Fra malware og ransomware gennem interne spionage og på stats-sponsoreret hacking, virksomheder står over for cybersikkerhed trusler på tværs af en bred vifte af vektorer. Som de udpegede vogtere af virksomhedens IT, hvor it-chefer kan hjælpe med at sikre, store informationssikkerhed i en digital tidsalder? ZDNet får de bedste-praksis-rådgivning fra fem eksperter.
1. Sætte de rigtige politikker og patches på plads
David Walliker, der er CIO i både Liverpool Women ‘ s NHS Foundation Trust og Royal Liverpool og Broadgreen University Hospitals NHS Trust, erkender, at beskytte oplysninger om patienten, er en nummer et prioritet for it-professionelle i sundhedssektoren. “Det handler om at gøre dit job ordentligt — jeg er helt klar på dette,” siger han.
Walliker siger, at det er nemt at skyde skylden på vildledte personer, der klikke på mistænkelige links, men ledende medarbejdere skal også forstå deres roller og ansvar. Han siger, at nogle NHS organisationer, der har været langsom til at anerkende betydningen af politikker og procedurer. Ved at tage proaktive skridt, hans organisation, der har til formål at sikre, at konsekvenserne af hændelser som WannaCry, som koster NHS næsten £100m, er begrænset.
“Hvis folk havde lappet deres servere og firewalls i første omgang, det ville ikke være sket. WannaCry var ikke et cyberattack — det var en cyber hændelse, som var et resultat af nogle mennesker, der ikke gør deres job ordentligt. Det er derfor en af de ting, vi er hovedfag på lige nu ved Women ‘ s Hospital er cybersecurity,” siger Walliker.
“Vi er en af en håndfuld af Trusts, at de har modtaget den fulde Cyber Essentials akkreditering. For mig, er det vigtigt at være i stand til at sige til din patienter, der — hvis vi ønsker at gøre ting som open access og sætte patientjournaler på enheder, der — som de ved, de kan stole på os til at se efter deres oplysninger, når det er i transit.”
2. Lægges stor vægt på uddannelse
Sarah Flannigan siger, at hun har lært enormt meget om cybersikkerhed ved at være CIO i EDF Energy, en rolle, som hun forlod i slutningen af sidste år. En del af hendes ansvar ved EDF, var at sikre sikker drift af kritiske BRITISKE nationale infrastruktur.
“Det tager alt til et helt nyt niveau i form af information security,” siger hun. “Selv når du arbejder med andre organisationer i en stat-til-stat og hyper-følsom sammenhæng, den samme sandhed gælder — og det er din svageste led er faktisk dine medarbejdere. Det handler om uddannelse, information sikkerhed er alles virksomhed.”
SE: 10 tips til nye cybersecurity fordele (gratis PDF)
For it-chefer søger at styrke disse links, Flannigan siger, uddannelse af personale spiller en afgørende rolle. DET ledere har længe kæmpet for de fordele, der kommer fra test intern sikkerhed procedurer. Flannigan opfordrer tech ledere til at udforske alle de potentielle muligheder, når det kommer til at forebygge angreb, gennem populære teknikker, såsom phishing.
“Der kører en regelmæssig, interne tests for at se, hvordan dine medarbejdere reagere, og derefter offentliggøre resultaterne til ledere om, hvordan mange mennesker har klikket på et link, kan virkelig hjælpe. Mens mennesker, der ikke kan lide at blive fanget, er det virkelig fokuserer sindet og lærer folk en værdifuld lektion. Enterprise-wide uddannelse er nøglen, uanset den sammenhæng,” siger Flannigan.
3. Hold øje med dine leverandører
Andy Kravitz, leder af svig systemer og kontroller på Lloyds Banking Group, siger, at der er betydelig vægt på DET ledere til at udforske muligheder — både med hensyn til teknologi og kultur, når det kommer til oprettelse af effektive informationssikkerhed.
“Der er en masse du kan gøre,” siger han. “Der kan være omkring gennemførelse af teknisk kontrol, eller det kunne være om briefing dine kolleger. Så at fortælle dem om ikke at åbne e-mail fra uden for firewall ‘ en, der indeholder vedhæftede filer, eller ved at blive rigtig klar over de risici, der er at se til.”
Kravitz — der talte på en nylig RSA security event på håndtering af risiko i London — siger it-chefer bør også holde øje med deres leverandører. Mens data sikkerhed er ofte set som et internt problem, den tilsluttede type virksomhed i den digitale tidsalder betyder, at eksterne cybersecurity, der betyder mere end nogensinde før.
“Bare fordi du har fået dine fire vægge låst, kan du stadig være at give en god del af din data til en tredje part virksomhed, der er vært for dine tjenester, eller holde dine kundeoplysninger,” siger Kravitz. “Det er afgørende at erkende, at dine data er lige så anfægtelig, når det handler med en sælger, som det er, når du holder den i dine fire vægge.”
4. Brug af automatisering til at hjælpe med at styre lovmæssige krav
Neira Jones, partner i Global Cyber Alliance, som er en international, tværsektoriel indsats dedikeret til at udrydde cyber-risiko, siger, at hun føler sig ked af, for ledere, der forsøger at opretholde oplysninger, sikkerhed, fordi de lovgivningsmæssige rammer er kompleks. Hun påpeger styring på tværs af finansiering og betalinger, hvilket tyder på, at der er 15-plus regler, at virksomhederne i sektoren forventes at overholde.
“Det er virkelig hårdt,” siger Jones, der tidligere har arbejdet i ledende roller for virksomheder, herunder Barclaycard og Santander. “Det vigtigste er at se på alle disse regler i forbindelse med forebyggelse af svig og cybersikkerhed. Se på den lovgivning, der på en helhedsorienteret måde og erkende, at alle disse forordninger tryk på meget lignende ting.”
SE: IT-pro ‘ s guide til GDPR compliance (gratis PDF)
Jones foreslår, it-chefer bør drage fordel af den konvergens, der har fundet sted i løbet af de sidste par år i forhold til forebyggelse af svig og cybersikkerhed. “De er nu to sider af samme mønt, du har brug for til at realisere stordriftsfordele i den forbindelse,” siger hun.
“Kan du ikke overholder alle disse regler manuelt, både i form af traditionelle og den nye teknologi, som maskinindlæring og kunstig intelligens. Så, automatisering, vil være afgørende — look til nye værktøjer. Fokus på sejhed i form af overholdelse og beskyttelse af personoplysninger.”
5. Acceptere, at du kommer til at få hacket alligevel
Andrew Gould, detective superintendent og nationale it-kriminalitet program føre til den Nationale Politichefer Rådet, siger, at det stadig om, hvor mange organisationer ikke dække det grundlæggende. Ligesom andre eksperter, siger han password politikker og patching er fortsat afgørende, selv om disse krav er vanskelige og til tider forstyrre dag-til-dag forretninger.
“Hvis der lappe løser 80 procent af dine problemer, så det skal være en massiv fokus,” siger Gould. Endnu lappe bør ikke være det eneste fokus, når det kommer til teknologi. Mens it-chefer skal arbejde for at holde folk ude, skal de sikre, at deres virksomhed kan komme sig, når det utænkelige sker.
“Accepter, at du kommer til at stå over for en hændelse eller et problem — hvad der absolut ikke kan fejle i at disse omstændigheder er dine sikkerhedskopier,” siger Gould. “Gang på gang ser vi folk, der ikke har bakket op, eller hvis de har bakket op, at de ikke har testet det — og når de trykker på knappen for at få deres data tilbage, sker der ingenting. På mange måder, backup skal være din første prioritet.”
TIDLIGERE OG RELATEREDE DÆKNING
Flytte over HR: Hvorfor tech tager sig af virksomhedens kultur
Som virksomheder, der er opslugt af forandring, måske teknikere kan hjælpe personalet gøre følelse af det hele.
Hvad er en CIO? Alt, hvad du behøver at vide om den Chief Information Officer forklarede
Hvad betyder en CIO gøre, og hvordan de relaterer sig til KAMPAGNEN, og CDO? Alt hvad du behøver at vide om den rolle, CIO.
Formel 1: Hvordan hurtigere adgang til data, er at give dette hold kanten
Opbevaring automatisering og big data hjælper Mercedes F1 træffe bedre beslutninger hurtigere.
5G planlægning: Fem ting, it-chefer bør gøre nu
Som 5G-teknologi gevinster momentum, it-chefer og virksomhedsledere har brug for at forberede sig til de muligheder, — og den potentielle nedfald.
4 måder, hvorpå din virksomhed kan undgå et brud på datasikkerheden (TechRepublic)
Kun én ud af tre organisationer siger, at de er overbevist om, at de kan forhindre sikkerhedsbrud, ifølge Balbix.
Microsoft siger, at russiske hackere målrettet Europæiske forskere (CNET)
En gruppe knyttet til den russiske regering målrettet mere end 100 mennesker, at forske i valget integritet og den offentlige politik.
Relaterede Emner:
Sikkerhed
Digital Transformation
Innovation
Thought Leadership
Tech-Branchen