ASIC表示澳大利亞金融市場的網(wǎng)絡(luò)安全風(fēng)險管理正在改善

澳大利亞證券和投資委員會(ASIC)表示，澳大利亞金融市場的網(wǎng)絡(luò)安全風(fēng)險意識和管理正在改善，但整個行業(yè)仍有改進的空間。

公司監(jiān)管機構(gòu)在一份新的報告中發(fā)表了上述言論。該報告匯總了金融市場公司完成的自我評估調(diào)查得出的趨勢。

ASIC報告651，澳大利亞金融市場企業(yè)網(wǎng)絡(luò)彈性:2018-19是對2017年報告555，澳大利亞金融市場企業(yè)網(wǎng)絡(luò)彈性的更新。

在2017年和2018年，ASIC要求參與者評估他們在國家技術(shù)標(biāo)準(zhǔn)協(xié)會(NIST)網(wǎng)絡(luò)安全框架下的網(wǎng)絡(luò)彈性。

NIST框架允許公司根據(jù)以下五個功能來評估網(wǎng)絡(luò)彈性:識別、保護、檢測、響應(yīng)和恢復(fù)，使用他們現(xiàn)在和12-18個月后的成熟度等級。

更多閱讀:NIST網(wǎng)絡(luò)安全框架:專業(yè)人員備忘單(TechRepublic)

ASIC寫道:“自555報告以來，在澳大利亞市場運營的公司的網(wǎng)絡(luò)彈性有所改善，在第一輪和第二輪之間，所有網(wǎng)絡(luò)彈性功能的平均增幅為15%?！?/p>

“各機構(gòu)對其業(yè)務(wù)面臨的網(wǎng)絡(luò)安全威脅保持警惕，并已將資源和努力集中于改善其網(wǎng)絡(luò)安全治理、風(fēng)險管理、響應(yīng)和恢復(fù)能力?！?/p>

ASIC表示，盡管企業(yè)的網(wǎng)絡(luò)彈性有所改善，但許多企業(yè)發(fā)現(xiàn)，要達到第一周期設(shè)定的目標(biāo)頗具挑戰(zhàn)性，原因在于設(shè)定的目標(biāo)過于雄心勃勃，威脅環(huán)境不斷變化，組織能力有限，獲得專業(yè)技能和資源的途徑有限。

第一周期和第二周期之間當(dāng)前網(wǎng)絡(luò)彈性成熟度的改善(按功能)。

報告稱，大型企業(yè)的網(wǎng)絡(luò)安全治理、風(fēng)險策略和管理“呈上升趨勢”，其中90%被標(biāo)記為可重復(fù)或可適應(yīng)。

資產(chǎn)管理和供應(yīng)鏈風(fēng)險管理已經(jīng)被許多大公司孤立為改進的領(lǐng)域。

ASIC表示，91%的公司對用戶訪問管理進行了“嚴(yán)格管理”，這表明用戶訪問管理具有可重復(fù)性和適應(yīng)性。ASIC表示，大型公司也在擴大監(jiān)控和檢測能力的范圍，60%的公司被標(biāo)記為可重復(fù)，20% - 25%的公司被標(biāo)記為可適應(yīng)。

參見:從7月1日起，澳大利亞金融公司的董事會將面臨更嚴(yán)格的信息安全規(guī)定

ASIC補充稱:“許多公司投資于安全運營中心，這些中心擁有熟練的團隊，能夠主動監(jiān)控針對其組織的威脅。”

這家企業(yè)監(jiān)督機構(gòu)表示，他們可以看到應(yīng)對計劃和緩解行動計劃的顯著改進，以及確保事件在發(fā)生時得到“遏制、不傳播、盡快中和”的改進。

與此同時，報告指出，中小企業(yè)自第一個周期以來已經(jīng)取得了良好的進展，但還需要進一步的改進。80%的中小企業(yè)認(rèn)為自己在網(wǎng)絡(luò)安全風(fēng)險治理方面是可重復(fù)的或更好的。

ASIC表示，中小企業(yè)在檢測能力方面取得了顯著進步，持續(xù)監(jiān)測能力提高了25%。

超過80%的中小企業(yè)報告他們的網(wǎng)絡(luò)安全成熟度是可重復(fù)的或可適應(yīng)的，ASIC稱這是第一個周期的“重大改進”。