分享

Cyber risk ‘misunderstood’

0

网络 - 与Cyber​​theft中一样 - 可能是董事会表中的很酷的新前缀,但它经常被使用它的人误解,戴维斯国王帝国首席执行官写下了Dave King

由于媒体,商业领袖知道他们需要害怕某些东西 - 尽管通常他们不确定“某事”是什么。金融服务部门的监管确保了终于报告了主要的网络发起的金融盗窃,以前他们被隐藏害怕声誉损害。当然,这是公司的危险是,公司头现在认为网络风险仅与金融数据相关 - 无论是客户还是他们自己的信用卡。

然而,董事会级别对网络风险的看法最大的问题是假设它纯粹是一个问题。金融盗窃获取头条新闻,但Verizon报告称,五个攻击中的一个是IP盗窃 - 以及越来越多的那些间谍袭击从社会工程开始。

我记得Web开发首先出现作为预算分类帐线,经常争论是否应该由IT或营销部门监督;这是一种源于技术的新现象,但迅速成为组织的最重要的外在抵押品。然而,网络中明显的冲突更为根本性,造成了更大的威胁。

它是必须的最佳实践 - 但它主要是战术。在思考超越通用网络威胁时,有三个关键问题可以问:(1)皇冠珠宝在哪里 - 即它在组织内的实际价值是什么; (2)谁是潜在的攻击者 - 州,竞争对手,黑客活动 - 他们的典型模式操作公司和(3)我们必须做些什么来保护优先级资产来自所确定的威胁?执行中的最后一个问题毫无疑问包括IT部门的更多挑战。但如果其所有者没有权力在整个组织中制定宽阔的政策和人员的变化,那么它就会缺陷。

无论是对冲基金的专有交易算法,药品公司的专利申请计划还是在富时环境中获得的敏感交易,许多公司的企业价值(EV)往往依赖于保护数据。有时,EV仅依靠IP价值的肩膀(知识产权,而不是互联网协议)。因此,当一个IP遇到另一个IP时,创建了对业务价值的单一最大漏洞。

IT团队有一个巨大的作用,毫无疑问。高级IT专业人士在过去10年中越来越关注网络防御,数据加密等新技能。但是,CIO或CTO认为网络对业务的威胁是一个问题 - 以及要求他或她的负责人的首席执行官是网络是安全的,因为网络漏洞的测试是缺失的。

与如此多的东西一样,现成的产品和服务旨在解决主流,大众市场威胁 - 以及许多人做得很好。但是,越来越多的网络攻击从社会工程和猎物开始,而不是技术疲软,而是人类脆弱性。

最近成功的红色团队在行业中妥协包括整个组织人员和随后的定制,个人,网络钓鱼电子邮件的社交媒体数据挖掘,与玛莎40的照片有关TH. ,以及专门确定的企业慈善三项表现的奖励。更令人不安的是,一个组织留下的数字影子使得一个看似真正的公司的建造代表了所需的供应商,他们需要访问理论上安全的服务器室。获得了物理访问,损害了所有虚拟保护。

那是什么缺失?嗯,隐喻,我们在安装精密的防盗报警器,红外传感器和一些情况下,我们在屋顶上的闸门和狙击手上卫兵越来越好。但我们没有做的是教育房子的工作人员在威胁可能看起来像什么;我们也没有足够的努力,以确保它们没有克隆或模仿。所以最好的攻击者直接走在前门,要么贿赂女仆或打扮成她。他忽略了安全的现金,悄悄地窃取设计原型和客户滚筒甲板,而没有痕迹。

培训和理解是减缓任何技术的根本性。由于最敏感的信息经常居住在主席或首席执行官级别,这是最大的漏洞的地方。因此,在董事会表中完全理解的网络 - 就威胁的样子和谁而言 - 当患者可能从另一个动脉渗出时,企业正在使用大型大型IT形粘附膏药。

DigitalIsrepition.co.uk.

IOD成员的网络安全简报

点击此处登录IOD成员的网络安全上的独占内容 (opens new page)

IOD网络安全峰会2017年

了解网络犯罪竞技场的新兴全球和国家趋势,并接受您在116年3月27日在116 Pall Mall的Iod Cyeber安全峰会上保护您的业务的实际步骤。订票 这里。
博客
分享

关于作者

戴夫国王

戴夫国王

戴夫王是迪斯尼斯州的首席执行官。

No comments

时间限制耗尽。请重新加载CAPTCHA。