调查发现,虽然86%的企业有网络弹性计划,但52%的受访者表示,他们的企业缺乏评估网络弹性的全面方法。
2023年网络安全日益重要加强网络能力是企业2023年的战略重点,其中提高网络安全团队成员(83%)和一般员工(75%)的网络弹性被认为是两个最重要的领域。
很多企业已经采取措施实施网络弹性计划。然而,53%的受访者表示,企业的员工没有为下一次(任何类型的)网络攻击做好充分准备,超过一半的受访者表示,他们缺乏评估网络弹性的全面方法。这些统计数据表明,尽管网络弹性是一个优先事项,并且计划已经到位,但他们目前的结构和培训是无效的。
(相关资料图)
Immersive Labs的首席执行官James Hadley表示,“在勒索软件、供应链风险和漏洞成为安全领导者主要关注的威胁形势不断演变的背景下,网络弹性是当今每个人最关心的问题。虽然企业和领导者有望实施提高网络弹性的策略和计划,但不幸的是,许多企业仍然没有达到目标。”
Hadley补充说,“尽管有很多网络安全培训和认证,但一半的受访者表示,他们的企业、团队和员工都没有做好准备。很明显,当前的项目需要重组,以推动一个成功的网络弹性议程。”
企业关注员工对网络安全事件的反应三分之二的企业对网络安全事件缺乏信心,认为95%的员工不知道如何从网络安全事件中恢复过来。
高优先级任务包括在没有核心IT系统可用的情况下维护业务运营,使用人工流程处理紧急任务,以及不通过将受损设备连接到网络来加快恢复过程。
行业认证在建立网络弹性方面存在不足虽然几乎所有的企业都鼓励行业认证,但只有32%的企业表示行业认证在缓解网络威胁方面是有效的。网络安全的培训太少,效果不佳,只有约四分之一(27%)的受访者表示他们每月接受培训。
46%的受访者表示,尽管进行了多年的安全意识培训和网络钓鱼测试,但如果他们的员工收到网络钓鱼邮件,他们可能不知道如何处理。
网络安全缺乏信息指标拥有正确的指标来证明团队的网络弹性非常重要,尤其是在企业董事会和高管正在寻找具体证据的情况下。
尽管如此,46%的高级安全主管和高级风险主管表示,他们没有充分展示员工在面对网络攻击时的弹性所需的指标。
只有大约6%的企业使用信息性指标(例如响应时间)来解决漏洞、跟踪入侵率、内部数据丢失指标以及各种威胁类型的发生率。
提高对网络弹性重要性的认识在过去的六个月里,只有不到一半(46%)的企业的董事会要求安全团队证明企业的网络弹性。
51%的企业提高了对网络弹性重要性的认识,而这是获得企业关键领导人更多支持的重要一步。
在与企业董事会和高级领导层沟通时,安全和风险领导者应接受网络弹性信息,而不是关注零碎投入的状态,例如部署新的网络安全解决方案。
Hadley补充说:“鉴于当今不断发展的网络威胁的现实,任何不能提供持续练习的传统网络训练方法都不利于达到目的。随着企业努力加强其网络弹性议程,他们应该专注于持续评估和培养网络技能,并证明可以达到更好的结果。我们需要重新关注更好的网络安全解决方案,并培养具有专业知识的员工队伍,以应对新兴威胁的现实影响。”
标签: