemelde voorvalle, veral in die tegnologiesektor. Die opkoms van "as-'n-diens" wanware-pakkette het dit makliker gemaak vir aanvallers om komplekse aanvalle uit te voer, wat tot data-oortredings en losprysware-aanvalle gelei het. Die uitkomste wissel van cryptocurrency-mynbou en netwerktoegang tot volledige stelselenkripsie en sensitiewe data of geloofsbriewe diefstal.
Benewens hierdie groeiende risiko's, bly sosiale ingenieurswese 'n kritieke bedreiging, met 32% van die respondente wat voorvalle aangemeld het. Die gesofistikeerdheid van KI-aangedrewe diepvals is ook kommerwekkend aangesien dit meer algemeen in besigheids-e-pos-kompromieskemas voorkom, en meer as 40% van besighede rapporteer dat hulle deur diepvals geraak word, 'n styging van 0% in 2023 se verslag.
Namate kuberbedreigings meer gesofistikeerd word, is dit noodsaaklik om waaksaamheid te handhaaf en u sekuriteitstrategieë voortdurend by te werk. Versuim om hierdie bedreigings aan te spreek kan ernstige gevolge tot gevolg hê, insluitend aansienlike dataverlies, diensonderbrekings en finansiële en handelsmerkskade.
Die kritieke rol van databeskerming
Data bly waarskynlik 'n organisasie se waardevolste kommoditeit. Hierdie waarde is hoekom regulasies soos GDPR het sulke hoë standaarde gestel vir die beskerming en hantering van inligting veilig. Dit is ook hoekom bedreigingsakteurs hoogs gemotiveerd is om toegang tot hierdie data te verkry—hetsy vir bedrog, afpersing of strategiese doeleindes.
Vennootdata-oortredings word die meeste aangemeld, met 41% van die respondente wat sulke voorvalle in die afgelope 12 maande aanhaal. Dit beklemtoon die aanhoudende risiko's wat verskaffers inhou, aangesien hierdie data dikwels minder goed beveilig is. Hierdie oortredings is veral meer algemeen in die tegnologiesektor, teen 55%, as in kleinhandelaars, teen 27%.
Finansiële data was die tweede mees gekompromitteerde tipe, 39%, gevolg deur bate, 34%, klant, 33), en produkdata, 32%. Verbasend genoeg het net 27% van die respondente gerapporteer dat persoonlik identifiseerbare inligting (PII) gekompromitteer is, ondanks die feit dat dit 'n algemene teiken in losprysware-aanvalle was. Hierdie tipe data is veral in gevaar in die energie- en nutsdienste, 38% en 35% kleinhandelsektore.
Die verslag het wel beklemtoon dat verbeterde werknemersopleiding en -bewustheid 'n positiewe impak maak. Die aanhoudende gebruik van persoonlike toestelle vir werk sonder behoorlike sekuriteitsmaatreëls bly egter 'n beduidende risiko. Organisasies moet voortgaan om werknemers op te voed en streng sekuriteitsprotokolle af te dwing om hierdie bedreigings te versag.
Die dubbele rol van KI in kuberveiligheid
KI is beide 'n uitdaging en 'n geleentheid in kuberveiligheid. 76% van sekuriteitswerkers glo KI en masjienleer (ML)-tegnologie sal inligtingsekuriteit verbeter, en 64% beplan om hul begrotings dienooreenkomstig te verhoog. Inderdaad, hierdie instrumente kan help om vaardigheidsgapings te oorbrug, bedreigingsopsporing te outomatiseer en reaksietye te verbeter, om 'n paar voordele te noem.
Ten spyte van die ophef rondom generatiewe KI (GenAI), het slegs 26% van die respondente berig dat hulle die afgelope jaar nuwe tegnologieë soos KI, ML en blockchain vir sekuriteit aangeneem het. Dit is verbasend, aangesien KI-toepassings in kuberveiligheid veel verder strek as GenAI, met ML wat jare lank in strooiposfiltrering en ander gebiede gebruik word. Die onwilligheid om by nuwe projekte betrokke te raak, kan verklaar waarom slegs 11% die bestuur en beveiliging van ontluikende tegnologie as 'n beduidende uitdaging beskou.
Selfs minder respondente, 7%, is bekommerd oor KI-privaatheidskending, wat 'n opkomende kwessie word namate organisasies GenAI in hul bedrywighede integreer. Hoëprofiel-voorvalle, soos Samsung-werknemers wat per ongeluk sensitiewe inligting via GenAI-opdragte deel, beklemtoon die risiko's. Forrester voorspel beduidende data-oortredings en regulatoriese boetes vir GenAI-gebruikers in 2024, beklemtoon die bedreiging van onveilige kode wat deur hierdie instrumente gegenereer word. Die VK s'n Nasionale Kuberveiligheidsentrum (NCSC) het ook gewaarsku dat GenAI dreigemente van losprysware kan vererger deur toesig en sosiale ingenieurswese te fasiliteer.
Die regulatoriese landskap is egter besig om te ontwikkel. Die EU se KI-wet hou alle KI-verskaffers aanspreeklik, wat ooreenstemmingsbeoordelings vir hoërisiko-KI-stelsels bekendstel. Die VSA maak staat op presidensiële uitvoerende bevele, met potensiële federale wette wat komende is. Die Verenigde Koninkryk gee ook 'n aanduiding van voorneme om KI-gebruik te reguleer. Standaarde soos ISO 42001 sal deurslaggewend wees vir organisasies om versekering aan reguleerders te verskaf.
Alhoewel slegs 13% van die respondente tans inligtingsekuriteit en nakoming gebruik om die veilige aanvaarding van nuwe tegnologieë te bevorder, word verwag dat hierdie syfer sal styg namate regulatoriese aksies toeneem en tegnologiegebruik meer wydverspreid word.
Die besigheidswaarde van nakoming
Histories het raadsale nakoming as 'n noodsaaklike euwel beskou - 'n manier om strafboetes en slegte publisiteit te vermy. Ons navorsing toon egter 'n beduidende verskuiwing in hierdie persepsie. In die VK is daar 'n toename in boetes, met 26% van die respondente wat beboet word tussen £250-500K (op van 21% in 2023) en 35% wat met £100K-250K beboet word (op van 18%). Alhoewel boetes 'n faktor is, is dit slegs 'n deel van die voldoeningsverhaal.
Voldoeningsmotiverings strek veel verder as om boetes te vermy. 34% van die respondente beskou voldoening as noodsaaklik vir die handhawing van 'n mededingende voorsprong, en 'n gelyke persentasie word gedryf deur toenemende vraag van klante na robuuste sekuriteitsmaatreëls. Die beskerming van besigheid (30%) en klante (29%) inligting is ook 'n sleutelmotiveerder, terwyl 27% voldoening as noodsaaklik beskou om nuwe markte en voorsieningskettings te betree.
Belegging in nakomingsprogramme lewer tasbare voordele op, met 34% van die respondente wat verbeterde reputasies as veilige en betroubare entiteite rapporteer. 30% het kostebesparings behaal deur kuberveiligheidsvoorvalle te verminder, en 29% het tydbesparings gerealiseer deur doeltreffender sekuriteitsprosesse. Nakoming lok ook beleggers wat laerisiko-maatskappye soek (28%) en help om sekuriteitsinfrastruktuur (28%) te stroomlyn, wat die bestuur daarvan makliker en goedkoper maak. Boonop het 26% sakebesluitneming verbeter deur veilige en betroubare data, terwyl slegs 19% voldoening prioritiseer om boetes te vermy.
Ten spyte van die voordele, duur uitdagings voort. Byna die helfte (46%) van die respondente het gerapporteer dat dit tussen ses en 27001 maande geneem het om aan ISO 12 te voldoen. 'n Bykomende 11% sê dit het 12 tot 18 maande geneem, en 5% beweer dit het meer as 'n jaar en 'n half geneem.
Hierdie tydlyn dui op 'n behoefte aan meer vaartbelynde prosesse en betroubare voldoeningsvennote. Deur ervare vennote te gebruik, kan organisasies nakomingspogings bespoedig, gepaardgaande koste verminder en robuuste sekuriteitsmaatreëls handhaaf.
Wat is volgende vir inligtingsekuriteit?
Wat duidelik is, is dat organisasies voortgaan om talle bedreigings en regulatoriese vereistes te navigeer terwyl hulle beduidende veranderingsinisiatiewe dryf, nie die minste die opkomende rol van KI nie. Voldoening aan beste praktykraamwerke en -standaarde gaan nie net oor voldoening aan regulatoriese eise nie, maar oor die bou van 'n veerkragtige en betroubare besigheid.
By ISMS.online, ons verbintenis is om ons kliënte in hierdie reis te ondersteun, om hulle te help om voldoeningsprosesse te stroomlyn en hul digitale toekoms te verseker. As ek vorentoe kyk, is ek vol vertroue dat die integrasie van robuuste inligtingsekuriteitspraktyke krities sal wees vir volhoubare groei en sukses.
Ek wil al die respondente bedank wat bygedra het tot hierdie waardevolle navorsing. As jy die volledige verslag wil lees, kan jy dit hier doen: https://www.isms.online/state-of-infosec-24/