高管可能是您的網絡安全策略中的盲點

網絡安全技能差距是一項業務挑戰，不會很快發生 - 事實上，這是一個比以往任何時候都更加迫在眉睫的問題。根據非營利協會(ISC)的研究，近三分之二的企業(63%%)認為他們存在安全技能差距，其中超過一半的企業認為他們的企業面臨遭受攻擊的風險。

所以有什么問題?為什么企業及其員工仍未對網絡安全威脅做好準備?當涉及到技術支出以幫助阻止錯誤的演員時，公司肯定并不害羞。Gartner的數據顯示，2018年全球安防產品和服務支出將達到1140億美元，比去年增長12.4%%。

該分析師稱，技能短缺推動了這項投資，預計到2019年，總體安全支出將增長8.7%%，達到1240億美元。然而，雖然技術投資有助于降低風險，但不應將其視為靈丹妙藥，尤其是在內部網絡時 - 許多組織的安全能力仍然是一種罕見的商品。

吉尼斯世界紀錄(GWR)的IT總監Rob Howe表示，數字領導者必須不再孤立地依賴工具。幫助打擊網絡安全問題的方法是使用技術組合，最重要的是使用員工教育。“你可以在服務面前放置盡可能多的技術，但你必須專注于培訓你的員工，”他說。Howe說他的公司努力確保它已經從其提供商那里實施了適當的工具。GWR最近通過AWS將其基礎設施推向云端，并與Ensono建立了合作伙伴關系，他表示，在選擇外部合作伙伴時，這些公司強有力的安全焦點是“決定性因素”。然而豪說，外部專業知識必須與內部教育相匹配。

“重復有幫助 - 我們做干運行，我們會從我們的部門向整個企業的人發送網絡釣魚電子郵件，”他說。“我認為這種白帽黑客方法在其他業務中是一種常見的策略。它也可以是其他簡單的事情，比如抓住人們，如果他們不鎖定他們的機器并展示可能發生的事情和可能采取的措施。 “

Howe遠非唯一認識到內部培訓計劃重要性的專家。國家網絡安全中心(NCSC)最近為組織提供了新的指導，建議企業領導者必須接受網絡安全的技術細節，否則將面臨更大的攻擊風險。

NCSC表示，董事會層面的人必須至少了解網絡攻擊，網絡風險和網絡防御的基礎知識。該組織的首席執行官Ciaran Martin警告說，在許多董事會中存在一種誤解，即安全性過于復雜，過于復雜，威脅無法阻止。Howe還認識到確保所有員工(包括公司最頂層員工)不受這些誤解影響的重要性。

“每個人都需要了解他們需要觀察他們的行為 - 網絡安全不僅僅是IT部門的責任，”他說。“我們都需要保持業務的安全，我們都需要確保整個組織在履行這一職責時保持聯系。”

與Howe一樣，財務數據專家彭博社的首席技術官Shawn Edwards表示，公司的董事會成員精通信息保護的基礎知識至關重要。“所有高管都應該了解網絡安全是什么，”他說。

“當然，這是我們在彭博社所做的事情。我們與我們的高管談話，我們在培訓中投入了大量的時間和資源，”他說，并補充說CIO和其他高層管理人員必須投入時間和金錢來填補網絡安全技能差距。“對我來說，最好的做法是建立你可能做到的最好的團隊，”愛德華茲說。“你需要一支擁有不同技能和背景的團隊，他們能夠以不同的方式思考網絡安全。我為尋找優秀人才感到自豪。作為IT領導者，你需要提供指導和指導。”

愛德華茲表示，他的新員工通常負責為彭博的網絡安全挑戰創造“卓越的解決方案”。這是一種幫助公司保護其業務關鍵數據的方法，這對公司來說是一場永無止境的戰斗。

“你永遠不會完成，”他說。“你必須假設有人，某個地方會犯錯誤 - 有人會點擊網絡釣魚鏈接，即使你告訴他們不要。當然，我們培訓的人不要這樣做，但你必須設計一個假定存在的系統被破壞是可能的。你必須有一系列層來檢測和防止惡意攻擊。“

這種情緒與圣海倫斯和諾斯利健康信息服務部信息學主任克里斯蒂娜沃爾特斯產生共鳴。由于最近的投資，Walters現在可以訪問安全儀表板，使她能夠看到IT部門在警報方面的位置以及其工作如何與業務優先級相匹配。技術有助于保持低威脅，但她認識到員工培訓是關鍵。

“你需要有合適的工具來監控和預防攻擊，”沃爾特斯說。“但成功的最重要因素之一是員工的教育。告訴人們不要點擊鏈接，不通過電話提供密碼，可能聽起來像是簡單的建議，但需要重復。建立正確的員工行為對維護信息安全至關重要。“Walters說她的組織專注于將移動技術作為正常工作日的一部分，她的團隊現在正在與臨床醫生密切合作，以改變他們批準和授權文檔的方式。她解釋說，這種對數字化和安全的共同關注必須是前進的方向，特別是對醫療保健部門的攻擊正在增加。

“自從WannaCry以來，信息安全在業務核心中具有最高優先級，”沃爾特斯說。“有很多支持，但它也是一個需要更多投資的領域，無論是來自中央政府還是地方政府的資金。

“董事會認識到投資是必需的，關鍵問題在于持續的資金是否足夠快。”