Forestil dig dette: Det er skattesæson, og din HR-direktør modtager en e-mail fra en person, der foregiver at være dig - administrerende direktør. HR-direktøren mener, at e-mailen er legitim og opfylder anmodningen om at sende kopier af alle dine medarbejderes W2'er. Dage senere bruger e-mail-afsenderen - som faktisk er en dygtig hacker - disse W2'er til at indgive et parti falske selvangivelser.
Cyberangreb som dette sker hver dag. Og hvis du driver et lille eller mellemstort firma, er du et direkte mål for et angreb. Små og mellemstore virksomheder bliver offer for langt størstedelen af databrud, fordi de har tendens til at:
- Manglende tilstrækkelige sikkerhedsforanstaltninger og uddannet personale
- Hold data, der er værdifulde for hackere (f.eks. Kreditkortnumre, beskyttede sundhedsoplysninger)
- Forsømmer at bruge en offsite-kilde eller en tredjepartstjeneste til at sikkerhedskopiere deres filer eller data, hvilket gør dem sårbare over for ransomware
- Opret forbindelse til forsyningskæden i et større firma og kan udnyttes til at bryde ind
Vores seneste rapport - et forskningssamarbejde med Cisco og Nationalt Center for Mellemmarkedet - er baseret på data fra 1.377 administrerende direktører for små og mellemstore virksomheder, der fortæller en lignende historie. 62 procent af vores respondenter sagde, at deres firmaer ikke har en opdateret eller aktiv cybersikkerhedsstrategi - eller nogen som helst strategi. Og det er et stort problem i betragtning af, at omkostningerne ved en cyberangreb kan være høje nok til at sætte en virksomhed ud af drift; ifølge National Cyber Security Alliance går 60 procent af små og mellemstore virksomheder, der er hacket, ud af drift inden for seks måneder.
Hvis du er blandt disse administrerende direktører, er det tid til at foretage en ændring. Følg disse fire trin for at begynde at opbygge en cybersikkerhedsstrategi, der holder hackere ude af din virksomhed.
1. Bestem din virksomheds nuværende cybersikkerhedsstatus.
Saml medlemmer af dit seniorledelsesteam, bestyrelse og investorer til at foretage en uformel revision af virksomheden. Få en fornemmelse for det sikkerhedsniveau, du har i dag.
Spørgsmål til at stille: Er der nogen, der har ansvaret for vores cybersikkerhed? Hvilke forsvar har vi allerede på plads? Er vores strategi omfattende og koordineret? Hvis ikke, kan vi lokalisere vores svage punkter?
2. Identificer den nøgleperson, der er ansvarlig for din cybersikkerhed.
Engager ledere fra hele organisationen - ikke kun dem inden for it. Inkluder mennesker fra forskellige funktionelle områder, såsom menneskelige relationer, marketing, operationer og økonomi. Andre vigtige spillere for denne samtale er din advokat og din revisor / revisor.
Spørgsmål til at stille: Hvem skal være ansvarlig for vores cybersikkerhed? Hvilken proces kan vi gennemføre for at sikre ansvarlighed? Hvordan kan vi kommunikere og øge bevidstheden om cybersikkerhed i vores forskellige afdelinger og teams?
3. Lav en oversigt over dine aktiver, bestem deres værdi og prioriter dine mest kritiske aktiver.
Identificer 'kronjuvelerne' i din virksomhed, uanset om det er medarbejderoptegnelser, intellektuel ejendomsret eller kundedata. Anerkend at du aldrig vil være 100% sikker på et angreb, så det er vigtigt at prioritere forsvarsområder.
Spørgsmål til at stille: Hvad er de vigtigste aktiver, vi har brug for at beskytte? Kundedata? Intellektuel ejendom? Medarbejderregistreringer? Kan vi måle graden af fortrolighed, integritet, tilgængelighed og sikkerhed for vores mest kritiske aktiver?
4. Beslut, hvilke forretningsegenskaber og cybersikkerhedsforanstaltninger, du vil styre dig selv kontra outsourcing.
Overvej, om det er fornuftigt at outsource visse aspekter af din virksomhed til et skybaseret system for at øge din sikkerhed. Overvej samtidig, om det er fornuftigt at engagere en cybersikkerhedsekspert eller -udbyder. Beslut om du vil arbejde med en konsulent for at finde ud af din cybersikkerhedsplan, eller om du helt vil outsource din cybersikkerhed.
Spørgsmål til at stille: Hvilke aspekter af vores forretning - som f.eks. Ordreudførelse - skal vi håndtere internt versus outsourcing til en tredjepart (f.eks. Amazon, Cisco, Google)? Skal vi outsource vores cybersikkerhed til en tredjepartstjeneste? Skal vi bruge en fraktioneret CIO-model og søge rådgivning om cybersikkerhed? Eller skal vi selv håndtere hele processen?
den dårlige side af fisken kvinde
Det bedste forsvar er en god lovovertrædelse. Gør det til en prioritet at beskytte dine data til gavn for dine medarbejdere, dine kunder og din virksomheds langsigtede sundhed.
