[2023]東南亞的長字輩主管不熟悉基本網路資訊安全的術語
Kaspersky一份研究顯示,有十分之一的長字輩經理人從未聽過像殭屍網路(Botnet)、進階持續性滲透攻擊(APT),與零時差漏洞攻擊(Zero-Day exploit)之類的威脅。有同樣比例的人似乎也不熟悉網路資訊安全的概念,比如「開發安全營運」(DevSecOps)、「零信任」(ZeroTrust)、資安監控中心(SOC)以及「滲透測試」(Pentesting)。
長字輩主管有時難以瞭解他們的IT安全同仁,而且不總是願意表現出他們的困惑。因此,有26%的非資訊科技高階經理人表示,在與IT和IT安全同仁開會時,若是被認為對某些事情不瞭解的話,會感覺到不舒服。
儘管大多數受訪者隱藏他們的困惑,因為他們傾向在會議之後,再去釐清所有事情,或是選擇自己解決所有問題;超過半數(55%)的受訪者不會問額外的問題,因為他們不相信IT同仁能夠以清楚的方式說明,而有近五分之二的受訪者感到尷尬,當自己顯露出不瞭解該主題的時候,另外則有42%的受訪者,不想在IT同仁面前顯得無知。
縱使所有受訪的東南亞高階經理人,會與IT安全經理人定期討論安全相關議題,但超過十分之一的受訪者從未聽過像「零時差漏洞攻擊」(11%)、「殭屍網路」(9%),以及「進階持續性滲透攻擊」(9%)等這些威脅。在此同時,這些高階經理人則比較熟悉「間諜軟體」(Spyware)、「惡意軟體」(Malware)、「木馬程式」(Trojan),以及「網路釣魚」(Phishing)。
超過十分之一的高階經理人也承認,他們從未聽過像「開發安全營運」(10%)、「資訊安全監控中心」(10%)、「滲透測試」(10%)以及「零信任」(6%)之類的術語。
不到20%的資安長與銷售、財務與行銷的關鍵經理人建立合作伙伴關係,這使他們很難及時掌握業務需求的變化。
網址:https://securitybrief.asia/story/basic-cybersecurity-terms-unfamiliar-to-c-level-executives-in-sea
[2022]澳洲ASX 100公司的董事對網路攻擊準備不足
UNSW Institute for Cyber在2022年5月有一份研究,對象是ASX 100公司、798位管理董事及非執行董事。而分析的資訊,是根據公司網站以及個別董事在LinkedIn上的檔案。
研究發現:ASX 100公司董事在網路安全意識與韌性方面,有明顯的技能落差,而且有不到1%的ASX董事具備網路經驗,而且只有16%具備科技經驗。
2020年有38%的董事會表示,他們有引入專業科技與/或創新角色到董事會技能矩陣裡,但這個並未展開。該Institute總監的Nigel Phair表示,公司董事需要向管理階層提出嚴格的問題,而且具備足夠能力知道以下事宜的預期答案是什麼:組織對網路風險的理解、創造與監督控制的投資,以及預演可能的場景,做出更好的準備,網路安全控制將會影響客戶及利害關係人。
網址:https://channellife.com.au/story/asx-100-company-directors-ill-equipped-for-cyber-attacks
沒有留言:
張貼留言