Представете си това: Настъпва данъчен сезон и вашият директор по човешки ресурси получава имейл от някой, който се представя за вас - изпълнителен директор. Директорът по човешки ресурси смята, че имейлът е легитимен и отговаря на искането за изпращане на копия на всички W2 на вашите служители. Дни по-късно подателят на имейл - който всъщност е опитен хакер - използва тези W2, за да подаде партида фалшиви данъчни декларации.
Кибератаки като тази се случват всеки ден. И ако управлявате малка или средна компания, вие сте директна цел за атака. Малките и средните фирми стават жертва на по-голямата част от пробивите на данни, тъй като са склонни да:
- Липсват достатъчно мерки за сигурност и обучен персонал
- Съхранявайте данни, които са ценни за хакерите (напр. Номера на кредитни карти, защитена здравна информация)
- Пренебрегвайте използването на външен източник или услуга на трета страна за архивиране на техните файлове или данни, което ги прави уязвими за рансъмуер
- Свържете се с веригата за доставки на по-голяма компания и може да се използва за пробив
Най-новите ни доклад - изследователско сътрудничество с Cisco и Национален център за средния пазар - се основава на данни от 1377 изпълнителни директори на малкия и среден бизнес, които разказват подобна история. Шестдесет и два процента от нашите респонденти казаха, че фирмите им нямат актуална или активна стратегия за киберсигурност - или изобщо каквато и да е стратегия. И това е основен проблем, като се има предвид, че цената на кибератака може да бъде достатъчно висока, за да изведе компанията от бизнес; според Националния алианс за киберсигурност 60% от малкия и среден бизнес, които са хакнати, излизат от бизнеса в рамките на шест месеца.
Ако сте сред тези изпълнителни директори, време е да направите промяна. Следвайте тези четири стъпки, за да започнете да изграждате стратегия за киберсигурност, която предпазва хакерите от вашия бизнес.
1. Определете текущия статус на киберсигурността на вашата компания.
Съберете членове на вашия старши ръководен екип, борда на директорите и инвеститорите, за да проведете неформален одит на бизнеса. Разберете нивото на сигурност, което имате днес.
Въпроси: Отговаря ли някой за нашата киберсигурност? Какви защити вече имаме? Изчерпателна и координирана ли е нашата стратегия? Ако не, можем ли да определим слабите си места?
2. Определете ключовия човек, отговорен за вашата киберсигурност.
Ангажирайте лидери от цялата организация - не само тези от ИТ. Включете хора от различни функционални области, като човешки отношения, маркетинг, операции и финанси. Други играчи от съществено значение за този разговор са вашият адвокат и вашият счетоводител / одитор.
Въпроси: Кой трябва да отговаря за нашата киберсигурност? Какъв процес можем да приложим, за да осигурим отчетност? Как можем да общуваме и да повишим осведомеността относно киберсигурността в различните ни отдели и екипи?
3. Направете инвентаризация на активите си, определете стойността им и приоритизирайте най-важните си активи.
Определете „бижутата на короната“ във вашата компания, независимо дали това са записи на служители, интелектуална собственост или данни за клиенти. Осъзнайте, че никога няма да бъдете на 100% в безопасност от атака, така че определянето на приоритетите в областите на отбраната е важно.
Въпроси: Кои са най-важните активи, които трябва да защитим? Данни на клиента? Интелектуална собственост? Записи на служителите? Можем ли да измерим степента на поверителност, целостта, наличността и безопасността на нашите най-важни активи?
4. Решете какви бизнес възможности и мерки за киберсигурност искате да управлявате сами спрямо аутсорсинг.
Помислете дали има смисъл да се възлагат определени аспекти от вашия бизнес на система, базирана на облак, за да се повиши вашата сигурност. В същото време помислете дали има смисъл да ангажирате експерт или доставчик на киберсигурност. Решете дали искате да работите с консултант, за да разберете вашия план за киберсигурност или ако искате да възложите изцяло вашата киберсигурност.
Въпроси: Какви аспекти от нашия бизнес - като изпълнението на поръчките - трябва да обработваме вътрешно спрямо възлагането на външни изпълнители на трета страна (например Amazon, Cisco, Google)? Трябва ли да възложим нашата киберсигурност на услуга на трета страна? Трябва ли да използваме частичен CIO модел и да потърсим консултации по киберсигурност? Или трябва да се справим сами с целия процес?
колко е нетната стойност на съдията Матис
Най-добрата защита е добро нарушение. Нека приоритет е да защитите данните си в полза на вашите служители, вашите клиенти и дългосрочното здраве на вашия бизнес.
