Kuvittele tämä: On verokausia, ja henkilöstöjohtajasi saa sähköpostin henkilöltä, joka teeskentelee olevansa sinä - toimitusjohtaja. Henkilöstöjohtajan mielestä sähköposti on laillinen ja täyttää pyynnön lähettää kopiot työntekijöidesi W2-tiedostoista. Päiviä myöhemmin sähköpostin lähettäjä - joka on todella taitava hakkeri - käyttää näitä W2: itä toimittamaan erän väärennettyjä veroilmoituksia.
Tällaisia kyberhyökkäyksiä tapahtuu joka päivä. Ja jos sinulla on pieni tai keskisuuri yritys, olet hyökkäyksen suora kohde. Pienet ja keskisuuret yritykset joutuvat suurimman osan tietoturvaloukkauksista uhriksi, koska ne yleensä:
- Ei ole riittäviä turvatoimia ja koulutettua henkilöstöä
- Säilytä hakkereille arvokkaita tietoja (esim. Luottokorttinumerot, suojatut terveystiedot)
- Laiminlyödä ulkopuolisen lähteen tai kolmannen osapuolen palvelun käyttöä tiedostojen tai tietojen varmuuskopioimiseksi, jolloin he ovat alttiita lunnasohjelmille
- Muodosta yhteys suuremman yrityksen toimitusketjuun ja pääset tunkeutumaan
Uusin raportti - tutkimusyhteistyö Cisco ja Kansallinen keskimarkkinoiden keskus - perustuu 1377 pienten ja keskisuurten yritysten toimitusjohtajan tietoihin, jotka kertovat samanlaisen tarinan. 62 prosenttia vastaajistamme sanoi, että heidän yrityksillään ei ole ajan tasalla olevaa tai aktiivista kyberturvallisuusstrategiaa - tai mitään strategiaa. Ja se on suuri ongelma, kun otetaan huomioon, että kyberhyökkäyksen kustannukset voivat olla riittävän korkeat yrityksen lopettamiseksi; National Cyber Security Alliancen mukaan 60 prosenttia hakkeroiduista pienistä ja keskisuurista yrityksistä lopettaa toimintansa kuuden kuukauden kuluessa.
Jos olet näiden toimitusjohtajien joukossa, on aika tehdä muutos. Seuraa näitä neljää vaihetta aloittaaksesi kyberturvallisuusstrategian rakentamisen, joka pitää hakkerit poissa yrityksestäsi.
1. Selvitä yrityksesi nykyinen kyberturvallisuustila.
Tuo yhteen johtavan johtoryhmän jäsenet, hallitus ja sijoittajat suorittamaan epävirallinen liiketoiminnan tarkastus. Hanki käsitys nykyisestä turvallisuustasostasi.
Esitettävät kysymykset: Onko kukaan vastuussa kyberturvallisuudestamme? Mitä puolustuksia meillä on jo käytössä? Onko strategiamme kattava ja koordinoitu? Jos ei, voimmeko tunnistaa heikkot alueemme?
2. Tunnista avainhenkilö, joka on vastuussa kyberturvallisuudestasi.
Ota mukaan johtajia organisaatiosta - ei vain IT-johtajia. Sisällytä ihmisiä eri toiminnallisilta alueilta, kuten ihmissuhteet, markkinointi, toiminta ja rahoitus. Muut keskustelun kannalta olennaiset pelaajat ovat asianajajasi ja kirjanpitäjäsi / tilintarkastajasi.
Esitettävät kysymykset: Kenen pitäisi olla vastuussa kyberturvallisuudestamme? Mitä prosessia voimme toteuttaa vastuuvelvollisuuden varmistamiseksi? Kuinka voimme kommunikoida ja lisätä tietoisuutta kyberturvallisuudesta eri osastoillamme ja tiimeissämme?
3. Tee luettelo omaisuudestasi, määritä niiden arvo ja priorisoi tärkeimmät omaisuutesi.
Tunnista yrityksesi 'kruununjalokivet', olivatpa ne työntekijöiden arkistoja, immateriaalioikeuksia tai asiakastietoja. Tunnusta, ettet koskaan ole 100% turvassa hyökkäykseltä, joten puolustusalueiden priorisointi on tärkeää.
Esitettävät kysymykset: Mitkä ovat tärkeimmät varat, joita meidän on suojeltava? Asiakastiedot? Henkinen omaisuus? Työntekijöiden tietueet? Voimmeko mitata tärkeimpien omaisuuksiemme luottamuksellisuuden, eheyden, saatavuuden ja turvallisuuden?
4. Päätä, mitä liiketoimintavalmiuksia ja kyberturvallisuustoimenpiteitä haluat hallita itsesi ulkoistamisen sijaan.
Mieti, onko järkevää ulkoistaa tietyt liiketoimintasi näkökohdat pilvipohjaiseen järjestelmään turvallisuutesi parantamiseksi. Samalla harkitse, onko järkevää ottaa mukaan kyberturvallisuuden asiantuntija tai palveluntarjoaja. Päätä, haluatko työskennellä konsultin kanssa selvittääksesi kyberturvallisuussuunnitelmasi vai haluatko ulkoistaa kyberturvallisuutesi kokonaan.
Esitettävät kysymykset: Mitä liiketoimintamme osa-alueita - kuten tilausten täyttämistä - pitäisi käsitellä sisäisesti verrattuna ulkoistamiseen kolmansille osapuolille (esim. Amazon, Cisco, Google)? Pitäisikö meidän ulkoistaa kyberturvallisuutemme kolmannen osapuolen palvelulle? Pitäisikö meidän käyttää murto-osaa CIO-mallia ja etsiä kyberturvallisuuskonsultointia? Vai pitäisikö meidän hoitaa koko prosessi itse?
Paras puolustus on hyvä rikos. Pidä ensisijaisena tietojesi suojaaminen työntekijöidesi, asiakkaidesi ja yrityksesi terveyden hyväksi.