Sedan 2013 har den brittiska regeringen genomfört en undersökning bland de 350 största företagen i Storbritannien för att få veta hur de hanterar sina cyberrisker. Årets rapport visar att dessa företag nu är mer medvetna om vikten av god cybersäkerhet, men varnar för att de måste förbättra sig i mycket snabbare takt om de ska kunna ligga steget före framtida cybersäkerhetsutmaningar.
Nedan tittar vi på några av de viktigaste resultaten från årets rapport och diskuterar vad de kan betyda för framtiden för cybersäkerhet, efterlevnad och dataskydd.
Utbildning i cybersäkerhet är ett problem för FTSE 350-företag
Det mest häpnadsväckande i rapporten är nog att 68 procent av företagen inte har fått någon utbildning för att hantera en cyberincident. Trots att över en fjärdedel (26 %) har fått viss utbildning i incidenthantering rapporterade oroväckande få 2 % att de hade fått omfattande utbildning av styrelsen i incidenthantering.
Rapporten visar också att mer än en fjärdedel av styrelserna inte har någon definierad roll i ett företagsövergripande svar på en cyberincident. Detta är helt enkelt inte tillräckligt bra i dagens företag. Att skydda viktiga informationstillgångar är av avgörande betydelse för alla affärsfunktioner i dag.
Styrelseledamöter bör hantera risker i hela organisationen med stöd av den högsta ledningen, tillämpa bästa praxis för riskhantering och odla en riskmedveten kultur. Genom att göra detta kommer företagen inte bara att skydda sina värdefulla tillgångar, utan också få strategiska och operativa fördelar.
GDPR - fortfarande en fråga för stora företag
Rapporten visar att styrelserna endast ibland överväger GDPR vid sina möten. Detta är en stor anledning till oro eftersom klockan tickar närmare genomförandet av GDPR den 25 maj 2018. Om man tittar specifikt på styrelsernas hantering av GDPR svarade den största andelen av de svarande att frågan har diskuterats, men att den inte var en vanlig fråga (42 %). Detta tyder på att det åtminstone finns en allmän medvetenhet om GDPR, men tillsammans med rapportens resultat att endast 13 % av de svarande sade att GDPR regelbundet diskuterades av deras styrelse är detta oroande.
Vid det här laget borde företagen redan vara på god väg att slutföra sin GDPR-plan. Rapporten visar dock att så långt ifrån är fallet och att det finns en chans att panik kommer att uppstå inom FTSE 350-företagen under de kommande månaderna när det gäller att genomföra en plan för att hantera GDPR.
Goda nyheter
Trots dessa varningar finns det anledning till viss glädje i betänkandet. Det har skett en märkbar ökning av styrelsernas förståelse och medvetenhet om de potentiella konsekvenserna av en förlust av, eller störningar i, viktig information eller datatillgångar. Detta har ökat från 49 % 2015/16 till 57 % i årets rapport.
När det gäller den information som styrelserna får om cybersäkerhet visar årets rapport att 31 procent får omfattande och informativ ledningsinformation om cyberhot. Med tanke på att detta har ökat från 21 procent föregående år var detta en stor källa till positivitet.
Sammanfattningsvis kan man säga att årets rapport FTSE 350 Cyber Governance Health Check Report är en blandad kompott. Det finns en tydlig förbättring inom vissa områden, medan andra, som utbildning och införandet av GDPR, fortfarande är förbisedda.
Om du vill läsa hela rapporten kan du göra det här.
Vad tyckte du om årets rapport, var det något som gav dig anledning till stor oro? Fanns det något som förvånade er särskilt mycket?