Noll
Styrelser och befattningshavare i företag är tänkt att vara bra på att balansera risk och oppportunity; så varför så många har en stor blind fläck när det kommer till datasäkerhet?
Hög profil hacka incidenter och brott mot säkerheten fortsätter och trots ankomsten av GDPR regler om skydd av personuppgifter i Maj som syftar till petade Europeiska organisationer till att förbättra säkerheten vid risk för stora böter, många organisationer fortfarande inte får it-säkerhet rätt eller inte förstår vad de är tänkt att agera på.
Det är något som BRITTISKA National Cyber Security Centre (NCSC) vill förändra.
“It-säkerhet är nu en naturlig del av företagens risker. Så företagsledare måste förstå vilka hot som finns där ute, och vilka de mest effektiva sätten är att hantera de risker,” Ciaran Martin, verkställande av NCSC, sade nyligen.
“Men att ha ren svenska, företag med fokus på diskussioner i styrelsen, styrelseledamöterna behöver för att få lite teknisk. De måste förstå cyber risk på samma sätt som de förstår den ekonomiska risken, eller hälso-och säkerhetsrisk.”
Men många styrelsen-nivå befattningshavare till synes fortfarande inte förstå it-säkerhet risker, även om de är mer benägna att spendera mer på IT-säkerhet än de gjorde tidigare. Och det är även efter WannaCry ransomware attack och NotPetya malware utbrott, både av den som orsakat stora skador och sanering kostar att organisationer runt om i världen som drabbats av skadlig kod.
Så varför gör de övre nivåerna av många organisationer fortfarande inte förstår vilka risker de möter eller vet vad de bör göra för att motverka dem?
SE: Försvar mot cyberkrig: Hur it elite arbetar för att förhindra en digital apocalypse
Ett problem är att det inom många organisationer, it-säkerhet är fortfarande ses som en fråga för IT-avdelningen, snarare än att verksamheten som helhet.
“Det har varit väldigt mycket ses som ett IT-problem på grund av att vissa krav för att förhindra att it-attacker kräver tekniska mekanismer och förfaranden för att sättas på plats, så styrelser anser att den tekniska team kommer att ta hand om det, säger Sarah Pearce, partner i lugn och ro och it-säkerhet praxis på internationell advokatbyrå Paul Hastings.
Det är något begripligt varför de som inte är fullt tekniskt bevandrad kanske tror att killarna som fixar datorer ska hållas ansvariga för it-säkerhet. Men mer ofta än inte, anfallare inte gå efter DET, de är inriktad på ekonomi, HR och andra delar av organisationen som innehar värdefulla data — och användare som inte kan vara upp till hastigheten med it-säkerhetsfrågor.
“Nu är det inte gå till varje enskild del av en organisation, och jag tror att det är nu mer av erkännande av att” Pearce säger.
“Men det har ingen eller mycket liten fördelning av ansvar och det måste faktiskt drivas från en centraliserad, senior nivå så att alla olika avdelningar i verksamheten är engagerade och det har inte varit samordnade — och i vissa företag, som ändå inte är fallet”, tillägger hon.
Den NCSC släppt en lista på fem frågor organisationer bör ställa för att bidra till att öka deras säkerhet. Men samtidigt en fråga som ” Hur ska vi försvara vår organisation mot phishing-attacker?’ kanske låter relativt enkelt att de i know, det som inte är så bekanta med språket i säkerhet kan kämpa för att komma till rätta med problemet.
“Den tekniska landskapet förändras nästan dagligen, så även bara enkla saker som den första av de fem frågorna-hur ska vi försvara vår organisation mot phishing-attacker-det finns tre operativa ämnen i denna mening,” säger Chris O ‘ Brien, chef för underrättelseverksamhet på threat intelligence fast EclecticIQ.
“Vad är en phishing-attack? Du behöver en förståelse för vad som faktiskt är. Hur gör vi för att försvara sig mot det? Det är tekniska och organisatoriska förändringar du behöver göra. Och organisation-en del organisationer som inte har en full förståelse för den egna organisationen slutar, vad de är ansvariga för.”
Det är inte heller en bra strategi för att tvinga IT-avdelningen för att komma med svar på alla de frågor som påverkar hela organisationen, i stället för c-suite behöver för att kunna förstå och svara på dessa it-säkerhetsfrågor — och driva strategin framåt baserat på vad de hittar.
“Från ett organisatoriskt perspektiv, DET kan inte vara ansvarig för en hel del av denna detalj, som ägs på styrelsenivå, säger O’ Brien.
Styrelsen måste ha grepp om både affärs-risk intelligence och it-hot intelligens att i den utsträckning som de är medvetna om de potentiella hot mot organisationen och den svaga ingångar som kan användas av angripare för att komma in i nätverket. Från det, som de behöver för att ta beslut om budget och strategi som sedan kan innebära att IT-avdelningen gör upp planer för att uppdatera och förbättra programvara — eller stärka dess säkerhet, i förhållande till risken.
SE: Cyber hot intelligence mot business risk intelligence: Vad du behöver veta
Dock, i vissa fall, tillhandahåller denna nivå av information till styrelsen kan inte vara nog. Trots nästan dagligen rapporter om attacker och kränkningar mot organisationer av alla storlekar, några har bara inte tror att de kommer att få det, att det inte kommer att hända dem.
En upplevd brist på risk kan innebära budgetar kommer till användning på andra håll-något som kan komma tillbaka till bita företag senare ner linjen när ett brott sker.
“Tills folk är i den situationen, att de tror att det de har är tillräckligt bra — som är problemet. Företag ser det, läsa om det, de kan även vara personliga offer för kompromisser på stora kedjorna. Men de kommer inte att gälla som för deras verksamhet, säger Rodney Joffe, senior vice president och kolleger på säkerhetsföretaget Neustar.
Det är troligt att styrelsens ledamöter har fångats upp i data överträdelser av andra företag, kanske till och med hade sina kortuppgifter stulen i en attack mot en hotellkedja eller en återförsäljare. Snarare än att visa att som en isolerad händelse och glömmer om det, de bör ta till sig vad som har hänt och använda den till sin egen organisation.
“Titta på de skador som skulle kunna orsaka. Det är värt att spendera pengar för att göra det rätt, men tills det händer att du, du tror inte på det,” Joffe lägger till.
Chefer behöver också ta vad de får lära sig om it-säkerhet och filtrera ner genom organisationen. Det är bra att veta om riskerna för en phishing e-post, men att information måste delas med personal i verksamheten.
Avdelningar som ekonomi-och HR kommer att bära bördan av opportunistiska försök att stjäla pengar och data, och tid och resurser behöver sättas in för att säkerställa att dessa områden förstå de hot de står inför.
“Tänk om de praktiska åtgärder som utbildning av alla och allas medvetna och uppmärksamma potentiella phishing e-post, se till att människor vet vad det innebär, säger Pearce.
“Att inte komma ner till resurser, eftersom du måste lägga tid och pengar på att se till att detta genomförs — jag tror att det är där en del har glidit upp”, tillägger hon.
Den NCSC: s rekommendationer till organisationer är en bra språngbräda för chefer att ta en titt på deras strategi för cybersäkerhet. Det är inte troligt att cyberkriminella kan plötsligt stoppas men det är grundläggande saker som organisationer kan — och bör — göra för att se till att om de är attackerade, då de är så skyddad som möjligt.
LÄS MER OM IT-SÄKERHET
Detta är hur det känns att möta en allvarlig it-attack Hur CISOs kan förbättra sin kommunikation med styrelsen (TechRepublic) Phishing varning: nordkoreas hacking attacker visar din e-post är fortfarande den svagaste länken Hur Equifax hack som hände, och vad som fortfarande behöver göras (CNET) Hur ditt företag kan mäta dess “beredskapen” och utvärdera sin hållning
Relaterade Ämnen:
Säkerhet
Digital Omvandling
Innovation
Trodde Ledarskap
Tech-Industrin
0