VKEd peavad tasakaalustama küberturvalisuse vajadused ja ressursid

Väikesed ja keskmise suurusega ettevõtted (VKEd) ei ole küberrünnakute suhtes immuunsed, kuid nad võitlevad areneva ohumaastikuga ja teadmisega, kuidas riske kõige paremini juhtida.

Selle kuu alguses toimunud küberturvalisuse ümarlaual „VKEde küberjulgeolek: keerukuses navigeerimine ja vastupidavuse suurendamine” tõi Sage kokku rühma CISO-sid ja teisi küberjulgeolekuspetsialiste väikeettevõtetest, valitsusasutustest ja mittetulundusühingutest, et arutada VKEde ja nende ees seisvate suurimate probleemide üle. võime tagada oma ettevõtte vara. VKEde ja mittetulundusühingute peamiste väljakutsete hulgas on järgmised:

• Inimfaktor. Töötajad teevad jätkuvalt vigu, näiteks klõpsavad andmepüügimeilide linkidel või lubavad oma seadmetele kaitsmata juurdepääsu, mis seab ettevõtte võrgud ohtu.
• Kolmanda osapoole nõuetele vastavuse vajadused. Partnerorganisatsioonid, töövõtjad, müüjad ja muud kolmandatest osapooltest üksused nõuavad VKEdelt küberjulgeolekunõuete täitmist, eriti nendelt organisatsioonidelt, nagu finantsasutused, mis on rangelt reguleeritud.
• Andmete privaatsusseadused osariikides ja riikides. Nende vastavusnõuete mittetäitmine võib kaasa tuua sanktsioonid ja trahvid.
• Hübriidne tööjõud. VKEdel ei ole enam samal tasemel järelevalvet seadmete ja võrgukäitumise üle, kui töötajad töötavad eemalt, isegi osa ajast.
• Sihitud platvormid ja tööstused. Ohutegijad otsivad organisatsioone, mis kasutavad raha kogumiseks või suure hulga isikuandmete kogumiseks loodud rakendusi.
• Muutuv ohumaastik. Tundub, et iga päev ilmneb uusi rünnakute vektoreid, uut pahavara ja uusi ohutegureid.

Uue uuringu kohaselt on peaaegu pooled VKEdest viimase aasta jooksul kogenud küberjulgeoleku intsidenti. uuring Sage'ilt. Kui 69% vastajatest üle maailma ütleb, et küberturvalisus on osa nende ettevõtte kultuurist, siis peaaegu sama palju ei mõtle sellele enne, kui toimub mõni intsident – ​​vaid 4 vastanutest kümnest ütleb, et nende ettevõte arutab küberturvalisuse teemat regulaarselt.

Küberturvalisus ei pea olema kallis

Pärast rünnakut on liiga hilja alustada arutelusid selle üle, kuidas võrku ja ettevõtet kaitsta, kuid paljudel VKEdel pole õigeid süsteeme paigas. Näiteks Sage'i uuringu kohaselt ei kasuta 46% VKEdest tulemüüre ja 19% tuginevad ainult väga lihtsatele tööriistadele.

Jah, küberturvalisus võib olla kulukas. Ettevõtlusettevõtted võib olla kuni 100 turvatööriista kasutusel. VKEde jaoks ei pea see aga nii keeruline olema ja mõned lähenemisviisid võivad olla isegi tasuta või odavad.

Alustage selle loomisega siseringi riski programm kes jälgib turvapoliitikat kogu ettevõttes, pannes rõhku töötajate käitumisele, soovitas Vaillance Groupi tegevjuht Shawnee Delaney ümarlaua ajal.

"See nõuab vestlusi, mõnikord ebamugavat vestlust, sest keegi ei taha arvata, et nende enda töötajad võivad midagi pahatahtlikku teha," ütles Delaney. "Kuid tõde on see, et suurem osa [küberintsidentidest] on tahtmatud."

Inimeste tööelutsüklite juhtimine on tõhusa küberjulgeolekusüsteemi jaoks ülioluline. Delaney lisas, et see algab vestluse ja värbamisprotsessi ajal, veendudes, et teil on keegi, kes sobib hästi kultuuriga ja on valmis tunnistama, kuidas küberjulgeolek sobib organisatsiooni struktuuriga. Kui olete palganud, järgige sisseelamisprotsesse, mis rõhutavad elementaarset turvahügieeni, sealhulgas minimaalseid privileege ja vajaduse korral juurdepääsu. Ja kui töötaja lahkub, siis veenduge offboard protsessid katkestage juurdepääs täielikult.

Individuaalne turvakoolitus

Inimliku sideme tõttu küberturvalisusega peavad kõik väiksemas ettevõttes, alates tegevjuhist ja lõpetades, omama põhiteadmisi sellest, millised ohud välja näevad. Turvateadlikkuse tõstmise koolitusvõimalusi on palju, kuid VKEdel oleks mõistlik vältida kõigile sobivat varianti.

Koolitus peaks olema suunatud üksikutele töötajatele põhinevad sellistel kriteeriumidel nagu töö funktsioon ja põlvkondadevahelised lõhed tehnoloogilises asjatundlikkuses ja huvides. Vanematel töötajatel on sageli erinev õppimisstiil kui noorematel töötajatel, nagu ka töötajatel, kes töötavad töömahukamate töökohtadega, võib tehnoloogiaga olla erinev suhe kui neil, kes on kogu päeva oma seadmetega seotud. Nende erinevuste mittejärgimine toob kaasa ebaühtlase treeningu, mis võib lõpuks teha rohkem kahju kui kasu.

Muutke küberturvalisus äriprobleemiks

Sage's CISO Gustavo Zeidani sõnul on tendents, eriti väikeste ja keskmise suurusega ettevõtete seas, pidada küberturvalisust IT-probleemiks, mille kohta kõik teadmised peituvad tehnoloogilises ruumis.

Parem lähenemine on mõelda küberturvalisus kui äriprobleem. Zeidan ütles ümarlaual, et turvakultuuri juhitakse paremini tipust ning juhtkond peab arutama küberohtude ja nende ettevõtete sihtimise üle.

"Ärijuhid tunnistavad, et see on probleem, kuid nad ei räägi sellest," selgitas Zeidan. Halvim, mis juhtuda saab, on olla äritegevust häirivaks turvaintsidendiks ette valmistamata.

Ja kui ettevõtte sees toimub küberintsident, siis ärge hoidke seda varjatuna. Federal Trade Commission (FTC) pakub suunised selle kohta, kellega tuleks ühendust võtta, sealhulgas õiguskaitseorganite, klientide ja müüjatega.

Kuid ärge lõpetage sellega. Suhelge teiste ettevõtetega ja arutage intsidendi lahendamise strateegiaid. Jagage seda teavet tööstusele keskendunud organisatsioonide või kohalike kaudu Kaubanduskoda kohtumised – kõikjal, kus teil on kontakt teiste ärijuhtidega.

"Kui teil on rikkumine, olge avatud, olge aus ja jagage oma õppetunde teiste ettevõtetega, et praktikud saaksid sellest õppida," ütles Delaney. “Pole vahet, kas oleme konkurendid. See kõik on riiklik julgeolek, kui selle maha keetate.

Tea, kuhu abi saamiseks pöörduda

Iga ettevõte, olenemata selle suurusest, vajab rohkem küberjulgeolekuteadmisi, kui tal on. Sõltumata sellest, kuidas VKE turvasse investeerib, tuleb küberturvalisuse eest vastutus jaotada üle ettevõtte.

Saadaval on ressursid, mis aitavad VKEsid nende turvateekonnal juhendada. Näiteks Küberturvalisuse ja Infrastruktuuri Turvaagentuur (CISA) pakub an VKE küberturvalisuse juhend mis räägib konkreetselt erinevatest turvalisusega seotud rollidest, mida üksikisikud väikeettevõtete keskkonnas mängivad.

Partnerlussuhted igat tüüpi ja suurusega ettevõtetega on CISA missiooni keskmes, ütles ümarlauapaneeli liige Lauren Boas Hayes, CISA tehnoloogia ja innovatsiooni vanemnõunik.

“Maastik muutub; iga päev on uusi ohte," lisas Delaney.

Praktikutele ja ettevõtetele võib tunduda, et nad üritavad neid uusi ohte tõrjuda hullult, kuid VKEde jaoks on hea uudis, et leevendamistehnikad on olemas. Peab lihtsalt leidma programmi, mis konkreetse ettevõtte jaoks kõige paremini sobib.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources