Zero
Consigli di amministrazione e dirigenti di società sono destinate ad essere bravo a bilanciando rischi e oppportunity; perché così molti hanno un enorme punto cieco quando si tratta di sicurezza del computer?
Di alto profilo hacking incidenti e violazioni della sicurezza, continua e, nonostante l’arrivo di GDPR materia di protezione dei dati nel Maggio volto a sospingere le organizzazioni Europee per migliorare la sicurezza a rischio di multe salate, molte organizzazioni non sono ancora raggiungere la sicurezza informatica a destra o a non capire ciò che si suppone di agire su di essi.
Che è qualcosa che il regno UNITO National Cyber Security Center (NCSC) sta cercando di cambiare.
“La sicurezza informatica è oggi una delle principali rischi aziendali. Così i leader aziendali devono capire che le minacce sono là fuori, e ciò che la maggior parte dei modi efficaci di gestione dei rischi,” Ciaran Martin, capo esecutivo della NCSC, ha detto di recente.
“Ma plain English, business focalizzato discussioni a livello di consiglio, i membri del consiglio hanno bisogno di ottenere un po’ di tecnica. Hanno bisogno di capire il rischio informatico, allo stesso modo di comprendere i rischi finanziari, di salute o di sicurezza e di rischio.”
Ma molti dirigenti di livello apparentemente ancora non capiscono i cyber-rischi per la sicurezza, anche se sono più propensi a spendere di più su di ESSO di sicurezza che hanno fatto in precedenza. E che anche dopo la WannaCry ransomware attacco e la NotPetya epidemia di malware, entrambi i quali ha causato danni massicci di pulizia e di costo per le organizzazioni di tutto il mondo colpiti dal malware.
Allora, perché le alte sfere delle numerose organizzazioni che ancora non capiscono i rischi che corrono o sapere che cosa devono fare per contrastarli?
VEDI: Difesa contro cyberwar: Come la sicurezza informatica elite sta lavorando per evitare che un apocalisse digitale
Unico problema è che all’interno di molte organizzazioni, la sicurezza informatica è ancora visto come un problema per il reparto IT, piuttosto che l’intera attività.
“È stato molto molto visto come un problema perché alcuni dei requisiti per la prevenzione di attacchi informatici tecnico meccanismi e le procedure da mettere in atto, in modo da schede di pensare il tech team si prenderà cura di esso,” dice Sarah Pearce, partner della privacy e della sicurezza informatica pratica presso l’international studio legale Paul Hastings.
È un po ‘ comprensibile, perché coloro che non sono completamente competenza tecnica potrebbe pensare che i ragazzi che fissare il computer dovrebbe essere ritenuto responsabile per la sicurezza informatica. Ma più spesso che no, gli aggressori non sono andando dopo di ESSO, sono obiettivi di finanza, risorse umane e altre parti dell’organizzazione che contengono dati importanti — e gli utenti che non potrebbero essere fino a velocità con problematiche legate alla sicurezza informatica.
“Ora si fa passare per ogni singola parte dell’organizzazione, e penso che c’è più di un riconoscimento,” Pearce dice.
“Ma non c’è stato nulla o molto poco attribuzione delle responsabilità e che in realtà ha bisogno di essere controllato da un sistema centralizzato a livello senior, in modo che tutte le varie divisioni dell’azienda sono impegnati e che non è stato coordinato-e in alcune imprese, che ancora non è il caso”, ha aggiunto.
NNSC rilasciato un elenco di cinque domande, le organizzazioni devono essere chiedendo per aiutare ad aumentare la loro sicurezza. Ma mentre una domanda del tipo ” Come difendere la nostra organizzazione contro gli attacchi di phishing?’ potrebbe sembrare relativamente semplice per chi lo sa, c’è chi non ha particolare dimestichezza con la lingua di sicurezza potrebbe avere difficoltà a fare i conti con la sfida.
“La tecnica paesaggio cambia quasi ogni giorno, per cui anche le cose semplici come il primo dei cinque domande-come possiamo difendere la nostra organizzazione contro gli attacchi di phishing — operativi tre argomenti in quella frase,” dice Chris O’Brien, direttore delle operazioni di intelligence a threat intelligence ditta EclecticIQ.
“Che cosa è un attacco di phishing? Hai bisogno di una comprensione di ciò che è in realtà. Come facciamo a difendere contro di esso? Che tecniche e organizzative modifiche che è necessario apportare. E l’organizzazione — alcune organizzazioni non avere una piena comprensione di dove la loro organizzazione estremità, che sono responsabili.”
Inoltre, non è una buona strategia per forzare il dipartimento IT, tutte le risposte che riguardano l’intera organizzazione; invece, il c-suite deve essere in grado di comprendere e rispondere a queste problematiche legate alla sicurezza informatica-e guidare strategia basata su quello che trovano.
“Da un punto di vista organizzativo, non può essere responsabile di un sacco di dettagli, che deve essere di proprietà a livello di consiglio”, dice O’Brien.
Il consiglio ha bisogno di avere una comprensione su entrambi i rischi di business intelligence e cyber threat intelligence nella misura in cui essi sono consapevoli dei potenziali minacce per l’organizzazione e il debole punti di ingresso che può essere utilizzato dagli hacker per entrare in rete. Da lì, di cui hanno bisogno per prendere decisioni su bilancio e strategia che quindi può significare che il dipartimento IT di fare piani per aggiornare e migliorare il software — o aumentando la propria sicurezza, in relazione al rischio.
VEDERE: minaccia di Cyber intelligence contro i rischi di business intelligence: che Cosa è necessario sapere
Tuttavia, in alcuni casi, fornire questo livello di informazione del consiglio potrebbe non essere sufficiente. Nonostante i rapporti quasi quotidiani su attacchi e violazioni contro le organizzazioni di tutte le dimensioni, alcuni non credo ci sarà, che non accadrà a loro.
Una percepita mancanza di rischio può significare budget speso altrove — qualcosa che può tornare a mordere le imprese in seguito lungo la linea una volta una violazione.
“Fino a quando le persone sono in quella situazione, pensano che ciò che hanno è bene, questo è il problema. Aziende di vedere, di leggere su di esso, essi possono anche essere personali vittime di compromessi a grandi catene. Ma che non si applica che per il loro business”, dice Rodney Joffe, senior vice president e fellow presso la società di sicurezza Neustar.
È probabile che i membri del consiglio sono stati coinvolti in violazioni di dati di altri studi, forse avendo avuto i dettagli della carta di furto in un attacco contro un hotel di catena o di un rivenditore. Piuttosto che guardare come un incidente isolato e dimenticare a questo proposito, si dovrebbe sapere cosa è successo e applicarlo alla propria organizzazione.
“Guardate i danni che potrebbe causare. Vale la pena spendere i soldi per fare la cosa giusta, ma fino a quando non succede a te, non pensare” Joffe, aggiunge.
I dirigenti devono anche prendere quello che hanno imparato riguardo la sicurezza informatica e il filtro verso il basso attraverso l’organizzazione. E ‘ tutto molto bene conoscere i pericoli di una e-mail di phishing, ma che le informazioni devono essere condivise con il personale di tutta l’azienda.
Servizi come la finanza e risorse umane saranno sopportare il peso di opportunistico tentativi di rubare i fondi e i dati, il tempo e le risorse devono essere messe a garantire che queste aree comprendere le minacce che devono affrontare.
“Pensare di aspetti pratici, come la formazione di tutti e per tutti di essere a conoscenza e di allarme sui potenziali e-mail di phishing, facendo in modo che la gente sa che cosa significa”, dice Pearce.
“Che fa venire giù per le risorse, perché è necessario mettere il tempo e denaro per assicurarsi che questo è effettuato — io penso che questo è dove alcuni sono sbagliati”, ha aggiunto.
NNSC raccomandazioni di organizzazioni sono un buon trampolino di lancio per i dirigenti a dare un’occhiata al loro strategia di sicurezza informatica. È improbabile che i cyber criminali possono essere improvvisamente fermato, ma ci sono cose di base che le organizzazioni che avrebbe potuto-e dovrebbe-essere facendo per garantire che se stanno attaccati, quindi sono protetto possibile.
PER SAPERNE DI PIÙ SULLA SICUREZZA INFORMATICA
Questo è come ci si sente ad affrontare un grave attacco informatico Come CISOs possibile a migliorare la propria comunicazione con il consiglio (TechRepublic) allarme Phishing: la Corea del Nord ha attacchi di hacking mostra la tua e-mail è ancora l’anello debole, Come Equifax hack è successo, e quello che ancora deve essere fatto (CNET) Come la tua azienda può misurare la ‘resilienza’ e valutare la sua postura
Argomenti Correlati:
Sicurezza
La Trasformazione Digitale
L’innovazione
La Leadership Di Pensiero
Settore Tech
0