Przedsiębiorstwa mogą ograniczyć ekspozycję na cyberataki, budując odpowiednią kulturę korporacyjną. Większość z nich jednak nie podejmuje takich działań. A to błąd. Tym bardziej, że odpowiednia kultura bezpieczeństwa jest także w jednym z wymogów rozporządzenia GDPR/RODO i ochrony danych osobowych klientów.

Mimo stale pojawiających się doniesień o kolejnych cyberatakach, firmy nadal nie dbają wystarczająco o bezpieczeństwo systemów i przechowywanych informacji. Kradzieże danych i inne incydenty skutkują utratą reputacji, spadkiem wartości przedsiębiorstwa, a mogą także mieć niepożądane skutki prawne (np. pozwy cywilne czy działania podejmowane przez regulatorów).

Według różnych badań – przeprowadzonych m.in. przez Kaspersky Labs i Ponemon Institute – ok. 90% organizacji stało się celem cyberataku. Ponemon Institute szacuje także, że 27,7% badanych firm w ciągu 2 latach ponownie znajdzie się na celowników przestępców. Oczywiście nie da się zapewnić pełnego bezpieczeństwa, ale kompleksowe podejście do bezpieczeństwa IT – łączące środki technologiczne z zarządzaniem danymi i przepływem informacji – może pomóc w zbudowaniu korporacyjnej kultury, która promuje wysoki standardy ochrony. Oto 10 sposobów, które prowadzą do tego celu.

1. Wszystkie ręce na pokład
Kluczową sprawą jest udział wyższego kierownictwa, ale w budowę bezpieczeństwa informatycznego zaangażowane muszą być także zespoły IT, finansowy, prawny czy kadrowy. Brak zaangażowania z ich strony będzie skutkować brakiem potrzebnych inwestycji i należytej współpracy.

2. Nie rób z siebie ofiary
Należy inwestować w wymagane technologie, szkolenia i procesy biznesowe, aby w długim okresie uniknąć kosztów związanych z włamaniami. W przypadku incydentów należy zachowywać się przejrzyście i raportować takie zdarzenia do odpowiednich służb. Zatajanie informacji – powodowane strachem przed konsekwencjami – może doprowadzić do braku działań zaradczych i większych strat w przyszłości.

3. Zgodność z prawem to tylko mentalna ochrona
Zapewnienie zgodności środowiska IT z obowiązującymi przepisami – w tym GDPR/RODO – jest bardzo ważne, ale najczęściej nie jest wystarczające, aby faktycznie zabezpieczyć się przed cyberzagrożeniami.

4. Najlepsze praktyki zarządzania informacją
Nie da się chronić czegoś, o czym się nie ma wiedzy. Aby skutecznie chronić dane, trzeba je najpierw poznać – zlokalizować, ustalić ich wartość, reguły dostępu czy zidentyfikować przepisy, które mają do nich zastosowanie. Takie podejście pozwala zachować zgodność z prawem, ustalić, które zasoby mają faktyczną wartość, ale także stwierdzić, które dane nadają się do usunięcia.

5. Wykorzystaj zasoby informacyjne
Jest bardzo wiele zasobów dających dostęp do informacji o cyberbezpieczeństwie i poprawianiu zabezpieczeń. Można brać udział w programach współdzielenia informacji o zagrożeniach czy przyłączać się do różnych grup branżowych.

6. Zwalczaj wewnętrzne zagrożenia
Zbyt wiele firm tworzy nieszczelne programy dotyczące zagrożeń wewnętrznych, przez co pracownicy mogą je łatwo obchodzić. Tymczasem zagrożenia wewnętrzne – celowe (np. pracownik wykradający poufne informacje lub uszkadzający systemy) czy nieświadome (pracownik otwierający niebezpieczne załączniki w poczcie) – powinny być traktowane z najwyższą powagą. Powinny też być elementem szkoleń dla pracowników. Z tymże same szkolenia pracowników nie zapewnią bezpieczeństwa. Realnym ich celem jest bowiem ograniczenie cyberzagrożenia, a nie jego eliminacja.

7. Zagrożenia ze strony kooperantów
Firmy nie funkcjonują w próżni. Większość jest elementem jakiegoś łańcucha technologicznych zależności. Wrażliwe dane są w ciągłym ruchu. Każdy komputer może zaś być wykorzystany do ataku na inne maszyny mające z nim połączenia. Dlatego podpisywane umowy powinny zawierać zapisy dotyczące wzajemnych praw i obowiązków związanych z przetwarzaniem informacji oraz współpracy w przypadku incydentów.

8. Chroń urządzenia końcowe
Aby skutecznie zabezpieczyć dane, trzeba również chronić urządzenia mające do nich dostęp.
Obecnie lista takich urządzeń jest bardzo długa: notebooki, tablety, smartfony, inteligentne zegarki, urządzenia IoT, przenośne nośniki danych, a nawet konta w usługach chmurowych. Trzeba kontrolować urządzenia i aplikacje, a także uprawnienia użytkowników w dostępie do danych.

9. Stosuj najlepsze praktyki bezpieczeństwa
Zalecenia dotyczące cyberbezpieczeństwa (np. wieloskładnikowe uwierzytelnianie, szyfrowanie, segmentacja sieci) oraz narzędzia (antywirusy, systemy DLP czy IPS) to podstawa ochrony danych. Jednocześnie należy je stosować w połączeniu z dobrymi praktykami dotyczącymi zarządzania informacją. W przeciwnym razie pozostanie luka w zabezpieczeniach.

10. Nigdy nie zakładaj, że incydent się skończył
Myślenie według schematu, że od razu po podjęciu środków zaradczych dany incydent jest odizolowany lub zakończył się to błąd. Trzeba przecież ustalić, jaki był kierunek ataku, jakie zasoby zostały złamane czy wszystkie podatności zostały załatane. Należy też przeprowadzić szczegółowe dochodzenie spełniające wymogi prawne. Niestarannie przeprowadzone śledztwo może skutkować jeszcze większymi stratami i problemami podczas kolejnego ataku.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn