Kuidas juhid saavad turvalisuse vastupidavust luua?



<div _ngcontent-c17 = "" innerhtml = "

Eelmisel nädalal tabas Adobe Inc. küberrikkumisi, mille e-posti aadresside arv oli üle 7,5 miljonit klienti olid paljastatud. Adobe juhtkonna jaoks oli see meeldetuletus ettevõtte 2013. aasta rikkumisest, mille käigus varastati 38 miljonit kasutajanime ja parooli. & Nbsp;

Kogu maailmas esinevad rikkumised murettekitava sagedusega. Selle aasta alguses Maailma majandusfoorum Järgmise kümnendi suurimate ülemaailmsete riskide hulgas on „andmepettused ja vargused” ning „küberrünnakud” neljanda ja viiendana järjestatud neljandaks ja viiendaks. Kui küberturvalisuse jõupingutused ei vasta tehnoloogilise arengu tempole, võib organisatsiooni hinnangul need ohud maksab aastaks 2030 kuni 90 triljonit dollarit. & nbsp;

Vaatamata neile kohutavatele ennustustele ei suuda paljud ettevõtted sammu pidada. Rohkem kui kaks kolmandikku (69%) töötajatest arvab, et nende organisatsiooni küberturvalisuse lähenemisviis on „reageeriv ja intsidentidest lähtuv”. See on vastuvõetamatu. Juhid ei saa endale lubada, kui ootavad vahejuhtumi toimumist, ega saa ka küberturvalisust IT-osakonna piiridesse lasta. Selle asemel peaksid juhid võtma ennetava ja integreeritud lähenemise küberkuritegude arvu suurenemise ja pilvepõhise haavatavuse vastu võitlemiseks. Siin on kolm võimalust, kuidas neid täna alustada. & Nbsp;

1. Täiustage oma turvameeskonda

A 2018 PricewaterhouseCoopers (PwC) uuring näitas, et vaid 39% vastanutest olid oma küberturbe ja privaatsustöötajate tööjõu piisavusega rahul ning vaid 33% arvas, et nende ettevõtted on täiesti valmis vastama hiljutistele ja tekkivatele küberturvalisuse, andmete privaatsuse ja andmete kasutamise juhtimine. ”Ausalt öeldes oli küberjulgeoleku meeskonna loomise aeg eile. Kui ettevõte kuulub nende hulka, kes ei ole veel palganud piisavat tööjõudu, peaks ta seda kohe tegema. & Nbsp;

Turvameeskonna kõige olulisem positsioon on infoturbe ülem (CISO või CSO) – & nbsp; kes uskumatult 38% Fortune 500 ettevõtetest praegu pole. Need CISO-vaba ettevõtted teevad sama vea nagu Target, kelle 2013. aasta rikkumine paljastas 40 miljoni kliendi krediit- ja deebetkaardiandmed. Endise juhi sõnul, oli rikkumise algpõhjus CISO puudumine. “& Lsqb; Sihtmärk & rsqb; ei olnud C-tasemel advokaati juhina, kes propageeriks IT-turbeinvesteeringuid, “sõnas ta. Rikkumine maksis Target'i tegevjuhile ja CIO-le nende töökohad ja maksis ettevõttele rohkem kui 200 miljonit dollarit. & nbsp;

Lisaks kogenud CISO-le on uuringud pärit IBM soovitab, et ettevõtted peaksid määrama konkreetse juhtumitele reageerimise meeskonna, mis koondab eri osakondade liikmeid. Kuigi see ei takista rikkumisi, võib see nende mõju vähendada. "Organisatsioonid, kellel on ettevõttesisene IR-meeskond, reageerisid rünnakutele kiiremini ja paremini ning hoidsid selle käigus kokku märkimisväärseid kulusid," märgiti aruandes. Keskmine kokkuhoid oli 14 dollarit plaadi kohta; miljonite kontodega korrutatuna on lihtne aru saada, miks IR-meeskond on väärt ettevõtmist. & nbsp;

2. Turvakultuuri edendamine

Kuigi mõned juhid võivad oma organisatsiooni suurimaks ohuks pidada väliseid tegureid, IBMi uuringud leidis, et 2018. aastal oli 29% rünnakutest seotud andmepüügitud e-kirjadega ja 43% valesti konfigureeritud pilveserveritega. Teisisõnu, üks kõige järeleandmatumaid ärilisi ohte pole häkkerid teisel pool maailma, vaid ettevõtte siseringid, kes "tahtmatult keskkonda kahjustavad". & Nbsp;

"Mis tahes süsteemis on inimesed alati kõige nõrgemad lekked," kirjutas Chris Romeo Tehniline majakas. Juhid peaksid seega julgustama “turvakultuuri”, mis tungib läbi nende organisatsiooni kõigi tasandite. Esimene samm on investeerimine töötajate küberturbealase teadlikkuse tõstmise koolitusse. Ainult PwC ja Accenture andmetel 34% ettevõtetest teil on sellised programmid ja ainult 13% juhtidest ütleme, et esmatähtis on rohkem koolitusse investeerimine. See on kriitiline viga. & Nbsp;

Jason Choi ja tema kolleegid tutvustasid koolitusi mitte ainult teadlikkuse tõstmisega McKinsey, "annavad nad äriüksustele ka märku, et küberturvalisus on jagatud vastutus" ja et "ükski, kellel on mis tahes tasemel juurdepääs konfidentsiaalsetele andmetele ja süsteemidele, peab mängima aktiivset rolli nende turvalisuse tagamisel." Koolitused vajavad ole ka igav; Uberi turvaprogrammide juht Samantha Davison soovitab nende mängimise huvides kasutada gamifikatsiooni. "Valige lõbus teema ja parodeerige see – me tegime Troonide mängu," rääkis ta ütles. „Visake õngevõtmise kirjutamise töötuba ja laske oma töötajatel kirjutada ettevõttele õngevõtmise e-kiri. Valikud on lõputud, kui hakkate mõtlema väljaspool kasti. ”& Nbsp;

3. Edendada suhtlemist

Üles & nbsp; Veel üks sisemine oht ettevõtetele on katkestamine küberjulgeoleku meeskondade ja ettevõtte juhtimise vahel. Hiljutine küsitlus Ponemoni instituudist avastas, et 63% IT-turbejuhtidest ei anna juhatusele aru regulaarselt – ja 40% ei teata juhatusele üldse. Lisaks ainult 27% laudadest jälgige turvalisuseelarveid. Ettevõtte küberturbeprogrammi õnnestumiseks ei piisa sellest lahutatud lähenemisest. & Nbsp;

Tippjuhtkond peab mängima otsest rolli küberturvalisuse püüdlustes – ja mitte ainult siis, kui rikkumine on aset leidnud. "Juhatus ja C-suite peavad olema kaasatud ennetava lähenemisviisi jõustamisse turvaaukude tuvastamisel ja parandamisel," ütles Ponemoni instituudi asutaja ja juhataja Larry Ponemon. "Ehkki enamikul ettevõtetest on juhtivtöötajad, kelle ülesandeks on täpselt kindlaks määrata oma küberturvalisuse strateegia tõhusus, peavad nad edastama neid tulemusi regulaarselt tippjuhtidele ja juhatusele."

Küberjulgeoleku silode lammutamise juhtumi teeb selgeks Equifax. Selle 2017. aasta rikkumine paljastas 150 miljoni inimese isikuandmeid ja läks ettevõttele maksma 1,4 miljardit dollarit. Ehkki rikkumise tehniline põhjus oli lappimine, ütles SANS Security Awareness direktor Lance Spitzner, et selle põhjustavad tõesti inimesed ja struktuur. Täpsemalt oli selle põhjuseks asjaolu, et CSO ei teatanud CIO-le. "Infotehnoloogiat peeti turvatunde eest," ütles ta kirjutas, “Kahega suheldakse või koordineeritakse harva, jättes organisatsioonis lüngad.” & Nbsp; & nbsp;

Tehnoloogia arenedes pole kahtlust, et sellega koos peavad arenema ka küberturvalisuse jõupingutused. Adobe, Target ja Equifaxi saatuse vältimiseks peaksid iga ettevõtte juhid astuma ennetavaid samme küberkindluse loomiseks. Nagu Omar Abbosh ja Kelly Bissell kirjutasid Rõhumärk, „Küberturvalisus on homse intelligentse ettevõtte alustala. Kui ettevõtted peavad digitaalsete võimaluste kasutamise kaudu edu saavutama, arendama kvaliteetsemaid klienditeadmisi, ainulaadseid teadmisi ja intellektuaalset omandit, vajavad nad selle kõige toetamiseks kindlat küberturvalisuse strateegiat. ”& Nbsp;

">

Eelmisel nädalal sai Adobe Inc. küberrikkumise, mille käigus paljastati enam kui 7,5 miljoni kliendi e-posti aadressid. Adobe juhtkonna jaoks oli see terav meeldetuletus ettevõtte 2013. aasta rikkumisest, mille käigus varastati 38 miljonit kasutajanime ja parooli.

Kogu maailmas esinevad rikkumised murettekitava sagedusega. Selle aasta alguses kuulutas Maailma Majandusfoorum andmepettused ja vargused ning küberrünnakud neljanda ja viiendana järgmise kümnendi suurima murettekitava globaalse riski kümne parima nimekirja neljandaks ja viiendaks. Kui küberturvalisuse jõupingutused ei ühti tehnoloogilise kiirusega Ettevõtte hinnangul võivad need ohud 2030. aastaks maksta 90 triljonit dollarit.

Vaatamata neile kohutavatele ennustustele ei suuda paljud ettevõtted sammu pidada. Enam kui kaks kolmandikku (69%) töötajatest arvab, et nende organisatsiooni küberturvalisuse lähenemisviis on reageeriv ja juhtumipõhine. See on vastuvõetamatu. Juhid ei saa endale lubada, kui ootavad vahejuhtumi toimumist, ega saa ka küberturvalisust IT-osakonna piiridesse lasta. Selle asemel peaksid juhid võtma ennetava ja integreeritud lähenemise küberkuritegude arvu suurenemise ja pilvepõhise haavatavuse vastu võitlemiseks. Siin on kolm võimalust, kuidas nad saavad täna alustada.

1. Täiustage oma turvameeskonda

2018. aasta PricewaterhouseCoopersi (PwC) uuring leidis, et vaid 39% vastanutest suutis oma küberturbe- ja privaatsustööjõu piisavuse "väga mugavalt tunda" ja vaid 33% arvas, et nende ettevõtted on "täielikult valmis vastama hiljutistele ja tekkivatele küberturvalisuse nõuetele, andmed privaatsus ja andmete kasutamise juhtimine. ”Ausalt öeldes oli küberjulgeoleku meeskonna loomise aeg eile. Kui ettevõte kuulub nende hulka, kes ei ole veel palganud piisavat tööjõudu, peaks ta seda kohe tegema.

Turvameeskonna kõige olulisem positsioon on infoturbe ülem (CISO või CSO) – mida uskumatult pole 38% Fortune 500 ettevõtetest. Need CISO-vaba ettevõtted teevad sama vea nagu Target, kelle 2013. aasta rikkumine paljastas 40 miljoni kliendi krediit- ja deebetkaardiandmed. Endise juhi sõnul oli rikkumise algpõhjus CISO puudumine. "(Target) ei olnud C-tasemel advokaat, kes oleks tegevjuht ja toetaks IT-turbeinvesteeringuid," ütles ta. Rikkumine maksis Target'i tegevjuhile ja CIO-le nende töökohad ja maksis ettevõttele rohkem kui 200 miljonit dollarit.

Lisaks kogenud CISO-le soovitavad IBM-i uuringud, et ettevõtted peaksid määrama konkreetse juhtumitele reageerimise (IR) meeskonna, mis tõmbab kokku eri osakondade liikmeid. Kuigi see ei takista rikkumisi, võib see nende mõju vähendada. "Organisatsioonid, kellel on ettevõttesisene IR-meeskond, reageerisid rünnakutele kiiremini ja paremini ning hoidsid selle käigus kokku märkimisväärseid kulusid," märgiti aruandes. Keskmine kokkuhoid oli 14 dollarit plaadi kohta; miljonite kontodega korrutatuna on lihtne aru saada, miks IR-meeskond on väärt ettevõtmist.

2. Turvakultuuri edendamine

Kuigi mõned juhid võivad oma organisatsiooni suurimaks ohuks pidada väliseid tegureid, leidsid IBMi uuringud, et 2018. aastal oli 29% rünnakutest seotud andmepüügimeilidega ja 43% valesti konfigureeritud pilveserveritega. Teisisõnu, üks kõige järeleandmatumaid ärilisi ohte pole häkkerid teisel pool maailma, vaid ettevõtte siseringid, kes "tahtmatult keskkonda kahjustavad".

“Mis tahes süsteemis on inimesed alati kõige nõrgemad lekked,” kirjutas Chris Romeo Tech Beaconis. Juhid peaksid seega julgustama “turvakultuuri”, mis tungib läbi nende organisatsiooni kõigi tasandite. Esimene samm on investeerimine töötajate küberturbealase teadlikkuse tõstmise koolitusse. PwC ja Accenture'i andmetel on selliseid programme vaid 34% ettevõtetest ja ainult 13% juhtidest väidavad, et esmatähtis on rohkem koolitusse investeerimine. See on kriitiline viga.

Jason Choi ja tema kolleegid McKinsey-s ei suurenda koolitused mitte ainult teadlikkust, vaid ka "annavad äriüksustele märku, et küberturve on ühine vastutus" ja et "a) keegi, kellel on juurdepääs konfidentsiaalsetele andmetele ja süsteemidele mis tahes tasemel , peavad mängima aktiivset rolli nende ohutuse tagamisel. ”Ka koolitused ei pea olema igavad; Uberi turvaprogrammide juht Samantha Davison soovitab nende mängimise huvides kasutada gamifikatsiooni. "Valige lõbus teema ja parodeerige see – me tegime Game of Thronesi," ütles ta. „Visake õngevõtmise kirjutamise töötuba ja laske oma töötajatel kirjutada ettevõttele õngevõtmise e-kiri. Võimalusi on lõputult, kui hakata mõtlema kastist väljapoole. ”

3. Edendada suhtlemist

Üles Veel üks ettevõttesisene oht on lahtiühendamine küberturbemeeskondade ja ettevõtte juhtimise vahel. Hiljuti Ponemoni instituudis korraldatud uuringust selgus, et 63% IT-turbejuhtidest ei anna regulaarselt juhatusele aru – ja 40% ei teata juhatusele üldse. Lisaks jälgib ainult 27% juhatustest turvaeelarveid. Ettevõtte küberturbeprogrammi õnnestumiseks ei piisa sellest lahutatud lähenemisest.

Tippjuhtkond peab mängima otsest rolli küberturvalisuse püüdlustes – ja mitte ainult siis, kui rikkumine on aset leidnud. "Juhatus ja C-suite peavad olema kaasatud ennetava lähenemisviisi jõustamisse turvaaukude tuvastamisel ja parandamisel," ütles Ponemoni instituudi asutaja ja juhataja Larry Ponemon. "Ehkki enamikul ettevõtetest on juhtkonna ülesandeks täpselt kindlaks määrata oma küberturvalisuse strateegia tõhusus, peavad nad edastama neid tulemusi regulaarselt tippjuhtidele ja juhatusele."

Küberjulgeoleku silode lammutamise juhtumi teeb selgeks Equifax. Selle 2017. aasta rikkumine paljastas 150 miljoni inimese isikuandmeid ja läks ettevõttele maksma 1,4 miljardit dollarit. Ehkki rikkumise tehniline põhjus oli lappimine, ütles SANS Security Awareness direktor Lance Spitzner, et selle põhjustavad tõesti inimesed ja struktuur. Täpsemalt oli selle põhjuseks asjaolu, et CSO ei teatanud CIO-le. "Infotehnoloogiat peeti turvatunde eest," kirjutas ta, "kaks suhtlesid või koordineerisid harva, jättes organisatsioonis lüngad."

Tehnoloogia arenedes pole kahtlust, et sellega koos peavad arenema ka küberturvalisuse jõupingutused. Adobe, Target ja Equifaxi saatuse vältimiseks peaksid iga ettevõtte juhid astuma ennetavaid samme küberkindluse loomiseks. Nagu Omar Abbosh ja Kelly Bissell Accenture'is kirjutasid, on küberturve homse intelligentse ettevõtte alustala. Kui ettevõtted soovivad digitaalsete võimaluste kasutamise kaudu õnnestuda, et saada välja paremaid klienditeadmisi, ainulaadseid teadmisi ja intellektuaalset omandit, vajavad nad selle kõige toetamiseks kindlat küberturvalisuse strateegiat. ”