Säkerhet är allas jobb på arbetsplatsen

scimone huvudkonstbild

scimone huvudkonstbild





I samarbete med Dell Technologies

Hackare runt om i världen är smarta: de vet att det inte bara är bra kod som hjälper dem att bryta sig in i system; det handlar också om att förstå – och att tycka om – mänskligt beteende. Hotet mot företag i form av cyberattacker bara växer – särskilt när företag går över till att anamma hybridarbete.



Men John Scimone, senior vice president och säkerhetschef på Dell Technologies, säger att säkerhet är allas jobb. Och att bygga en kultur som speglar det är en prioritet eftersom cyberattacker inte kommer att minska. Han förklarar: När vi överväger sårbarheten som industri och organisationer står inför exploderar teknik och data snabbt och växer i volym, variation och hastighet. Ökningen av attacker innebär en ökad skada för företag, fortsätter han: Jag måste säga att ransomware förmodligen är den största risken som de flesta organisationer står inför idag.

Och även om ransomware inte är en ny utmaning, förstärks den med övergången till hybridarbete och experterna på talangbrist har varnat för i flera år. Scimone förklarar, En av de viktigaste utmaningarna vi har sett inom IT-området, och särskilt inom säkerhetsområdet, är en utmaning kring arbetskraftsbrist. Han fortsätter: På säkerhetssidan ser vi bristen på cybersäkerhetsproffs som en av de centrala sårbarheterna inom sektorn. Det är verkligen en kris som både den offentliga och privata sektorn har varnat för i flera år.

Men att investera i anställda och bygga en stark kultur kan skörda fördelar för cybersäkerhetsinsatser. Scimone beskriver framgångarna som Dell har sett. Under det senaste året har vi sett tusentals riktiga nätfiskeattacker som upptäckts och stoppades som ett resultat av att våra anställda såg dem först och rapporterade dem till oss.



Och lika mycket som organisationer försöker närma sig cybersäkerhet ur ett systemiskt och tekniskt perspektiv, råder Scimone att fokusera på medarbetaren också: Så utbildning är viktigt, men återigen, det är mot bakgrund av en kultur organisatoriskt, där varje teammedlem vet att de har en roll att spela.

Visa anteckningar

Fullständig avskrift

Laurel Ruma : Från MIT Technology Review, jag heter Laurel Ruma, och det här är Business Lab, programmet som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden.

Vårt ämne idag är cybersäkerhet och påfrestningen av trenden att arbeta från var som helst på företag. Med en ökning av cybersäkerhetsattacker är det absolut nödvändigt att säkra ett bredare nätverk av anställda och enheter. Men att hålla säkerheten i fokus för anställda kräver också investeringar i kultur. Två ord till dig. Säkrad arbetskraft.



Min gäst är John Scimone, senior vice president och säkerhetschef på Dell Technologies. Innan Dell arbetade han som global informationssäkerhetschef för Sony Group.

Det här avsnittet av Business Lab är producerat i samarbete med Dell Technologies.

Välkommen, John.



John Scimone : Tack för att du har mig, Laurel. Bra att vara här.

Laurel : Till att börja med, hur skulle du beskriva det nuvarande datasäkerhetslandskapet, och vad ser du som det mest betydande datasäkerhetshotet?

John : För alla som kan lyssna på ett nyhetsställe idag ser vi att dessa attacker slår närmare hemmet, påverkar offentliga evenemang i år, hotar att störa vår livsmedelsförsörjningskedja och våra verktyg, och vi ser cyberattacker som drabbar organisationer av alla storlekar och över hela världen alla branscher. När jag tänker på cyberriskens landskap delar jag upp det i tre områden. För det första, hur sårbar är jag? Nästa, hur troligt är det att jag drabbas av en av dessa attacker? Och till sist, så vad händer om jag gör det? Vilka är konsekvenserna?

När vi tar hänsyn till den sårbarhet som industri och organisationer står inför exploderar teknik och data snabbt och växer i volym, variation och hastighet. Det finns verkligen inga tecken på att det ska sluta, och i dagens on-demand-ekonomi händer ingenting utan data. Vår senaste Data Paradox-studie (som vi gjorde med Forrester) bekräftade att företag är överväldigade av data. Och att pandemin har lagt ytterligare påfrestningar på team och resurser – inte bara i den data de genererar, där 44 % av de tillfrågade sa att pandemin avsevärt hade ökat mängden data de behöver för att samla in, lagra och analysera – men även i säkerhetskonsekvenserna av att fler arbetar hemifrån. Mer än hälften av de tillfrågade har varit tvungna att vidta nödåtgärder för att hålla data säker utanför företagets nätverk medan människor arbetat på distans.

Vi följde upp med en annan studie specifikt om dataskydd mot dessa bakgrunder. I årets globala dataskyddsindex fann vi att organisationer hanterar mer än 10 gånger mängden data som de gjorde för fem år sedan. Oroväckande nog är 82 % av de tillfrågade oroade över att deras organisations befintliga dataskyddslösningar inte kommer att kunna möta alla deras framtida affärsutmaningar. Och 74 % tror att deras organisation har ökat exponeringen för dataförlust från cyberhot, med ökningen av antalet anställda som arbetar hemifrån.

Sammantaget ser vi att sårbarheten ökar markant. Men hur är det med sannolikheten? Hur troligt är det att vi drabbas av dessa saker? När vi tänker på sannolikhet är det egentligen en fråga om hur motiverade och kapabla hoten där ute är. Och ur ett motivationsperspektiv är risken för dessa brottslingar låg och belöningen förblir extremt hög. Cyberattacker beräknas kosta världens biljoner dollar i år, och verkligheten är att väldigt få brottslingar kommer att gripas eller få konsekvenser för det. Och de blir alltmer kapabla, och verktygen och kunnandet för att utföra dessa attacker blir mer varumärkta och allmänt tillgängliga. Hoten växer i sofistikering och utbredning.

Slutligen, ur ett konsekvensperspektiv, fortsätter kostnaderna att stiga när organisationer drabbas, oavsett om kostnaderna är påverkan på varumärkets rykte, driftsavbrott eller påverkan från rättegångskostnader och böter. Vårt senaste globala dataskyddsindex visar att en miljon dollar var den genomsnittliga kostnaden för dataförlust under de senaste 12 månaderna. Och lite över en halv miljon dollar var den genomsnittliga kostnaden för oplanerade systemavbrott under det senaste året. Och det fanns många fall i år som rapporterades offentligt där företag stod inför krav på lösen på över 50 miljoner dollar.

Jag oroar mig för att dessa konsekvenser bara kommer att fortsätta växa. Mot bakgrund av detta måste jag säga att ransomware förmodligen är den största risken som de flesta organisationer står inför idag. I verkligheten är de flesta företag fortfarande sårbara för det. Det händer med ökande prevalens – vissa studier visar så ofta som var 11:e sekund en ransomware-attack sker – och konsekvenserna ökar och drabbar vissa organisationer med tiotals miljoner dollar i lösensummor.

Laurel : Med den globala övergången till att arbeta var som helst och ökningen av cybersäkerhetsattacker i åtanke, vilka typer av säkerhetsrisker behöver företag tänka på? Och hur är attackerna annorlunda eller ovanliga från för två eller tre år sedan?

John : När vi såg en massmobilitetsrörelse med många företag, anställda som gick över till distansarbete, såg vi en ökning av risken eftersom organisationer hade anställda som använde sina företags bärbara datorer och företagssystem utanför sina traditionella säkerhetsgränser. Det är tyvärr så att vi skulle se anställda använda sitt personliga system i arbetssyfte och sitt arbetssystem för personliga ändamål. I verkligheten utformade många organisationer aldrig från början och tänkte på en distansarbetsstyrka för massrörlighet. Som ett resultat har sårbarheten i dessa miljöer ökat avsevärt.

Dessutom, när vi tänker på hur brottslingar fungerar, livnär sig kriminella på osäkerhet och rädsla, oavsett om det är cyberbrottslighet eller brottslighet i den fysiska världen, skapar osäkerhet och rädsla en mogna miljöbrott av alla slag. Tyvärr har både osäkerhet och rädsla varit riklig under de senaste 18 månaderna. Och vi har sett att cyberbrottslingar har utnyttjat det och utnyttjat företagens bristande beredskap, med tanke på störningshastigheten och spridningen av data som ägde rum. Det var en läglig miljö för cyberbrottslighet att frodas. I vår egen forskning såg vi att 44 % av de tillfrågade företagen har upplevt fler cyberattacker och dataförluster under det senaste året eller så.

Laurel : Tja, det är verkligen betydelsefullt. Så, hur är det nu internt ur ett IT-stödsperspektiv – de måste stödja alla dessa ytterligare noder från personer som arbetar på distans samtidigt som de tar itu med de ytterligare riskerna med social ingenjörskonst och ransomware. Hur har den kombinationen ökat datasäkerhetshoten?

John : En intressant biprodukt av pandemin och av denna massiva övergång till distansarbete är att den fungerade som en betydande accelerator för traditionella IT-initiativ. Vi såg en acceleration av digital transformation i IT-initiativ som tidigare kan ha varit planerade eller pågående. Men som du nämnde är resurserna tänjda. En av de viktigaste utmaningarna vi har sett inom IT-området och särskilt inom säkerhetsområdet är en utmaning kring arbetskraftsbrist. På säkerhetssidan ser vi bristen på cybersäkerhetsproffs som en av de centrala sårbarheterna inom sektorn. Det är verkligen en kris som både den offentliga och privata sektorn har varnat för i flera år. Faktum är att det gjordes en arbetskraftsstudie för cybersäkerhet som gjordes förra året av ISC2 som uppskattar att vi är 3,1 miljoner utbildade cybersäkerhetsproffs som saknar vad industrin faktiskt behöver skydda mot cyberbrottslighet.

När vi ser framåt uppskattar vi att vi kommer att behöva öka talangen med cirka 41 % i USA och 89 % över hela världen bara för att möta behoven i det digitalt omvandlande samhället när dessa krav ökar. Arbetet är verkligen en viktig del av ekvationen och en oro ur ett sårbarhetsperspektiv. Vi ser till att starta organisationer i en bättre position i detta avseende. Vi anser att inbyggnad av säkerhet, integritet och motståndskraft i erbjudandet bör vara centralt, från design till tillverkning, hela vägen genom en säker utvecklingsprocess genom försörjningskedjan, och följa data och applikationer vart de än går. Vi kallar denna strategi för inneboende säkerhet, och i huvudsak bygger den in säkerhet i den infrastruktur och plattformar som kunderna kommer att använda, och kräver därför mindre expertis för att få rätt säkerhet.

Som du påpekar avtar inte attackerna. Social ingenjörskonst, i synnerhet, fortsätter att vara en stor oro. För de som inte är bekanta med social ingenjörskonst är det i grunden när kriminella försöker lura anställda att lämna över information eller öppna dörren för att släppa in kriminella i deras system, till exempel genom nätfiske-e-post, som vi fortsätter att se som en av de mest populära metoderna som används av hackare för att få sin första fot inom dörren till företagsnätverk.

Laurel : Är inre säkerhet mycket lik säkerhet genom design, där produkterna är avsiktligt byggda med fokus på säkerhet först, inte säkerhet sist?

John : Det är rätt. Säkerhet genom design, integritet genom design – och inte bara genom design, utan som standard, få det rätt, vilket gör det enkelt att göra rätt saker ur ett säkerhetsperspektiv när man överväger att använda dessa tekniker. Det innebär naturligtvis en ökning av säkerhetsproffs i hela företaget, men också att se till att säkerhetsproffs berör alla erbjudanden i varje skede av designen och att se till att bästa praxis införs från design-, utvecklings- och tillverkningsstadierna hela vägen igenom, även efter att de har sålt de tjänster och support som följer dem. Vi ser detta som en vinnande strategi i ljuset av de utmaningar vi ser i stor skala, de utmaningar som våra kunder står inför när det gäller att hitta rätt cybersäkerhetstalang för att hjälpa dem att skydda sina organisationer.

Laurel : Jag antar att Dell började tänka på det här för ett tag sedan eftersom utmaningarna med säkerhetsanställning och omskalning har funnits ett tag. Och eftersom de dåliga skådespelarna uppenbarligen har blivit mer skickliga, krävs det fler och fler bra människor för att stoppa dem. Med det i åtanke, hur känner du att pandemin påskyndade detta fokus? Eller är detta något som Dell såg komma?

John : På Dell har vi investerat i detta område i ett antal år. Det har helt klart varit en utmaning, men som vi har sett har det verkligen påskyndat och förstärkt utmaningen och de effekter som våra kunder möter. Därför är det bara viktigare. Vi har ökat våra investeringar i både säkerhetsteknik och skicklighet under ett antal år. Och vi kommer att fortsätta att investera, och inser att eftersom det är en prioritet för våra kunder, är det en prioritet för oss.

Laurel : Det är vettigt. På andra sidan av myntet, hur säkerställer Dell sina anställda

själva tar dataskyddet på allvar, och inte faller för nätfiskeförsök till exempel? Vilken typ av kultur och tänkesätt behöver användas för att göra säkerhet till en prioritering i hela företaget?

John : Det är verkligen en kultur på Dell, där säkerhet är allas jobb. Det är inte bara mitt eget företags säkerhetsteam eller säkerhetsteamen inom vår produkt- och erbjudandegrupper. Det berör varje anställd och varje anställd som uppfyller sitt ansvar för att hjälpa till att skydda vårt företag och skydda våra kunder. Vi har under många år byggt upp en säkerhetskultur där vi beväpnar våra anställda med rätt kunskap och utbildning så att de kan fatta rätt beslut, vilket hjälper oss att förhindra en del av dessa kriminella aktiviteter som vi ser, som alla företag. Ett särskilt träningsprogram som har varit mycket framgångsrikt har varit vårt träningsprogram för nätfiske. I detta testar och utbildar vi kontinuerligt våra anställda genom att skicka dem simulerade nätfiske-e-postmeddelanden, göra dem mer bekanta med vad de ska leta efter och hur de kan upptäcka nätfiske-e-postmeddelanden. Redan under det senaste kvartalet såg vi fler anställda upptäcka och rapportera nätfiske-simuleringstestet än någonsin tidigare.

Dessa utbildningsaktiviteter fungerar och de gör skillnad. Under det senaste året har vi sett tusentals riktiga nätfiskeattacker som upptäckts och stoppades som ett resultat av att våra anställda såg dem först och rapporterade dem till oss. Så, utbildning är viktigt, men återigen, det är mot bakgrund av en kultur organisatoriskt, där varje gruppmedlem vet att de har en roll att spela. Även denna månad, när vi tittar på oktober månad för medvetenhet om cybersäkerhet, förstärker vi våra ansträngningar och främjar säkerhetsmedvetenhet och det ansvar som teammedlemmar har, oavsett om det är hur man säkert använder VPN, säkrar sitt hemnätverk eller till och med hur man resa säkert. Allt detta är viktigt, men det börjar med att anställda vet vad de ska göra och sedan förstår att det är deras ansvar att göra det.

Laurel : Och det borde inte vara alltför förvånande. Uppenbarligen är Dell ett stort globalt företag, men samtidigt, är detta ett initiativ som anställda börjar bli lite stolta över? Finns det kanske mindre klagomål om 'Åh, jag måste ändra mitt lösenord igen' eller 'Åh, nu måste jag logga in på VPN.'

John : En av de intressanta biprodukterna av de ökade attackerna som ses på nyheterna varje dag är att de vanligtvis nu påverkar den vanliga människan hemma. Det påverkar om folk kan sätta mat på bordet och vilken typ av mat de kan beställa och vad som finns tillgängligt. Medvetenheten har ökat otroligt mycket under de senaste åren. Med den förståelsen för varför detta är viktigt, har vi sett en ökning av både uppmärksamheten och stoltheten över att medarbetarna tar detta ansvar på största allvar. Vi har till och med interna resultattavlor. Vi gör det till en vänlig tävling där varje lag organisatoriskt kan se vem som hittar flest säkerhetsnätfiske-test. De älskar att kunna hjälpa företaget, och ännu viktigare, hjälpa våra kunder på ett ytterligare sätt som går utöver det viktiga arbete de gör dagligen i sin primära roll.

Laurel : Toppen. Så det här är frågan jag gärna ställer säkerhetsexperter eftersom du ser så mycket. Vilken typ av säkerhetsintrång hör du om från kunder eller företag runt om i branschen, och vad förvånade dig med just dessa förstahandsupplevelser?

John : Det är en olycklig verklighet att vi får samtal i stort sett varje dag från våra kunder som tyvärr står inför några av de värsta dagarna i sin företagsupplevelse, oavsett om de är på väg att drabbas av ransomware, hantera någon annan typ av cyber intrång, hantering av datastöld eller digital utpressning, och det är ganska hemskt att se. När jag pratar med våra kunder och till och med kollegor i branschen är ett av de vanliga budskapen som stämmer genom alla dessa engagemang hur de önskar att de hade förberett sig lite mer. De önskar att de hade tagit sig tid och haft förutseende att ha vissa skyddsåtgärder på plats, oavsett om det är kapacitet för övervakning och upptäckt av cyberhot, eller i allt högre grad med ransomware, mer fokuserade på att ha rätt lagring och säkerhetskopiering av data och skydd på plats, både i sin kärnmiljö på plats, såväl som i molnet.

Men det har varit förvånande för mig hur många organisationer som inte har riktigt motståndskraftiga dataskyddsstrategier, med tanke på hur förödande ransomware är. Många tänker fortfarande på säkerhetskopior av data i en tidevarv av tornados och översvämningar, där om du har din säkerhetskopia 300 mil bort från där du har din data lagrad, då är du bra, dina säkerhetskopior är säkra. Men folk tänker inte på säkerhetskopior idag som är måltavla av människor som bokstavligen hittar dina säkerhetskopior var de än är, och de försöker förstöra dem för att göra deras utpressningssystem mer effektiva. Så, om man tänker igenom moderna säkerhetskopieringar av data och cyberresiliens i ljuset av ransomware, är det förvånande för mig hur få som är utbildade i att tänka igenom detta.

Men jag kommer att säga att med ökande prevalens har vi dessa samtal med kunder, och kunderna gör investeringarna mer proaktivt innan den dagen kommer och sätter sig på bättre fot när den gör det.

Laurel : Känner du att företag tänker annorlunda om dataskyddsstrategier nu med molnet? Och vilka typer av molnverktyg och strategier hjälper företag att hålla sin data säker?

John : Det är intressant eftersom det finns en allmän insikt om att kundernas arbetsbelastningar och data finns överallt, oavsett om det är i lokaler, vid kanten eller i offentliga moln. Vi tror att en multihybridmolnmetod som inkluderar datacentret är en som erbjuder konsistens i alla olika miljöer som en bästa praxis och hur du tänker på att behandla dina dataskyddsstrategier. Vi ser allt oftare att människor använder en multimolnstrategi på grund av säkerhetsfördelarna som kommer med det, men också kostnadsfördelar, prestanda, efterlevnad, integritet och så vidare. Det som är intressant är att när vi tittade på våra globala dataskyddsindex upptäckte vi att applikationer uppdateras och distribueras i ett stort antal molnmiljöer, och ändå saknas förtroendet ofta när det kommer till hur väl data kan skyddas. Så många organisationer utnyttjar infrastruktur för flera moln, distribuerar applikationsarbetsbelastningar, men endast 36 % uppgav faktiskt att de var säkra på sina molndataskyddsmöjligheter.

Däremot angav en femtedel av de tillfrågade att de hade vissa tvivel eller inte var särskilt eller alls säkra på sin förmåga att skydda data i det offentliga molnet. Jag tycker att detta är ganska alarmerande, särskilt när många organisationer använder det offentliga molnet för att säkerhetskopiera sina data som en del av sina katastrofåterställningsplaner. De kopierar i princip all sin affärsdata till en datormiljö där de har lågt förtroende för säkerheten. Organisationer måste se till att de har lösningar på plats för att skydda data i multimolnet och över deras virtuella arbetsbelastningar. Ur vårt perspektiv är vi fokuserade på inneboende säkerhet, inbyggnad av säkerhetstålighet och integritet i lösningarna innan de överlämnas till våra kunder. Ju mindre kunder behöver tänka på säkerhet och hitta sätt att bemanna sina egna svåranställda säkerhetsexperter, desto bättre.

Ett par andra strategier att överväga är för det första att välja rätt partner. I genomsnitt upptäckte vi att kostnaden för dataförlust under det senaste året närmar sig fyra gånger högre för organisationer som använder flera skyddsleverantörer jämfört med de som använder en enda leverantörsmetod. Slutligen, och viktigast av allt, alla behöver ett datavalv. Ett datavalv som är isolerat från nätverket, som är byggt med ransomware i åtanke för att kämpa mot de hot vi ser. Det är här kunderna kan lägga sin mest kritiska data och ha förtroende för att de kommer att kunna återställa sin kända bra data när den dagen kommer där data verkligen är livlinan som kommer att hålla deras verksamhet igång.

Laurel : Är datavalvet en hårdvarulösning, en molnlösning eller lite av båda? Kanske beror det på din verksamhet.

John : Det finns säkert ett antal olika sätt att bygga den på. Generellt sett finns det tre viktiga överväganden när man bygger ett cyber-tåligt datavalv. Den första är att den måste isoleras. Allt som finns på nätverket är potentiellt utsatt för risker.

För det andra är att det måste vara oföränderligt, vilket i huvudsak betyder att när du väl säkerhetskopierat data kan den säkerhetskopian aldrig ändras. När den väl har skrivits in på skivan kan du aldrig ändra den igen. Och för det tredje, och slutligen, måste den vara intelligent. Dessa system måste utformas för att vara lika intelligenta, om inte mer intelligenta, än de hot som utan tvekan kommer att komma efter dem. Att designa dessa säkerhetskopieringssystem med hotmiljön i åtanke av experter som djupt förstår säkerhet, djupt förstår ransomware, är viktigt.

Laurel : Jag förstår. Det låter som hur vissa statliga myndigheter med tre bokstäver fungerar, offline med liten tillgång.

John : Tyvärr är det vad världen har kommit till. Återigen, det finns verkligen inga tecken på att detta kommer att förändras. Om vi ​​tittar på de incitament som cyberbrottslingar möter är belöningarna otroliga. Konsekvenserna är låga. Det är verkligen det största, mest fördelaktiga kriminella företaget i mänsklighetens historia när det gäller vad de sannolikt kommer att få ut av en attack kontra sannolikheten att de kommer att åka fast och hamna i fängelse. Jag ser inte att det kommer att förändras snart. Som ett resultat måste företagen vara förberedda.

Laurel : Det är säkert sant. Vi hör inte heller om alla attacker, men när vi gör det så kostar det rykte också. Jag tänker på attacken tidigare under året vid vattenreningsverket i Florida. Förväntar du dig mer fokuserade attacker på infrastruktur eftersom det ses som en lätt väg in?

John : Tyvärr är detta inte problemet för bara en bransch. Oavsett vilken typ av verksamhet du driver och vilken bransch du är i, när du tittar på din organisation genom en kriminells lins, finns det ofta något att hämta, oavsett om det är geopolitiska incitament, monetarisering av kriminella bedrägerier, eller om det är att stjäla data som du har och sälja den vidare på den svarta marknaden. Det finns väldigt få företag som verkligen kan titta på sig själva och säga: 'Jag har inget som en cyberkriminell skulle vilja ha.' Och det är något som varje organisation av alla storlekar måste brottas med.

Laurel : Speciellt som företag införlivar maskininlärning, artificiell intelligens och som du nämnde tidigare, edge och IoT-enheter – det finns data överallt. Med det i åtanke, såväl som de många kontaktpunkter du försöker säkra, inklusive din arbetsstyrka från var som helst, hur kan företag bäst säkra data?

John : Det är ett tveeggat svärd. Den digitala transformationen, som Dell först och främst har kunnat bevittna i första hand, har varit otrolig. Vad vi har sett i termer av förbättringar av livskvalitet och hur samhället förändras genom framväxande teknologier som AI och ML, och explosionen av enheter vid kanten och IoT, den digitala transformationen och fördelarna är enorma. Samtidigt representerar allt potentiellt ny risk om det investeras i och distribueras på ett sätt som inte är säkert och inte är väl förberett för. I själva verket fann vi med vårt fullständiga dataskyddsindex att 63 % anser att dessa tekniker utgör en risk för dataskyddet, att dessa risker sannolikt bidrar till rädslor för att organisationer inte är redo för framtiden och att de kan riskera att störningar under nästa år.

Bristen på dataskyddslösningar för nyare teknologier var faktiskt en av de tre främsta dataskyddsutmaningarna som vi hittade organisationer som citerade när de tillfrågades. Att investera i dessa framväxande teknologier är avgörande för digitalt transformerande organisationer, och organisationer som inte transformerar digitalt kommer sannolikt inte att överleva bra i den era vi tittar på i konkurrens. Men samtidigt är det avgörande att organisationer ser till att deras dataskyddsinfrastruktur kan hålla jämna steg med deras bredare digitala transformation och investeringar i dessa nyare teknologier.

Laurel : När vi tänker på allt detta sammantaget, finns det tips du har för företag att framtidssäkra sin datastrategi?

John : Det finns säkert några saker som kommer att tänka på. För det första är det viktigt att ständigt reflektera över prioriteringar ur ett riskperspektiv. Verkligheten är att vi inte kan säkra allt perfekt, så prioritering är avgörande. Du måste se till att du skyddar det som är viktigast för ditt företag. Att utföra regelbundna strategiska riskbedömningar och låta dem informera om investeringarna och de prioriteringar som organisationer eftersträvar är en viktig bakgrund mot vilken du faktiskt lanserar några av dessa säkerhetsinitiativ och -aktiviteter.

Det andra som kommer att tänka på är att övning ger färdighet. Träning, motion, motion. Kan du fråga dig själv, kunde du verkligen återhämta dig om du drabbades av ransomware? Hur säker är du på det svaret? Vi upptäcker att organisationer som tar sig tid att öva, gör interna övningar, gör skensimuleringar, går igenom processen att ställa dessa frågor till dig själv, betalar jag lösensumman? Gör jag inte det? Kan jag återställa mina säkerhetskopior? Hur säker är jag på att jag kan? De som tränar är mycket mer benägna att prestera bra när dagen faktiskt kommer då de drabbas av en av dessa förödande attacker. Tyvärr är det allt mer troligt att de flesta organisationer kommer att möta den dagen.

Slutligen är det avgörande att säkerhetsstrategier är kopplade till affärsstrategier. De flesta strategier idag ur ett affärsperspektiv kommer naturligtvis att misslyckas om data som de förlitar sig på inte är pålitliga och tillgängliga. Men ansträngningar för cyberresiliens och säkerhetsinsatser kan inte genomföras på en egen ö. De måste vara informerade av och stödja affärsstrategi och prioriteringar. Jag har ännu inte träffat en kund vars affärsstrategi förblir genomförbar om de drabbas av ransomware eller något annat strategiskt dataskyddshot, och de inte kan snabbt och säkert återställa sin data. En kärnfråga att ställa dig själv är, hur säker är du på din beredskap idag mot bakgrund av allt vi har pratat igenom? Och hur utvecklar du din strategi för cyberresiliens för att bättre förbereda dig?

Laurel : Det är verkligen en viktig takeaway, eller hur? Det är inte bara ett tekniskt problem eller ett tekniskt problem. Det är också ett affärsproblem. Alla måste vara med och fundera kring denna datastrategi.

John : Absolut.

Laurel : Tja, tack så mycket, John. Det har varit fantastiskt att ha dig i Business Lab idag.

John : Mitt nöje. Tack för att jag fick komma.

Laurel : Det var John Scimone, chefssäkerhetschef på Dell Technologies, som jag pratade med från Cambridge, Massachusetts, MITs och MIT Technology Reviews hem, med utsikt över Charles River. Det var allt för det här avsnittet av Business Lab. Jag är din värd, Laurel Ruma. Jag är chef för Insights, avdelningen för anpassad publicering av MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology. Du kan hitta oss i print, på webben och vid evenemang varje år runt om i världen. För mer information om oss och showen, kolla in vår hemsida på technologyreview.com.

Den här showen är tillgänglig var du än får dina poddar. Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss. Det här avsnittet producerades av Collective Next. Business Lab är en produktion av MIT Technology Review. Tack för att du lyssna.

Det här podcastavsnittet producerades av Insights, den anpassade innehållsdelen av MIT Technology Review. Den skrevs inte av MIT Technology Reviews redaktion.

Dölj