Bagaimana Pemimpin Dapat Membuat Ketahanan Keamanan



<div _ngcontent-c17 = "" innerhtml = "

Pekan lalu, Adobe Inc. mengalami pelanggaran dunia maya di mana alamat email lebih dari 7,5 juta pelanggan terpapar. Untuk kepemimpinan Adobe, itu adalah pengingat nyata dari pelanggaran perusahaan tahun 2013, di mana 38 juta nama pengguna dan kata sandi dicuri. & Nbsp;

Di seluruh dunia, pelanggaran terjadi pada frekuensi yang mengkhawatirkan. Awal tahun ini, Forum Ekonomi Dunia peringkat "penipuan dan pencurian data" dan "serangan dunia maya" sebagai yang keempat dan kelima dalam daftar "10 risiko global yang menjadi perhatian tertinggi untuk dekade berikutnya." Kecuali jika upaya cybersecurity menyamai kecepatan kemajuan teknologi, organisasi memperkirakan ancaman ini dapat biaya sebanyak $ 90 triliun pada tahun 2030. & nbsp;

Terlepas dari prediksi yang mengerikan ini, banyak bisnis yang gagal mengikutinya. Lebih dari dua pertiga (69%) karyawan merasa pendekatan keamanan siber organisasi mereka “reaktif dan didorong oleh kejadian.” Itu tidak bisa diterima. Para pemimpin tidak dapat menunggu insiden terjadi, dan tidak dapat menyerahkan keamanan siber ke batas-batas departemen TI. Sebaliknya, para pemimpin harus mengambil pendekatan proaktif dan terpadu untuk memerangi meningkatnya jumlah kejahatan dunia maya dan kerentanan berbasis cloud. Berikut adalah tiga cara mereka bisa mulai hari ini. & Nbsp;

1. Tingkatkan Tim Keamanan Anda

A 2018 PricewaterhouseCoopers (PwC) survei menemukan bahwa hanya 39% responden “sangat nyaman dengan kecukupan” tenaga kerja cybersecurity dan privasi mereka, dan hanya 33% percaya bahwa perusahaan mereka “sepenuhnya siap untuk memenuhi persyaratan terkini dan yang muncul untuk cybersecurity, privasi data, dan tata kelola penggunaan data. ”Dalam semua kejujuran, waktu untuk membangun tim keamanan siber adalah kemarin. Jika sebuah perusahaan termasuk di antara mereka yang belum mempekerjakan tenaga kerja yang memadai, itu harus segera dilakukan. & Nbsp;

Posisi paling penting dalam tim keamanan adalah kepala petugas keamanan informasi (CISO atau CSO) – & nbsp; yang, luar biasa, 38% dari perusahaan Fortune 500 saat ini belum punya. Perusahaan-perusahaan yang tidak memiliki CISO ini melakukan kesalahan yang sama dengan Target, yang pelanggaran 2013-nya mengekspos data kartu kredit dan debit 40 juta pelanggan. Menurut mantan manajer, kurangnya CISO adalah "penyebab utama" dari pelanggaran tersebut. “& Lsqb; Target & rsqb; tidak memiliki advokat di tingkat C, sebagai eksekutif, yang mengadvokasi investasi keamanan TI, ”katanya. Pelanggaran itu membuat CEO Target dan CIO melakukan pekerjaan mereka, dan lebih mahal daripada perusahaan $ 200 juta. & nbsp;

Selain CISO yang berpengalaman, penelitian dari IBM menyarankan bahwa perusahaan harus menunjuk tim respons kejadian khusus (IR) yang menarik anggota dari berbagai departemen. Meskipun ini tidak akan mencegah pelanggaran, ini bisa mengurangi dampaknya. "Organisasi yang memiliki tim IR internal menanggapi serangan lebih cepat dan lebih baik dan menghemat biaya yang cukup besar dalam proses itu," kata laporan itu. Penghematan rata-rata adalah $ 14 per catatan; ketika dikalikan jutaan akun, mudah untuk melihat mengapa tim IR merupakan upaya yang layak. & nbsp;

2. Memelihara 'Budaya Keamanan'

Sementara beberapa pemimpin mungkin menganggap faktor eksternal sebagai ancaman terbesar organisasi mereka, penelitian dari IBM menemukan bahwa, pada tahun 2018, 29% serangan melibatkan email phishing dan 43% melibatkan server cloud yang tidak terkonfigurasi. Dengan kata lain, salah satu ancaman bisnis yang paling “tak kenal lelah” bukanlah peretas di sisi lain dunia, tetapi orang dalam perusahaan “yang tanpa disadari membahayakan lingkungan.” & Nbsp;

"Dalam sistem apa pun, manusia selalu merupakan kebocoran yang paling lemah," tulis Chris Romeo Tech Beacon. Oleh karena itu, para pemimpin harus mendorong "budaya keamanan" yang menembus semua tingkat organisasi mereka. Langkah pertama adalah berinvestasi dalam pelatihan kesadaran cybersecurity untuk karyawan. Menurut data dari PwC dan Accenture, hanya 34% perusahaan memiliki program seperti itu, dan hanya 13% pemimpin katakanlah berinvestasi lebih banyak dalam pelatihan adalah prioritas utama. Ini adalah kesalahan kritis. & Nbsp;

Pelatihan tidak hanya meningkatkan kesadaran, jelas Jason Choi dan rekan-rekannya di McKinsey, mereka juga "memberi sinyal kepada unit bisnis bahwa keamanan siber adalah tanggung jawab bersama" dan bahwa "& lsqb; a & rsqb; nyone yang memiliki akses ke data dan sistem rahasia, pada tingkat apa pun, harus memainkan peran aktif dalam memastikan keselamatan mereka." Pelatihan perlu tidak membosankan, juga; Samantha Davison, manajer program keamanan di Uber, menyarankan menggunakan gamification untuk membuat mereka tetap terlibat. "Pilih tema yang menyenangkan dan parodi itu – kami melakukan Game of Thrones," katanya kata. “Lemparkan lokakarya penulisan phishing dan minta karyawan Anda menulis email phising untuk perusahaan. Opsi tidak ada habisnya ketika Anda mulai berpikir di luar kotak. "& Nbsp;

3. Membina Komunikasi

Dengan Top & nbsp; Ancaman internal lain terhadap perusahaan adalah terputusnya tim keamanan dunia maya dan kepemimpinan bisnis. Baru baru ini survei dari Institut Ponemon menemukan bahwa 63% pemimpin keamanan TI tidak melapor ke dewan secara teratur – & nbsp; dan 40% tidak pernah melapor ke dewan sama sekali. Selanjutnya, hanya 27% dari papan awasi anggaran keamanan. Agar program keamanan siber perusahaan menjadi sukses, pendekatan terputus-putus ini tidak akan cukup. & Nbsp;

Kepemimpinan puncak perlu memainkan peran langsung dalam upaya keamanan siber – & nbsp; dan tidak hanya sekali terjadi pelanggaran. "Dewan direksi dan C-suite … harus dilibatkan dalam menegakkan pendekatan proaktif untuk mengidentifikasi dan memulihkan kesenjangan keamanan," kata Larry Ponemon, pendiri dan ketua Institut Ponemon. "Sementara sebagian besar perusahaan memiliki eksekutif yang bertugas menentukan secara akurat kemanjuran strategi keamanan siber mereka, mereka perlu mengkomunikasikan temuan ini kepada para pemimpin senior dan dewan secara teratur."

Kasus untuk menghancurkan silo keamanan siber dibuat jelas oleh Equifax. Pelanggarannya pada 2017 mengungkapkan data pribadi 150 juta orang dan merugikan perusahaan $ 1,4 miliar. Meskipun alasan teknis untuk pelanggaran itu adalah "masalah penambalan," Lance Spitzner, direktur SANS Security Awareness, mengatakan itu benar-benar disebabkan oleh orang dan struktur. Lebih khusus lagi, itu disebabkan oleh fakta bahwa OMS tidak melaporkan ke CIO. "ITU dibungkam dari keamanan," dia menulis, "Keduanya jarang dikomunikasikan atau dikoordinasikan, meninggalkan lubang menganga di organisasi." & Nbsp; & nbsp;

Seiring kemajuan teknologi, tidak ada keraguan bahwa upaya cybersecurity harus maju bersamanya. Untuk menghindari nasib Adobe, Target, dan Equifax, para pemimpin di setiap perusahaan harus mengambil langkah proaktif untuk menciptakan ketahanan dunia maya. Seperti yang ditulis Omar Abbosh dan Kelly Bissell Accenture, “Cybersecurity adalah fondasi dari bisnis cerdas masa depan. Jika perusahaan ingin berhasil melalui penggunaan kemampuan digital, untuk mengembangkan pengetahuan pelanggan yang unggul, wawasan yang unik, dan kekayaan intelektual yang dimiliki … mereka akan memerlukan strategi keamanan siber yang kuat untuk mendukung semuanya. "& Nbsp;

">

Pekan lalu, Adobe Inc. mengalami pelanggaran dunia maya di mana alamat email lebih dari 7,5 juta pelanggan terekspos. Untuk kepemimpinan Adobe, itu adalah pengingat nyata akan pelanggaran perusahaan tahun 2013, di mana 38 juta nama pengguna dan kata sandi dicuri.

Di seluruh dunia, pelanggaran terjadi pada frekuensi yang mengkhawatirkan. Awal tahun ini, Forum Ekonomi Dunia menempatkan "penipuan dan pencurian data" dan "serangan siber" sebagai yang keempat dan kelima dalam daftar "10 risiko global teratas yang menjadi perhatian utama pada dekade berikutnya." Kecuali jika upaya keamanan dunia maya menyamai kecepatan teknologi. Di muka, organisasi memperkirakan ancaman ini dapat menelan biaya $ 90 triliun pada tahun 2030.

Terlepas dari prediksi yang mengerikan ini, banyak bisnis yang gagal mengikutinya. Lebih dari dua pertiga (69%) karyawan merasa pendekatan keamanan siber organisasi mereka “reaktif dan didorong oleh kejadian.” Itu tidak dapat diterima. Para pemimpin tidak dapat menunggu insiden terjadi, dan tidak dapat menyerahkan keamanan siber ke batas-batas departemen TI. Sebaliknya, para pemimpin harus mengambil pendekatan proaktif dan terpadu untuk memerangi meningkatnya jumlah kejahatan dunia maya dan kerentanan berbasis cloud. Berikut adalah tiga cara mereka bisa mulai hari ini.

1. Tingkatkan Tim Keamanan Anda

Survei PricewaterhouseCoopers (PwC) tahun 2018 menemukan bahwa hanya 39% responden “sangat nyaman dengan kecukupan” tenaga cybersecurity dan privasi mereka, dan hanya 33% percaya bahwa perusahaan mereka “sepenuhnya siap untuk memenuhi persyaratan terkini dan yang muncul untuk keamanan cybersecurity, data. privasi, dan tata kelola penggunaan data. ”Dalam semua kejujuran, waktu untuk membangun tim keamanan siber adalah kemarin. Jika suatu perusahaan termasuk di antara mereka yang belum mempekerjakan tenaga kerja yang memadai, itu harus segera dilakukan.

Posisi paling penting dalam tim keamanan adalah kepala petugas keamanan informasi (CISO atau CSO) – yang luar biasa, 38% dari perusahaan Fortune 500 saat ini tidak memiliki. Perusahaan-perusahaan yang tidak memiliki CISO ini melakukan kesalahan yang sama dengan Target, yang pelanggaran 2013-nya mengekspos data kartu kredit dan debit 40 juta pelanggan. Menurut mantan manajer, kurangnya CISO adalah "penyebab utama" dari pelanggaran tersebut. "(Target) tidak memiliki advokat di tingkat C, sebagai seorang eksekutif, yang mengadvokasi investasi keamanan TI," katanya. Pelanggaran ini menyebabkan CEO Target dan CIO melakukan pekerjaan mereka, dan merugikan perusahaan lebih dari $ 200 juta.

Selain CISO yang berpengalaman, penelitian dari IBM menunjukkan bahwa perusahaan harus menunjuk tim respons insiden spesifik (IR) yang menarik anggota dari berbagai departemen. Meskipun ini tidak akan mencegah pelanggaran, ini bisa mengurangi dampaknya. "Organisasi yang memiliki tim IR internal menanggapi serangan lebih cepat dan lebih baik dan menghemat biaya yang cukup besar dalam proses itu," kata laporan itu. Penghematan rata-rata adalah $ 14 per catatan; ketika dikalikan jutaan akun, mudah untuk melihat mengapa tim IR merupakan upaya yang layak.

2. Memelihara 'Budaya Keamanan'

Sementara beberapa pemimpin mungkin menganggap faktor-faktor eksternal sebagai ancaman terbesar organisasi mereka, penelitian dari IBM menemukan bahwa, pada tahun 2018, 29% serangan melibatkan email phishing dan 43% melibatkan server cloud yang tidak terkonfigurasi. Dengan kata lain, salah satu ancaman bisnis yang paling “tak kenal ampun” bukanlah peretas di sisi lain dunia, tetapi orang dalam perusahaan “yang tanpa sadar membahayakan lingkungan.”

"Dalam sistem apa pun, manusia selalu merupakan kebocoran yang paling lemah," tulis Chris Romeo di Tech Beacon. Oleh karena itu, para pemimpin harus mendorong "budaya keamanan" yang menembus semua tingkat organisasi mereka. Langkah pertama adalah berinvestasi dalam pelatihan kesadaran cybersecurity untuk karyawan. Menurut data dari PwC dan Accenture, hanya 34% perusahaan yang memiliki program seperti itu, dan hanya 13% dari para pemimpin mengatakan berinvestasi lebih banyak dalam pelatihan adalah prioritas utama. Ini adalah kesalahan kritis.

Tidak hanya pelatihan yang meningkatkan kesadaran, jelas Jason Choi dan rekan-rekannya di McKinsey, mereka juga “memberi sinyal kepada unit bisnis bahwa cybersecurity adalah tanggung jawab bersama” dan bahwa “(a) orang yang memiliki akses ke data dan sistem rahasia, pada tingkat apa pun , harus memainkan peran aktif dalam memastikan keselamatan mereka. ”Pelatihan juga tidak perlu membosankan; Samantha Davison, manajer program keamanan di Uber, menyarankan menggunakan gamification untuk membuat mereka tetap terlibat. “Pilih tema yang menyenangkan dan parodi itu – kami melakukan Game of Thrones,” katanya. “Lemparkan lokakarya penulisan phishing dan minta karyawan Anda menulis email phising untuk perusahaan. Opsi tidak ada habisnya ketika Anda mulai berpikir di luar kotak. ”

3. Membina Komunikasi

Dengan Top Ancaman internal lainnya bagi perusahaan adalah terputusnya tim keamanan dunia maya dan kepemimpinan bisnis. Sebuah survei baru-baru ini dari Ponemon Institute menemukan bahwa 63% pemimpin keamanan TI tidak melapor ke dewan secara teratur – dan 40% tidak pernah melapor ke dewan sama sekali. Selain itu, hanya 27% dewan yang mengawasi anggaran keamanan. Agar program keamanan siber perusahaan menjadi sukses, pendekatan terputus-putus ini tidak akan cukup.

Kepemimpinan puncak perlu memainkan peran langsung dalam upaya keamanan siber – dan tidak hanya sekali terjadi pelanggaran. "Dewan direksi dan C-suite … harus dilibatkan dalam menegakkan pendekatan proaktif untuk mengidentifikasi dan memulihkan kesenjangan keamanan," kata Larry Ponemon, pendiri dan ketua Institut Ponemon. "Sementara sebagian besar perusahaan memiliki eksekutif yang bertugas menentukan secara akurat kemanjuran strategi keamanan siber mereka, mereka perlu mengkomunikasikan temuan ini kepada para pemimpin senior dan dewan secara teratur."

Kasus untuk menghancurkan silo keamanan siber dibuat jelas oleh Equifax. Pelanggaran di tahun 2017 mengungkapkan data pribadi 150 juta orang dan menelan biaya perusahaan $ 1,4 miliar. Meskipun alasan teknis untuk pelanggaran itu adalah "masalah penambalan," Lance Spitzner, direktur SANS Security Awareness, mengatakan itu benar-benar disebabkan oleh orang dan struktur. Lebih khusus lagi, itu disebabkan oleh fakta bahwa OMS tidak melaporkan ke CIO. "ITU dibungkam dari keamanan," tulisnya, "keduanya jarang dikomunikasikan atau dikoordinasikan, meninggalkan lubang menganga di organisasi."

Seiring kemajuan teknologi, tidak ada keraguan bahwa upaya cybersecurity harus maju bersamanya. Untuk menghindari nasib Adobe, Target, dan Equifax, para pemimpin di setiap perusahaan harus mengambil langkah proaktif untuk menciptakan ketahanan dunia maya. Seperti yang ditulis Omar Abbosh dan Kelly Bissell di Accenture, “Cybersecurity adalah fondasi dari bisnis cerdas masa depan. Jika perusahaan ingin berhasil melalui penggunaan kemampuan digital, untuk mengembangkan pengetahuan pelanggan yang unggul, wawasan yang unik, dan kekayaan intelektual yang dimiliki … mereka akan memerlukan strategi keamanan siber yang kuat untuk mendukung semuanya. "