עסקים קטנים ובינוניים צריכים לאזן בין צרכים ומשאבים של אבטחת סייבר

עסקים קטנים ובינוניים (SMBs) אינם חסינים מפני מתקפות סייבר, אך הם נאבקים בנוף איומים מתפתח ויודעים כיצד לנהל סיכונים בצורה הטובה ביותר.

במהלך "השולחן העגול של אבטחת סייבר עבור SMBs: ניווט מורכבות ובניית חוסן" מוקדם יותר החודש, סייג ריכז קבוצה של CISOs ואנשי מקצוע אחרים בתחום אבטחת סייבר מעסקים קטנים, סוכנויות ממשלתיות וארגונים ללא מטרות רווח כדי לדון בכמה מהדאגות הגדולות ביותר העומדות בפני חברות SMB והן. היכולת להבטיח את נכסי החברה שלהם. בין האתגרים המובילים עבור עסקים קטנים ובינוניים וארגונים ללא מטרות רווח הם:

• הגורם האנושי. עובדים ממשיכים לעשות טעויות, כמו לחיצה על קישורים בדוא"ל דיוג או מתן גישה לא מוגנת למכשירים שלהם, שמסכנות את רשתות החברה.
• צרכי תאימות של צד שלישי. ארגוני שותפים, קבלנים, ספקים וגופים אחרים של צד שלישי דורשים מחברות קטנות ובינוניות לעמוד בדרישות אבטחת הסייבר שלהם, במיוחד ארגונים, כמו מוסדות פיננסיים, שנמצאים בפיקוח גבוה.
• חוקי פרטיות נתונים בכל מדינות ומדינות. אי עמידה בדרישות הציות הללו עלול לגרום לסנקציות וקנסות.
• כוח העבודה ההיברידי. לעסקים קטנים ובינוניים אין עוד אותן רמות של פיקוח על מכשירים והתנהגויות מקוונות כאשר העובדים עובדים מרחוק, אפילו חלק מהזמן.
• פלטפורמות ותעשיות ממוקדות. שחקני איומים מחפשים ארגונים המשתמשים ביישומים שנועדו לגייס כסף או לאסוף כמויות גדולות של מידע אישי.
• שינוי נוף האיומים. נראה כי וקטורי התקפה חדשים, תוכנות זדוניות חדשות ושחקני איומים חדשים צצים מדי יום.

כמעט מחצית מהחברות הקטנות והבינוניות חוו תקרית אבטחת סייבר בשנה האחרונה, לפי הודעה חדשה מחקר מסייג. בעוד ש-69% מהמשיבים ברחבי העולם אומרים שאבטחת סייבר היא חלק מתרבות החברה שלהם, כמעט אותו מספר לא מתחשב בכך עד שיש תקרית - רק 4 מתוך 10 משיבים אומרים שהחברה שלהם דנה בקביעות באבטחת סייבר.

אבטחת סייבר לא חייבת להיות יקרה

לאחר התקפה, זה מאוחר מדי להתחיל בדיונים כיצד להגן על הרשת והחברה, אך לחברות SMB רבות אין את המערכות המתאימות. לפי המחקר של סייג, למשל, 46% מהחברות הקטנות והקטנות לא משתמשות בחומת אש ו-19% מסתמכים רק על כלים בסיסיים מאוד.

כן, אבטחת סייבר יכולה להיות יקרה. חברות ארגוניות יכול להכיל למעלה מ-100 כלי אבטחה בשימוש. עם זאת, זה לא חייב להיות כל כך מסובך עבור עסקים קטנים ובינוניים, וכמה גישות יכולות להיות אפילו בחינם או לא יקרות.

התחל ביצירת תוכנית סיכון פנימי המפקח על מדיניות האבטחה ברחבי החברה תוך שימת דגש על התנהגות עובדים, המליצה שוני דילייני, מנכ"לית בקבוצת Vaillance, במהלך השולחן העגול.

"זה מחייב אותך לנהל את השיחות, לפעמים שיחה לא נוחה, כי אף אחד לא רוצה לחשוב שהעובדים שלו עלולים לעשות משהו זדוני", אמר דילייני. "אבל האמת היא שהרוב המכריע [של תקריות הסייבר] הם לא מכוונים".

ניהול מחזורי חיי תעסוקה אנושיים הוא חיוני למערכת אבטחת סייבר יעילה. זה מתחיל במהלך הראיון ותהליך הגיוס בכך שתוודא שיש לך מישהו שמתאים תרבותית ומוכן לזהות כיצד אבטחת סייבר משתלבת במבנה הארגוני, הוסיף דילייני. לאחר ביצוע העסקה, עקוב אחר תהליכי הצטרפות המדגישים היגיינת אבטחה בסיסית, כולל גישה מינימלית וגישה לפי הצורך. וכשהעובד עוזב יש לוודא תהליכי יציאה מהמטוס לנתק את הגישה לחלוטין.

התאמה אישית של הדרכת אבטחה

בגלל הקשר האנושי לאבטחת סייבר, כל אחד בחברה קטנה יותר, מהמנכ"ל ומטה, צריך להיות בעל הבנה בסיסית של איך נראים איומים. ישנן שפע של אפשרויות אימון למודעות אבטחה בחוץ, אבל עסקים קטנים ובינוניים יהיו נבונים להימנע מאופציה אחת שמתאימה לכולם.

הכשרה צריכה להיות מכוונים לעובדים הבודדים מבוסס על קריטריונים כמו תפקוד עבודה ופערי דורות בידע ותחומי עניין טכנולוגיים. לעובדים מבוגרים יש לרוב סגנון למידה שונה מעובדים צעירים יותר, בדיוק כפי שלעובדים שעובדים בעבודות עתירות עבודה עשויות להיות יחס שונה לטכנולוגיה מאשר לאלה המחוברים למכשירים שלהם כל היום. אי כיבוד ההבדלים הללו גורם לאימון לא אחיד שעלול לגרום בסופו של דבר יותר נזק מתועלת.

הפוך את אבטחת הסייבר לבעיה עסקית

יש נטייה, במיוחד בקרב חברות SMB, לחשוב על אבטחת סייבר כעל בעיית IT שכל הידע לגביה נמצא במרחב הטכנולוגי, לפי גוסטבו זיידן, CISO של סייג.

גישה טובה יותר היא לחשוב עליה אבטחת סייבר כסוגיה עסקית. תרבות האבטחה מונעת טוב יותר מלמעלה, אמר זיידן במהלך השולחן העגול, וההנהלה צריכה לדון באיומי סייבר וכיצד ניתן למקד את העסקים שלהם.

"מנהיגי עסקים מודים שזו בעיה, אבל הם לא מדברים על זה", הסביר זיידן. הדבר הגרוע ביותר שיכול לקרות הוא להיות לא מוכנים לאירוע ביטחוני שמשבש את פעילות העסק.

וכאשר יש אירוע סייבר בתוך החברה, אל תסתיר אותו. וועדת הסחר הפדרלית (FTC) מציעה הנחיות על מי יש לפנות, כולל רשויות אכיפת החוק, לקוחות וספקים.

אבל אל תפסיק שם. צור קשר עם עסקים אחרים ודון באסטרטגיות כדי להתמודד עם האירוע. שתף מידע זה באמצעות ארגונים ממוקדי תעשייה או במקומות מקומיים לשכת המסחר פגישות - בכל מקום שיש לך קשר עם מנהיגים עסקיים אחרים.

"אם יש לך פריצה, היו פתוחים, היו כנים ושתפו את הלקחים שלכם עם עסקים אחרים כדי שהמתרגלים יוכלו ללמוד מזה", אמר דילייני. "זה לא משנה אם אנחנו מתחרים. זה הכל ביטחון לאומי כשאתה מרתיח את זה".

דע לאן לפנות לקבלת עזרה

כל חברה, לא משנה גודלה, זקוקה ליותר מומחיות באבטחת סייבר ממה שיש לה. ללא קשר לאופן שבו ה-SMB משקיע באבטחה, האחריות על אבטחת סייבר צריכה להתפזר על פני החברה.

זמינים משאבים שיעזרו להנחות עסקים קטנים ובינוניים במסע האבטחה שלהם. הסוכנות לאבטחת סייבר ותשתיות (CISA), למשל, מציעה מדריך אבטחת סייבר SMB שמדבר ספציפית לתפקידים השונים הקשורים לאבטחה שאנשים ממלאים בסביבה עסקית קטנה.

שותפויות עם עסקים מכל הסוגים והגדלים הם הליבה במשימתה של CISA, אמר חבר הפאנל לשולחן העגול לורן בואה הייז, יועץ בכיר לטכנולוגיה וחדשנות ב-CISA.

“הנוף משתנה; יש איומים חדשים כל יום", הוסיף דילייני.

מתרגלים ועסקים עשויים להרגיש שהם משחקים חפרפרת עם המאמצים שלהם לסכל את האיומים החדשים האלה, אבל החדשות הטובות עבור חברות קטנות ובינוניות הן ששיטות הפחתה קיימות בחוץ. זה רק עניין של למצוא את התוכנית המתאימה ביותר עבור החברה הבודדת.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources