顶级英国董事缺乏培训来处理网络攻击
最新的政府网络治理健康检查和英国前350家公司的调查显示,超过三分之二的董事会没有收到培训来处理网络事件。
每年的网络卫生检查是与审计社区合作进行的,包括Deloitte,EY,毕马威和普华永道。报告称,68%的公司董事没有网络事件响应培训,尽管有超过一半的消息威胁是他们业务的最大风险。
10个FTSE350公司承认,他们在没有网络事件的响应计划的情况下经营,少于三分之一的董事会获得全面的网络风险信息。
数字部长Matt Hancock表示,英国可能拥有世界领先的企业和蓬勃发展的慈善部门,但最近的网络攻击表明没有对网络安全有正确方法的破坏性影响。
“这些新报道显示我们还有很长的路要走,直到我们所有的组织都采用最佳实践,并敦促所有高级管理人员与国家网络安全中心(NCSC)合作,并采取政府的建议和培训,”他说。
Zubin Randeria,PWC的Cyber Security Meverile表示,该报告回应了普华永道首席执行官调查的调查结果,发现四分之三的英国CEO考虑到网络风险对其业务的重大威胁,97%正在解决网络事件。
“这是一个积极的是,网络安全现在是董事会和商业领袖的思想前面,但是关于许多人仍然没有用正确的知识,以便在最糟糕的情况发生时回应,”他说。
然而,最新的年度健康检查显示,自去年以来一直存在进步,同时有超过一半的FTSE350板现已阐述他们对网络风险的方法,增长20个百分点至53%,超过一半的企业有一个以上的企业清楚地了解网络攻击的影响,高于49%至57%。
Phill Everson,Cyber Rail Service负责人在Deloitte表示,今年的网络健康检查标志着董事会水平对网络风险的认识和其影响的明确改善,大部分由高调,跨部门事件驱动。
“仍然存在某种方式,因为调查结果表明,许多板仍然没有明确的角色来领导公司范围内的反应。这证实了最近对FTSE100年度报告的德勤分析,发现只有5%的披露具有专业技术或网络经验的董事会成员,“他说。
斯图尔特怀特·英国和英国和爱尔兰的艾特的网络安全主管,隐私和复兴力人士表示很高兴看到网络越来越多的公司在最大的公司中越来越优先。“但仍有一些方法可以为最佳准备组织进行潜在的违规行为。随着目前的背景,网络议程正在发展成为关于组织对网络攻击的恢复力的对话。他说,这不仅是如何保护自己的保护,而且如何应对事件,恢复业务流程并限制收入和声誉的影响,“他说。
政府在一份声明中表示,它完全致力于违反网络威胁,2016年11月宣布为期五年的国家网络安全战略,由1.9亿英镑的投资支持。这包括打开NCSC并提供免费的在线建议以及培训计划,以帮助企业保护自己。
政府还发布了一个标题为10个步骤的指南,向网络安全提出了一个框架,以帮助公司委员会管理网络风险,从获得基础知识来保护其最关键的资产,而网络基本计划计划阐述了技术基础知识所有公司都应该到位。
政府还宣布了如何帮助英国的必要行业通过NIS指令更加适应网络威胁。
Alex Dewdney,NCSC参与总监Alex Dewdney表示,虽然NCSC致力于使英国成为世界上最安全的地方生活和在线商业,但每个人都有一个戏剧。
“这就是为什么我们致力于通过我们的网站和直接参与提供专家建议的组织。他说,我们还敦促组织遵循政府网络精华计划的指导,“他说。
看着慈善机构网络安全的单独研究发现,慈善机构与网络攻击一样易受业务,许多工作人员并未充分了解该主题,以及在不同慈善机构中大大变化的意识和知识。
其他调查结果显示了负责网络安全,特别是在较小的慈善机构中,通常不会积极寻求信息,并依赖外包IT提供商来处理威胁。
“慈善机构必须做得更好保护他们持有的敏感数据,我鼓励他们访问我们在慈善委员会和国家网络安全中心和国家网络安全中心一起发展的量身定制的支持计划,”汉克说。
慈善机构需要更多地教育工作人员对此威胁,并确保他们为改善网络安全海军斯蒂芬森,首席执行官,英格兰和威尔士的慈善委员会致力于改善有足够的时间和资源如果慈善机构认识到网络安全的重要性,则该研究发现这通常是由于担任捐助者或服务用户的个人数据,或让受托人和私营部门经验的员工进行问题。慈善机构还认识到,负责网络安全的人需要新的技能,并且员工之间的一般意识需要增加。
英格兰和威尔士慈善委员会首席执行官Helen Stephenson表示,慈善机构有很多竞争优先事项,但网络攻击的潜在损失太严重,无法忽视。
“它可能导致资金或敏感数据丢失,影响慈善机构帮助有需要的人,并损害其珍贵声誉。慈善机构需要更多地教育他们的员工对此威胁,并确保他们致力于改善网络安全的足够的时间和资源。
“我们希望确保慈善机构能够做到这一点,我们鼓励他们对欺诈网站的慈善机构的建议。我们还继续与政府密切合作,帮助慈善机构在线保护自己。“
2017 FTSE350网络治理健康检查包括在政府新的数据保护条例草案中关于数据保护的第一次问题,预计将于2018年5月生效,有效地将英国法律与欧盟的一般数据保护条例一致( gdpr)。
答复揭示了GDPR的认识是好的,97%的公司称他们意识到新的监管和近三个季度(71%),称他们“有点准备”以满足GDPR的要求。
但是,只有6%的完全准备,只有13%的人表示,他们的董事会定期考虑到GDPR,45%的董事会表示,他们最关心的是与杀戮的个人数据删除有关的GDPR要求。
信息专员办公室(ICO)为实施规定的组织制定了指导,包括他们需要采取行动的业务清单;还有一系列互动研讨会和网络研讨会。
ICO还将为组织提供关于GDP下的责任的指导,并在GDPR下对其权利进行渗透。政府说,数字,文化,媒体和体育部将继续与ICO密切合作,在此期间,该政府表示。
KPMG的Paul Taylor表示,这是“令人担忧”,距离不到一年的时间,许多组织仍然有很多工作要做。 “GDPR将影响英国和全球的组织,这些组织与欧盟成员国的消费者和企业有任何交往。该监管为客户和客户隐私期望设立了一个新的酒吧,但事实是许多人只是不明白他们必须做的事情以及如何处理它,“他说。
“董事会需要将GDPR视为警告,以重新思考他们如何收集,存储,使用和披露个人信息。做得好,这可以改变他们的业务模式帮助匹配服务到客户需求;他补充说,错误地完成了错误的数据违规行为和随后的执法行动,并在全球营业额的4%,“
“董事会成员需要对网络安全采取集体责任,并在业务的各个方面考虑它。如果他们能做到这一点,那么也许网络安全将成为主流,在我们的数字世界中开展业务的重要组成部分。“