网络安全——一个高层管理人员的责任

“网络安全还没有被严格定义,但是,在实践中,它指的是新类型的安全相关的挑战,影响组织和社会数字转换,我们依赖相关的数字系统和服务——进展,”说Arttu Lehmuskallio、导演、芬兰国家网络安全中心,交通和通讯。

网络安全也可指措施,一个组织可以用它来保护其关键业务系统,软件,网络威胁对任何设备和数据通信网络。反过来,网络威胁是有害的事件或过程可以影响一个组织的业务,财务状况,数据,声誉,在最坏的情况下,其业务的连续性。

通过他的作品,Lehmuskallio与网络事件的长期经验,用于从风险的角度看问题。“我有时候怀疑——一半认真,如果我们真的知道我们会与数字转换。我们真的理解所有的风险和后果吗?”

开放的沟通会使每个人都受益匪浅

拒绝服务攻击、ransomware数据泄露,CEO欺诈行为,社会工程…。数字操作环境打开几个罪犯的机会和OT环境——和任何业务,大或小,依赖技术的风险成为网络犯罪的目标。

它不一定是你自己的组织直接攻击。

“什么使局势更加复杂是它不一定是自己的组织,直接攻击——它可能是一个组织在您的业务网络的困难对你的事业产生重大影响,”Lehmuskallio解释道。

了解这些数字之间的联系组织是预防网络攻击的关键部分。重要的是要确保各方遵守网络安全标准和公开分享信息威胁,例如。

“总的来说,所有的组织在一个部门或一个集群将受益于分享最佳实践也从开放的沟通和对话关于网络攻击,他们经历了。”

网络安全是一个高层管理人员的责任

网络安全此前被视为单独IT安全专家的关注。然而,这正在改变,由于越来越多的人意识到网络威胁和其他高管对及其可能对企业造成毁灭性影响。网络安全越来越成为高层管理人员和董事会层面非常担忧——也应该是这样的。

“根据最近的一项研究在芬兰公司,组织高层管理人员从事和优先网络安全网络攻击也会准备的更好,最好具备迅速恢复。这些组织已经接受了这个事实,就是预防网络威胁需要不断分析和投资,”Lehmuskallio说。

由于巨大的潜在影响,网络安全应该是不可分割的一部分,一个公司的风险管理,以及网络攻击恢复计划需要包含在综合业务连续性计划。还好,记住,许多其他风险相比,cybersecurity-related风险需要评估更多——最好在实时。所有这些使得网络安全对战略级别的问题。

“举个例子,当一个新的漏洞被发现从一个服务,它使服务,此前被认为是安全的不安全不仅立即还倒行逆施的。这意味着系统的问题已经不可能在其整个生命周期。不能保证没有发现并利用该漏洞已经年前。”

适当的策略支持cybersecure决策

精心创造的网络安全策略是一个很好的工具,转向一个组织的发展向更安全的和不系统和加强安全的例程在日常操作。例如,网络安全策略过程可能包括识别和评估潜在的风险,一个现实的评估组织中的网络安全的现状,包括其业务网络,以及决策有关开发区域和资源分配。

大约有90%的网络攻击是通过个人。

“战略也应该组织的cybersecurity-related目标和目标和手段,将有助于达到行为和日常生活,“Lehmuskallio说。

此外,增加人员通过通信网络威胁的意识,训练和危机演习是很重要的。

大约有90%的网络攻击是通过个人,人员往往是最薄弱的一环。这是可以理解的,因为我们人类是很容易的目标——我们强调,我们想请,我们不想被羞辱等等。

“可是,在我看来,这是一个组织和它的最高管理层有责任创建一个cybersecure环境和文化,帮助个人坚持安全的例程和做出正确的决定,限制个别员工可能导致的损害。”

熟能生巧,我们不应该错过的机会

网络安全演习是一个非常好的方法来测试一个组织的危机管理指南,流程和角色在实践中以及改善其危机宽容和加速康复网络安全事件。

“公司应该把运动作为一个危机的时机和影响它可以选择——“免费”危机,所以说,“Lehmuskallio说。一些增加练习的好处是提高观察、反应和恢复技能的员工和决策者的严重安全事故以及更快的资源配置领域确定为脆弱。

“非常重要的一些也增加了理解供应商的依赖性和一个增强识别和管理个人的威胁在网络环境中,“Lehmuskallio总结道。

文本桑娜Haanpaa-Liukko