Zero
Les conseils d’administration et les dirigeants des entreprises sont destinés à être bon à l’équilibre entre le risque et la possibilité; alors pourquoi le faire beaucoup sont aveugles massive-spot quand il s’agit de la sécurité de l’ordinateur?
Haute-profil des incidents de piratage et les failles de sécurité de continuer et malgré l’arrivée de GDPR règles de protection des données, en Mai, visant à pousser les organisations Européennes dans l’amélioration de la sécurité au risque de fortes amendes, de nombreuses organisations ne sont toujours pas de la cyber-sécurité de droite ou de ne pas comprendre ce qu’ils sont censés agir.
C’est quelque chose que le royaume-UNI, la National Cyber Security Centre (NCSC) est à la recherche de changement.
“La Cyber-sécurité est aujourd’hui l’un des principaux risques de l’entreprise. Si les chefs d’entreprise ont besoin de comprendre quelles sont les menaces, et ce que les moyens les plus efficaces sont de la gestion des risques,” Ciaran Martin, chef de la direction de la NCSC, dit récemment.
“Mais à avoir de la plaine de l’anglais, axée sur les affaires des discussions au niveau du conseil d’administration, les membres du conseil ont besoin pour obtenir un peu technique. Ils ont besoin de comprendre les cyber-risques de la même manière qu’ils comprennent des risques financiers, de santé et de sécurité ou les risques.”
Mais beaucoup de conseil de cadres de niveau apparemment ne comprends toujours pas les cyber-risques de sécurité, même si elles sont plus susceptibles de dépenser plus sur la sécurité informatique comme ils le faisaient auparavant. Et c’est même après la WannaCry ransomware attaque et la NotPetya attaque de logiciels malveillants, qui a causé d’importants dégâts et nettoyer un coût pour les entreprises à travers le monde frappé par le malware.
Alors pourquoi ne les échelons supérieurs de nombreuses organisations toujours pas à comprendre les risques auxquels ils sont confrontés ou de savoir ce qu’ils doivent faire pour les contrer?
VOIR: la Défense contre la cyberguerre: Comment la cybersécurité de l’élite de travail pour éviter une apocalypse numérique
Un problème est que dans de nombreuses organisations, la cyber-sécurité est toujours perçue comme un enjeu pour le département de l’, plutôt que l’ensemble de l’activité.
“Cela a été très bien perçue comme un problème parce que certaines des exigences relatives à la prévention des cyber-attaques nécessitent des mécanismes techniques et les procédures à mettre en place, de sorte que les conseils pense que l’équipe technique va prendre soin d’elle,” dit Sarah Pearce, partenaire de la vie privée et la cyber-sécurité de la pratique au cabinet Paul Hastings.
C’est un peu compréhensible pourquoi ceux qui ne sont pas entièrement techniquement analphabètes pourrait penser que le gars qui fixent les ordinateurs devraient être tenue pour responsable de la cyber-sécurité. Mais le plus souvent, les pirates ne vont pas après ELLE, ils sont le ciblage des finances, des ressources humaines et d’autres parties de l’organisation qui détiennent des données précieuses — et les utilisateurs qui pourraient ne pas être au courant avec les questions de cybersécurité.
“Maintenant, il ne va chaque partie d’une organisation, et je pense qu’il y a maintenant plus de reconnaissance de ce que,” Pearce dit.
“Mais il n’y a pas ou très peu d’attribution de la responsabilité et il doit être piloté à partir d’un système centralisé, à un niveau supérieur, de sorte que toutes les différentes divisions de l’entreprise sont engagés et qui n’a pas été coordonnée — et dans certaines entreprises, ce n’est pas encore le cas”, ajoute-t-elle.
Le NCSC a publié une liste de cinq questions, les organisations devraient se poser afin de les aider à renforcer leur sécurité. Mais alors qu’une question comme ” Comment pouvons-nous défendre notre organisme contre les attaques de phishing?’ peut sembler relativement simple pour ceux qui connaissent, il y a qui ne sont pas familiers avec la langue de sécurité aurait du mal à se familiariser avec le défi.
“La technique de l’évolution des paysages sur une base presque quotidienne, de sorte que même simplement des choses simples comme le premier des cinq questions-comment pouvons-nous défendre notre organisme contre les attaques de phishing, il y a trois opératoire des sujets dans cette phrase,” dit Chris O’Brien, directeur des opérations de renseignement à l’intelligence cabinet EclecticIQ.
“Qu’est ce qu’une attaque de phishing? Vous avez besoin d’une compréhension de ce qu’est réellement. Comment pouvons-nous défendre contre elle? C’est la technique et organisationnelle changements que vous devez faire. Et de l’organisation — certaines organisations n’ont pas une compréhension complète de la façon dont leur organisation se termine, ce dont elles sont responsables.”
Il n’est également pas une bonne stratégie pour forcer le département de l’à venir avec toutes les réponses qui affectent l’ensemble de l’organisation; au lieu de la c-suite doit être capable de comprendre et de répondre à ces questions de cybersécurité — et lecteur de stratégie basé sur ce qu’ils trouvent.
“À partir d’une perspective organisationnelle, IL ne peut pas être responsable de beaucoup de détails, qui doit être détenue au niveau du conseil,” dit O’Brien.
Le conseil d’administration doit appréhender à la fois des risques de l’entreprise de l’intelligence et de la menace de cyber intelligence dans la mesure où ils sont conscients des menaces potentielles à l’organisation et à la faiblesse de points d’entrée qui pourrait être utilisée par les pirates pour entrer dans le réseau. À partir de là, ils ont besoin pour prendre des décisions au sujet de la budgétisation et de la stratégie qui peut alors signifier le département de l’élaboration de plans pour la mise à jour et l’amélioration du logiciel — ou renforcer sa sécurité — en ce qui concerne le risque.
VOIR: les Cyber-menaces contre des risques de l’entreprise intelligence: Ce que vous devez savoir
Néanmoins, dans certains cas, de fournir ce niveau d’information pour le conseil pourrait ne pas être suffisante. Malgré presque quotidiennement des rapports sur les attaques et les attaques contre les organisations de toutes tailles, certains juste ne pense pas qu’ils vont obtenir, qu’il n’arrivera pas à eux.
La perception d’un manque de risque peut signifier les budgets sont dépensés ailleurs — quelque chose qui peut revenir à mordre les entreprises plus tard en bas de la ligne une fois qu’une violation a lieu.
“Jusqu’à ce que les gens sont dans cette situation, qu’ils pensent ce qu’ils ont, c’est assez bon — c’est ça le problème. Les sociétés de le voir, lire à ce sujet, ils peuvent même être des personnels victimes de compromis lors des grandes chaînes. Mais ils ne s’appliquent que pour leur entreprise”, explique Rodney Joffe, vice-président senior fellow à la sécurité de la société Neustar.
Il est probable que les membres du conseil ont été pris en violation de données à d’autres entreprises, peut-être d’avoir eu leurs détails de carte volés dans une attaque contre un hôtel de la chaîne ou d’un détaillant. Plutôt que de considérer cela comme un incident isolé, et l’oublier, ils devraient prendre en compte ce qui s’est passé et l’appliquer à leur propre organisation.
“Regardez-les dommages que pourraient causer. C’est la peine de dépenser de l’argent pour faire la droite, mais jusqu’à ce qu’il vous arrive, vous ne pensez pas à ce sujet,” Joffe ajoute.
Les cadres ont également besoin de prendre ce qu’ils apprennent au sujet de la cyber-sécurité et le filtre vers le bas à travers l’organisation. Il est bien de connaître les dangers d’un e-mail d’hameçonnage, mais que l’information doit être partagée avec le personnel de l’entreprise.
Les ministères comme les finances et les RH seront les premières victimes des opportunistes tente de voler des fonds et des données, et le temps et les ressources doivent être mis en pour s’assurer que ces zones de comprendre les menaces auxquelles ils sont confrontés.
“Réfléchir sur les aspects pratiques comme la formation de tout le monde et tout le monde est conscient et alerte sur le potentiel des e-mails de phishing, faire en sorte que les gens savent ce que cela signifie,” dit Pearce.
“Qui ne viennent vers le bas de ressources parce que vous avez à mettre du temps et de l’argent pour s’assurer que c’est bien réalisé … je pense que c’est là que certains ont glissé vers le haut,” ajoute-t-elle.
Le NCSC recommandations pour les organisations sont un bon tremplin pour les cadres, jeter un oeil à leur stratégie de cybersécurité. Il est peu probable que les cyber-criminels peuvent soudainement être arrêté, mais il y a des choses de base que les organisations ne devrait être fait pour s’assurer que s’ils sont attaqués, alors ils sont aussi protégés que possible.
LIRE PLUS SUR LA CYBER-SÉCURITÉ
C’est comment il se sent face à une importante cyber-attaque Comment CISOs peuvent améliorer leur communication avec le conseil d’administration (TechRepublic) alerte Phishing: la Corée du Nord attaques de piratage montre votre e-mail est toujours le maillon le plus faible Comment le Equifax hack qui s’est passé, et ce qui doit encore être fait (CNET) Comment votre entreprise peut mesurer ses de ” cyber-résilience et d’évaluer sa posture
Rubriques Connexes:
Sécurité
Transformation Numérique
L’Innovation
Leadership Éclairé
Industrie De Haute Technologie
0