SMB'er har brug for at balancere cybersikkerhedsbehov og ressourcer

Små og mellemstore virksomheder (SMB'er) er ikke immune over for cyberangreb, men alligevel kæmper de med et udviklende trussellandskab og ved, hvordan de bedst håndterer risici.

During the “Cybersecurity for SMBs Roundtable: Navigating Complexity and Building Resilience” earlier this month, Sage brought together a group of CISOs and other cybersecurity professionals from small businesses, government agencies, and nonprofit organizations to discuss some of the biggest concerns facing SMBs and their ability to secure their company assets. Among the top challenges for SMBs and nonprofit organizations are:

• Den menneskelige faktor. Medarbejdere fortsætter med at begå fejl, såsom at klikke på links i phishing-e-mails eller tillade ubeskyttet adgang til deres enheder, der bringer virksomhedens netværk i fare.
• Tredjeparts overholdelsesbehov. Partnerorganisationer, entreprenører, leverandører og andre tredjepartsenheder kræver, at SMB'er opfylder deres cybersikkerhedskrav, især de organisationer, som f.eks. finansielle institutioner, der er stærkt regulerede.
• Databeskyttelseslovgivning på tværs af stater og lande. Hvis du ikke opfylder disse overholdelseskrav, kan det resultere i sanktioner og bøder.
• Den hybride arbejdsstyrke. SMB'er har ikke længere det samme niveau af tilsyn med enheder og onlineadfærd, når medarbejdere arbejder eksternt, selv en del af tiden.
• Målrettede platforme og industrier. Trusselaktører leder efter organisationer, der bruger applikationer designet til at rejse penge eller indsamle store mængder personlige oplysninger.
• Skiftende trusselslandskab. Nye angrebsvektorer, ny malware og nye trusselsaktører ser ud til at dukke op hver dag.

Næsten halvdelen af ​​SMB'er har oplevet en cybersikkerhedshændelse i det seneste år, ifølge en ny studie fra Sage. While 69% of respondents worldwide say that cybersecurity is part of their company culture, nearly the same number don’t consider it until there’s an incident — only 4 in 10 respondents say their company regularly discusses cybersecurity.

Cybersikkerhed behøver ikke at være dyrt

After an attack, it’s too late to start discussions about how to protect the network and company, but many SMBs don’t have the right systems in place. According to Sage’s research, for example, 46% of SMBs don’t use firewalls and 19% rely only on very basic tools.

Ja, cybersikkerhed kan være dyrt. Enterprise virksomheder kan have op mod 100 sikkerhedsværktøjer i brug. Det behøver dog ikke at være så kompliceret for SMB'er, og nogle tilgange kan endda være gratis eller billige.

Start med at oprette en insiderrisikoprogram der overvåger sikkerhedspolitikker på tværs af virksomheden med vægt på medarbejdernes adfærd, anbefalede Shawnee Delaney, CEO hos Vaillance Group, under rundbordskonferencen.

“It requires you to have the conversations, sometimes an uncomfortable conversation, because no one wants to think their own employees might do something malicious,” Delaney said. “But the truth is, the vast majority [of cyber incidents] are unintentional.”

Håndtering af menneskelige arbejdslivscyklusser er afgørende for et effektivt cybersikkerhedssystem. Det begynder under interviewet og ansættelsesprocessen ved at sikre, at du har nogen, der er en god kulturel pasform og er villig til at genkende, hvordan cybersikkerhed passer ind i organisationsstrukturen, tilføjede Delaney. Når du har foretaget en ansættelse, skal du følge onboarding-processer, der understreger grundlæggende sikkerhedshygiejne, herunder mindste privilegier og adgang efter behov. Og når medarbejderen går, så sørg for det offboarding processer afbryde adgangen fuldstændigt.

Tilpas sikkerhedstræning

På grund af den menneskelige forbindelse til cybersikkerhed skal alle i en mindre virksomhed, fra den administrerende direktør og nedefter, have en grundlæggende forståelse af, hvordan trusler ser ud. Der er masser af træningsmuligheder for sikkerhedsbevidsthed derude, men SMB'er ville gøre klogt i at undgå en ensartet mulighed.

Træning skal være rettet mod den enkelte medarbejder baseret på kriterier som jobfunktion og generationskløfter i teknologisk viden og interesser. Ældre medarbejdere har ofte en anden læringsstil end yngre medarbejdere, ligesom medarbejdere, der arbejder i mere arbejdskrævende job, kan have et andet forhold til teknologi end dem, der er knyttet til deres enheder hele dagen. At ikke respektere disse forskelle resulterer i ujævn træning, der kan ende med at gøre mere skade end gavn.

Gør cybersikkerhed til et forretningsproblem

There’s a tendency, especially among SMBs, to think of cybersecurity as an IT problem for which all the knowledge lies in the tech space, according to Gustavo Zeidan, Sage’s CISO.

En bedre tilgang er at tænke på cybersikkerhed som et forretningsproblem. Sikkerhedskultur er bedre drevet fra toppen, sagde Zeidan under rundbordskonferencen, og ledelsen er nødt til at diskutere cybertrusler, og hvordan deres virksomheder kan blive målrettet.

"Virksomhedsledere erkender, at det er et problem, men de taler ikke om det," forklarede Zeidan. Det værste, der kan ske, er at være uforberedt på en sikkerhedshændelse, der forstyrrer forretningsdriften.

Og når der er en cyberhændelse i virksomheden, skal du ikke holde den skjult. Federal Trade Commission (FTC) tilbyder retningslinjer om, hvem der skal kontaktes, herunder retshåndhævelse, kunder og leverandører.

Men stop ikke der. Kommuniker med andre virksomheder og diskuter strategier for at arbejde igennem hændelsen. Del disse oplysninger gennem branchefokuserede organisationer eller lokalt Chamber of Commerce møder — uanset hvor du har kontakt med andre virksomhedsledere.

"Hvis du har et brud, så vær åben, vær ærlig og del dine erfaringer med andre virksomheder, så praktiserende læger kan lære af det," sagde Delaney. "Det er lige meget, om vi er konkurrenter. Det hele er national sikkerhed, når du koger det ned.”

Ved, hvor du skal henvende dig for at få hjælp

Enhver virksomhed, uanset dens størrelse, har brug for mere cybersikkerhedsekspertise, end den har. Uanset hvordan SMB investerer i sikkerhed, skal ansvaret for cybersikkerhed fordeles på tværs af virksomheden.

Der er tilgængelige ressourcer til at hjælpe SMB'er i deres sikkerhedsrejse. Cybersecurity and Infrastructure Security Agency (CISA) tilbyder for eksempel en SMB cybersikkerhed guide der taler specifikt til de forskellige sikkerhedsrelaterede roller, individer spiller i et lille virksomhedsmiljø.

Partnerships with businesses of all types and sizes is core to CISA’s mission, said roundtable panelist Lauren Boas Hayes, senior adviser for technology and innovation at CISA.

“The landscape is changing; there are new threats every day,” Delaney added.

Practitioners and businesses might feel like they’re playing whack-a-mole with their efforts to thwart these new threats, but the good news for SMBs is that mitigation techniques are out there. It’s just a matter of finding the program that works best for the individual company.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources