Iย Ceoย hanno il compito di guidare tutte le operazioni e la pianificazione strategica delle loro aziende. Hanno grandi responsabilitร e non possono essere competenti su qualsiasi argomento, soprattutto quelli tecnologici.
Quindi, possono essere perdonati se credono che le persone brillanti e capaci che mettono a capo della sicurezza IT stiano prendendo le giuste contromisure contro le minacce.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Negli anni hanno imparato una serie di miti sulla sicurezza IT che rasentanoย dogmiย inavvicinabili, ma falsi. E quando si crede alle cose sbagliate, รจ difficile fare le cose giuste in modo efficiente. Ecco i miti comuni dei ceo relativamente alla sicurezza.
I miti dei Ceo per la sicurezza
Gli aggressori non possono essere fermati.ย La maggior parte delle difese sono cosรฌ deboli e mal consigliate che hacker eย malwareย possono irrompervi a loro piacimento. Le difese del computer sono cosรฌ cattive e porose che ai ceo รจ stato detto che รจย impossibile fermare gli hacker e il malware.
La cosa migliore che possono fare รจ “presumere una violazione”,ย lavorare al rilevamento precoce e rallentare gli aggressori una volta che sono nell’ambiente. Se รจ vero che un gruppo di hacker dedicato, finanziato dagli stati nazionali, non puรฒ essere facilmente fermato, la maggior parte degli hacker e dei malware puรฒ essere fermata facendo meglio una manciata di cose che l’azienda sta probabilmente giร facendo, ma non nelle giuste quantitร e nei posti giusti. Una strategia di sicurezza It piรน mirata e un paio di difese chiave potrebbero ridurre in modo significativo la maggior parte del rischio di intrusione di hacker o malware nell’ambiente.
Gli hacker sono smart. Il mondo pensa che gli hacker siano tutti geniali e brillanti e quindi molto difficili da fermare. Questo ideale romantico รจ promosso nei film di Hollywood, che spesso mostrano l’hacker che prende in consegna i computer di tutto il mondo facilmente indovinando le password in qualsiasi sistema.ย Gli hacker cinematograficiย superano tutti in fatto di astuzia e possono lanciare missili nucleari e cancellare le identitร digitali delle persone con pochi tasti.
La realtร รจ che la maggior parte degli hacker hanno unโintelligenza media e sono piรน simili ad idraulici ed elettricisti che ad Einstein. Gli hacker sanno solo come compiere un particolare mestiere usando particolari strumenti, ma invece di idraulica ed elettricitร si occupano di informatica. Questo non vuol dire che non ci siano hacker brillanti, ma sono pochi e lontani tra loro, proprio come in ogni altra professione. Purtroppo, il mito che tutti gli hacker siano brillanti rafforza il mito che non possono essere sconfitti.
La sicurezza IT sa dove intervenire. La realtร รจ che pochi team di sicurezza IT dispongono di dati reali per eseguire il backup di quelli che ritengono essere i problemi reali. Se il ceo dovesse chiedere quali sono le principali minacce alla propria organizzazione in ordine di importanza, probabilmente rimarrebbe sconcertato nel vedere che nessuno conosce davvero la risposta. Anche se qualcuno ha dato la risposta giusta, non avrebbe i dati per eseguire il backup. Il team della sicurezza It รจ invece pieno di persone che non sono nemmeno d’accordo su quali siano i problemi maggiori. Se il team non sa quali sono i problemi piรน gravi, come si possono combattere le minacce piรน gravi nel modo piรน efficiente?
La conformitร alla sicurezza vuol dire maggiore sicurezza. I Ceo devono assicurarsi che le loro aziende soddisfino tutti i requisiti di conformitร legale e normativa, vediย GDPR. Oggi, la maggior parte delle aziende รจ soggetta a requisiti di sicurezza IT multipli, a volte in disaccordo. Tutti i ceo sanno che se rispettano gli obblighi di conformitร stanno facendo ciรฒ che un tribunale interpreterebbe come sicuro. Purtroppo, ciรฒ che รจ richiesto dalla conformitร spesso non รจ lo stesso che essere sicuri, e a volte puรฒ essere in contrasto con la sicurezza reale.
Intermezzo promozionale ... continua la lettura dopo il box:
Ad esempio, oggi sappiamo che i requisiti della policy in materia di password, che prevede l’utilizzo di password lunghe e complesse che devono essere cambiate frequentemente nel corso dell’anno, stanno causando maggiori rischi per la sicurezza rispetto all’utilizzo di password non complesse che non cambiano mai. ร nella maggior parte delle raccomandazioni “ufficiali” di password inviate negli ultimi anni, incluse le pubblicazioni delย Nist. La maggior parte dei responsabili della sicurezza IT e dei Ceo non ne sono a conoscenza. Anche se ne sono a conoscenza, non possono seguire le nuove e migliori linee guida per le password. Perchรฉ? Perchรฉ nessuno degli attuali requisiti normativi รจ stato aggiornato per seguire le nuove linee guida in materia di password. La conformitร non รจ sempre uguale alla sicurezza. A volte, รจ il contrario.
Laย patchย รจ sotto controllo. La maggior parte dei Ceo pensa di avere patch sotto controllo. Per controllo si intende che la conformitร delle patch del software รจ aggiornata al 100% o quasi. La maggior parte dei reparti di sicurezza It probabilmente dice al ceo che le patch sono “quasi perfette”, probabilmente nel 90% dei casi, ma il diavolo รจ nei dettagli.
La maggior parte delle aziende hanno centinaia di migliaia di programmi che hanno bisogno di patch. La maggior parte di loro non ha mai bisogno di patch, non perchรฉ non hanno bug, ma perchรฉ gli aggressori non li attaccano. I bug non vengono trovati e non hanno bisogno di essere corretti. Nella maggior parte delle organizzazioni, la maggior parte dei rischi di hacking รจ rappresentata da 10-20 programmi non coordinati. Di questi programmi, la percentuale di accuratezza delle patch รจ probabilmente molto alta per la maggior parte dei programmi, con forse uno o due programmi che non vengono patchati alla stessa velocitร degli altri. Sfortunatamente, sono proprio quei programmi non patch che presentano la maggior parte dei rischi nella maggior parte delle organizzazioni, ma se si riportano solo i numeri, potrebbe sembrare che la patch sia abbastanza buona.
La formazione dei dipendenti in materia di sicurezza รจ adeguata. Una delle due principali minacce per la maggior parte delle aziende รจ l’ingegneria sociale, sia in arrivo via e-mail o browser web, o forse anche una telefonata. Considerando solo gli attacchi che hanno causato il maggior numero di danni, l’ingegneria sociale รจ probabilmente coinvolta nel 99% dei casi. Tuttavia, la maggior parte delle aziende dedica meno di 30 minuti l’anno alla formazione inย social engineering. Il mondo della difesa della sicurezza informatica ha identificato uno dei due problemi principali nella maggior parte delle organizzazioni (l’altro รจ il software non patch) eppure quasi nessuna organizzazione agisce in questo modo. Invece, i dipendenti non sono adeguatamente formati per impedire che l’ingegneria sociale abbia successo, e le aziende continuano ad essere ostacolate con successo, non importa che altro facciano, non importa quanto denaro o altre risorse apportino.
https://www.01net.it/ceo-sicurezza/
