与许多企业在网络安全政策不充分的情况一样,新的研究表明,一半以上的澳大利亚企业在其网络遭到破坏后甚至没有改变其网络安全策略。
安全商CyberArk公司委托市场研究机构Vanson Bourne公司进行了调查,并发布最新的2018全球高级威胁状况报告。在对澳大利亚的企业进行的调查中,45%的受访者表示,他们的组织无法防止攻击者闯入内部网络。尽管存在这种高度漏洞,但有52%的人表示,即使在网络攻击之后,他们的组织也很少改变其安全策略。
这种组织惯性造成了安全最佳实践和实际实践之间的差距越来越大,越来越多的特权用户帐户将更多的暴露集中在更多功能更强大的端点设备中。
根据调查显示,一半的受访者表示,他们的客户数据可能面临风险,他们没有更多地应用“法律要求的基础知识”,只有8%的公司持续进行安全演习来测试其安全性防御。
然而,没有多少激励措施可以做得更多:只有44%的公司表示,他们认可或奖励帮助防止IT安全漏洞的员工,这远远落后于美国受访者中74%的比例。
“攻击者几乎拥有无限的自由和灵活性,并且不断发展他们的工具和技术。”CyberArk公司澳新(ANZ)区域总监Matthew Brazier在一份声明中表示,“组织规模更大,结构更紧密,就越无法更好发展其安全战略和控制措施,以适应这种变化步伐。”
他说,“澳大利亚网络最成熟的组织对其特权资产状况有着深刻的认识,并并对这些发行、使用和审计的方式进行了强有力的控制。协调防御和预警能力以保护这些资产是有效安全战略的基础。”
企业更好地保护特权帐户是ISO27001系列信息安全管理系统标准最新更新的核心原则,该标准于今年2月进行了修订。
不断扩展的标准系列包括诸如ISO27018之类的指南,该指南提供了用于保护公共云中的敏感个人数据的操作规范,以及去年的ISO27019标准,其中规定了能源公用事业行业的信息安全控制等内容。
最近的另一个标准ISO27021规定了信息安全管理系统专业人员的能力要求。
根据最近由专业招聘公司Robert Half公司进行的一项调查表明,对于澳大利亚组织而言,这些最后的指导方针可能尤其重要,因为可以提高企业员工的安全知识水平。
在160位接受调查的首席信息官和首席技术官中,87%的受访者表示他们在过去三年内曾经历过组织内部的IT安全漏洞,这些首席信息官将其员工具备潜在IT安全风险的知识平均评分评定为7分(满分为10分)。
“虽然已经有全面性的理解,即企业在内部IT安全方面需要采取主动行动,”Robert Half公司澳大利亚地区总经理Andrew Brushfield在一份声明中表示,“企业采取必要的步骤来保护自己免受内部IT违规是一个持续的过程。”
首席信息官通常采用的内部IT安全措施是实施安全的备份和恢复(以39%的受访者命名),监控和记录员工的在线行为(37%),为员工进行安全意识培训(35%),开展内部IT安全审计(33%),雇用永久和临时IT员工来加强他们的IT安全流程(30%)。
这些措施中的每一项都有助于提升企业的整体安全性,而且它们的实施体现了安全性的主动性,根据CyberArk公司的数据,许多组织没有这些安全措施。
“企业应该采取持续的安全措施,并结合技术手段和人才来管理它。”Brushfield说,“这意味着企业需要为IT安全分析师、信息安全官员、IT安全工程师等熟练的IT安全专业人员提供解决内部和外部复杂的网络安全威胁的方法。”