Nul
De directies en managers van bedrijven zijn bedoeld om te worden goed evenwicht tussen risico en oppportunity; dus waarom zo velen hebben een enorme blinde vlek als het gaat om beveiliging van de computer?
High-profile hacking incidenten en inbreuken op de beveiliging verder en ondanks de komst van de GDPR regels over gegevensbescherming in Mei gericht op de aansporingen van de Europese organisaties in het verbeteren van de veiligheid op het risico van hoge boetes, veel organisaties nog steeds niet cyber security recht of niet begrijpen wat zij verondersteld zijn om te handelen.
Dat is iets wat de BRITSE National Cyber Security Centrum (NCSC) is op zoek naar verandering.
“Cyber security is nu een van de voornaamste bedrijfsrisico’ s. Het corporate leiders nodig om te begrijpen welke risico ‘s er zijn, en wat de meest effectieve manieren zijn van de risico’ s,” Ciaran Martin, chief executive van het NCSC, zei onlangs.
“Maar hebben het gewoon engels, business-gerichte gesprekken op directie niveau, leden van de raad nodig hebt om een beetje technisch. Ze moeten begrijpen cyber risico op dezelfde manier begrijpen ze financiële risico ‘s, of de veiligheid en de gezondheid risico’ s.”
Maar vele board-level executives schijnbaar nog steeds niet begrijpen cyber security risico ‘ s, zelfs als ze meer kans om meer geld uitgeven aan IT-beveiliging dan ze vroeger deed. En dat zelfs na de WannaCry ransomware aanvallen en de NotPetya malware-uitbraak, die beide veroorzaakt enorme schade en clean-up kosten voor organisaties over de hele wereld getroffen door de malware.
Dus waarom doen de bovenste regionen van de vele organisaties nog steeds niet begrijpen van de risico ‘ s ze lopen, of weten wat ze moeten doen om ze tegen te gaan?
ZIE: de Verdediging tegen cyberwar: Hoe de cybersecurity elite werken om te voorkomen dat een digitale apocalyps
Een probleem is dat binnen veel organisaties is het cyber security wordt nog steeds gezien als een probleem voor de IT-afdeling, in plaats van de hele onderneming.
“Het is al erg veel gezien als een IT-probleem, omdat een deel van de eisen om te voorkomen dat cyberaanvallen technische mechanismen en procedures op te zetten, zodat planken denk dat het technische team zal zorg dragen,” zegt Sarah Pearce, partner in de privacy en de veiligheid van de cyberruimte de praktijk op het internationale advocatenkantoor Paul Hastings.
Het is enigszins begrijpelijk waarom degenen die niet volledig technisch onderlegd zou kunnen denken dat de jongens die fix computers moet verantwoordelijk worden gehouden voor cyber security. Maar vaker wel dan niet, aanvallers gaan niet na, zij richten finance, HR en andere delen van de organisatie die waardevolle data — en gebruikers die misschien niet up-to-speed met cyber security problemen.
“Nu het gaat om elk onderdeel van een organisatie en ik denk dat er nu meer van erkenning van dat,” Pearce zegt.
“Maar er zijn geen of zeer weinig toewijzing van verantwoordelijkheid en het daadwerkelijk moet worden bestuurd vanuit een centrale, senior niveau zo in dat alle van de verschillende divisies van het bedrijf zijn aangegaan en die nog niet is gecoördineerd — en in sommige bedrijven is dat nog niet het geval is,” voegt ze toe.
Het NCSC uitgebracht op een lijst van vijf vragen de organisaties moeten worden gevraagd om te helpen om hun veiligheid. Maar terwijl een vraag als ‘Hoe verdedigen we onze organisatie tegen phishing-aanvallen?’ klinkt relatief eenvoudig om die in de weten, is er die niet zo vertrouwd zijn met de taal van de veiligheid heeft moeite grip te krijgen op de uitdaging.
“Het technische landschap verandert op een bijna dagelijkse basis, dus zelfs gewoon simpele dingen, zoals de eerste van de vijf vragen: hoe verdedigen we onze organisatie tegen phishing-aanvallen — er zijn drie operationele onderwerpen in die zin,” zegt Chris O ‘ Brien, directeur van intelligence operations bij threat intelligence bedrijf EclecticIQ.
“Wat is een phishing aanval? U moet een begrip van wat dat eigenlijk is. Hoe doen we verdedigen tegen? Dat is de technische en de organisatorische veranderingen die u moet maken. En de organisatie — sommige organisaties hebben niet een volledig begrip van waar de organisatie uiteinden, waar ze verantwoordelijk voor zijn.”
Het is ook niet een goede strategie om de kracht van de IT-afdeling om te komen met alle antwoorden die van invloed zijn op de gehele organisatie, in plaats van de c-suite moet kunnen begrijpen en beantwoorden van deze cyber security problemen — en drive-strategie op basis van wat ze vinden.
“Vanuit organisatorisch perspectief, kan HET niet verantwoordelijk is voor veel van die details, die moet worden aangehouden op het niveau van de raad,” aldus O ‘ Brien.
De raad moet zijn greep op zowel de zakelijke risico intelligence en cyber threat intelligence in de mate dat ze bewust zijn van de mogelijke bedreigingen voor de organisatie en de zwakke punten van binnenkomst en die kunnen worden gebruikt door aanvallers om te krijgen in het netwerk. Van daar, die ze nodig hebben om beslissingen te nemen over de begroting en de strategie die vervolgens kan betekenen dat de IT-afdeling met het maken van plannen voor het updaten en verbeteren van software — of de versterking van de beveiliging — in relatie tot het risico.
ZIE: Cyber threat intelligence versus risico-intelligentie: Wat u moet weten
Toch, in sommige gevallen, het verstrekken van deze informatie aan de raad van bestuur kan niet genoeg zijn. Ondanks de vrijwel dagelijkse berichten over aanvallen en schendingen tegen organisaties van alle soorten en maten, sommige alleen denk niet dat ze zullen krijgen, dat het niet zal gebeuren.
Een vermeend gebrek aan risico kan betekenen budgetten besteed elders — iets wat terug kunnen komen om te bijten bedrijven later beneden in de regel eenmaal een overtreding plaatsvindt.
“Totdat de mensen zijn in die situatie, ze denken dat wat ze hebben is goed genoeg, dat is het probleem. Bedrijven zien, lezen, ze kan zelfs persoonlijke slachtoffers van compromissen bij de grote ketens. Maar ze zullen niet van toepassing zijn, dat is voor hun bedrijf,” zegt Rodney Joffe, senior vice president en mede op security bedrijf Neustar.
Het is waarschijnlijk dat de leden van de raad zijn gevangen in data-inbreuken van andere ondernemingen, misschien hadden hun creditcard gegevens gestolen in een aanval tegen een hotelketen of een detailhandelaar. In plaats van het bekijken als een geïsoleerd incident en vergeten over het, ze moeten weten wat er is gebeurd en toepassen in hun eigen organisatie.
“Kijk naar de schade die zou kunnen veroorzaken. Het is de moeite waard de besteding van het geld om het goed te doen, maar tot het je overkomt, je het niet over na te denken,” Joffe voegt.
Leidinggevenden ook nodig zijn om te nemen wat ze leren over cyber security en het filter naar beneden door de organisatie. Het is allemaal heel goed te weten over de gevaren van een phishing e-mail, maar dat informatie gedeeld moet worden met personeel in het bedrijf.
Afdelingen als finance en HR dragen de last van de opportunistische pogingen om geld te stelen en gegevens, en de tijd en middelen moeten worden gezet om ervoor te zorgen dat deze gebieden juist de bedreigingen waarmee zij worden geconfronteerd.
“Denk na over de praktische aspecten, zoals de opleiding van iedereen en iedereen is zich bewust en alert te zijn over mogelijke phishing-e-mails, zorgen dat mensen weten wat dat betekent”, zegt Pearce.
“Dat komt neer op middelen omdat u tijd en geld in om ervoor te zorgen dat deze wordt uitgevoerd — ik denk dat dit is waar sommige mensen,” voegt ze toe.
Het NCSC aanbevelingen aan organisaties een goede springplank voor leidinggevenden om een kijkje te nemen op hun cyber security strategie. Het is onwaarschijnlijk dat cybercriminelen kunnen plotseling worden gestopt, maar er zijn dingen die organisaties kunnen — en — moet doen om ervoor te zorgen dat als ze worden aangevallen, dan is ze zo beschermd mogelijk.
LEES MEER OVER CYBER SECURITY
Dit is hoe het voelt om het gezicht van een grote cyberaanval Hoe ciso ‘s kan het verbeteren van hun communicatie met de raad van bestuur (TechRepublic) Phishing alert: Noord-Korea’ s hacking-attacks toont uw e-mail is nog steeds de zwakste schakel Hoe de Equifax hack er is gebeurd en wat er nog gedaan moet worden (CNET) Hoe kan uw bedrijf het meten van de ‘cyber resilience’ en de beoordeling van de houding
Verwante Onderwerpen:
Veiligheid
Digitale Transformatie
Innovatie
Thought Leadership
Tech Industrie
0