Малому и среднему бизнесу необходимо сбалансировать потребности и ресурсы в области кибербезопасности

Малый и средний бизнес (SMB) не застрахован от кибератак, но они борются с меняющимся ландшафтом угроз и знают, как лучше всего управлять рисками.

Во время «Круглого стола по кибербезопасности для малого и среднего бизнеса: преодоление сложностей и повышение устойчивости» в начале этого месяца Сейдж собрал группу директоров по информационной безопасности и других специалистов по кибербезопасности из малого бизнеса, правительственных учреждений и некоммерческих организаций, чтобы обсудить некоторые из самых серьезных проблем, с которыми сталкиваются малые и средние предприятия и их компании. возможность защитить активы своей компании. Среди главных проблем для малого и среднего бизнеса и некоммерческих организаций можно назвать:

• Человеческий фактор. Сотрудники продолжают совершать ошибки, например переходить по ссылкам в фишинговых электронных письмах или предоставлять незащищенный доступ к своим устройствам, что подвергает риску сети компании.
• Требования соответствия требованиям третьих сторон. Партнерские организации, подрядчики, поставщики и другие сторонние организации требуют от предприятий малого и среднего бизнеса соблюдения требований кибербезопасности, особенно таких организаций, как финансовые учреждения, деятельность которых строго регулируется.
• Законы о конфиденциальности данных в разных штатах и ​​странах. Несоблюдение этих требований может привести к санкциям и штрафам.
• Гибридная рабочая сила. Компании малого и среднего бизнеса больше не имеют такого же уровня контроля за устройствами и поведением в Интернете, когда сотрудники работают удаленно, даже часть времени.
• Целевые платформы и отрасли. Злоумышленники ищут организации, которые используют приложения, предназначенные для сбора денег или больших объемов личной информации.
• Изменение ландшафта угроз. Кажется, что каждый день появляются новые векторы атак, новые вредоносные программы и новые субъекты угроз.

По данным нового отчета, в прошлом году почти половина предприятий малого и среднего бизнеса столкнулись с инцидентами, связанными с кибербезопасностью. исследование от Сейджа. Хотя 69% респондентов во всем мире говорят, что кибербезопасность является частью корпоративной культуры, почти столько же не задумываются об этом до тех пор, пока не произойдет инцидент — только 4 из 10 респондентов говорят, что их компания регулярно обсуждает кибербезопасность.

Кибербезопасность не должна быть дорогой

После атаки уже слишком поздно начинать дискуссии о том, как защитить сеть и компанию, но у многих предприятий малого и среднего бизнеса нет подходящих систем. Например, согласно исследованию Sage, 46% предприятий малого и среднего бизнеса не используют межсетевые экраны, а 19% полагаются только на самые простые инструменты.

Да, кибербезопасность может быть дорогой. Предприятия может иметь более 100 инструментов безопасности в использовании. Однако для малого и среднего бизнеса это не должно быть так уж сложно, а некоторые подходы могут быть даже бесплатными или недорогими.

Начните с создания программа инсайдерских рисков которая контролирует политику безопасности во всей компании, уделяя особое внимание поведению сотрудников, — рекомендовал Шони Делани, генеральный директор Vaillance Group, во время круглого стола.

«Это требует от вас разговоров, иногда неудобных, потому что никто не хочет думать, что их собственные сотрудники могут сделать что-то злонамеренное», — сказал Делейни. «Но правда в том, что подавляющее большинство [кибер-инцидентов] являются непреднамеренными».

Управление жизненным циклом занятости человека имеет жизненно важное значение для эффективной системы кибербезопасности. «Все начинается во время собеседования и процесса найма с того, чтобы убедиться, что у вас есть человек, который хорошо подходит по культуре и готов понять, как кибербезопасность вписывается в организационную структуру», — добавил Делейни. После того как вы наняли сотрудника, следуйте процессам адаптации, в которых особое внимание уделяется элементарной гигиене безопасности, включая предоставление доступа с наименьшими привилегиями и доступ по мере необходимости. И когда сотрудник уйдет, убедитесь, что внеплановые процессы отключите доступ полностью.

Индивидуализируйте обучение безопасности

Из-за человеческой связи с кибербезопасностью каждый в небольшой компании, начиная с генерального директора и ниже, должен иметь базовое представление о том, как выглядят угрозы. Существует множество вариантов обучения по вопросам безопасности, но предприятиям малого и среднего бизнеса было бы разумно избегать универсального варианта.

Обучение должно быть ориентированный на отдельных работников на основе таких критериев, как должностные обязанности и разрыв между поколениями в технической грамотности и интересах. У пожилых работников часто другой стиль обучения, чем у молодых, точно так же, как сотрудники, выполняющие более трудоемкие работы, могут иметь другое отношение к технологиям, чем те, кто весь день привязан к своим устройствам. Несоблюдение этих различий приводит к неравномерности тренировок, что может принести больше вреда, чем пользы.

Сделайте кибербезопасность бизнес-задачой

По словам Густаво Зейдана, директора по информационной безопасности Sage, существует тенденция, особенно среди малого и среднего бизнеса, рассматривать кибербезопасность как ИТ-проблему, все знания о которой лежат в технологическом пространстве.

Лучший подход — подумать о кибербезопасность как проблема бизнеса. Культурой безопасности лучше управлять сверху, сказал Зейдан в ходе круглого стола, и руководству необходимо обсуждать киберугрозы и способы нападения на их бизнес.

«Лидеры бизнеса признают, что это проблема, но не говорят об этом», — объяснил Зейдан. Худшее, что может случиться, — это оказаться неподготовленным к инциденту безопасности, который нарушает бизнес-операции.

А когда внутри компании происходит киберинцидент, не скрывайте его. Федеральная торговая комиссия (FTC) предлагает методические рекомендации о том, с кем следует связаться, включая правоохранительные органы, клиентов и поставщиков.

Но не останавливайтесь на достигнутом. Общайтесь с другими предприятиями и обсуждайте стратегии действий в случае инцидента. Поделитесь этой информацией через отраслевые организации или на местных Торговая палата встречи — везде, где у вас есть контакт с другими лидерами бизнеса.

«Если у вас есть нарушение, будьте открыты, честны и поделитесь полученными уроками с другими предприятиями, чтобы практики могли извлечь из этого уроки», — сказал Делейни. «Не имеет значения, являемся ли мы конкурентами. Если свести все к минимуму, то это национальная безопасность».

Знайте, куда обращаться за помощью

Каждой компании, независимо от ее размера, требуется больше знаний в области кибербезопасности, чем она имеет. Независимо от того, как малый и средний бизнес инвестирует в безопасность, ответственность за кибербезопасность должна быть распределена по всей компании.

Доступны ресурсы, которые помогут предприятиям малого и среднего бизнеса на пути к обеспечению безопасности. Агентство кибербезопасности и безопасности инфраструктуры (CISA), например, предлагает Руководство по кибербезопасности для малого и среднего бизнеса это конкретно говорит о различных ролях, связанных с безопасностью, которые люди играют в среде малого бизнеса.

Партнерство с предприятиями всех типов и размеров является основой миссии CISA, сказала участница круглого стола Лорен Боас Хейс, старший советник по технологиям и инновациям CISA.

«Пейзаж меняется; каждый день возникают новые угрозы», — добавил Делейни.

Практикам и предприятиям может показаться, что они играют в «ударь крота», пытаясь предотвратить эти новые угрозы, но хорошая новость для малого и среднего бизнеса заключается в том, что существуют методы смягчения последствий. Это всего лишь вопрос поиска программы, которая лучше всего подходит для конкретной компании.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources