MSP morajo vzpostaviti ravnovesje med potrebami in viri kibernetske varnosti

Mala in srednje velika podjetja (SMB) niso imuna na kibernetske napade, vendar se borijo z razvijajočo se pokrajino groženj in vedo, kako najbolje obvladovati tveganje.

Med okroglo mizo o kibernetski varnosti za mala in srednja podjetja: Navigacija zapletenosti in izgradnja odpornosti v začetku tega meseca je Sage združil skupino CISO in drugih strokovnjakov za kibernetsko varnost iz malih podjetij, vladnih agencij in neprofitnih organizacij, da bi razpravljali o nekaterih največjih težavah, s katerimi se soočajo mala in srednja podjetja in njihovi sposobnost zavarovati premoženje svojega podjetja. Med največjimi izzivi za mala in srednje velika podjetja ter neprofitne organizacije so:

• Človeški faktor. Zaposleni še naprej delajo napake, na primer klikajo povezave v lažnem e-poštnem sporočilu ali dovolijo nezaščiten dostop do svojih naprav, kar ogroža omrežja podjetja.
• Potrebe po skladnosti s predpisi tretjih oseb. Partnerske organizacije, izvajalci, prodajalci in drugi subjekti tretjih oseb zahtevajo, da mala in srednja podjetja izpolnjujejo njihove zahteve glede kibernetske varnosti, zlasti tiste organizacije, kot so finančne institucije, ki so zelo regulirane.
• Zakoni o zasebnosti podatkov v državah in državah. Neizpolnjevanje teh zahtev lahko povzroči sankcije in globe.
• Hibridna delovna sila. Mala in srednje velika podjetja nimajo več enake ravni nadzora nad napravami in spletnim vedenjem, ko zaposleni delajo na daljavo, tudi del časa.
• Ciljne platforme in industrije. Akterji groženj iščejo organizacije, ki uporabljajo aplikacije, namenjene zbiranju denarja ali zbiranju velikih količin osebnih podatkov.
• Spreminjanje pokrajine groženj. Zdi se, da se vsak dan pojavljajo novi vektorji napadov, nova zlonamerna programska oprema in novi akterji groženj.

Glede na novo študija Sage. Medtem ko 69 % anketirancev po vsem svetu pravi, da je kibernetska varnost del kulture njihovega podjetja, jih skoraj enako število o tem ne razmišlja, dokler ne pride do incidenta – le 4 od 10 anketirancev pravi, da njihovo podjetje redno razpravlja o kibernetski varnosti.

Ni nujno, da je kibernetska varnost draga

Po napadu je prepozno začeti razprave o tem, kako zaščititi omrežje in podjetje, vendar veliko malih in srednje velikih podjetij nima vzpostavljenih pravih sistemov. Glede na Sageovo raziskavo na primer 46 % malih in srednje velikih podjetij ne uporablja požarnih zidov, 19 % pa se jih zanaša le na zelo osnovna orodja.

Da, kibernetska varnost je lahko draga. Podjetniška podjetja ima lahko več kot 100 varnostnih orodij v uporabi. Za mala in srednje velika podjetja pa ni nujno, da je tako zapleteno in nekateri pristopi so lahko celo brezplačni ali poceni.

Začnite z ustvarjanjem program tveganja notranjih informacij ki nadzira varnostne politike v celotnem podjetju s poudarkom na vedenju zaposlenih, je med okroglo mizo priporočil Shawnee Delaney, izvršni direktor skupine Vaillance Group.

"Zahteva pogovore, včasih neprijetne pogovore, ker nihče noče misliti, da bi lahko njihovi zaposleni naredili kaj zlonamernega," je dejal Delaney. "Toda resnica je, da je velika večina [kibernetskih incidentov] nenamernih."

Upravljanje življenjskih ciklov zaposlitve ljudi je bistvenega pomena za učinkovit sistem kibernetske varnosti. Začne se med razgovorom in postopkom zaposlovanja, tako da se prepričate, da imate nekoga, ki je dobro kulturno prilagojen in je pripravljen prepoznati, kako se kibernetska varnost ujema z organizacijsko strukturo, je dodal Delaney. Ko se zaposlite, sledite procesom vkrcanja, ki poudarjajo osnovno varnostno higieno, vključno z najmanjšimi privilegiji in dostopom po potrebi. In ko delavec odide, se prepričajte izstopni procesi popolnoma prekinite dostop.

Individualizirajte varnostno usposabljanje

Zaradi človeške povezave s kibernetsko varnostjo morajo vsi v manjšem podjetju, od generalnega direktorja navzdol, imeti osnovno razumevanje, kako izgledajo grožnje. Obstaja veliko možnosti usposabljanja za ozaveščanje o varnosti, vendar bi bilo za mala in srednja podjetja pametno, da se izognejo možnosti, ki ustreza vsem.

Usposabljanje bi moralo biti usmerjeno k posameznim delavcem temelji na merilih, kot so delovna funkcija in generacijske vrzeli v tehnični podkovanosti in interesih. Starejši delavci imajo pogosto drugačen stil učenja kot mlajši zaposleni, tako kot imajo lahko zaposleni, ki delajo na bolj delovno intenzivnih delovnih mestih, drugačen odnos do tehnologije kot tisti, ki so ves dan pritrjeni na svoje naprave. Neupoštevanje teh razlik povzroči neenakomerno usposabljanje, ki lahko povzroči več škode kot koristi.

Naj bo kibernetska varnost poslovni problem

Obstaja težnja, zlasti med malimi in srednje velikimi podjetji, da se o kibernetski varnosti razmišlja kot o problemu IT, za katerega je vse znanje v tehnološkem prostoru, pravi Gustavo Zeidan, Sagejev CISO.

Razmislite o boljšem pristopu kibernetska varnost kot poslovno vprašanje. Varnostno kulturo je bolje voditi z vrha, je med okroglo mizo dejal Zeidan, vodstvo pa mora razpravljati o kibernetskih grožnjah in o tem, kako so lahko tarča njihovih podjetij.

"Poslovni voditelji priznavajo, da je to problem, vendar o tem ne govorijo," je pojasnil Zeidan. Najslabše, kar se lahko zgodi, je nepripravljenost na varnostni incident, ki moti poslovanje.

In ko se v podjetju zgodi kibernetski incident, tega ne zamolčite. Zvezna komisija za trgovino (FTC) ponuja Smernice o tem, s kom se je treba obrniti, vključno z organi kazenskega pregona, strankami in prodajalci.

Vendar se ne ustavite pri tem. Komunicirajte z drugimi podjetji in razpravljajte o strategijah za reševanje incidenta. Delite te informacije prek organizacij, osredotočenih na industrijo, ali na lokalni ravni Gospodarska zbornica srečanja — povsod, kjer imate stik z drugimi poslovnimi voditelji.

»Če pride do kršitve, bodite odprti, pošteni in delite svoje izkušnje z drugimi podjetji, da se bodo strokovnjaki lahko učili iz tega,« je dejal Delaney. »Ni pomembno, ali smo tekmeci. Vse to je nacionalna varnost, ko zavreš.«

Vedite, kam poiskati pomoč

Vsako podjetje, ne glede na velikost, potrebuje več strokovnega znanja na področju kibernetske varnosti, kot ga ima. Ne glede na to, kako mala in srednje velika podjetja vlagajo v varnost, je treba odgovornost za kibernetsko varnost porazdeliti po podjetju.

Na voljo so viri za pomoč malim in srednje velikim podjetjem na njihovi varnostni poti. Agencija za kibernetsko varnost in varnost infrastrukture (CISA) na primer ponuja Vodnik za kibernetsko varnost za SMB ki posebej govori o različnih vlogah, povezanih z varnostjo, ki jih posamezniki igrajo v okolju malih podjetij.

Partnerstva s podjetji vseh vrst in velikosti so jedro poslanstva CISA, je povedala udeleženka okrogle mize Lauren Boas Hayes, višja svetovalka za tehnologijo in inovacije pri CISA.

»Pokrajina se spreminja; vsak dan so nove grožnje,« je dodal Delaney.

Strokovnjaki in podjetja se morda počutijo, kot da se s svojimi prizadevanji za preprečitev teh novih groženj zavajajo, vendar je dobra novica za mala in srednje velika podjetja ta, da obstajajo tehnike za ublažitev. Gre le za iskanje programa, ki za posamezno podjetje najbolje deluje.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources