Nul
Bestyrelser og ledere af virksomheder, der er beregnet til at være en god balance mellem risiko og oppportunity; så hvorfor gøre så mange har en massiv blind plet, når det kommer til it-sikkerhed?
High-profil hacking hændelser, og brud på sikkerheden fortsætte, og trods ankomsten af GDPR regler for databeskyttelse i Maj med henblik på prodding Europæiske organisationer til at forbedre sikkerheden på risikoen for store bøder, mange organisationer stadig ikke får cybersikkerhed eller ikke forstår, hvad de er formodes at handle på.
Det er noget af det forenede kongeriges National Cyber Security Center (NCSC) søger at ændre.
“It-sikkerhed er nu en mainstream forretningsmæssige risici. Så virksomhedernes ledere har brug for at forstå, hvilke trusler er derude, og hvad de mest effektive måder at forvalte de risici, der er,” Ciaran Martin, administrerende direktør for NCSC, sagde for nylig.
“Men at få plain English, business-fokuserede drøftelser i bestyrelsen niveau, bestyrelsen, medlemmerne har brug for at få en lille smule teknisk. De har brug for at forstå, cyber risiko på samme måde, som de forstår den finansielle risiko, sikkerheds-eller sundhedsmæssig risiko.”
Men mange bord-niveau ledere tilsyneladende stadig ikke forstå it-sikkerhed risici, selvom de er mere tilbøjelige til at være flere udgifter på IT-sikkerhed, end de gjorde tidligere. Og det er endda efter WannaCry ransomware angreb og NotPetya malware udbrud, både som forårsagede store skader og clean-up omkostninger til organisationer rundt om i verden, der er ramt af malware.
Så hvorfor gør de øverste lag af mange organisationer stadig ikke forstår de risici, de står over for eller ved, hvad de skal gøre for at imødegå dem?
SE: Forsvaret mod cyberkrig: Hvordan cybersecurity elite arbejder på at forhindre, at en digital apocalypse
Det ene problem er, at der inden for mange organisationer, cyber-sikkerhed er stadig betragtes som et anliggende for IT-afdelingen, snarere end erhvervslivet som helhed.
“Det er i høj grad blevet set som et IT-problem, fordi nogle af kravene for at forhindre cyberangreb kræver tekniske mekanismer og procedurer for at blive sat på plads, så boards tror tech team vil tage sig af det,” siger Sarah Pearce, partner i fred og ro og cyber-sikkerhed i praksis på internationale advokatfirma Paul Hastings.
Det er forståeligt, hvorfor de, der ikke fuldt ud teknisk kyndige tror måske, at de fyre, der kan løse de computere, der skal være ansvarlig for it-sikkerhed. Men mere ofte end ikke, at angribere ikke at gå efter DET, de målretter mod, finance, HR og andre dele af organisationen, som holde værdifulde data — og brugere, der måske ikke være på omgangshøjde med cyber security problemer.
“Nu er det ikke gå, for at hver enkelt del af en organisation, og jeg tror, at der nu er flere af anerkendelse af, at” Pearce siger.
“Men der har været ingen eller meget lidt fordeling af ansvar, og det rent faktisk har brug for at blive drevet fra en central, overordnet niveau, således at alle de forskellige afdelinger i virksomheden er engageret og der ikke har været koordineret-og i nogle virksomheder, det er stadig ikke tilfældet,” tilføjer hun.
Den NCSC udgivet en liste over de fem spørgsmål, organisationer bør stille for at hjælpe med at øge deres sikkerhed. Men samtidig et spørgsmål som ” Hvordan kan vi forsvare vores organisation mod phishing-angreb?’ kan lyde relativt simple til dem i kender, der er der ikke er så fortrolige med sproget i sikkerhed kan være en kamp at få bugt med den udfordring.
“Det tekniske landskab ændringer på en næsten daglig basis, så bare simple ting som den første af de fem spørgsmål-hvordan kan vi forsvare vores organisation mod phishing-angreb-der er tre operative emner i denne sætning,” siger Chris O ‘ Brien, direktør for efterretningsmæssige operationer på threat intelligence firmaet EclecticIQ.
“Hvad er et phishing-angreb? Du har brug for en forståelse af, hvad der rent faktisk er. Hvordan kan vi forsvare sig mod det? Det er de tekniske og organisatoriske ændringer, du skal foretage. Og den organisation, — nogle organisationer, der ikke har en fuld forståelse af, hvor deres organisation ender, hvad de er ansvarlige for.”
Det er heller ikke en god strategi for at tvinge IT-afdeling til at komme op med alle de svar, som berører hele organisationen, i stedet c-suite behov for at være i stand til at forstå og besvare disse cyber security spørgsmål — og drive strategien fremad baseret på, hvad de finder.
“Ud fra et organisatorisk perspektiv, at DET ikke kan være ansvarlig for en masse detaljer, der skal være ejet i bestyrelsen niveau,” siger O ‘ Brien.
Bestyrelsen skal have en forståelse af både business risk intelligence og cyber trussel intelligens, i det omfang, at de er opmærksomme på de potentielle trusler mod den organisation og de svage adgangspunkter, der kan bruges af hackere til at komme ind i netværket. Fra der, de har brug for til at træffe beslutninger om budgetter og strategi som derefter kan betyde, at IT-afdelingen med at lave planer for at opdatere og forbedre software-eller styrke sin sikkerhed-i forhold til risikoen.
SE: Cyber trussel intelligens versus business risk intelligence: Hvad du behøver at vide
Ikke desto mindre, i nogle tilfælde, giver dette niveau af information til bestyrelsen kan ikke være nok. Trods næsten daglige rapporter om overgreb og krænkelser mod organisationer af alle størrelser, nogle tror bare ikke, de får det, at det ikke vil ske for dem.
En konstateret mangel af risikoen kan betyde, at budgetter bliver brugt andre steder — noget, som kan komme tilbage til at bide virksomheder senere ned på linjen, når en overtrædelse finder sted.
“Indtil folk er i den situation, at de mener, hvad de har, er godt nok-der er problemet. Virksomheder kan se det, læse om det, kan de endda være personlige ofre af kompromiser på de store kæder. Men de vil ikke anvende det til deres forretning,” siger Rodney Joffe, senior vice president og kolleger på vagtselskab Neustar.
Det er sandsynligt, at bestyrelsens medlemmer har været fanget i data, krænkelse af andre virksomheder, der måske har haft deres kreditkortoplysninger stjålet i et angreb mod en hotelkæde eller en forhandler. Snarere end at se det som en isoleret hændelse, og de glemmer det, de bør tage højde for, hvad der er sket, og anvende det til deres egen organisation.
“Se på de skader, det kan forårsage. Det er værd at bruge penge på at gøre det rigtige, men indtil det sker for dig, behøver du ikke at tænke over det,” Joffe tilføjer.
Ledere har også brug for at tage, hvad de lærer om it-sikkerhed og filtrere det ned gennem organisationen. Det hele er meget godt at vide om farerne ved en phishing-e-mail, men at information skal deles med medarbejdere på tværs af virksomheden.
Afdelinger som økonomi og HR vil bære hovedparten af opportunistiske forsøg på at stjæle penge og oplysninger, og tid og ressourcer skal sættes ind for at sikre, at disse områder forstå de trusler, de udsættes for.
“Tænk på det praktiske, ligesom uddannelsen for alle, og alle er klar over, og advare om potentielle phishing-e-mails, sørge for at folk ved, hvad det betyder,” siger Pearce.
“Det kommer ned til ressourcer, fordi du er nødt til at sætte tid og penge i at sørge for at dette udføres — jeg tror det er der, hvor nogle har sluppet op,” tilføjer hun.
Den NCSC ‘ s anbefalinger til organisationer, der er et godt springbræt for ledere til at tage et kig på deres cybersikkerheds-strategi. Det er usandsynligt, at cyber-kriminelle kan pludselig blive stoppet, men der er grundlæggende ting, som organisationer kan-og bør-være at gøre for at sikre, at hvis de er angrebet, så de er så beskyttet som muligt.
LÆS MERE OM IT-SIKKERHED
Dette er, hvordan det føles at stå over for et større cyberangreb , Hvordan CISOs kan forbedre deres kommunikation med bestyrelsen (TechRepublic) Phishing-alarm: Nordkorea ‘s hacking angreb viser din e-mail er stadig det svageste led , Hvor den Equifax hack der skete, og hvad der stadig skal gøres (CNET) , Hvordan din virksomhed kan måle sin” cyber robusthed og evaluere sin kropsholdning
Relaterede Emner:
Sikkerhed
Digital Transformation
Innovation
Thought Leadership
Tech-Branchen
0