Злоумышленники часто осознают тот факт, что они, вероятно, будут иметь более низкий уровень безопасности, чем крупные предприятия, при этом храня практически идентичные данные. В развивающемся мире кибербезопасности самого минимума уже недостаточно.
Nutbourne — поставщик управляемых услуг – прошел сертификацию в рамках инициативы Cyber Essentials. Это поддерживаемая правительством схема, которая поощряет МСП применять те же методы обеспечения безопасности, что и на уровне предприятия.
Патрик Берджесс, технический директор Nutbourne, поделился своим профессиональным мнением о различных способах повышения безопасности сети и обеспечения сохранности всех данных вашей компании. Независимо от размера вашего бизнеса, экономить на безопасности вашей сети — это ошибка, которую вы не можете позволить себе совершить.
Обучение персонала
Возможно, вы хорошо разбираетесь в тонкостях своей системы безопасности, но ваши сотрудники могут этого не делать. Непонимание способов защиты данных вашей компанией может быстро создать проблемы.
Обучение ваших сотрудников — один из самых простых и эффективных способов предотвращения нарушений безопасности. Информирование пользователей о том, как происходят взломы, как происходят фишинговые атаки и как проявляются программы-вымогатели, — все это очень эффективные меры по обеспечению безопасности вашей сети.
Важно и значительно проще дать вашим сотрудникам четкие рекомендации, убедиться, что они понимают политику компании, и ознакомить их с тем, как выглядят лучшие практики. Это важно для работодателей, предлагающих гибкий график работы, или компаний, руководители которых работают удаленно.
Учитывая текущую обстановку, стоит напомнить вашим командам об их обязанностях. Мы уже наблюдаем огромный рост числа попыток фишинга и подобных атак, при этом большой процент рабочей силы Великобритании работает из дома. Информирование персонала об этих опасностях и поощрение его к бдительности поможет снизить риск нарушений безопасности.
Понимание ваших систем
Невозможно обеспечить безопасность ваших данных, если у вас нет полного представления о том, какие системы у вас есть и где хранятся ваши данные. Если вы не знаете, где находятся данные или что люди используют для доступа к ним, вы проиграли еще до того, как начали.
На малых и средних предприятиях сотрудникам часто разрешается устанавливать программы, чтобы снять нагрузку с ИТ–обслуживающего персонала — роль, которая обычно не выполняется полный рабочий день, – но здесь возникает проблема. Если людям дать возможность устанавливать все, что им нравится, они так и сделают. Наряду с этим, сотрудники часто пользуются преимуществами облачных систем, таких как Dropbox и OneDrive, находясь под впечатлением от эффективности использования этих систем. Напротив, они могут компрометировать бизнес-данные, не осознавая этого, храня их в неизвестных местах.
Существует множество систем, которые могут помочь вам выполнить сканирование вашей сети, чтобы понять, что используют люди. Исходя из этой информации, вы можете начать определять, какие политики и системы вам необходимо внедрить для защиты ваших данных.
Определение политики
Наличие четкой руководящей политики защитит от хаоса и предоставит вам основу, определяющую вашу стратегию ИТ-безопасности. В ней также будет указано поведение, которого вы ожидаете от сотрудников, и методы, которым, как вы ожидаете, они будут следовать.
Важно помнить, что кибербезопасность — это защита вашей информации. Помня об этом, сосредоточьтесь в первую очередь на своей информации, а не на технологии, которую вы будете использовать для ее защиты. Это даст вам прочную базу для начала.
Вам нужна структура, которая сохраняет конфиденциальность вашей информации, защищает ее целостность и управляет ее доступностью. Эта модель, известная как триада ЦРУ, надежна и поддается итеративному и постоянному совершенствованию. На практике вам следует зашифровать свою информацию, чтобы сделать ее безопасной, предоставлять доступ только тем, кто в ней нуждается, и поддерживать ее целостность, проверяя, что она никоим образом не была повреждена.
Аудит и тестирование
Важно убедиться, что после запуска процесса он постоянно пересматривается. Вам следует проводить ежеквартальные встречи, чтобы ознакомиться с вашими системами и реестром известных рисков, а также с хранящейся информацией. Убедитесь, что все это актуально, точно и безопасно. Все ли по-прежнему исправно? По-прежнему ли снижаются риски?
Это касается как создания процесса, с помощью которого вы можете обучать своих сотрудников, так и оценки того, насколько надежна ваша ИТ-безопасность. Чем больше вы обучаете своих сотрудников, тем лучше. Сотрудники, скорее всего, дважды подумают, прежде чем создавать новые, небезопасные электронные таблицы и создавать ненужные информационные точки, если они понимают, как это может создать риск взлома.
Будьте проще
Все, что требуется в сфере ИТ-безопасности, — это последовательный подход, основанный на здравом смысле: четкие и простые структуры, руководящие политики и регулярная оценка. Применяя этот подход и регулярно обновляя свое программное обеспечение, вы обнаружите, что 99,9% всех рисков будут снижены.
Полная перестройка вашей ИТ-безопасности редко требуется. Вместо этого сосредоточьтесь на настройке. Улучшение на 1% каждую неделю лучше, чем стремиться к улучшению на 50% за ночь из-за нарушения безопасности.
Придерживаясь основных принципов – ‘безопасность, обеспечение соблюдения, мониторинг и улучшение’ – вы создадите системы, процессы и процедуры, которые легко выявляют риски, снижают их и отодвигают вашу ИТ-безопасность от модели ‘перерыв-исправление’.