het die Britse kuberveerkragtigheid platgeslaan

Het die Britse kuberveerkragtigheid platgeval?

Alle besighede moet daarna streef om meer kuberveerkragtig te wees. Dit beteken dat hulle meer in staat is om teen 'n aanval te verdedig en te oorleef en om te herstel wanneer 'n voorval plaasvind. Die meet van kuberveerkragtigheid kan egter 'n uitdaging wees. Dis waar die regering s’n Kubersekuriteit Longitudinale Opname kom in.

Vrygestel vroeër vanjaar, vind dit dat organisasies skaars hul kuberveerkragtigheid verbeter het in vergelyking met opnames wat in vorige jare gedoen is. ’n Gebrek aan belangstelling in Cyber ​​Essentials en ISO 27001 is veral kommerwekkend.

Veerkragtigheid bly stabiel

Die sleutel met hierdie opname is dat dit dieselfde 1000 besighede naspoor vir elke jaarlikse "golf" wat dit doen om vordering oor tyd onder medium- en groot-grootte Britse firmas te meet. Hierdie jongste golf (drie) vind dat kuberveerkragtigheid grotendeels stabiel gebly het ondanks 'n waarskynlike verandering in begrotings en prioriteite in die nasleep van die pandemie.

Aan die beleidskant was daar 'n effense toename in die aantal besighede wat 'n besigheidskontinuïteitsplan saamgestel het wat kuberveiligheid dek (76% teenoor 69% twee jaar gelede), 'n geskrewe lys van hul maatskappy se kwesbaarhede (61% teenoor 54). %), 'n geskrewe voorvalreaksieproses (59% teenoor 51%), en 'n kuberversekeringspolis (79% teenoor 66%).

Ten spyte van hierdie marginale verbeterings, voer Brian Honan, uitvoerende hoof van BH Consulting, aan dat die statistieke nie as aanwysers van 'n maatskappy se kuberveiligheid se veerkragtigheid geneem kan word nie.

"Baie van daardie items word nou gestel as minimum vereistes vir maatskappye wat ons kuberversekering wil neem," sê hy aan ISMS.online.

Hy voeg by dat baie besighede steeds nie kuberveiligheid as 'n kritieke besigheidsrisiko sien nie, maar eerder 'n IT-probleem.

"Hoe gouer besighede beter verstaan ​​hoeveel hulle staatmaak op hul IT-stelsels, die internet en die data wat hulle het, hoe gouer sal hulle besef dat kuberveiligheid as 'n kritieke besigheidsrisiko hanteer en bestuur moet word," voer hy aan.

Simon Newman, uitvoerende hoof van die Cyber ​​Resilience Centre, sê aan ISMS.online dat hy steeds sien dat baie besighede met selfs basiese kuberhigiëne sukkel.

"Een van die hoofredes is 'n waargenome gebrek aan vaardigheid of kennis, maar ons weet ook dat daar 'n werklike uitdaging is om hulle in die eerste plek te kry om die bedreiging te verstaan," voer hy aan.

Hy het veral gesien hoe besighede dink dit is die beste om 'n paar weke te wag voordat hulle hul sagteware opdateer, aangesien hulle "stories hoor" oor nuwe opdaterings wat probleme veroorsaak.

Honan voeg by dat om kuberposisie te versterk, organisasies hul kuberveiligheidstrategie moet baseer op 'n omvattende kuberrisikoprogram met 'n volwasse vlak van prosesse en prosedures, en omvattende inkoop en leierskap van senior bestuur.

Is base bewus?

Die longitudinale opname bevind dat 55% van besighede nou 'n lid op hul direksie het wie se rolle toesig oor kuberveiligheidsrisiko's insluit. Daar was ook 'n toename in die aandeel van besighede wat rapporteer dat hul direksie kuberveiligheid bespreek – 43% vanjaar, teenoor 37% in Wave One.

Honan sê direksies en senior bestuur moet verstaan ​​dat 'n steeds toenemende hoeveelheid regulasies rondom kuber, databeskerming, KI en die Internet van Dinge - beide in die VK en in die EU - aanspreeklikheid vir kuberveiligheid by die senior bestuur en direksie verhoog vlak.

Vertrou die proses

Ongelukkig blyk dit dat voldoening aan bestepraktykstandaarde en -raamwerke tot stilstand kom. Die opname toon dat slegs 38% van besighede nou die beste praktyk-advies in Cyber ​​Essentials (óf Standard- of Plus-sertifiserings), of ISO 27001 volg. Die Cyber ​​Resilience Centre se Newman sê hierdie opsies kan nuttig wees, maar daar is dikwels die uitdaging van wat hy 'n “oningeligte kliënt” noem, waar gebruikers nie weet waarheen om te gaan vir tegniese kundigheid nie.

Newman voeg by dat bewustheid en opname van Cyber ​​Essentials te laag bly – veral onder kleiner ondernemings, wat nie noodwendig die waarde daarvan insien om dit te volg nie. Ander doen dit net om aan kontrakvereistes te voldoen. Hy beweer 'n deel van die probleem is die regering se onvermoë om die waarde van Cyber ​​Essentials en beste praktyk-advies van die Nasionale Kuberveiligheidsentrum (NCSC) te bevorder.

Newman voer aan dat koste ook 'n probleem is, met boute wat die totale uitgawe vir Cyber ​​Essentials dikwels op £1000 te staan ​​bring. Alhoewel die meeste organisasies die kontroles geïmplementeer het wat nodig is om Cyber ​​Essentials te bereik, het baie nie eintlik volle akkreditasie verwerf nie, volgens die opname.

Met 'n Bietjie Hulp

Vanjaar se opname het bevind net 19% voldoen aan die ISO 27001-standaard – min verander van Wave One (15%). Dit lyk in stryd met die opname se voorstel dat "bevindinge van die kwalitatiewe onderhoude daarop dui dat die ISO 27001-sertifisering deur besighede beskou word as die mees robuuste en mees substantiewe akkreditasie wat beskikbaar is."

BH Consulting se Honan voer aan dat baie organisasies ISO 27001 te beswaarlik of duur beskou om te bereik en in stand te hou.

"So hoewel baie besighede ISO 27001 kan gebruik as 'n raamwerk waarop hulle hul kubersekuriteitsprogram kan bou, kan nie almal van hulle die volgende stap neem om sertifisering volgens die standaard te soek nie," sê hy.

Die bereiking van sertifisering en die handhawing van voldoening kan tyd, geld en hulpbronne neem, hoewel derdeparty-voldoeningspesialiste die proses aansienlik kan stroomlyn deur middel van digitale gereedskap.

Om volgens 'n standaard soos ISO 27001 gesertifiseer te word, kan 'n organisasie in staat stel om aan sleutelbelanghebbendes soos die direksie, senior bestuur, kliënte en reguleerders te demonstreer dat hulle die beste praktyke vir kuberveiligheid wat deur die industrie erken word, volg.

Kan KI hierdie firmas help om hul nakomingsreis te versnel? Honan sê die sleutel tot ISO 27001, en inderdaad baie huidige kuberregulasies is om 'n risiko-gebaseerde benadering tot sekuriteit te volg.

"As sodanig, om ISO 27001 van toepassing te maak op jou organisasie, moet dit op die vereistes van die besigheid fokus," sê hy. "Terwyl sjabloondokumente en selfs KI kan help met die ontwikkeling van jou ISO 27001-projek, sal ek versigtig wees om te verseker dat die resultate van hierdie instrumente nie te generies vir jou besigheid is nie."

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!