小企业不一定是最薄弱的安全链接
根据安全专业人员协会(ISC)2的最新确保合作伙伴生态系统研究,一半的大型企业视为任何规模的第三方合作伙伴。
然而,只有14%的人经历了一个违约,因为一个小型商业伙伴的结果,而17%的人被违背了较大的合作伙伴,北美超过700名安全专业人员的民意调查显示。
这些调查结果矛盾,小企业作为网络攻击最简单的网络攻击渠道对大型企业的最简单的信念,有94%的受访者表示,他们在其小型商业伙伴网络安全实践中“自信”或“非常自信”,而95 %表示他们有一个标准的过程,可以审核供应商的网络安全功能。
“这项研究突出了建立强大的网络安全文化和订购正确的最佳实践的事实,可以帮助任何规模的组织最大化安全效率,”韦斯利辛普森(ISC)2首席运营官表示。
“这是一个很好的提醒,在任何合作伙伴生态系统中,保护系统和数据的责任都需要是一个协作的努力,并且应该部署多种失败保险箱以保持警惕和安全的环境。责备游戏是对网络攻击的威慑力量不佳。“
近三分之二的大型企业(64%)大型企业外包至少是其日常业务任务的季度(26%),这要求他们允许第三方访问其数据。这些外包功能可以包括从研究和开发的任何内容,对其提供服务和应付账款。
这种数据访问和共享是必要的,因为大型企业缩放其操作,但研究表明访问管理和漏洞缓解通常被忽视。
超过三分之一(34%)的大型企业受访者表示,他们已经惊讶于广泛的访问水平,第三方提供商已被授予其网络和数据,而具有类似的比例(39%)的小商务受访者表达在为大型企业合作伙伴提供服务时授予的访问感同样的惊喜。
该研究还表明,35%的大型企业受访者承认,当第三方警告不安全的数据访问政策时,大型企业实践中的任何变化都没有任何变化,而55%的小企业受访者报告他们仍然可以访问客户的网络或完成项目或合同后的数据。
超过一半的小型企业受访者对其大型企业客户不充分的安全实践感到惊讶,53%提供了他们在大型企业网络中发现的安全漏洞的通知。
该报告发现,虽然小企业总体而言,员工较少,但网络安全人员的比例不一定低于大型企业。近一半(42%)的小企业,有250名或更少的工人,雇用至少五个专用网络安全人员。
相比之下,75%的大型企业,拥有1,000多名员工,至少有10名员工专注于网络安全。这意味着一些小企业有更高的安全专业人士,努力实施最佳实践和捍卫数据和网络。
该研究发现,虽然它们可能具有不同的工具集,小企业和大型企业通过专注于许多相同的网络安全最佳实践来类似地接近数据保护。
两组受访者表明,他们采用了相同的三大最佳实践来保护其网络和数据:
使用防病毒和反恶意软件程序定期自动扫描。阻止通过防火墙配置访问已知的恶意IP地址。强大的电子邮件过滤器,以防止网络钓鱼。该报告的结论是,企业与一个与更大的第三方供应商的关系可能会遭到破坏,而企业需要在一些关键领域改进其安全实践,具体是为了解决合作伙伴发现的安全问题并删除访问当合作伙伴不再需要它时,到系统
报告称,“突破预防责任与伙伴关系中的所有各方休息,企业应该有适当的分层安全控制,以防御自己的攻击角度。”
报告说明,创造一个专注于网络安全的强大文化是一个筹集网络竞争力和准备的核心,无论组织的规模。
该报告引用2018年(ISC)2的研究,其中发现招聘和维护强大的网络安全团队的公司 - 并通过推广更有信心能够捍卫他们的信息系统 - 通过培养一个有弹性的网络安全文化来捍卫他们的信息系统。在哪些高管中了解并强化安全实践的重要性,雇用认证的安全专业人员,培训和促进内部的,并在招聘时向明确的工作。
“规模不是公司网络安全能力或被违反可能性的最佳指标。该报告称,它是每个人在与合作伙伴合作的合作伙伴合作时,每个人都有责任。“