Från skadlig kod och ransomware genom att interna spionage och på statsfinansierade dataintrång, företag face it hot över ett brett spektrum av vektorer. Som vårdnadshavare utses för företagets IT, hur kan it-chefer att säkerställa stor informationssäkerhet i en digital ålder? ZDNet får bästa praxis råd från fem experter.
1. Sätta rätt politik och plåstren på plats
David Walliker, som är CIO på både Liverpool Kvinnors NHS Foundation Trust och the Royal Liverpool och Broadgreen universitetssjukhuset NHS Trust, erkänner att skydda patienten information är prioritet nummer ett för teknik-och sjukvårdspersonal inom hälso-och sjukvårdssektorn. “Det handlar om att göra ditt jobb ordentligt — jag är ganska tydlig på denna punkt”, säger han.
Walliker säger att det är lätt att skylla vilseledda individer som klicka på misstänkta länkar, men högre chefer måste också förstå sin roll och sitt ansvar. Han säger något NHS organisationer har varit långsamma med att inse vikten av att riktlinjer och rutiner. Genom att vidta förebyggande åtgärder, hans organisation som syftar till att säkerställa effekterna av incidenter som WannaCry, som kostar NHS nästan £100m, är begränsade.
“Om människor hade lappat sina servrar och brandväggar i första hand, det skulle inte ha hänt. WannaCry var inte en cyberattack — det var en it-incident som var ett resultat av att vissa människor inte gör sitt jobb ordentligt. Det är därför en av de saker vi är huvudämne på just nu på Women ‘ s Hospital är it-säkerhet, säger Walliker.
“Vi är en av en handfull Litar har fått en komplett It-Essentials-ackreditering. För mig är det viktigt att kunna säga till dina patienter att — om vi vill göra, saker som open access och sätta patientjournaler på enheter — för att de vet att de kan lita på oss för att leta efter sin information när det är i transit.”
2. Placera en stark betoning på utbildning
Sarah Flannigan säger att hon lärt sig massor om it-säkerhet genom att vara CIO på EDF Energy, en roll som hon lämnade i slutet av förra året. En del av hennes ansvar i EUF var att säkerställa säker drift av kritiska BRITTISKA nationella infrastruktur.
“Som tar allt till en helt ny nivå i fråga om informationssäkerhet”, säger hon. “Även när du arbetar med andra organisationer i en stat-till-stat och hyper-känsliga sammanhang, samma sanning gäller — och det är din svagaste länk är faktiskt din personal. Det handlar om utbildning, information och säkerhet är något som angår oss alla.”
SE: 10 tips för nya it-proffs (gratis PDF)
För Cio: er vill stärka dessa förbindelser, Flannigan säger att utbildningen av personalen spelar en avgörande roll. IT-ledare har länge kämpat för de förmåner som kommer från att testa den interna säkerhetsrutiner. Flannigan uppmuntrar teknisk ledare för att utforska alla möjliga vägar när det gäller att förebygga angrepp genom populära tekniker såsom phishing.
“Kör regelbundna interna tester för att se hur din personal att svara, och sedan publicera resultaten till chefer om hur många personer som klickat på en länk, kan verkligen hjälpa till. Samtidigt som folk inte gillar att vara instängd, det är verkligen fokuserar sinnet och lär människor en värdefull läxa. Enterprise-wide-utbildning är nyckeln, oavsett sammanhang, säger Flannigan.
3. Hålla ett öga på dina leverantörer
Andy Kravitz, chef för bedrägeri-system och kontroller vid Lloyds Banking Group, säger att det är viktigt att man vänder på DEN ledare att utforska alternativ, både i form av teknik och kultur — när det kommer till att skapa en effektiv informationssäkerhet.
“Det finns en hel del du kan göra”, säger han. “Det kan vara runt för att genomföra tekniska kontroller, eller det kan vara om briefing dina kollegor. Så, berätta för dem att inte öppna e-post från utanför brandväggen som innehåller bifogade filer, eller för att vara riktigt medvetna om de risker som att leta efter.”
Kravitz — som talade nyligen vid ett RSA security händelse hantera risker i London — säger Cio: er bör också hålla ett öga på sina leverantörer. Medan data säkerhet är ofta ses som en intern fråga, som är ansluten verksamhet i den digitala tidsåldern innebär att externa it-säkerhet är viktigare än någonsin tidigare.
“Bara för att du har fått dina fyra väggar och låst kan du ändå ge en god del av dina uppgifter till en tredje part som är värd för din tjänst eller innehar information om kunder, säger peter sjöquist. “Det är viktigt att erkänna att dina data är precis som attackable när det är med en leverantör som det är när du håller den inom sina fyra väggar.”
4. Använda automation för att hjälpa till att hantera regulatoriska krav
Neira Jones, partner på den Globala It-Alliansen, som är en internationell, sektorsövergripande insatser dedikerade till att utrota cyber risk, säger att hon känner sig ledsen för chefer försöker upprätthålla informationssäkerhet eftersom regelverket är komplext. Hon pekar på styrning över finans-och utbetalningar, tyder på att det är 15-plus förordningar som företagen i sektorn är tänkt att följa med.
“Det är verkligen tufft, säger Jones, som tidigare arbetat i ledande roller för företag, inklusive Barclaycard och Santander. “Det viktiga är att titta på alla dessa regler inom ramen för förebyggande av bedrägerier och cybersäkerhet. Se på lagstiftning som i ett helhetsperspektiv och erkänna att alla dessa regler touch på mycket liknande saker.”
SE: DET pro guide till GDPR överensstämmelse (gratis PDF)
Jones föreslår Cio: er bör dra nytta av den konvergens som har ägt rum under de senaste åren när det gäller förebyggande av bedrägerier samt it-säkerhet. “De är nu två sidor av samma mynt; du behöver för att realisera skalfördelar i det avseendet, säger hon.
“Du kan inte följa alla dessa regler manuellt, både i form av traditionell och ny teknik, såsom maskininlärning och artificiell intelligens. Så, automation kommer att vara en nyckel — ser för nya verktyg. Fokus på seghet när det gäller överensstämmelse och skydd av personuppgifter.”
5. Acceptera att du kommer att bli hackad i alla fall
Andrew Gould, kriminalkommissarie och nationella it-relaterad brottslighet programmet leder vid den Nationella polischefer ” Rådets, säger att det fortfarande om hur många organisationer misslyckas med att täcka in grunderna. Liksom andra experter, säger han lösenord politik och patchning att förbli avgörande, även om dessa krav är svårt och ibland störa den dagliga verksamheten.
“Om att lappa löser 80 procent av dina problem, då det måste vara ett enormt fokus, säger Gould. Ännu lapp bör inte vara den enda fokus när det kommer till teknik. Medan Cio: er måste arbeta för att hålla folk ute, de måste se till att deras verksamhet kan återhämta sig när det otänkbara händer.
“Jag accepterar att du kommer att möta en incident eller ett problem — vad kan absolut inte att misslyckas under dessa omständigheter är dina säkerhetskopior, säger Gould. “Gång på gång ser vi människor som inte backas upp eller, om de backas upp, de har inte testat det — och när de trycker på knappen för att få sina data tillbaka, ingenting händer. På många sätt, backup måste vara din prioritet nummer ett.”
TIDIGARE OCH RELATERADE TÄCKNING
Flytta över HR: Varför tech är att ta ansvar för företagets kultur
Som företag är uppslukad av förändring, kanske datanörd som kan hjälpa personalen vettigt av det hela.
Vad är en CIO? Allt du behöver veta om Chief Information Officer förklarade
Vad gör en CIO göra och hur de förhåller sig till CTO och CDO? Allt du behöver veta om rollen som CIO.
Formel 1: Hur snabbare tillgång till data är att ge denna grupp kanten
Automatisk lagring och big data hjälper till Mercedes F1-fatta bättre beslut snabbare.
5G planering: Fem saker Cio: er bör göra nu
Som 5G teknik fart, it-chefer och företagsledare behöver för att förbereda sig för de möjligheter — och potentiella fallout.
4 sätt ditt företag kan undvika ett dataintrång (TechRepublic)
Endast en av tre organisationer som säger att de är övertygade om att de kan förhindra dataintrång, enligt Balbix.
Microsoft säger att ryska hackare riktat Europeiska forskare (CNET)
En grupp med koppling till ryska myndigheter riktad mer än 100 människor forskar valsystemet, integritet och politik.
Relaterade Ämnen:
Säkerhet
Digital Omvandling
Innovation
Trodde Ledarskap
Tech-Industrin