Малому та середньому бізнесу потрібно збалансувати потреби в кібербезпеці та ресурси

Підприємства малого та середнього бізнесу (SMB) не захищені від кібератак, але вони борються з мінливим ландшафтом загроз і знають, як найкраще керувати ризиками.

Під час круглого столу «Кібербезпека для малого і середнього бізнесу: складність навігації та підвищення стійкості» на початку цього місяця Сейдж об’єднав групу CISO та інших спеціалістів із кібербезпеки з малого бізнесу, державних установ і некомерційних організацій, щоб обговорити деякі з найбільших проблем, з якими стикаються малий і середній бізнес та їх здатність убезпечити активи своєї компанії. Серед основних викликів для малого та середнього бізнесу та некомерційних організацій:

• Людський фактор. Співробітники продовжують робити помилки, наприклад натискати посилання у фішингових електронних листах або дозволяти незахищений доступ до своїх пристроїв, що ставить під загрозу мережі компанії.
• Треті сторони потребують відповідності. Партнерські організації, підрядники, постачальники та інші сторонні організації вимагають, щоб малий і середній бізнес відповідав їхнім вимогам щодо кібербезпеки, особливо ті організації, як фінансові установи, які є жорстко регульованими.
• Закони про конфіденційність даних у штатах і країнах. Недотримання цих вимог може призвести до санкцій і штрафів.
• Гібридна робоча сила. Підприємства малого та середнього бізнесу більше не мають тих самих рівнів нагляду за пристроями та поведінкою в Інтернеті, коли співробітники працюють віддалено, навіть частину робочого часу.
• Цільові платформи та галузі. Зловмисники шукають організації, які використовують програми, призначені для збору грошей або великих обсягів особистої інформації.
• Зміна ландшафту загроз. Здається, щодня з’являються нові вектори атак, нові шкідливі програми та нові загрози.

Відповідно до нового дослідження від Sage. У той час як 69% респондентів у всьому світі кажуть, що кібербезпека є частиною культури їхньої компанії, майже стільки ж не розглядають це, доки не станеться інцидент — лише 4 з 10 респондентів кажуть, що їх компанія регулярно обговорює кібербезпеку.

Кібербезпека не обов’язково має бути дорогою

Після атаки вже пізно починати дискусії про те, як захистити мережу та компанію, але багато малих і середніх підприємств не мають відповідних систем. Згідно з дослідженням Sage, наприклад, 46% малих і середніх підприємств не використовують брандмауери, а 19% покладаються лише на дуже прості інструменти.

Так, кібербезпека може коштувати дорого. Корпоративні компанії може мати понад 100 інструментів безпеки в вживанні. Однак для малого та середнього бізнесу це не повинно бути таким складним, і деякі підходи можуть бути навіть безкоштовними або недорогими.

Почніть зі створення програма інсайдерських ризиків який контролює політику безпеки в усій компанії з наголосом на поведінці співробітників, рекомендував під час круглого столу Шоуні Делейні, генеральний директор Vaillance Group.

«Це вимагає від вас розмов, іноді незручних розмов, тому що ніхто не хоче думати, що їхні власні співробітники можуть зробити щось зловмисне», — сказав Делані. «Але правда в тому, що переважна більшість [кіберінцидентів] є ненавмисними».

Управління життєвими циклами зайнятості людини є життєво важливим для ефективної системи кібербезпеки. Це починається під час співбесіди та процесу найму, переконавшись, що у вас є людина, яка добре відповідає культурі та готова зрозуміти, як кібербезпека вписується в організаційну структуру, додав Делані. Після того, як ви наймете, дотримуйтесь процесів адаптації, які наголошують на елементарній гігієні безпеки, включаючи найменші привілеї та доступ за потребою. І коли працівник піде, переконайтеся процеси висадки повністю відключити доступ.

Індивідуалізуйте навчання безпеки

Через людський зв’язок із кібербезпекою кожен у меншій компанії, починаючи від генерального директора, повинен мати базове розуміння того, як виглядають загрози. Існує багато варіантів навчання з питань безпеки, але малим і середнім підприємствам було б розумно уникати універсального варіанту.

Навчання має бути орієнтована на окремих працівників на основі таких критеріїв, як посадові обов’язки та розбіжності між поколіннями в технічній підкованості та інтересах. Старші працівники часто мають інший стиль навчання, ніж молоді працівники, так само як працівники, які працюють на більш трудомістких роботах, можуть мати інше ставлення до технологій, ніж ті, хто весь день прив’язаний до своїх пристроїв. Порушення поваги до цих відмінностей призводить до нерівномірного навчання, що може призвести до більшої шкоди, ніж користі.

Зробіть кібербезпеку бізнес-проблемою

За словами Густаво Зейдана, керівника CISO компанії Sage, існує тенденція, особливо серед малих і середніх компаній, вважати кібербезпеку проблемою ІТ, для вирішення якої всі знання знаходяться в технологічному просторі.

Кращий підхід - подумати кібербезпека як питання бізнесу. Зейдан сказав під час круглого столу, що культуру безпеки краще керувати зверху, і керівництво має обговорювати кіберзагрози та те, як їхній бізнес може стати ціллю.

«Керівники бізнесу визнають, що це проблема, але вони не говорять про це», – пояснив Зейдан. Найгірше, що може трапитися, — бути неготовим до інциденту безпеки, який порушить бізнес-операції.

І коли в компанії трапляється кіберінцидент, не приховуйте його. Федеральна торгова комісія (FTC) пропонує керівні вказівки про те, з ким слід зв’язуватися, включаючи правоохоронні органи, клієнтів і продавців.

Але не зупиняйтеся на досягнутому. Спілкуйтеся з іншими компаніями та обговорюйте стратегії подолання інциденту. Поділіться цією інформацією через галузеві організації або на місцевому рівні Торгівельна Палата зустрічі — всюди, де ви маєте контакти з іншими лідерами бізнесу.

«Якщо у вас є порушення, будьте відкритими, чесними та поділіться своїми уроками з іншими компаніями, щоб практики могли навчитися на цьому», — сказав Делані. «Не має значення, чи ми конкуренти. Це все національна безпека, коли ви це варите».

Знайте, куди звернутися за допомогою

Кожна компанія, незалежно від її розміру, потребує більше досвіду з кібербезпеки, ніж вона має. Незалежно від того, як малий і середній бізнес інвестує в безпеку, відповідальність за кібербезпеку має бути розподілена по всій компанії.

Доступні ресурси, які допоможуть малому та середньому бізнесу на шляху безпеки. Агентство з кібербезпеки та безпеки інфраструктури (CISA), наприклад, пропонує Посібник з кібербезпеки малого та середнього бізнесу що конкретно стосується різних ролей, пов’язаних із безпекою, які люди відіграють у середовищі малого бізнесу.

Партнерство з підприємствами всіх типів і розмірів є основою місії CISA, сказала учасник круглого столу Лорен Боас Хейс, старший радник з технологій та інновацій CISA.

«Ландшафт змінюється; щодня виникають нові загрози», – додав Делейні.

Практикуючі спеціалісти та компанії можуть відчути, що намагаються запобігти цим новим загрозам, намагаючись запобігти цим новим загрозам, але хороша новина для малого та середнього бізнесу полягає в тому, що існують методи пом’якшення. Це лише питання пошуку програми, яка найкраще підходить для окремої компанії.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources