Институт
киберготовности (CRI) попросил свой Консультативный совет по малому бизнесу,
группу из 15 государственных и частных организаций, которые обслуживают МСП в
различных сферах, определить ключевые советы, которые помогут МСП стать более
безопасными и устойчивыми. овет разработал следующие семь основополагающих мер
в области кибербезопасности.В то
время как индивидуальные обстоятельства каждого предприятия будут диктовать
специфику его программы кибербезопасности, приведенные ниже советы служат защитным ограждением
для повышения киберустойчивости вашей организации.
Каждая организация
должна относиться к кибербезопасности так же серьезно, как и к другим
критически важным функциям, таким как операции и финансы.Кибербезопасность
— это не просто проблема ИТ, в первую очередь, — это
проблема людей.Эти семь советов
применимы к вашей организации, независимо от ее размера.
Совет 1:Выберите
киберлидера
Важно,
чтобы назначенное лицо возглавляло усилия вашей компании в области
кибербезопасности.Назначение
человека, наделенного полномочиями, вашим “киберлидером” подчеркивает вашу
приверженность кибербезопасности и предоставляет дополнительный
профессиональный — и актуальный — опыт для человека.В
дополнение к постоянному управлению кибербезопасностью киберлидер может
перенимать и делиться лучшими практиками, которые могут внедрить сотрудники, и
быть ключевым лицом, когда у сотрудников возникают вопросы или происходят
кибер-инциденты.
Совет 2:Создайте
культуру осведомленности о кибербезопасности
Создание
культуры киберосведомленности означает, что все сотрудники знают, что они
играют фундаментальную роль в киберустойчивости вашего бизнеса.Вы должны
убедиться, что у них есть знания, навыки и готовность играть эту роль. Этой культуре можно
способствовать посредством образования и профессиональной подготовки, но для
создания и поддержания культуры, ориентированной на киберпространство,
требуется лидерство.В
условиях удаленной работы регулярно обсуждайте с сотрудниками политику в
области кибербезопасности и убедитесь, что они понимают свою роль в обеспечении
“кибербезопасности” организации.На своем
рабочем месте рассмотрите возможность размещения вашего сообщения. Помните, культура создается за счет общего
поведения ваших сотрудников.
Совет3:Общайтесь,
общайтесь, общайтесь
Осведомленность
формируется за счет частых, коротких сообщений.Еженедельные
информационные бюллетени, регулярные электронные письма, плакаты или заставки —
все это может иметь жизненно важное значение для информирования ваших
сотрудников об опасностях кибератак и о том, как их предотвратить.Стартовый
набор CRI содержит
привлекательные плакаты для передачи важных напоминаний вашим сотрудникам.Определите,
что имеет отношение к вашей организации, и соответствующим образом адаптируйте
коммуникации.Некоторые
из наших предложений включают в себя выбор кибертемы месяца, на которой следует
сосредоточиться, например, распознавание попыток фишинга или использование
надежных паролей.Многие
правительства и организации предлагают бесплатные ежемесячные информационные
бюллетени, которыми предприятия могут поделиться со своими
сотрудниками.Примеры включают штат Миссисипи и SANS’
Ouch!
Совет 4:Защитите
«Драгоценности короны»
Вы не
можете защищать все одинаково.Вы должны
определить, какие данные и системы (например, веб-сайт, электронная почта,
бухгалтерия, информация о клиентах) наиболее важны для вашей текущей работы.В рамках
оценки рисков подумайте о том, что произойдет, если вы потеряете важные данные
или ваша система выйдет из строя.Эта
подготовка поможет вам расставить приоритеты на том, что
нужно защищать. Каждая организация,
независимо от того, насколько она мала, должна идентифицировать так называемые
“драгоценности короны” и убедиться, что меры безопасности, защищающие
“драгоценности”, соответствуют поставленной задаче.Регулярно
оценивайте, насколько хорошо защищены ваши наиболее важные данные и системы, и
активно предпринимайте необходимые шаги для повышения безопасности. CRI “Пособие по программам-вымогателям” предлагает полезные рекомендации по приоритизации
ваших активов.
Совет 5:Имейте
план
Крайне
важно иметь план
реагирования на инциденты,
чтобы управлять своими действиями при возникновении киберинцидентов.План
реагирования на инцидент должен охватывать подготовку в случае инцидента,
реагирование во время инцидента и быстрое восстановление после инцидента.Он должен
включать соображения по обеспечению непрерывности бизнеса, потере данных и
резервным копиям для восстановления.Учитывая,
что многие малые предприятия вынуждены прекратить свою деятельность в течение
одного года после кибератаки, особенно важно иметь план восстановления, который
доводится до сведения всех сотрудников.Кроме
того, проведение учений или тренингов, которые проверяют план реагирования на
инциденты (известные как промежуточные учения), помогут сотрудникам определить
свои обязанности во время инцидентов и позволят им действовать эффективно и
безопасно, когда (к сожалению) происходят кибератаки.Самая
важная часть подготовки — это наличие текущих резервных копий, которые вы
протестировали, особенно для ваших самых важных данных (они же “драгоценности
короны”).
Совет 6:Понимание
основ
Существует
множество технологий, действий и услуг, на
которых вы можете сосредоточиться, когда речь заходит о защите вашей
ИТ-инфраструктуры.Важно,
чтобы в вашей организации был кто-то (киберлидер), кто знает, какие вопросы
задавать, и может понять ответы.Примеры
включают ведение текущего реестра устройств, которые люди используют для
подключения к вашей сети, обеспечение регулярного обновления вашего программного
обеспечения, использование многофакторной аутентификации (MFA) для электронной
почты, онлайн-банкинга и других конфиденциальных услуг, использование правильно
настроенной виртуальной частной сети (VPN) для всего удаленного доступа,
внедрение управления мобильными
устройствами, применение строгих политик паролей сотрудников с учетом
требований к длине и сложности, а также автоматизация резервного
копирования в защищенном хранилище.Независимо
от того, является ли ваша ИТ-инфраструктура собственной или вы пользуетесь
услугами поставщика управляемых услуг (MSP), крайне важно обеспечить безопасное
управление вашей ИТ-инфраструктурой.
Совет 7:Будьте
уступчивы
Правила
обработки данных различаются в зависимости от отрасли и региона.В
зависимости от местоположения вашего бизнеса и местонахождения ваших клиентов
вам может потребоваться изменить способ обработки персональных данных или
столкнуться с штрафными санкциями.Двумя
примерами являются Общие правила защиты данных (GDPR) в Европе и Калифорнийский
закон о защите прав потребителей (CCPA) в США.Эти
правила сосредоточены на информации, позволяющей установить личность (PII)
(например, полное имя, номер социального страхования, адрес электронной почты).Если вы
собираете информацию о кредитной карте, вы также должны быть знакомы со
стандартами индустрии платежных карт (PCI).Важно
потратить время сейчас на изучение требований безопасности, чтобы убедиться,
что ваши данные соответствуют требованиям, и это может сэкономить вам много
времени позже.
Совет 8:Тщательно
выбирайте третьи
стороны
Когда вы
делитесь информацией с третьими лицами, разрешаете поставщикам подключаться к
вашей сети или полагаетесь на их технические услуги, вы часто увеличиваете риск
для своего бизнеса.Убедитесь,
что вы тщательно выбираете третьих лиц.Спросите,
есть ли у них какие-либо сертификаты безопасности, такие как ISO 27001, FedRAMP
или индустрия платежных карт (PCI).Спросите,
проходят ли они регулярные проверки, чтобы убедиться, что их меры
кибербезопасности являются надлежащими и работают должным образом (и попросите
просмотреть сводку результатов их проверок).Включите
в контракты положения, связанные с кибербезопасностью, например, что третья
сторона соглашается использовать разумные меры предосторожности или соблюдать
набор мер безопасности для устранения критических уязвимостей в системе
безопасности в течение определенного периода времени и уведомлять вас в течение
определенного периода времени, если у них есть нарушение.
Авторы, внесшие вклад
Особая благодарность
- Таня Болден, AIAG
- Фэй Фрэнси, Auto-ISAC
- Илен Кляйн, Cybercrime Support Network
- Жилл Токуда, CyberHawaii
- Уолтер Бран, ICC Гватемала
- Паола Кесада, ICC Гватемала
- Марк Пиллон, IT Ally
- Дженнифер Хoури, NCMS
- Майк Притчард, Netchex
- Стэн Стахл, SecureTheVillage
- Давн Янкеелов, TALK
- Крэйг Мосс, CRI
- Марион Льюис, CRI
- Лесси Лонгстрит, CRI
- Любо Хаджийски, CRI
- Вивек Гелани, CRI
Об
Институте киберготовности
Институт
киберготовности — это некоммерческая инициатива, которая объединяет
лидеров бизнеса из разных секторов и географических регионов для обмена
ресурсами и знаниями, которые лежат в основе разработки бесплатных инструментов
кибербезопасности для малых и средних предприятий (МСП).Изучите
основы надежной кибербезопасности с помощью нашего стартового комплекта или
создайте культуру киберготовности в своей организации с помощью самостоятельной
онлайн-программы киберготовности.Наши
ресурсы для удаленной работы и руководства по гибридным рабочим местам
предлагают своевременные советы по решению возникающих киберпространств
сегодняшнего дня.Чтобы
узнать больше, посетите www.BeCyberReady.com.