Małe i średnie firmy muszą zrównoważyć potrzeby i zasoby w zakresie cyberbezpieczeństwa

Małe i średnie firmy muszą zrównoważyć potrzeby i zasoby w zakresie cyberbezpieczeństwa

Znacznik czasu: 26 października 2023 7:55
Węzeł źródłowy: 2957667

Małe i średnie przedsiębiorstwa (SMB) nie są odporne na cyberataki, a mimo to zmagają się z ewoluującym krajobrazem zagrożeń i wiedzą, jak najlepiej zarządzać ryzykiem.

Podczas okrągłego stołu „Cyberbezpieczeństwo dla małych i średnich firm: poruszanie się po złożoności i budowanie odporności” na początku tego miesiąca firma Sage zgromadziła grupę CISO i innych specjalistów ds. cyberbezpieczeństwa z małych firm, agencji rządowych i organizacji non-profit, aby omówić niektóre z największych problemów stojących przed małymi i średnimi przedsiębiorstwami i ich zdolność do zabezpieczenia majątku swojej firmy. Do najważniejszych wyzwań stojących przed małymi i średnimi przedsiębiorstwami i organizacjami non-profit należą:

  • Czynnik ludzki. Pracownicy w dalszym ciągu popełniają błędy, takie jak klikanie łączy w wiadomościach phishingowych lub zezwalanie na niechroniony dostęp do swoich urządzeń, co naraża sieci firmowe na ryzyko.
  • Potrzeby zgodności stron trzecich. Organizacje partnerskie, kontrahenci, dostawcy i inne podmioty zewnętrzne wymagają od małych i średnich firm spełnienia wymagań w zakresie cyberbezpieczeństwa, zwłaszcza od tych organizacji, takich jak instytucje finansowe, które podlegają ścisłym regulacjom.
  • Przepisy dotyczące prywatności danych w stanach i krajach. Niespełnienie tych wymogów dotyczących zgodności może skutkować sankcjami i karami finansowymi.
  • Siła robocza hybrydowa. Małe i średnie firmy nie mają już takiego samego poziomu nadzoru nad urządzeniami i zachowaniami online, gdy pracownicy pracują zdalnie, nawet przez część czasu.
  • Docelowe platformy i branże. Podmioty zagrażające szukają organizacji korzystających z aplikacji przeznaczonych do zbierania pieniędzy lub dużych ilości danych osobowych.
  • Zmieniający się krajobraz zagrożeń. Wydaje się, że każdego dnia pojawiają się nowe wektory ataków, nowe złośliwe oprogramowanie i nowi aktorzy zagrożeń.

Z nowego badania wynika, że ​​prawie połowa małych i średnich firm doświadczyła w zeszłym roku incydentu związanego z cyberbezpieczeństwem nauka od Sage. Chociaż 69% respondentów na całym świecie twierdzi, że cyberbezpieczeństwo jest częścią kultury ich firmy, prawie taka sama liczba nie bierze tego pod uwagę, dopóki nie nastąpi incydent — tylko 4 na 10 respondentów twierdzi, że ich firma regularnie omawia cyberbezpieczeństwo.

Cyberbezpieczeństwo nie musi być drogie

Po ataku jest już za późno na rozpoczęcie dyskusji na temat ochrony sieci i firmy, ale wiele małych i średnich firm nie posiada odpowiednich systemów. Na przykład według badań Sage 46% małych i średnich firm nie korzysta z zapór sieciowych, a 19% korzysta jedynie z bardzo podstawowych narzędzi.

Tak, cyberbezpieczeństwo może być kosztowne. Firmy korporacyjne może mieć ponad 100 narzędzi bezpieczeństwa w użyciu. Jednak dla małych i średnich firm nie musi to być aż tak skomplikowane, a niektóre podejścia mogą być nawet bezpłatne lub niedrogie.

Zacznij od utworzenia program ryzyka wewnętrznego nadzorująca politykę bezpieczeństwa w całej firmie, ze szczególnym naciskiem na zachowania pracowników, poleciła podczas okrągłego stołu Shawnee Delaney, dyrektor generalny Vaillance Group.

„To wymaga prowadzenia rozmów, czasami niewygodnych, ponieważ nikt nie chce myśleć, że jego pracownicy mogą zrobić coś złośliwego” – powiedział Delaney. „Ale prawda jest taka, że ​​zdecydowana większość [cyberincydentów] jest niezamierzona”.

Zarządzanie cyklami życia pracowników jest niezbędne dla skutecznego systemu cyberbezpieczeństwa. Rozpoczyna się to podczas rozmowy kwalifikacyjnej i procesu rekrutacji od upewnienia się, że zatrudniasz osobę, która pasuje kulturowo i jest gotowa rozpoznać, w jaki sposób cyberbezpieczeństwo wpasowuje się w strukturę organizacyjną – dodał Delaney. Po zatrudnieniu postępuj zgodnie z procesami wdrażania, które podkreślają podstawową higienę bezpieczeństwa, w tym najniższe uprawnienia i dostęp w razie potrzeby. A kiedy pracownik odejdzie, upewnij się procesy offboardingowe całkowicie odłączyć dostęp.

Zindywidualizuj szkolenie w zakresie bezpieczeństwa

Ze względu na związek człowieka z cyberbezpieczeństwem wszyscy w mniejszej firmie, od dyrektora generalnego w dół, muszą mieć podstawową wiedzę na temat tego, jak wyglądają zagrożenia. Istnieje wiele opcji szkoleń w zakresie świadomości bezpieczeństwa, ale małe i średnie firmy powinny unikać jednej opcji pasującej do wszystkich.

Trening powinien być skierowane do poszczególnych pracowników w oparciu o takie kryteria, jak funkcja zawodowa i luki pokoleniowe w zakresie wiedzy technologicznej i zainteresowań. Starsi pracownicy często mają inny styl uczenia się niż młodsi pracownicy, podobnie jak pracownicy wykonujący bardziej pracochłonne prace mogą mieć inny stosunek do technologii niż ci, którzy przez cały dzień są przywiązani do swoich urządzeń. Nie respektowanie tych różnic skutkuje nierównym treningiem, który może przynieść więcej szkody niż pożytku.

Niech cyberbezpieczeństwo stanie się problemem biznesowym

Według Gustavo Zeidana, CISO w Sage, istnieje tendencja, zwłaszcza wśród małych i średnich firm, do myślenia o cyberbezpieczeństwie jako o problemie IT, o którym cała wiedza leży w przestrzeni technologicznej.

Lepiej pomyśleć o lepszym podejściu cyberbezpieczeństwo jako problem biznesowy. Zeidan powiedział podczas okrągłego stołu, że kultura bezpieczeństwa jest lepiej kształtowana odgórnie, a kierownictwo musi omówić zagrożenia cybernetyczne i możliwe sposoby ukierunkowania ich działalności.

„Liderzy biznesowi przyznają, że jest to problem, ale o tym nie mówią” – wyjaśnił Zeidan. Najgorsze, co może się przytrafić, to brak przygotowania na incydent związany z bezpieczeństwem, który zakłóca działalność biznesową.

A kiedy w firmie zdarzy się incydent cybernetyczny, nie ukrywaj go. Oferty Federalnej Komisji Handlu (FTC). wytyczne o tym, z kim należy się kontaktować, w tym z organami ścigania, klientami i dostawcami.

Ale nie poprzestawaj na tym. Komunikuj się z innymi firmami i omawiaj strategie radzenia sobie z incydentem. Udostępnij te informacje za pośrednictwem organizacji branżowych lub lokalnie Izba Handlowa spotkania — wszędzie tam, gdzie masz kontakt z innymi liderami biznesu.

„Jeśli zdarzy Ci się naruszenie, bądź otwarty, szczery i podziel się zdobytymi wnioskami z innymi firmami, aby praktycy mogli wyciągnąć z tego wnioski” – powiedział Delaney. „Nie ma znaczenia, czy jesteśmy konkurentami. Kiedy to sprowadzisz, chodzi o bezpieczeństwo narodowe.

Wiedz, gdzie zwrócić się o pomoc

Każda firma, niezależnie od jej wielkości, potrzebuje większej wiedzy specjalistycznej w zakresie cyberbezpieczeństwa, niż posiada. Niezależnie od tego, w jaki sposób małe i średnie firmy inwestują w bezpieczeństwo, odpowiedzialność za cyberbezpieczeństwo musi być rozłożona na całą firmę.

Dostępne są zasoby, które pomogą małym i średnim firmom w procesie zapewnienia bezpieczeństwa. Na przykład Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oferuje Przewodnik dotyczący cyberbezpieczeństwa małych i średnich przedsiębiorstw odnosi się to konkretnie do różnych ról związanych z bezpieczeństwem, jakie poszczególne osoby odgrywają w środowisku małych firm.

Partnerstwo z przedsiębiorstwami każdego typu i wielkości jest podstawą misji CISA, powiedziała uczestniczka panelu okrągłego stołu Lauren Boas Hayes, starszy doradca ds. technologii i innowacji w CISA.

„Krajobraz się zmienia; każdego dnia pojawiają się nowe zagrożenia” – dodał Delaney.

Praktycy i firmy mogą mieć wrażenie, że próbują udaremnić te nowe zagrożenia, bawiąc się w walenie w kreta, ale dobra wiadomość dla małych i średnich firm jest taka, że ​​dostępne są techniki łagodzenia skutków. To tylko kwestia znalezienia programu, który będzie najlepszy dla konkretnej firmy.

Znak czasu:

Więcej z Mroczne czytanie