毕马威(KPMG)的一项新研究显示,80%的受访高管承认,过去两年,他们的公司受到过网络攻击。然而,在该公司调查的403名首席信息官(cio)、首席信息官(cio)和首席技术官(cto)中,只有不到一半的人表示,他们在过去一年中投资了信息安全。
毕马威(KPMG)美国网络业务主管格雷格•贝尔(Greg Bell)表示:“我们仍然看到一些公司对网络安全采取被动或被动的态度,而事实上,网络应该是一个首要的业务问题,应该在全公司范围内加以思考和实践。”贝尔在发表了他的“消费者损失晴雨表七月报告。
认为被黑客攻击的公司在网络安全方面投资不足的观点是不合逻辑的,除非你明白大多数首席信息官被告知要优先考虑创新,而不是降低风险。正在努力应对数字转型的公司正竞相寻找自己的Pokemon Go。专注于业务增长的首席执行官们不愿放慢速度以降低风险。最终,网络安全并没有成为当务之急。
缺乏监督的法院有风险
网络安全方面的投资不足意味着在人才和保护公司免受新出现威胁方面的支出减少,包括商业邮件妥协还有勒索软件,黑客通过这种软件劫持公司网络,要求公司交出控制权,然后向公司索要赎金。安全公司Malwarebytes在6月份的一项调查中发现,41%的美国企业在过去12个月里遭遇了一到五次勒索软件攻击。这类攻击可能会对公司品牌造成毁灭性的影响,并最终影响公司的利润。
毕马威(KPMG)
毕马威的调查显示,零售和汽车行业在网络安全方面尤其松懈。(点击查看大图)
贝尔指出,对首席信息官如何分配预算缺乏监督或治理。首席信息官的任务是投资技术以促进业务增长,重点是招聘新的数字人才和实施新的解决方案,以推动创新和业务增长。但大多数网络安全团队无法跟上技术和业务流程变化的步伐。安全团队更喜欢不变的基础设施,这使他们能够更好地设置基线风险和检测异常。
贝尔表示:“快速行动的需求至关重要,因此企业需要更加敏捷,接受一些更新、更具颠覆性的技术,并寻求在其产品和服务组合中添加更多增值服务。”“问题是,大多数网络安全团队无法将他们的价值与此相匹配。在过去几年里,我们的大多数客户都在努力应对这个挑战。”
贝尔表示,传统上网络安全与IT基础设施是一致的,但他建议企业将其与创新联系起来。理想情况下,首席信息官、首席数字官和他们的首席信息官合作伙伴将在新解决方案出炉时(而不是在最低可行性产品推出后再固定下来)努力提供保护。他表示,毕马威在少数客户身上尝试了这种模式,并取得了扎实的成果。
一些行业比其他行业更注重安全
贝尔调查了汽车、银行、科技和零售行业的客户,并发现了其他有趣的消息。调查结果显示,89%的零售网络高管报告在过去24个月里遭遇过黑客入侵,其次是汽车行业,比例为85%,而银行和科技公司的比例为76%。
[相关:捕鲸成了主要的网络安全威胁]
虽然这些差异并不明显,但贝尔表示,他的研究揭示了金融服务、科技公司、零售和汽车制造商等行业之间的“网络意识成熟度曲线”。考虑到零售商强调移动和个性化购物,而汽车制造商专注于制造越来越依赖自动驾驶辅助技术的联网汽车,这多少有些令人担忧。
贝尔发现,银行和科技公司在加强其网络姿态方面相对较好,分别有66%和62%的公司报告称,它们在信息安全方面进行了投资。相比之下,45%的零售商和32%的汽车制造商声称已经投资。
在接受调查的公司中,69%的公司表示已经有了网络安全负责人,比如首席信息安全官。不过,金融服务和科技公司对网络的关注程度,与零售和汽车行业的同行相比,仍然存在差距。例如,85%的银行和科技公司表示他们有首席信息官或其他类似职位,相比之下,58%和45%的零售和汽车公司承认他们有一位网络领导者。
猎头公司Russell Reynolds Associates的全球网络安全业务主管马特•科明斯(Matt Comyns)表示一些企业试图雇佣普通的首席信息官,或者推迟招聘安全主管完全是因为他们否认黑客对他们的组织构成的威胁。Comyns说,大家都不相信黑客会发现他们的数据有足够的价值去窃取。Comyns说,他试图说服他们。
“我仍然会走进很多公司的大门,寻找这样一位首席信息官:‘谁会跟着我们,我们不是塔吉特(Target),我们不是索尼(Sony) ?’”Comyns说。“我不确定这是不是正确的问题。”
这篇题为《被黑客入侵的公司仍将创新置于网络安全之上》的文章最初是由首席信息官 .