Het MKB moet een evenwicht vinden tussen de behoeften en middelen op het gebied van cyberbeveiliging

Het MKB moet een evenwicht vinden tussen de behoeften en middelen op het gebied van cyberbeveiliging

Tijdstempel: 26 oktober 2023 7:55 uur
Bronknooppunt: 2957667

Kleine en middelgrote bedrijven (MKB) zijn niet immuun voor cyberaanvallen, maar toch worstelen ze met een evoluerend dreigingslandschap en weten ze hoe ze risico's het beste kunnen beheren.

Tijdens de ‘Cybersecurity for SMBs Roundtable: Navigating Complexity and Building Resilience’ eerder deze maand bracht Sage een groep CISO’s en andere cybersecurityprofessionals uit kleine bedrijven, overheidsinstanties en non-profitorganisaties samen om enkele van de grootste zorgen te bespreken waarmee het MKB en hun organisaties worden geconfronteerd. vermogen om hun bedrijfseigendommen veilig te stellen. Tot de grootste uitdagingen voor het MKB en non-profitorganisaties behoren:

  • De menselijke factor. Werknemers blijven fouten maken, zoals het klikken op links in phishing-e-mails of het toestaan ​​van onbeschermde toegang tot hun apparaten, waardoor bedrijfsnetwerken in gevaar komen.
  • Nalevingsbehoeften van derden. Partnerorganisaties, aannemers, leveranciers en andere externe entiteiten eisen dat het MKB aan hun cyberbeveiligingsvereisten voldoet, vooral die organisaties, zoals financiële instellingen, die sterk gereguleerd zijn.
  • Wetgeving inzake gegevensprivacy in staten en landen. Het niet voldoen aan deze compliance-eisen kan leiden tot sancties en boetes.
  • Het hybride personeelsbestand. Het MKB heeft niet langer hetzelfde niveau van toezicht op apparaten en online gedrag als werknemers op afstand werken, zelfs niet een deel van de tijd.
  • Gerichte platforms en industrieën. Bedreigingsactoren zoeken naar organisaties die applicaties gebruiken die zijn ontworpen om geld in te zamelen of grote hoeveelheden persoonlijke informatie te verzamelen.
  • Veranderend dreigingslandschap. Er lijken elke dag nieuwe aanvalsvectoren, nieuwe malware en nieuwe bedreigingsactoren op te duiken.

Bijna de helft van de MKB-bedrijven heeft het afgelopen jaar te maken gehad met een cybersecurity-incident, zo blijkt uit een nieuw onderzoek studie van Salie. Terwijl 69% van de respondenten wereldwijd zegt dat cyberbeveiliging deel uitmaakt van hun bedrijfscultuur, overweegt bijna hetzelfde aantal dit pas als er een incident plaatsvindt; slechts 4 op de 10 respondenten zeggen dat hun bedrijf regelmatig cyberbeveiliging bespreekt.

Cyberbeveiliging hoeft niet duur te zijn

Na een aanval is het te laat om discussies te starten over de manier waarop het netwerk en het bedrijf kunnen worden beschermd, maar veel MKB-bedrijven beschikken niet over de juiste systemen. Volgens het onderzoek van Sage gebruikt bijvoorbeeld 46% van de MKB-bedrijven geen firewalls en vertrouwt 19% alleen op zeer basale tools.

Ja, cyberbeveiliging kan duur zijn. Enterprise bedrijven kan meer dan 100 beveiligingshulpmiddelen bevatten in gebruik. Voor het MKB hoeft het echter niet zo ingewikkeld te zijn, en sommige benaderingen kunnen zelfs gratis of goedkoop zijn.

Begin met het maken van een programma voor insiderrisico's dat toezicht houdt op het beveiligingsbeleid in het hele bedrijf, met de nadruk op het gedrag van werknemers, adviseerde Shawnee Delaney, CEO van Vaillance Group, tijdens de rondetafelconferentie.

“Het vereist dat je de gesprekken voert, soms een ongemakkelijk gesprek, omdat niemand wil denken dat hun eigen werknemers iets kwaadaardigs doen,” zei Delaney. “Maar de waarheid is dat de overgrote meerderheid van de cyberincidenten onbedoeld is.”

Het beheren van de levenscycli van mensen is essentieel voor een effectief cyberbeveiligingssysteem. Het begint tijdens het sollicitatiegesprek en het aanwervingsproces door ervoor te zorgen dat je iemand hebt die goed bij de cultuur past en bereid is te erkennen hoe cybersecurity in de organisatiestructuur past, voegde Delaney eraan toe. Zodra u een aanstelling heeft gedaan, volgt u onboardingprocessen die de nadruk leggen op basisveiligheidshygiëne, inclusief toegang met de minste privileges en indien nodig. En als de medewerker vertrekt, zorg er dan voor offboarding processen ontkoppel de toegang volledig.

Individualiseer beveiligingstrainingen

Vanwege de menselijke connectie met cyberbeveiliging moet iedereen in een kleiner bedrijf, vanaf de CEO, een basiskennis hebben van hoe bedreigingen eruit zien. Er zijn tal van trainingsopties voor beveiligingsbewustzijn beschikbaar, maar het MKB doet er verstandig aan om een ​​one-size-fits-all optie te vermijden.

Trainen zou moeten zijn gericht op de individuele werknemers gebaseerd op criteria zoals functie en generatieverschillen in technische kennis en interesses. Oudere werknemers hebben vaak een andere leerstijl dan jongere werknemers, net zoals werknemers die in arbeidsintensievere banen werken een andere relatie met technologie kunnen hebben dan werknemers die de hele dag aan hun apparaten gehecht zijn. Het niet respecteren van deze verschillen resulteert in een ongelijkmatige training die uiteindelijk meer kwaad dan goed zou kunnen doen.

Maak van cyberbeveiliging een zakelijk probleem

Er is een tendens, vooral onder het MKB, om cyberbeveiliging te zien als een IT-probleem waarvoor alle kennis in de technische ruimte ligt, aldus Gustavo Zeidan, de CISO van Sage.

Een betere aanpak is nadenken cyberveiligheid als een zakelijk probleem. De veiligheidscultuur kan beter van bovenaf worden aangestuurd, zei Zeidan tijdens de rondetafelconferentie, en het management moet cyberdreigingen bespreken en hoe hun bedrijven het doelwit kunnen zijn.

“Bedrijfsleiders erkennen dat het een probleem is, maar ze praten er niet over”, legt Zeidan uit. Het ergste dat kan gebeuren, is dat u niet voorbereid bent op een beveiligingsincident dat de bedrijfsvoering verstoort.

En als er binnen het bedrijf een cyberincident plaatsvindt, houd dit dan niet verborgen. De Federal Trade Commission (FTC) biedt richtlijnen over met wie contact moet worden opgenomen, inclusief wetshandhavingsinstanties, klanten en leveranciers.

Maar stop daar niet. Communiceer met andere bedrijven en bespreek strategieën om het incident op te lossen. Deel deze informatie via branchegerichte organisaties of op lokaal niveau Kamer van Koophandel vergaderingen — overal waar u contact heeft met andere bedrijfsleiders.

“Als er sprake is van een inbreuk, wees dan open, wees eerlijk en deel uw geleerde lessen met andere bedrijven, zodat praktijkmensen daarvan kunnen leren”, aldus Delaney. “Het maakt niet uit of we concurrenten zijn. Als je het allemaal samenvat, is het allemaal nationale veiligheid.”

Weet waar u terecht kunt voor hulp

Elk bedrijf, ongeacht de omvang ervan, heeft meer cybersecurity-expertise nodig dan het al heeft. Ongeacht hoe het MKB in beveiliging investeert, de verantwoordelijkheid voor cyberbeveiliging moet over het hele bedrijf worden verspreid.

Er zijn hulpmiddelen beschikbaar om het MKB te begeleiden op hun beveiligingstraject. De Cybersecurity and Infrastructure Security Agency (CISA) biedt bijvoorbeeld een Handleiding voor cyberbeveiliging voor het MKB dat specifiek spreekt over de verschillende beveiligingsgerelateerde rollen die individuen spelen in een kleine zakelijke omgeving.

Partnerschappen met bedrijven van alle soorten en maten vormen de kern van de missie van CISA, zegt rondetafelpanellid Lauren Boas Hayes, senior adviseur voor technologie en innovatie bij CISA.

“Het landschap verandert; er zijn elke dag nieuwe bedreigingen”, voegde Delaney eraan toe.

Beoefenaars en bedrijven hebben misschien het gevoel dat ze een spelletje spelen met hun pogingen om deze nieuwe bedreigingen te dwarsbomen, maar het goede nieuws voor het MKB is dat er mitigatietechnieken bestaan. Het is gewoon een kwestie van het programma vinden dat het beste werkt voor het individuele bedrijf.

Tijdstempel:

Meer van Donkere lezing