Danny Palmer Senior reporter
Danny Palmer är senior reporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 18 januari 2022 | Ämne: Säkerhet 
Organisationer kan hamna i riskzonen för cyberattacker på grund av en betydande klyfta mellan deras åsikter. egna säkerhetsexperter och styrelserummet.
World Economic Forums nya rapport, The Global Cybersecurity Outlook 2022, varnar för att det finns stora skillnader mellan chefer och informationssäkerhetspersonal när det gäller tillståndet för cyberresiliens inom organisationer.
Enligt tidningen, 92% av de tillfrågade företagsledare är överens om att cyberresiliens är integrerad i företagets riskhanteringsstrategier – eller med andra ord, att skydda organisationen mot att falla offer för en cyberattack, eller mildra incidenten så att den inte leder till betydande störningar.
SE: En vinnande strategi för cybersäkerhet(ZDNet specialrapport)
Men bara 55 % av säkerhetsfokuserade chefer anser att cyberresiliens är integrerad i riskhanteringsstrategier – vilket indikerar en betydande klyfta i attityder till cybersäkerhet.
Denna lucka kan göra organisationer sårbara för cyberattacker, eftersom styrelserummen anser att tillräckligt mycket har gjorts för att mildra hoten, medan det i verkligheten kan finnas oövervägda sårbarheter eller extra åtgärder som vidtagits.
En av anledningarna till att denna cybersäkerhetsgap finns är att informationssäkerhetschefer (CISO) och annan cybersäkerhetspersonal ofta känner att de inte rådfrågas. Den luckan innebär att säkerheten ibland offras i effektivitetens eller kostnadens namn, vilket kan få svåra konsekvenser längre fram.
Ta till exempel utmaningen med ransomware – något som WEF-rapporten tyder på att 80 % av cybersäkerhetsledare klassas som en “fara” och “hot” mot den allmänna säkerheten, inte bara mot sina egna organisationer.
Många ransomware-attacker är framgångsrika eftersom cyberbrottslingar kan utnyttja sårbarheter i nätverk som kan ha blivit ofarliga om standardsäkerhetsrekommendationer följts – till exempel genom att tillämpa tvåfaktorsautentisering, ha säkerhetskopior på plats eller tillämpa cybersäkerhetsuppdateringar.
Däremot kan företag vara ovilliga att spendera pengar på dessa områden eller den personal som krävs för att se till att de rullas ut korrekt, och se det som en kostnad istället för en investering som kommer att förhindra att ytterligare pengar måste spenderas längre fram.
Det är ofta så att det är först när ett företag faller offer för en cyberattack som styrelserummet verkligen börjar uppmärksamma cybersäkerhet.
“Det bästa och mest motståndskraftiga företaget är det som redan har brutits”, säger Algirde Pipikaite, ledare för cybersäkerhetsstrategi vid World Economic Forum, till ZDNet. “För att de faktiskt förstår vikten av att förhindra ett intrång, eller – om de brytes – ett snabbt återhämtning.”
Men att vänta på att bli inträngda för att styrelserummet ska uppmärksamma cybersäkerhet är inte en realistiskt eller önskvärt alternativ. Och det finns alternativ som de som ansvarar för cybersäkerhet kan ta för att hjälpa till att öka cyberresiliensen i sitt företag.
Ett av dessa alternativ är att se till att cybersäkerhetsfrågor kan tas upp till styrelsen på ett enkelt språk. Ibland kan den tekniska karaktären hos vissa delar av cybersäkerhet vara överväldigande för människor som inte hanterar det dag ut och dag in. Att förklara säkerhetshot och problem i klartext kan räcka långt för att stänga gränsen mellan styrelsen och säkerhetsteamet.
Men det är också viktigt att cybersäkerhetsteam också är medvetna om hur verksamheten fungerar, vilken verksamhet är viktigast och vilka tillgångar som bör prioriteras – och en löpande dialog med cheferna är nyckeln till ett framgångsrikt partnerskap.
SE: Din cybersäkerhetsutbildning behöver förbättras eftersom hackattacker bara blir värre
Ett sätt att få ihop båda teamen och uppmuntra den här typen av dialog kan vara användningen av bordsövningar för att öva på cyberincidenter svar. Detta kan öka medvetenheten om potentiella problem för både affärs- och säkerhetsteam, vilket gör att båda kan känna sig inkluderade i beslutsprocessen.
Det finns också de praktiska fördelarna med att organisationen lär sig hur den skulle reagera på en ransomware-attack eller annan cyberincident, så i händelse av en riktig incident finns det en plan som kan följas.
“Det bästa sättet att föra samman dessa två samhällen är att köra en övning på bordet, ha din incidentresponsplan och köra den i praktiken”, sa Pipikaite.
“Det värsta är om du blir attackerad och det är första gången du faktiskt försöker lösa en situation samtidigt som du försöker förstå den”, tillade hon.
MER OM CYBERSÄKERHET
Utgifter för cybersäkerhet är en kamp: Så här vinner duStyrelser tar fortfarande inte cybersäkerhet på allvar, varnar ny NCSC-chef. Det betyder att alla är i riskzonenDenna ändring kan skydda dina system från attacker. Så varför gör inte fler företag det?Jobb inom cybersäkerhet: Det här är vad vi får fel när vi anställer – och så här fixar du detAlla är utbrända. Det håller på att bli en säkerhetsmardröm Security TV | Datahantering | CXO | Datacenter