Митовете за киберсигурността всеки член на борда трябва да отхвърли

Споменатите митове дават силни аргументи на бордовете да направят киберсигурността неразделна част от цялостната си компетентност и отчетност.

  Митовете за киберсигурността всеки член на борда трябва да отхвърли
[Adobe Stock / mpix-снимка]

въпреки че мнозинство от борда на директорите (BODs) гледайте на киберсигурността само като на бизнес риск четири от 10 организациите включват киберсигурността в дневния ред на тримесечната заседателна зала. Наличието на сляпо петно ​​за киберсигурност на ниво борд може да доведе до някои сериозни последици от гледна точка на цялостна стратегия, прозрение и управление. Всъщност един от най-големите поддръжници на съвременните кибератаки и пробиви вероятно е липсата на знания и надзор на ръководните екипи по въпроси, свързани с киберсигурността.

Въпреки че няма недостиг на тревожни заглавия за киберрискове, ето пет често срещани мита, които членовете на борда на директорите би било разумно да отхвърлят.

МИТ 1: КИБЕРСИГУРНОСТТА Е ОТ ВАЖНОСТ САМО ЗА ОПРЕДЕЛЕНИ БИЗНЕСИ



Киберсигурността често се възприема като нещо, което се изисква само от определени видове компании, а именно регулирани индустрии като правителство, здравеопазване и банкиране. Някои погрешно приемат, че кибератаките се случват само на предприятия с определен размер, мащаб или стойност.

Противно на общоприетото схващане, малки предприятия и среден пазарен бизнес са често атакувани и е по-вероятно да претърпят пробив, отколкото по-големите организации. Операторите на рансъмуер са опортюнистични, насочвайки се към всяка организация, която има ценни данни, от нестопански към НПО , от производствени единици да се училища , и дори молитвени домове . Измамите с рансъмуер не щадят никого.

МИТ 2: ФИРМИТЕ, КОИТО ИЗПОЛЗВАТ ТЕХНИЧЕСКИ КОНТРОЛ, СА БЕЗ РИСК

Обичайно е да се приеме, че ако една организация е направила разумни инвестиции в контрол на киберсигурността, тя е защитена от повечето киберзаплахи. Реалността е такава 82% от кибератаките нямат нищо общо с повреда в системите за киберсигурност или софтуера; повечето пробиви в сигурността могат да бъдат проследени обратно до човешкия елемент (фишинг, откраднати идентификационни данни, човешка грешка) и те обикновено остават незабелязани от техническия контрол, тъй като произхождат от законни източници като служители или доверени партньори.

МИТ 3: КИБЕР РИСКОВЕТЕ НЕ СА ПРОБЛЕМ НА УПРАВЛЕНИЕТО

Екипите за киберсигурност не са известни като страхотни комуникатори и често се ангажират твърде много с технически аспекти, вместо да развиват меки умения, които могат да предадат кибер рисковете в бизнес термини. От друга страна, членовете на борда приемат, че сигурността е най-добре да се остави на ИТ отдела и не заслужава внимание на борда. Проучванията показват че членовете на борда често получават актуална информация по проблемите на киберсигурността след факта, когато е възникнал инцидент.

BODs трябва да осъзнаят, че законът все повече ги прави отговорни за надзора на киберсигурността – Home Depot 17,5 милиона долара Разрешаването на нарушение на данните изисква бордът да поеме ежедневния дигитален надзор. Имало е случаи (напр. Цел ), в които ключови ръководители бяха държани лично отговорни за кибератаки и нарушения на данните. The SEC дори планира за въвеждане на нови правила, които налагат разкриване на експертния опит на член на борда в областта на киберсигурността.

МИТ 4: АТАКИТЕ СРЕЩУ ДОСТАВЧИЦИ И ПАРТНЬОРИ НЕ ПРЕДСТАВЛЯВАТ ОСНОВНА ПРИТЕСНЕНИЕ

Една от причините, поради които участниците в заплахата се насочват към малки и средни организации, е, че малките предприятия обикновено са част от екосистемата на веригата за доставки на по-големите предприятия. Атаките срещу Solarwinds, Log4j, Kaseya и Codecov са скорошни примери за атаки във веригата за доставка на софтуер, които доведоха до компрометиране на хиляди фирми по целия свят. Всъщност атаки по веригата за доставки на софтуер се утрои през 2021 г .

Когато селскостопанска техника гигант AGCO беше засегнат от атака на ransomware, това имаше въздействие надолу по веригата върху глобалното предлагане на производство на селскостопанско оборудване. Атаката срещу софтуер за откуп Колониален тръбопровод миналата година предизвика недостиг на гориво и паническо купуване по източното крайбрежие.

МИТ 5: КИБЕРСИГУРНОСТТА Е ТВЪРДЕ ТЕХНИЧЕСКА, ЗА ДА ГО РАЗБЕРЕ ПЕРСОНАЛА

Кибератаките използват естествените човешки слабости (грешки в преценката, пристрастия, небрежно онлайн поведение, слаби пароли, лоши софтуерни корекции и т.н.) като средство за придобиване на опора в мрежите на жертвите. Едно грешно кликване, един изтеглен прикачен файл или една измама в социалните медии е всичко, което е необходимо на нападателите да компрометират потребителите.

Бизнес лидерите трябва да обмислят значението на обучението на всички служители как да разпознават измами със социално инженерство и злонамерени комуникации, като ги предупреждават за най-новите тактики и техники, използвани от участниците в заплахи, и им предоставят процедури за контакт с екипите за сигурност, когато се случи нещо подозрително. И накрая, членовете на борда трябва да се оборудват с правилните знания и обучение, така че и те да могат да задават правилния тон в подкрепа на културата на сигурност на организацията.

Една от ключовите отговорности на BODs е стратегическото управление на риска, което сега включва непрекъснато развиваща се и разширяваща се среда на заплахи. Митовете, споменати по-горе, вероятно само надраскват повърхността; те обаче предоставят силен аргумент за бордовете да направят киберсигурността неразделна част от цялостната си компетентност и отчетност.


Stu Sjouwerman е основател и главен изпълнителен директор на KnowBe4 Inc. , най-голямата в света платформа за обучение за информираност и симулиран фишинг.