Как разработать хорошую стратегию кибербезопасности для вашего бизнеса

Наличие хорошей стратегии кибербезопасности для вашего бизнеса — это больше, чем просто установка антивирусного программного обеспечения на все устройства. Даже будучи малым бизнесом, вы должны знать об угрозах, которые могут поставить под угрозу вашу коммерческую тайну, репутацию и, наконец, вашу прибыль.

Все предприятия, большие или малые, должны знать об этих 4 основных угрозах:

1. Эксплойты поддержки клиентов
2. Взлом удаленного работника
3. Эксплойты веб-приложений
4. Программы-вымогатели

Первая угроза не связана с технологией. Вместо этого он нацелен на работающих людей. Без достаточной предусмотрительности легко обмануть человека, отвечающего на электронные письма, с помощью фишинга и лжи.

В дальнейшем технические взломы становятся более частыми. То есть, если вредоносная сущность знает, где искать. Обычно поставщик CRM или серверных услуг также может решить эти проблемы.

Наконец, вам нужно заботиться о своих коммерческих секретах, что может стать серьезной проблемой в компании, которая не бережно обращается с критически важными данными.

Здесь я попытаюсь объяснить различные аспекты хорошей стратегии кибербезопасности. Затем вы можете увидеть, реализуете ли вы все эти параметры или упускаете некоторые из них.

Что такое стратегия кибербезопасности для вашего бизнеса?

Проблема с утечками информации о кибербезопасности существует уже более десяти лет. Тем не менее, предприятия только недавно осознали, что безразличие к их защите может стать серьезной проблемой. Стратегия кибербезопасности заключается не только в том, чтобы повсюду нагромождать защитное программное обеспечение.

Самые большие изменения происходят изнутри. Вам нужно будет понять вашу компанию и данные, которые у вас есть. Вы также хотите определить , почему и как кто-то может получить эту информацию от вас.

Хорошая стратегия кибербезопасности всегда будет разработана специально для вашей компании. Если это не так, она, вероятно, не будет включать в себя важнейшие элементы. Из-за разнообразия в отрасли ни одна стратегия не может быть универсальной для всех.

Он также должен охватывать основы, такие как проблемы управления данными и политики сотрудников, а также более сложные аспекты кибербезопасности, когда речь идет об устройствах и сетях.

В конце концов, ваша стратегия покажет, что вы хотите делать с имеющимися у вас данными и какие непредвиденные обстоятельства у вас есть на случай, если вы станете мишенью.

А теперь к сути вопроса. Как разработать хорошую стратегию кибербезопасности? Я рассмотрю основную проблему, и вам нужно будет выяснить, как это применимо к вашему бизнесу в частности.

Как разработать стратегию кибербезопасности для вашего бизнеса

Лучший способ подойти к построению стратегии кибербезопасности — разделить проблемы на более мелкие части. Вы можете разделить стратегию на 6 категорий, чтобы эффективно управлять каждой из них:

1. Управление данными
2. Информационные ограничения
3. Управление простоями
4. Политика конфиденциальности
5. Программное обеспечение безопасности
6. Обучение персонала

Если вы попытаетесь подойти ко всей стратегии без предварительного заполнения плана, вы, скорее всего, будете перегружены. Затем вы сосредоточитесь на одном из вопросов, обычно наиболее знакомом. Тогда вы также будете пренебрегать другими.

Разбивая их на кусочки, вы делаете весь процесс быстрее и эффективнее, оставляя меньше аспектов на волю случая.

Эти шаги зависят от размера вашей компании и объема собираемых данных. Некоторым предприятиям, которые работают с большим количеством данных, необходимо больше всего сосредоточиться на управлении данными, в то время как компаниям с большим количеством сотрудников необходимо сосредоточиться на обучении.

Вы можете достичь каждого шага внутри компании или с внешней консультационной помощью. Тем не менее, обратите внимание, что сторонние эксперты не будут так хорошо осведомлены о тонкостях вашей компании. Вот почему вы всегда должны делать первый набросок того, что вы хотите сделать внутренне.

Мы можем сделать некоторые прогнозы кибербезопасности на 2022 год, но только вы будете знать, что может работать с вашей компанией и вашими клиентами.

Во-первых, давайте начнем с самой большой части; управление данными. Я предполагаю, что у вас есть много данных и худший сценарий. После этого вы можете адаптировать его к своим потребностям.

1. Управление данными, отделяющее обыденное от особенного

Хорошая стратегия кибербезопасности требует, чтобы вы понимали, какую информацию вам нужно раскрывать, а какую скрывать. Это также самая большая проблема с хорошим управлением данными.

Вот почему мы можем разделить проблему на 4 этапа, каждый из которых требует повышения безопасности и обучения.

В идеале вы хотите предоставить людям все ресурсы, необходимые им для работы, но вы должны защищать особую конфиденциальную информацию за несколькими стенами.

Уровень 1: общедоступные данные

Даже когда речь идет об общедоступных данных, таких как адреса и контактная информация других компаний, вам необходимо скрывать эту информацию. То есть, если у вас нет прямого разрешения от этой компании. Вам не нужен случайный судебный процесс.

Поскольку такая информация должна быть легко доступна для людей, работающих с такими клиентами, вы не можете защитить ее с помощью паролей и токенов. Тем не менее, вы также можете установить политику, согласно которой вы можете раскрывать информацию об этих клиентах только по электронной почте, которую они предоставили.

Убедитесь, что ваши клиенты знают об этой политике. Направляйте их к нему каждый раз, когда они требуют сломать его. Поверьте мне, рано или поздно вы столкнетесь с требованиями пойти против политики.

Уровень 2: Оперативная информация

Это линейки продуктов, информация о дистрибьюторах, внутренние контакты и адреса электронной почты клиентов. Вся информация, которую вы можете найти в обычной CRM, работает. Вы также должны иметь их под рукой.

Тем не менее, вы не должны делать их доступными в Интернете. Вам также необходимо хранить его на защищенном сервере, в том числе на облачном сервере. Наконец, сократите количество людей, которые могут получить доступ к информации о клиентах: информация понадобится только тем, кому нужно работать с этими клиентами.

Вы также можете научить своих сотрудников никогда не раскрывать информацию третьим лицам. Эти шаги обычно устраняют 90% проблем, которые вы можете найти здесь.

Уровень 3: Конфиденциальная информация

Как и где вы производите свой продукт, а также ваши уникальные методы и практики — все это относится к этому сектору. Это тот тип информации, который вам нужно скрывать и ограничивать.

Если вам нужен частый доступ к этой информации для аудита и тестирования, лучше внедрить хорошее управление паролями. Вы также можете использовать сторонние приложения, если это необходимо, но еще лучше разработать свою номенклатуру паролей и процесс обновления.

Таким образом, только администратор данных будет знать пароли заранее и при необходимости предоставит новые пароли соответствующему персоналу.

Уровень 4: Секреты компании

Наконец, что не менее важно, мы упоминаем секреты компании. Это могут быть планы расширения, планы приобретения, ангельские инвестиции или планы слияния. Планы слияний и поглощений особенно важны. Вы никогда не хотите, чтобы эта информация просочилась, никогда. Правительства также считают, что неправомерное использование связано с внутренней торговлей.

Вы никогда не сможете быть достаточно параноиком в отношении таких данных. Доступ к ней должен быть затруднен даже для высшего руководства компании. Единственный способ - через выделенные защищенные серверы. Вы также должны зашифровать эту информацию на них и сделать ее доступной только через персонализированные USB-накопители.

Таким образом, даже если произойдет взлом, вы будете знать, откуда он взялся. Вы также удалите ответственные части из компании.

Жестоко, но это то, что есть. Это самые важные данные, и они должны быть доступны только самым ответственным людям в компании.

Профессиональный совет

Храните действительно важные вещи вне досягаемости, в идеале — в автономном режиме. Самые доступные данные для вас также наиболее доступны для хакеров.

Далее позвольте мне показать вам основы реализации иерархии в вашей стратегии кибербезопасности.

2. Информационные ограничения, обеспечение хорошей иерархии

Это должно звучать как здравый смысл, но в больших компаниях легко заблудиться. Это также тот случай, когда оборот людей работает. Вот почему ограничение информации является ключевым. Вы также должны делать это в соответствии с политикой, а не .

Кроме того, информационная иерархия должна точно соответствовать иерархии компании. Например, генеральному директору может не понадобиться какая-то информация, точно так же, как персоналу службы поддержки не нужны определенные данные.

Вы также можете предоставить специальному менеджеру по кибербезопасности доступ ко всей информации. Тем не менее, они не будут иметь внешнего доступа. С ними также нельзя связаться из-за пределов компании, пока они работают. То же самое произойдет, если вы решите нанять внешних экспертов по кибербезопасности.

Когда вы правильно разделите информацию, вы также уменьшите объем необходимого обучения. Людям, делящимся информацией, также будет проще узнать, кому они могут раскрыть информацию и куда обратиться.

Необходимая информация

В идеале вы хотите давать людям только ту информацию, которая необходима для правильного выполнения их работы. Когда дело доходит до данных, также факт, что мелкие детали и общая картина — это совершенно разные наборы.

К счастью, некоторые программы теперь могут создавать отчеты по отдельным точкам данных без раскрытия точек данных. Таким образом, финансовые сотрудники, юридические группы и аналогичные подразделения могут работать без необходимости сохранять информацию о клиентах на своих устройствах. В свою очередь, это снижает обязательства.

Профессиональный совет

Убедитесь, что у всех есть только та информация, которая им необходима для работы. Новичку не нужно иметь доступ к большей части информации, как и генеральному директору. Убедитесь, что все знают, почему это важно.

Далее поговорим о том, что происходит, когда серверы не подключены к сети. Я могу сказать вам, как это должно выглядеть, но вам придется выяснить, как ваша стратегия будет вписываться.

3. Управление простоями, возобновление работы

У всех компаний есть 2 типа простоев, когда речь идет о данных: плановые и незапланированные. В лучшем случае вы должны быть готовы к обоим.

По данным Statista, среднее время простоя после кибератаки программы-вымогателя в США выросло до 22 дней. Для стартапа этого будет достаточно, чтобы поставить замок на дверь. Если у вас есть хорошая стратегия кибербезопасности, у вас будет план для этого, чтобы вы могли вернуться в бизнес менее чем за 6 часов.

Вы не можете идеально планировать атаки. Тем не менее, вы можете создать систему для планового простоя, которая будет выглядеть так, как будто ничего не было в автономном режиме вообще.

Запланированное время простоя

Отделите веб-сайт от серверной части. Даже если некоторым приложениям нужна серверная информация, храните ее в разных местах, например в Google Cloud и AWS. Таким образом, вы можете сохранять прикрытие и собирать информацию на стороне веб-сайта, даже если серверы не работают.

Поскольку веб-сайты легкие, их также можно копировать и зеркально отображать в нескольких местах, на всякий случай.

Для сервера вам понадобится два файла. Одно будет основным устройством, а другое — резервным и тестовым. Если они используют разные соединения и имеют разные мастер-пароли, вы также можете просто обменяться ими. Это устранит видимые простои для конечного пользователя.

Незапланированный простой

Это сложнее охватить, но несколько сценариев приводят к подавляющему большинству незапланированных простоев сервера:

1. Проблемы с питанием
2. Проблемы с безопасностью
3. Откаты

Ключевое слово в решениях для всех трех — избыточность. Для резервирования при проблемах с электропитанием используйте выделенный ИБП или генератор. Этот блок питания сможет включиться в случае сбоя в энергосистеме.

Что касается вопросов безопасности и откатов, второй сервер, который у вас есть на время планового простоя, — ваш лучший друг. У вас даже может быть переключатель уничтожения на вашем сервере, который отключит весь внешний доступ в случае атаки, включив резервное копирование.

При ошибке в обновлении у вас должна быть прежняя стабильная версия на бекапе. Если вам нужно откатиться и исправить некоторые ошибки, вы просто активируете резервную копию и работаете, пока все не будет исправлено.

Вы также можете получить несколько проблем одновременно, и ничто не может быть нерушимым. Для тех, убедитесь, что все знают свою боевую станцию. Таким образом, вы также можете быть уверены, что будете действовать быстро. Надеюсь, покупатель об этом даже не узнает.

Профессиональный совет

Один и тот же сервер не обязательно должен быть в сети все время. Клиенты просто должны думать, что это так.

Вы даже можете использовать свою Политику конфиденциальности, чтобы заявить, что ваши серверы могут быть отключены по соображениям безопасности. Здесь я могу объяснить техническую и стратегическую стороны, но всегда убедитесь, что последнее слово по юридическим вопросам остается за экспертом по правовым вопросам.

4. Политика конфиденциальности, уточнение ролей

Проблема с Политикой конфиденциальности в том, что не все всегда ее читают и понимают. Имейте в виду, что в настоящее время это юридический документ , необходимый для всех компаний, работающих в большинстве стран мира!

Какими бы необходимыми и полезными они ни были, они также длинные и скучные. У вас также должна быть небольшая преамбула на неправовом языке в начале. Таким образом, вы сможете отметить наиболее важные моменты.

Чтобы создать политику конфиденциальности, вам нужно понять, какие данные у вас есть. Вам также необходимо знать требования ваших клиентов к конфиденциальности. Затем вы увидите, где вы можете выполнить их пожелания, а где вам нужно будет заявить, что вы не несете ответственности.

Затем вам нужно подробно объяснить это людям, ответственным за политику. Каждый должен знать , когда он может помочь пользователю или клиенту, даже если он забыл свой пароль. Вы также должны объяснить , когда им нужно будет подать заявку, ничего не раскрывая.

В большинстве случаев менеджеры сильно запугивают людей тем, что они не выполняют свою работу. В свою очередь, сотрудники готовы нарушить политику, а не позволить клиенту обострить проблему. Вы также должны предотвратить это с помощью хорошего внутрикорпоративного общения и письменных гарантий.

Профессиональный совет

Составьте незаконный список пунктов, в котором прописными буквами будет указано, что вы будете и что не будете делать с данными, которые вы собираете. Таким образом, большинство людей, по крайней мере, легко найдут его.

Вы также можете нанять людей со стороны. Вам, безусловно, понадобится юрисконсульт, но несколько экспертов по конфиденциальности с опытом работы в компаниях, подобных вашей, должны помочь. Это похоже на проблему с программным обеспечением, которая является следующим важным моментом.

5. Программное обеспечение безопасности, привлечение третьих лиц

Это все ваши антивирусы, антишпионские программы, TOR и VPN, которые вы можете использовать для защиты своих устройств. Люди сейчас работают удаленно, поэтому вам нужно, чтобы это программное обеспечение было широко распространено и доступно.

Здесь вы должны разделить все устройства на 3 сектора:

1. Основные устройства компании
2. Персональные рабочие компьютеры для удаленных сотрудников
3. IoT-устройства

Поскольку все они имеют разные возможности и разные области применения, вы не можете защитить их одинаково. Разберёмся с каждым по отдельности:

1. Основные устройства и офисные компьютеры

Основные устройства самые простые. Вы можете уменьшить объем доступа, который они имеют к Интернету и другим частям системы. Для некоторых устройств вы можете разрешить доступ только основному приложению.

Здесь вы можете установить программное обеспечение напрямую, потому что у вас есть прямой доступ к каждому устройству, включая компьютеры, ноутбуки, принтеры и т. д. Вы можете заставить их подключаться только через VPN. Наконец, у вас также может быть антивирусное и антишпионское программное обеспечение, которое нельзя отключить.

2. Персональные устройства и удаленные компьютеры

На персональных компьютерах дело обстоит иначе. Если вы не готовы предоставлять выделенные устройства, вам необходимо предоставить комплекты кибербезопасности. Они будут включать в себя антивирусное программное обеспечение и учетные данные VPN, а также маркеры пароля для основного сервера.

У вас также должны быть трекеры, которые работают, пока человек работает. Это упрощает выставление счетов и может даже проверять, доступны ли нужные вам приложения в сети и обновлены ли они. Это немного вторжение, но необходимый шаг для кибербезопасности.

Тайм-трекеры далеки от совершенства, да и вообще у тайм-трекеров есть свои недостатки. Тем не менее, они являются полезным инструментом и принесут больше пользы, чем вреда.

3. Интернет вещей и умные устройства

Наконец, лучший способ — сократить количество IoT-устройств в компании. Тем не менее, если это невозможно, внедрите средства кибербезопасности в системы. Вы также должны подключить их к зашифрованному маршрутизатору или со своей собственной системой кибербезопасности.

Кроме того, вы должны убедиться, что ваши удаленные работники не используют незащищенные устройства IoT во время работы. Вам нужен VPN-туннель, чтобы отключить все, кроме необходимого устройства.

Профессиональный совет

Используйте хорошее программное обеспечение премиум-класса. Цена за это меньше, чем то, что вы можете потерять в будущем.

После того, как вы все это сделаете, вам все равно придется учитывать человеческий фактор. Я не уверен, что у кого-нибудь когда-нибудь будет надежный план общения с людьми, по крайней мере, не в технологической индустрии, но мы должны хотя бы попытаться.

6. Обучение сотрудников, проведение регулярных учений по повышению осведомленности

И последнее, но не менее важное: обучение людей станет ключом к вашей стратегии кибербезопасности. Программное обеспечение и устройства приходят и уходят, а в будущем будут разрабатываться и популяризироваться различные виды работы. Но без компетентных сотрудников любой бизнес — это просто идея.

Тренируйтесь по разным сценариям. Лучше всего информировать всех о рисках и о том, что любой может стать жертвой.

Проводите регулярные учения по повышению осведомленности, когда речь идет о кибербезопасности и управлении данными. Убедитесь, что все знают, что они должны делать, а затем проверьте, будут ли они делать это под давлением.

Такой подход может быть стрессовым, но гораздо лучше вызвать небольшой стресс на ранней стадии, когда ставки низки, чем позволить вашим людям сломаться под давлением, когда придет время блистать.

Профессиональный совет

Общаться. Хорошая коммуникация внутри компании пойдет дальше любого нового программного обеспечения.

Заключительные слова

Создать стратегию кибербезопасности непросто, но и не сложно. Разберите то, что вам нужно защитить, и определите опасности, с которыми вы можете столкнуться. Затем также откажитесь от некоторых частых «умных разговоров» в индустрии консалтинга по кибербезопасности. Таким образом, вы сможете разработать собственную стратегию кибербезопасности.

Будьте в курсе данных, которые вы собираете, и разбивайте их на некритические и критические. Остерегайтесь хакеров и мошенников, которые могут использовать собранные вами данные. В частности, планируйте эти атаки.

Наконец, введите процедуры и убедитесь, что у всех есть инструменты и знания о том, как им следовать. Внутренние процедуры не должны быть неясными или слишком техническими, поскольку они являются ориентиром того, что кто-то должен делать в конкретной ситуации.

Есть еще вопросы о стратегии кибербезопасности? Ознакомьтесь с часто задаваемыми вопросами и ресурсами ниже!

Получите последние технические новости

Часто задаваемые вопросы

Вам нужна стратегия кибербезопасности?

Да всегда. Даже в небольших компаниях лучше планировать, что все будут делать, если что-то пойдет не так. По мере роста компании один человек не может быть в курсе всех проблем и устройств, особенно если ему также необходимо управлять компанией. Чтобы устранить обязательства и убедиться, что все знают, как действовать при возникновении проблемы, вам необходимо иметь стратегию кибербезопасности.

Что такое стратегия кибербезопасности?

Стратегия кибербезопасности — это набор процедур, объясняющих, как вы будете защищать данные своей компании и клиентов от кибератак, как внешних, так и внутренних. Он не является исключительно сложным, но включает в себя текущую ситуацию, риски, требования и планы того, как справляться с ними в будущем.

Из каких частей состоит хорошая стратегия кибербезопасности?

Чтобы разработать хорошую стратегию кибербезопасности, вам необходимо рассмотреть четыре аспекта:

1. Хорошая осведомленность о данных и управление ими
2. Хорошая коммуникация компании
3. Частые обновления и проверки
4. Адекватное обучение по повышению осведомленности и переоценка рисков

Если вы сможете охватить эти четыре вопроса и регулярно практиковать эффективное управление данными, вы будете точно знать, на каком уровне находится ваша компания. Вы также будете знать, на чем должна сосредоточиться ваша стратегия для улучшения и адаптации.

Нужен ли мне эксперт для разработки моей стратегии кибербезопасности?

Не обязательно. Хорошо иметь некоторые ноу-хау в этой области, но вы можете составить план защиты своих данных, если сможете собрать и обработать их все. Вы также можете объединить кибербезопасность со своей ИТ-стратегией. Некоторая внешняя помощь всегда принесет хорошую перспективу, но она не имеет решающего значения для хорошей стратегии.

Почему важна стратегия кибербезопасности?

Стратегия кибербезопасности важна по трем основным причинам:

1. Причины юридической ответственности (снятие ответственности в некоторых случаях с компании)
2. Улучшение работы (работающие люди менее подвержены стрессу и быстрее реагируют, если знают, что делать)
3. Гарантированная репутация компании

При неправильном управлении каждый из трех может разрушить даже компанию с отличным продуктом.