您现在的位置是:首页 >动态 > 2021-04-17 10:20:46 来源:
高管可能是您的网络安全策略中的盲点
网络安全技能差距是一项业务挑战,不会很快发生 - 事实上,这是一个比以往任何时候都更加迫在眉睫的问题。根据非营利协会(ISC)的研究,近三分之二的企业(63%%)认为他们存在安全技能差距,其中超过一半的企业认为他们的企业面临遭受攻击的风险。
所以有什么问题?为什么企业及其员工仍未对网络安全威胁做好准备?当涉及到技术支出以帮助阻止错误的演员时,公司肯定并不害羞。Gartner的数据显示,2018年全球安防产品和服务支出将达到1140亿美元,比去年增长12.4%%。
该分析师称,技能短缺推动了这项投资,预计到2019年,总体安全支出将增长8.7%%,达到1240亿美元。然而,虽然技术投资有助于降低风险,但不应将其视为灵丹妙药,尤其是在内部网络时 - 许多组织的安全能力仍然是一种罕见的商品。
吉尼斯世界纪录(GWR)的IT总监Rob Howe表示,数字领导者必须不再孤立地依赖工具。帮助打击网络安全问题的方法是使用技术组合,最重要的是使用员工教育。“你可以在服务面前放置尽可能多的技术,但你必须专注于培训你的员工,”他说。Howe说他的公司努力确保它已经从其提供商那里实施了适当的工具。GWR最近通过AWS将其基础设施推向云端,并与Ensono建立了合作伙伴关系,他表示,在选择外部合作伙伴时,这些公司强有力的安全焦点是“决定性因素”。然而豪说,外部专业知识必须与内部教育相匹配。
“重复有帮助 - 我们做干运行,我们会从我们的部门向整个企业的人发送网络钓鱼电子邮件,”他说。“我认为这种白帽黑客方法在其他业务中是一种常见的策略。它也可以是其他简单的事情,比如抓住人们,如果他们不锁定他们的机器并展示可能发生的事情和可能采取的措施。 “
Howe远非唯一认识到内部培训计划重要性的专家。国家网络安全中心(NCSC)最近为组织提供了新的指导,建议企业领导者必须接受网络安全的技术细节,否则将面临更大的攻击风险。
NCSC表示,董事会层面的人必须至少了解网络攻击,网络风险和网络防御的基础知识。该组织的首席执行官Ciaran Martin警告说,在许多董事会中存在一种误解,即安全性过于复杂,过于复杂,威胁无法阻止。Howe还认识到确保所有员工(包括公司最顶层员工)不受这些误解影响的重要性。
“每个人都需要了解他们需要观察他们的行为 - 网络安全不仅仅是IT部门的责任,”他说。“我们都需要保持业务的安全,我们都需要确保整个组织在履行这一职责时保持联系。”
与Howe一样,财务数据专家彭博社的首席技术官Shawn Edwards表示,公司的董事会成员精通信息保护的基础知识至关重要。“所有高管都应该了解网络安全是什么,”他说。
“当然,这是我们在彭博社所做的事情。我们与我们的高管谈话,我们在培训中投入了大量的时间和资源,”他说,并补充说CIO和其他高层管理人员必须投入时间和金钱来填补网络安全技能差距。“对我来说,最好的做法是建立你可能做到的最好的团队,”爱德华兹说。“你需要一支拥有不同技能和背景的团队,他们能够以不同的方式思考网络安全。我为寻找优秀人才感到自豪。作为IT领导者,你需要提供指导和指导。”
爱德华兹表示,他的新员工通常负责为彭博的网络安全挑战创造“卓越的解决方案”。这是一种帮助公司保护其业务关键数据的方法,这对公司来说是一场永无止境的战斗。
“你永远不会完成,”他说。“你必须假设有人,某个地方会犯错误 - 有人会点击网络钓鱼链接,即使你告诉他们不要。当然,我们培训的人不要这样做,但你必须设计一个假定存在的系统被破坏是可能的。你必须有一系列层来检测和防止恶意攻击。“
这种情绪与圣海伦斯和诺斯利健康信息服务部信息学主任克里斯蒂娜沃尔特斯产生共鸣。由于最近的投资,Walters现在可以访问安全仪表板,使她能够看到IT部门在警报方面的位置以及其工作如何与业务优先级相匹配。技术有助于保持低威胁,但她认识到员工培训是关键。
“你需要有合适的工具来监控和预防攻击,”沃尔特斯说。“但成功的最重要因素之一是员工的教育。告诉人们不要点击链接,不通过电话提供密码,可能听起来像是简单的建议,但需要重复。建立正确的员工行为对维护信息安全至关重要。“Walters说她的组织专注于将移动技术作为正常工作日的一部分,她的团队现在正在与临床医生密切合作,以改变他们批准和授权文档的方式。她解释说,这种对数字化和安全的共同关注必须是前进的方向,特别是对医疗保健部门的攻击正在增加。
“自从WannaCry以来,信息安全在业务核心中具有最高优先级,”沃尔特斯说。“有很多支持,但它也是一个需要更多投资的领域,无论是来自中央政府还是地方政府的资金。
“董事会认识到投资是必需的,关键问题在于持续的资金是否足够快。”