分享

为什么每个人都在谈论网络安全

0
西亚兰·马丁国家网络安全中心

国家网络安全中心于4月24日至25日举行了旗舰活动Cyber​​UK。 IT专家和业务主管讨论如何最好地保护公司系统和数据

西亚兰·马丁(CIARAN MARTIN)(如图) 国家网络安全中心 (NCSC),这是一个帮助公共和私营部门组织保护其IT系统的政府机构

直到五年前,西方政府在网络安全方面给企业的建议在技术上还很有限。更重要的是,本指南中的大部分内容都集中于告诉治理完善的组织妥善管理风险。真正没有告诉他们的是,以与其他任何风险相同的方式来应对网络风险。

我惊讶于企业处理从金融负债到健康与安全责任等各种复杂风险的有效性。在这种情况下,网络风险也是他们很好地管理的能力。这只是为他们提供正确工具来完成任务的一种情况。

考虑到这一点,NCSC发布了 电路板工具包 帮助董事了解网络风险管理的动态。提出了五个问题,所有董事会应询问其首席信息安全官:

*我们如何防御网络钓鱼攻击?

*我们如何控制特权IT帐户的使用?

*我们如何使我们的系统保持最新状态?

*我们如何确保合作伙伴和供应商保护我们与他们共享的数据?

*正在使用哪些身份验证方法来控制对我们数据的访问?

实际上,NCSC观察到的一致性要比普通企业应该关注的网络攻击类型的变化要强。在最近一次针对60位商业领袖的政府活动中,我们分析了全球对IT服务提供商及其客户的攻击,这些攻击归因于中国政府。这是一次深刻的攻击,但日本当局认为其进入方法之一是梅利莎病毒,该病毒可追溯到1999年。

这种情况突显了使软件保持最新状态的至关重要性。任何现代版本的Microsoft Windows都可以阻止此病毒。如果您运行的是旧版本并且已成为目标用户,那么您可能不会那么幸运。

 

安妮·邓肯法国国防部执行委员会数字和技术领导力计划主席ANNE DUNCAN

关于网络安全的第一点是,它不是IT部门或组织中特定个人的财产。这是每个人的事。

在IoD,我们非常重视对成员进行有效的公司治理培训,这非常重要。网络安全和数据隐私已成为治理的问题–董事现在应对这些问题以及其管理层如何贯穿整个组织负责。

作为我为法国IoD发起的数字和技术领导力计划的一部分,我们邀请企业领导人讨论网络安全问题。这些论坛是根据Chatham House规则运作的,因此参与者可以安全地说,“这就是我公司中发生的事情”,因为他们不会公开自己的身份和组织的身份。

当然,您仍然不想共享某些细节,但是通过论坛可以开始重要的对话。由于您在这些活动中被专家包围着,因此您也可以提高自己的知识,这将使您在回到组织时更好地进行关键改进。

 

科迪·布罗奇(Cody Brocious)CODY BROCIOUS,安全研究员和黑客教育负责人, 黑客一号

白帽黑客是一种以道德方式进行黑客攻击的人,通常是在希望保护自己的公司的要求下进行的。 Bug赏金猎人是白帽黑客,专门研究漏洞,以期在发展自己的技能并可能赚钱的同时,使互联网成为更安全的场所。

我的公司HackerOne通过三种方式帮助改善公司的网络安全性。我们与他们合作管理漏洞披露程序,黑客和安全研究人员可以在其中报告错误,而不必担心会受到任何法律影响。我们进行漏洞赏金挑战,使黑客发现并报告漏洞。我们开设的课程可帮助黑客提高技能,并帮助开发人员保护代码。

所有这些努力为我们的公司合作伙伴以及与我们没有直接合作的公司提高了网络安全性。

重用密码是巨大的风险,但最容易解决的风险之一。我对经营小型企业的任何人的建议是使用密码短语长的密码管理器,并为每个网站应用不同的随机生成的密码。

 

安迪·蒂尔曼情报总监ANDY TILLMAN, 蒂尔玛纳集团

GDPR可能迫使小型企业将网络安全性推到了前所未有的高度,或者使他们更深地埋头。是的,现在有报告违规的要求,但是我认为这仍然取决于对这样做的利弊的评估。

小型企业通常被视为关系不佳,尤其是在网络安全方面。他们在此领域中可获得的服务并不理想。实际上,应该向中小型企业提供一定程度的免费援助-这是我们是否要建立一个乌托邦社会的问题,在这个乌托邦社会中,大企业可以帮助小企业,从而保护他们的供应链。

每当我讲“以胁迫折衷”(这是说“敲诈”的一种奇特的方式)的演讲时,我都会强调指出,识别和描述公司中的关键人物是多么容易。这总是使观众中的商业领袖感到震惊。您需要了解这种威胁的存在,但也要记住,世界并不像某些人所看到的那样可怕。

Andrew Tillman是IoD Suffolk的教育和技能大使

 

彼得·马修斯彼得·马修斯(PETER MATTHEWS),首席执行官, 地铁通讯

很多人都在担心被黑客入侵。他们对企业说:“黑客会闯入您的系统,窃取您的数据并在黑市上出售,因此您需要购买我们的产品。”我们需要改变这种说法。

人们说技术发展迅速,但是人为错误仍然是某人渗透到系统中的最简单方法。您必须意识到许多网络罪犯都专注于社会工程。他们可以在社交媒体上找到有关您的足够信息,从而使他们能够发送一封看起来足够可信的电子邮件供您打开。在网上,我倾向于只与我已经认识的人打交道。

如果您明天做一件事,建议您访问NCSC的网站并下载 网络安全的10个步骤。您无需购买任何东西,也不必制定庞大的计划。这只是关于运用常识。如果您采取了基本的预防措施,就会开始在公司和网络犯罪分子之间注入一些清水。

彼得·马修斯(Peter Matthews)是伦敦IoD的成员

分享

关于作者

瑞安·赫曼(Ryan Herman)

瑞安·赫曼(Ryan Herman)

除了担任导演的工作外,Ryan还为《国际体育商业》,《 VICE体育》,《人口》,《奥迪》和《驰Gall》杂志撰稿,并曾担任《天空体育》杂志的编辑。

没意见

时间限制已用完。请重新加载验证码。

 

带回家

经过数年的离岸外包,据一系列报道和一项政府倡议,如今,英国企业如今已将其大规模带回国内。可以 ...