Paano Makakagawa ang Mga Lider ng Security Security



<div _ngcontent-c18 = "" innerhtml = "

Noong nakaraang linggo, ang Adobe Inc. ay nagdusa ng cyber paglabag kung saan ang mga email address ay higit sa 7.5 milyong mga customer nakalantad. Para sa pamumuno ng Adobe, ito ay isang paalala na pagkawasak ng 2013 ng paglabag sa kumpanya, kung saan 38 milyong mga username at password ang ninakaw. & Nbsp;

Sa buong mundo, ang mga paglabag ay nagaganap sa isang nakababahala na dalas. Mas maaga sa taong ito, ang Forum ng Pangkabuhayan sa Mundo niraranggo ang "panloloko ng data at pagnanakaw" at "cyberattacks" bilang pang-apat at ikalimang sa listahan ng "nangungunang 10 mga peligro sa mundo ng pinakamataas na pag-aalala para sa susunod na dekada." Maliban kung ang mga pagsisikap sa cybersecurity ay tumutugma sa bilis ng mga pagsulong sa teknolohiya, tinatantya ng samahan na ang mga banta ay maaaring gastos ng higit sa $ 90 trilyon sa pamamagitan ng 2030. & nbsp;

Sa kabila ng mga kakila-kilabot na hula na ito, maraming mga negosyo ang hindi pagtupad. Mahigit sa dalawang-katlo (69%) ng mga empleyado ay naramdaman ang diskarte sa cybersecurity ng kanilang samahan ay "reaktibo at hinimok ang insidente." Hindi ito katanggap-tanggap. Ang mga namumuno ay hindi makapaghintay na mangyari ang isang insidente, at hindi maiiwasan ang cybersecurity sa mga limitasyon ng departamento ng IT. Sa halip, ang mga pinuno ay dapat gumawa ng isang aktibo at pinagsamang diskarte patungo sa pagsugpo sa tumataas na bilang ng mga krimen sa cyber at mga kahinaan na batay sa ulap. Narito ang tatlong paraan na maaari nilang magsimula ngayon. & Nbsp;

1. Pagbutihin ang Iyong Security Team

Isang 2018 PricewaterhouseCoopers Natuklasan ng survey na (PwC) na 39% lamang ng mga sumasagot ang "napaka komportable sa sapat na" ng kanilang mga trabaho sa cybersecurity at privacy, at 33% lamang ang naniniwala na ang kanilang mga kumpanya ay "ganap na handa upang matugunan ang kamakailan-lamang at umuusbong na mga kinakailangan para sa cybersecurity, data privacy, at pamamahala ng paggamit ng data. "Sa buong katapatan, ang oras upang makabuo ng isang koponan ng cybersecurity ay kahapon. Kung ang isang kumpanya ay kabilang sa mga hindi pa nag-upa ng isang sapat na lakas-paggawa, dapat itong gawin agad. & Nbsp;

Ang pinakamahalagang posisyon sa pangkat ng seguridad ay ang punong opisyal ng seguridad ng impormasyon (CISO o CSO) – & nbsp; na, hindi mapaniniwalaan o kapani-paniwala, 38% ng Fortune 500 na kumpanya wala sa kasalukuyan. Ang mga CISO na mas kaunting kumpanya ay gumagawa ng parehong pagkakamali bilang Target, na ang 2013 paglabag ay nakalantad ang data ng credit at debit card na 40 milyong mga customer. Ayon sa isang dating manager, ang kakulangan ng isang CISO ay isang "ugat na sanhi" ng paglabag. "& Lsqb; Target at rsqb; ay walang tagapagtaguyod sa C-level, bilang isang ehekutibo, na nagtataguyod para sa pamumuhunan sa seguridad ng IT, "aniya. CEO ng paglabag sa Target ng CEO at CIO ang kanilang mga trabaho, at mas malaki ang gastos sa kumpanya $ 200 milyon. & nbsp;

Bilang karagdagan sa isang nakaranas na CISO, ang pananaliksik mula sa IBM nagmumungkahi na ang mga kumpanya ay dapat magtalaga ng isang tiyak na koponan ng tugon sa insidente (IR) na humihila sa mga miyembro mula sa iba't ibang mga kagawaran. Bagaman hindi nito maiiwasan ang mga paglabag, maaari nitong mabawasan ang kanilang epekto. "Ang mga samahan na mayroong isang panloob na koponan ng IR ay tumugon sa mga pag-atake nang mas mabilis at mas mahusay at nai-save ang malaking gastos sa proseso," ang ulat ng ulat. Ang average na pag-iimpok ay $ 14 bawat tala; kapag pinarami ng milyun-milyong mga account, madaling makita kung bakit ang isang koponan ng IR ay isang karapat-dapat na pagsusumikap. & nbsp;

2. Pagsikapan ng isang 'Kultura ng Seguridad'

Habang ang ilang mga pinuno ay maaaring isaalang-alang ang mga panlabas na kadahilanan na ang pinakamalaking banta ng kanilang organisasyon, pananaliksik mula sa IBM nalaman na, sa 2018, 29% ng mga pag-atake na kasangkot sa mga phishing emails at 43% na kasangkot sa mga maling mga server ng ulap. Sa madaling salita, ang isa sa mga pinaka "walang humpay" na pagbabanta sa negosyo ay hindi mga hacker sa kabilang panig ng mundo, ngunit ang mga tagaloob ng kumpanya "na hindi sinasadya na ikompromiso ang kapaligiran." & Nbsp;

"Sa anumang sistema, ang mga tao ay palaging ang mahina na pagtagas," sumulat si Chris Romeo Tech Beacon. Kaya dapat hikayatin ng mga pinuno ang isang "kultura ng seguridad" na sumasaklaw sa lahat ng antas ng kanilang samahan. Ang unang hakbang ay ang pamumuhunan sa pagsasanay sa kamalayan ng cybersecurity para sa mga empleyado. Ayon sa data mula sa PwC at Accenture, lamang 34% ng mga kumpanya magkaroon ng mga naturang programa, at lamang 13% ng mga pinuno sabihin ang pamumuhunan nang higit pa sa pagsasanay ay isang pangunahing prayoridad. Ito ay isang kritikal na error. & Nbsp;

Hindi lamang ang mga pagsasanay ay nagdaragdag ng kamalayan, ipinaliwanag ni Jason Choi at ng kanyang mga kasamahan sa McKinsey, sila rin ay "senyales sa mga yunit ng negosyo na ang cybersecurity ay isang ibinahaging responsibilidad" at "& lsqb; a & rsqb; nyone na may access sa kumpidensyal na data at mga sistema, sa anumang antas, dapat maglaro ng isang aktibong papel sa pagtiyak ng kanilang kaligtasan." hindi maging boring, alinman; Si Samantha Davison, tagapamahala ng programa ng seguridad sa Uber, ay nagmumungkahi gamit ang gamification upang mapanatili silang makisali. "Pumili ng isang masayang tema at parody ito – ginawa namin ang Game of Thrones," siya sabi. "Magtapon ng isang phishing writing workshop at ipasulat sa iyong mga empleyado ang isang phishing email para sa kumpanya. Ang mga pagpipilian ay walang katapusang kapag nagsisimula kang mag-isip sa labas ng kahon. "& Nbsp;

3. Pakikipag-usap sa Foster

Gamit ang Nangungunang & nbsp; Ang isa pang panloob na banta sa mga kumpanya ay ang pagkakakonekta sa pagitan ng mga koponan ng cybersecurity at pamumuno sa negosyo. Isang kamakailan survey mula sa Ponemon Institute natuklasan na ang 63% ng mga pinuno ng seguridad ng IT ay hindi nag-uulat sa board nang regular – & nbsp; at 40% ay hindi kailanman nag-uulat sa board. Bukod dito, lamang 27% ng mga board pangasiwaan ang mga badyet ng seguridad. Para sa matagumpay na programa ng cybersecurity ng isang kumpanya, ang disjointed na diskarte na ito ay hindi sapat. & Nbsp;

Ang nangungunang pamunuan ay kailangang maglaro ng isang direktang papel sa mga pagsusumikap sa cybersecurity – & nbsp; at hindi lamang isang beses na nangyari ang isang paglabag. "Ang lupon ng mga direktor at C-suite … ay dapat na kasangkot sa pagpapatupad ng isang proactive na pamamaraan sa pagkilala at remediating gaps ng seguridad," sabi ni Larry Ponemon, tagapagtatag at chairman ng Ponemon Institute. "Habang ang karamihan sa mga kumpanya ay may isang executive na tungkulin na may tumpak na pagtukoy ng pagiging epektibo ng kanilang diskarte sa cybersecurity, kailangan nilang iparating ang mga natuklasang ito sa mga pinuno ng senior at board nang regular."

Ang kaso para sa pagsira ng mga cybersecurity silos ay napatunayan ng Equifax. Ang paglabag sa 2017 nito ay nagsiwalat ng personal na data ng 150 milyong tao at nagkakahalaga ng kumpanya $ 1.4 bilyon. Bagaman ang teknikal na dahilan ng paglabag ay isang "patching isyu," sinabi ni Lance Spitzner, ang direktor ng SANS Security Awareness, na talagang sanhi ito ng mga tao at istraktura. Mas partikular, sanhi ito ng katotohanan na ang CSO ay hindi nag-ulat sa CIO. "Ito ay natahimik mula sa seguridad," siya nagsulat, "Ang dalawa ay bihirang makipag-ugnay o nakipag-ugnay, na nag-iiwan ng mga nakakalat na butas sa organisasyon." & Nbsp; & nbsp;

Tulad ng pagsulong ng teknolohiya, walang tanong na dapat magsulong sa tabi nito. Upang maiwasan ang mga fate ng Adobe, Target, at Equifax, ang mga namumuno sa bawat kumpanya ay dapat gumawa ng mga proactive na hakbang upang lumikha ng kahulihan sa cyber. Tulad ng sinulat nina Omar Abbosh at Kelly Bissell Tiyak, "Ang Cybersecurity ay ang bedrock ng intelihenteng negosyo bukas. Kung ang mga kumpanya ay magtagumpay sa pamamagitan ng paggamit ng mga digital na kakayahan, upang makabuo ng higit na kaalaman sa customer, natatanging pananaw at pagmamay-ari ng intelektwal na ari-arian … kakailanganin nila ang isang matatag na diskarte sa cybersecurity upang salungguhitan ang lahat. "& Nbsp;

">

Noong nakaraang linggo, ang Adobe Inc. ay nagdusa ng cyber paglabag kung saan nakalantad ang mga email address ng higit sa 7.5 milyong mga customer. Para sa pamumuno ng Adobe, ito ay isang paalala na pagkakasala ng kumpanya sa 2013, kung saan 38 milyong mga username at password ang ninakaw.

Sa buong mundo, ang mga paglabag ay nagaganap sa isang nakababahala na dalas. Mas maaga sa taong ito, ang World Economic Forum ay nagraranggo ng "panloloko ng data at pagnanakaw" at "cyberattacks" bilang pang-apat at ikalimang sa listahan ng "nangungunang 10 mga peligro ng mundo na pinakamataas na pag-aalala para sa susunod na dekada." Maliban kung ang mga pagsisikap ng cybersecurity ay tumutugma sa bilis ng teknolohikal pagsulong, tinatantya ng samahan na ang mga pagbabanta na maaaring magastos ng $ 90 trilyon sa 2030.

Sa kabila ng mga kakila-kilabot na hula na ito, maraming mga negosyo ang hindi pagtupad. Mahigit sa dalawang-katlo (69%) ng mga empleyado ang nakakaramdam ng diskarte sa cybersecurity ng kanilang samahan ay "reaktibo at hinimok ang insidente." Hindi ito katanggap-tanggap. Ang mga namumuno ay hindi makapaghintay na mangyari ang isang insidente, at hindi maiiwasan ang cybersecurity sa mga limitasyon ng departamento ng IT. Sa halip, ang mga pinuno ay dapat gumawa ng isang aktibo at pinagsamang diskarte patungo sa pagsugpo sa tumataas na bilang ng mga krimen sa cyber at mga kahinaan na batay sa ulap. Narito ang tatlong paraan na maaari nilang simulan ngayon.

1. Pagbutihin ang Iyong Security Team

Natagpuan ng isang survey sa 2018 PricewaterhouseCoopers (PwC) na 39% lamang ng mga sumasagot ang "napaka komportable sa kasapatan" ng kanilang cybersecurity at privacy workforce, at 33% lamang ang naniniwala na ang kanilang mga kumpanya ay "handa nang handa upang matugunan ang mga kamakailan-lamang at umuusbong na mga kinakailangan para sa cybersecurity, data privacy, at pamamahala ng paggamit ng data. "Sa buong katapatan, ang oras upang makabuo ng isang koponan ng cybersecurity ay kahapon. Kung ang isang kumpanya ay kabilang sa mga hindi pa nag-upa ng isang sapat na lakas-paggawa, dapat itong gawin agad.

Ang pinakamahalagang posisyon sa pangkat ng seguridad ay ang punong opisyal ng seguridad ng impormasyon (CISO o CSO) – na, hindi mapaniniwalaan, 38% ng Fortune 500 na kumpanya ay wala sa kasalukuyan. Ang mga CISO na mas kaunting kumpanya ay gumagawa ng parehong pagkakamali bilang Target, na ang 2013 paglabag ay nakalantad ang data ng credit at debit card na 40 milyong mga customer. Ayon sa isang dating manager, ang kakulangan ng isang CISO ay isang "ugat na sanhi" ng paglabag. "(Target) ay walang tagapagtaguyod sa C-level, bilang isang ehekutibo, na nagsusulong para sa pamumuhunan sa seguridad ng IT," aniya. CEO ng paglabag sa Target ng CEO at CIO ang kanilang mga trabaho, at gastos sa kumpanya ng higit sa $ 200 milyon.

Bilang karagdagan sa isang nakaranas na CISO, ang pananaliksik mula sa IBM ay nagmumungkahi na ang mga kumpanya ay dapat magtalaga ng isang tiyak na koponan ng pagtugon sa insidente (IR) na kumukuha ng mga miyembro mula sa iba't ibang mga kagawaran. Bagaman hindi nito maiiwasan ang mga paglabag, maaari nitong mabawasan ang kanilang epekto. "Ang mga samahan na mayroong isang panloob na koponan ng IR ay tumugon sa mga pag-atake nang mas mabilis at mas mahusay at nai-save ang malaking gastos sa proseso," ang ulat ng ulat. Ang average na pag-iimpok ay $ 14 bawat tala; kapag pinarami ng milyun-milyong mga account, madaling makita kung bakit ang isang koponan ng IR ay isang karapat-dapat na pagsisikap.

2. Pagsikapan ng isang 'Kultura ng Seguridad'

Habang ang ilang mga pinuno ay maaaring isaalang-alang ang mga panlabas na kadahilanan upang maging pinakamalaking banta ng kanilang samahan, ang pananaliksik mula sa IBM ay natagpuan na, sa 2018, 29% ng mga pag-atake na kasangkot sa mga phishing emails at 43% na kasangkot sa mga maling server ng uling. Sa madaling salita, ang isa sa mga pinaka "walang humpay" na pagbabanta sa negosyo ay hindi mga hacker sa kabilang panig ng mundo, ngunit ang mga tagaloob ng kumpanya "na hindi sinasadya na ikompromiso ang kapaligiran."

"Sa anumang sistema, ang mga tao ay palaging ang mahina na pagtagas," sumulat si Chris Romeo sa Tech Beacon. Kaya dapat hikayatin ng mga pinuno ang isang "kultura ng seguridad" na sumasaklaw sa lahat ng antas ng kanilang samahan. Ang unang hakbang ay ang pamumuhunan sa pagsasanay sa kamalayan ng cybersecurity para sa mga empleyado. Ayon sa data mula sa PwC at Accenture, 34% lamang ng mga kumpanya ang may nasabing mga programa, at 13% lamang ng mga pinuno ang nagsabing ang pamumuhunan nang higit pa sa pagsasanay ay isang pangunahing prayoridad. Ito ay isang kritikal na error.

Hindi lamang ang mga pagsasanay ay nagpapalaki ng kamalayan, ipinaliwanag ni Jason Choi at ng kanyang mga kasamahan sa McKinsey, sila rin ay "senyales sa mga yunit ng negosyo na ang cybersecurity ay isang ibinahaging responsibilidad" at "(a) nyone na may access sa kumpidensyal na data at mga sistema, sa anumang antas , dapat gumampanan ng isang aktibong papel sa pagtiyak ng kanilang kaligtasan. "Ang mga pagsasanay ay hindi dapat maging boring, alinman; Si Samantha Davison, tagapamahala ng programa ng seguridad sa Uber, ay nagmumungkahi gamit ang gamification upang mapanatili silang makisali. "Pumili ng isang masayang tema at parody ito – ginawa namin ang Game of Thrones," aniya. "Magtapon ng isang phishing writing workshop at ipasulat sa iyong mga empleyado ang isang phishing email para sa kumpanya. Ang mga pagpipilian ay walang katapusang kapag nagsisimula kang mag-isip sa labas ng kahon. "

3. Pakikipag-usap sa Foster

Sa Nangungunang Isa pang panloob na banta sa mga kumpanya ay ang pagkakakonekta sa pagitan ng mga koponan ng cybersecurity at pamumuno sa negosyo. Ang isang kamakailang survey mula sa Ponemon Institute ay natuklasan na ang 63% ng mga pinuno ng seguridad ng IT ay hindi nag-uulat sa board nang regular – at 40% ay hindi kailanman nag-uulat sa board. Bukod dito, 27% lamang ng mga board ang nangangasiwa ng mga badyet ng seguridad. Para sa matagumpay na programa ng cybersecurity ng isang kumpanya, ang disjointed na pamamaraan na ito ay hindi sapat.

Ang nangungunang pamunuan ay kailangang maglaro ng isang direktang papel sa mga pagsusumikap sa cybersecurity – at hindi lamang isang beses na nangyari ang isang paglabag. "Ang lupon ng mga direktor at C-suite … ay dapat na kasangkot sa pagpapatupad ng isang proactive na pamamaraan sa pagkilala at remediating gaps ng seguridad," sabi ni Larry Ponemon, tagapagtatag at chairman ng Ponemon Institute. "Habang ang karamihan sa mga kumpanya ay may isang executive na tungkulin na may tumpak na pagtukoy ng pagiging epektibo ng kanilang diskarte sa cybersecurity, kailangan nilang iparating ang mga natuklasang ito sa mga pinuno ng senior at board nang regular."

Ang kaso para sa pagsira ng mga cybersecurity silos ay napatunayan ng Equifax. Ang paglabag sa 2017 nito ay nagsiwalat ng personal na data ng 150 milyong tao at nagkakahalaga ng $ 1,4 bilyon ang kumpanya. Bagaman ang teknikal na dahilan ng paglabag ay isang "patching isyu," sinabi ni Lance Spitzner, ang direktor ng SANS Security Awareness, na talagang sanhi ito ng mga tao at istraktura. Mas partikular, sanhi ito ng katotohanan na ang CSO ay hindi nag-ulat sa CIO. "IT ay natahimik mula sa seguridad," isinulat niya, "ang dalawa ay bihirang makipag-usap o naka-ugnay, na nag-iwan ng mga nakakalat na butas sa samahan."

Tulad ng pagsulong ng teknolohiya, walang tanong na dapat magsulong sa tabi nito. Upang maiwasan ang mga fate ng Adobe, Target, at Equifax, ang mga namumuno sa bawat kumpanya ay dapat gumawa ng mga proactive na hakbang upang lumikha ng kahulihan sa cyber. Tulad ng isinulat nina Omar Abbosh at Kelly Bissell sa Accenture, "Ang Cyberecurity ay ang bedrock ng intelektuwal na negosyo bukas. Kung ang mga kumpanya ay magtagumpay sa pamamagitan ng paggamit ng mga digital na kakayahan, upang makabuo ng higit na kaalaman sa customer, natatanging pananaw at pagmamay-ari ng intelektwal na ari-arian … kakailanganin nila ang isang matatag na diskarte sa cybersecurity upang salungguhitan ang lahat. "