De senaste rubrikerna överensstämmer med nyheter om säkerhetsbrott hos stora företag, bland annat Morrisons, Target och Kickstarter.

Vi pratade med Catalin Cosoi, Chief Security Strategist på Bitdefender, om huruvida företagen bättre kan utbilda sin personal att vara medveten om säkerhet och hur säkerhetsstrategier kan förenklas ...

TechRadar Pro: Kan företaget göra bättre när det gäller utbildning av personal vad gäller IT-säkerhet?

Catalin Cosoi: Det genomsnittliga företaget tränar inte allmän personal i IT-säkerhetsfrågor och det är mer eller mindre som det borde vara. Utbildning bör begränsas till förtrogenhet med arbetsrelaterade säkerhetsförfaranden, varav färre det finns, desto färre är det att få fel. IT-personal å andra sidan borde verkligen vara mer säkerhetsmedveten.

TRP: Hur ska träning skilja på olika nivåer av verksamheten? Ska alla anställda få samma utbildningsnivå?

CC: Generellt sett kommer en angripare att sträva efter "låghängande frukten" först och kommer att se till spjutfisk direktörens sekreterare, inte direktören själv - åtminstone inte i början. En av IT-säkerhetens jobb är att säkerställa att vinsterna är lika låga och att "privilegier eskalerande" attacker är svåra.

Med detta sagt kan en liten dos av operativ paranoia inställd i nyckelpersoner arbeta underverk. För att ge ett exempel på varför utbildning på alla nivåer är så viktig, var HBGary "hack" endast möjligt eftersom en administratör var lite förtroende och accepterande.

TRP: Vad anser Bitdefender vara bästa praxis när det gäller IT-säkerhet utbildning för företag och deras personal?

CC: Identifiera vem som behöver utbildas och sedan tänka länge och svårt om vad du vill lära dig. Att träna människor för att ändra sina lösenord är till exempel ganska meningslöst, samtidigt som de visar hur spjutfiske fungerar kan vara användbart.

Tänk på att det normalt finns en spänning mellan säkerhet och bekvämlighet, och en förvaltad mellanledare kommer alltid att välja bekvämlighet, såvida inte träning har övertygat honom eller henne om att det är nödvändigt att fatta sådana beslut på ett medvetet sätt och att ta säkerhetsrisker inte är "fri".

TRP: Bör nätverkssäkerhet nu vara beroende av mer än bara lösenord efter de senaste nyheterna att forskare i Liverpool har skapat ett datavirus som kan spridas via Wifi?

CC: Kameleonviruset "potential att sprida sig via nätverk" som vanligt förkylning "betonar vikten av att ha robusta administrativa säkerhetsprocedurer på plats. ett område som förbises av många.

Organisationer bör vidta åtgärder för att säkerställa att kritisk infrastruktur och routrar skyddas mot detta, och liknande bör virushot och teknik vara det element som gör skillnaden.

Home routrar och nätverk är faktiskt bortom de flesta människors IT-administrativa färdigheter, och som sådan behöver inte behovet av att säkra dem registrera sig. Därför är lösenord ofta inte tillräckligt säkra.

För att uppnå ett riktigt skydd, bör säkerhet och underhåll förenklas och automatiseras så mycket som mänskligt möjligt. Saker borde bara fungera säkert ur lådan, eftersom de flesta inte har tid, lutning eller motivation att bli nätverkssäkerhetspersonal.

TRP: Vad anses vara industristandarder i dagens molnsäkerhetsbransch?

CC: Trots industrins insatser har molnleverantörerna ännu inte etablerat en standardram för att styra interaktionerna mellan företag och molntjänstleverantörer.

Det finns ett antal organisationer som ratificerar förslag till öppna standarder och utvecklar riktlinjer för molnsäkerhet. Cloud Security Alliance (CSA) tillhandahåller en av branschens mest begripliga uppsättning bästa praxis för säker cloud computing.

CSA har utvecklat en överensstämmelsesstandard som kallas CCM eller Cloud Control Matrix, som beskriver olika områden av molninfrastruktur inklusive riskhantering och säkerhetshot.