Cybersécurité: quatre façons d'éloigner les pirates
Découvrez comment les DSI peuvent créer des stratégies de sécurité des informations qui aident à protéger les pirates et les données.
Les DSI subissent plus de pression que jamais en ce qui concerne les problèmes de cybersécurité, en particulier maintenant parce que de nombreux voire tous les employés de leur entreprise travaillent à domicile et peuvent utiliser des logiciels et du matériel inconnus pour faire leur travail. s'il est bloqué.
Le nombre d'appareils et d'applications dont il est responsable a augmenté rapidement depuis la crise des coronavirus, et les criminels ont tenté de profiter de toutes les entreprises déséquilibrées en raison de l'évolution rapide des circonstances. Cela signifie repenser ce que signifie réellement la sécurité informatique. . Les analystes techniques de HFS Research ont récemment rapporté que 56% des entreprises espéraient augmenter leurs coûts de sécurité en réponse à COVID-19.
"Le paysage des menaces change chaque jour", a déclaré Simon Liszt, directeur de l'information de la Caisse de pensions. "Nous devons changer notre approche pour réaliser que la sécurité de l'information ne consiste pas à savoir si vous êtes concerné, mais quand vous êtes exposé. Il est difficile de comprendre ces changements dans la technologie, la culture et le leadership - non seulement pour PPF, mais pour de nombreuses organisations."
Liszt a déclaré qu'il avait la chance d'avoir une solide expérience technique et, en raison de son rôle précédent en tant qu'ingénieur technique et analyste, était sûr qu'il avait une bonne compréhension des problèmes de cybersécurité. Dans quatre domaines, les responsables informatiques doivent se concentrer sur la création de stratégies de sécurité efficaces.
1. Obtenez des rabais de l'équipe de direction
Selon Liszt, il est très important que le conseil comprenne l'importance de la cybersécurité. "Au niveau du conseil, c'est un ordre du jour à tout moment, en particulier dans la position actuelle au COVID-19", a-t-il déclaré.
PPF a été créé par la loi sur les pensions de 2004 et protège des millions de personnes au Royaume-Uni qui font partie d'un régime de retraite à prestations définies. Si leurs employeurs se séparent et que leur système de retraite n'est pas en mesure de payer ce qu'ils ont promis, le PPF versera une compensation pour leurs pensions perdues.
"Nous sommes responsables vis-à-vis de nos collègues internes et des membres externes de garantir la sécurité des données dont nous disposons", a-t-il déclaré. "En raison du rôle que nous jouons en tant qu'organisation, nous devons protéger la propriété intellectuelle que nous avons."
Depuis qu'elle a rejoint PPF en février 2018, Liste a travaillé avec les conseils pour sensibiliser aux menaces de cybersécurité. L'effort en vaut la peine.
"Vous obtenez vraiment un rôle important dans la sécurité des informations pour notre entreprise", a-t-il déclaré. "Et ils continuent de développer leur compréhension afin de savoir que la sécurité ne consiste pas seulement à faire face à des menaces externes."
2. Concentrez-vous sur la reconfiguration constante de votre processus
Lorsqu'il est devenu CIO chez PPF, List a restauré la gestion de la cybersécurité après avoir été externalisé. Il souhaite reprendre le contrôle des décisions de gestion informatique et mettre en place un département de sécurité de l'information et de protection des données.
"Nous effectuons non seulement des inspections annuelles de notre système, mais nous évaluons constamment notre propriété", a-t-il déclaré. "La cybersécurité consiste à garder une longueur d'avance tout le temps, mais il s'agit également de comprendre que vous ne pouvez pas trouver de balles d'argent pour éclaircir les choses. Cela ne se produit pas, vous avez donc besoin d'une philosophie que vous examinez et défiez constamment" "
Dans le cadre de la gestion interne des systèmes de cybersécurité, Liste a constitué un comité de sécurité de l'information pour aider à coordonner les initiatives de sécurité informatique au niveau de la direction et pour garantir que la valeur - et les risques liés aux données - sont identifiés et reconnus.
Cette organisation adhère aux meilleures pratiques de l'industrie, notamment ISO 27001, une norme internationale pour la sécurité de l'information. PPF envisage également le système de diffusion d'informations Cyber Essentials Plus, qui est géré par le National Cybersecurity Center.
"Le mécanisme pour utiliser le bon processus est important", a déclaré Liszt. "Vous devez penser à un certain nombre de questions clés: comment identifier, comment surveiller, comment gérer, comment récupérer et comment être actif?"
3. Présentez vos partenaires de sécurité - et testez-le aussi
Selon Liszt, son équipe peut partager des modèles de support et distribuer des envois à un certain nombre de fournisseurs en raison de coups informatiques, réduisant ainsi les risques potentiels.
"Ne mettez pas tous vos œufs dans le même panier", a-t-il dit. "Il existe souvent un débat sur les solutions de sécurité à faible coût, mais je ne pense pas que les coûts de sécurité puissent être sacrifiés. Ce n'est pas une décision financière - il s'agit davantage de découvrir ce qui est le plus important avec les données. Vous avez besoin de protection."
Selon Liszt, PPF utilise le cloud, les services de passerelle de périmètre et les pare-feu d'entreprise plus traditionnels. Il a suggéré à d'autres DSI de répartir les risques au niveau matériel et d'utiliser différents fournisseurs pour divers domaines de l'infrastructure informatique tels que les serveurs et les ordinateurs de bureau. Il a déclaré que les partenaires de sécurité les plus importants de PPF étaient "les cinq meilleurs spécialistes du monde".
"Un bon partenaire de sécurité dispose d'informations - il peut demander ce qui se passe dans votre réseau et quel trafic entre et sort, mais il sait également ce qui se passe en dehors de votre entreprise dans un endroit comme un réseau sombre", a-t-il déclaré.
Ce document est impressionné par l'expertise qu'il reçoit, mais conseille aux autres DSI de ne pas le prendre pour acquis. Il traite son partenaire principal comme une «équipe bleue», mais emploie également un hacker éthique «équipe rouge» qui teste régulièrement l'approche de leur principal partenaire de sécurité.
"On peut voir s'ils peuvent violer les services et les recommandations fournis", a-t-il déclaré. "Nous essayons simplement d'équilibrer la façon dont nous protégeons les personnes et les données et la façon dont les personnes et les données interagissent."
4. Prenez soin du reste de l'entreprise
Liste a cherché à accroître la sensibilisation à la sécurité au niveau du conseil et à renforcer les capacités de sécurité du service informatique. Cependant, il est important de réaliser qu'une bonne sécurité est l'effort de toute l'organisation. Lorsqu'il s'agit de créer des programmes éducatifs, les DSI doivent être prêts à s'appuyer sur l'expertise d'autres gestionnaires de fonctions.
"Il est très important de bien travailler avec votre équipe de formation et de développement, l'équipe de communication et l'équipe de formation", a-t-il déclaré. "Vous devez travailler avec ces experts pour vous assurer de toujours obtenir les dernières informations, communiquer avec eux et les former à développer des risques de cybersécurité."
Selon Liszt, les programmes structurés de sensibilisation interne et de sensibilisation interne sont le meilleur moyen de former les employés. Mais il a également déclaré que la formation ne devrait pas s'arrêter au pare-feu de l'entreprise, d'autant plus que la plupart des employés travaillent désormais à domicile en raison de la distance sociale.
"Nous ne limitons pas notre approche de l'enseignement commercial", a déclaré Liszt. "Nous parlons également de la sensibilisation à domicile, ce qui est clairement très important en ce moment. Nous parlons du risque de phishing et de la connaissance des SMS qui vous font cliquer sur des liens. Nous disons que la pratique est sûre, que nos employés utilisent pendant les opérations doit continuer à tout moment. "
Source : ZDNet