Jak budżetować wydatki na bezpieczeństwo cybernetyczne w Twojej firmie

Przedsiębiorcy rozumieją dziś, że słabe protokoły bezpieczeństwa cybernetycznego nie są tylko zagrożeniem bezpieczeństwa, ale także ryzykiem finansowym i utraty reputacji, które może bardzo kosztować firmy, czy to przez naruszenie danych, czy też przez oprogramowanie do odzyskiwania danych. W rezultacie, globalne wydatki na bezpieczeństwo cybernetyczne mają osiągnąć nowy poziom w 2017 r., przy czym globalne wydatki na bezpieczeństwo informacji mają osiągnąć 90 mld USD w 2017 r. i 113 mld USD do 2020 r.

Ale chociaż bezpieczeństwo cybernetyczne jest ważne, nie każdy biznes lub organizacja non-profit może sobie pozwolić na rzucanie kłódkami pieniędzy na bezpieczeństwo cybernetyczne, biorąc pod uwagę inne priorytety. Podczas gdy księgowi i specjaliści finansowi powinni podkreślać znaczenie wydatków na bezpieczeństwo cybernetyczne, lepiej jest wydawać pieniądze mądrze, niż dużo. Organizacja może przyjąć efektywne kosztowo, inteligentne podejście, zapewnić rozsądne bezpieczeństwo i zapobiec paraliżowaniu swoich ksiąg przez wydatki na IT.

Oto pewne rzeczy, które należy rozważyć i sposoby, w jaki przedsiębiorstwa mogą efektywnie wydawać na bezpieczeństwo cybernetyczne.

Sprawy szkoleniowe

Ludzie mogą postrzegać bezpieczeństwo w cyberprzestrzeni jako pewien skomplikowany zasób technologii, ale wszystkie środki bezpieczeństwa zaczynają się i kończą na ludziach. Jeśli pracownicy firmy będą pomagać nigeryjskim książętom i robić z ich hasła «hasło», cyberprzestępcy złamią je, niezależnie od decyzji kierownictwa.

Szkolenia z zakresu bezpieczeństwa cybernetycznego powinny zatem stać się głównym priorytetem, zwłaszcza że zajęcia edukacyjne są znacznie tańsze w porównaniu z modernizacją infrastruktury informatycznej. Szkolenia powinny polegać na informowaniu pracowników o potencjalnych zagrożeniach dla bezpieczeństwa cybernetycznego, takich jak phishing, wyjaśnianiu, czego oczekuje się od pracowników w przypadku ataku oraz prowadzeniu ćwiczeń pomagających w ich przygotowaniu.

Należy pamiętać, że ponieważ zagrożenia bezpieczeństwa cybernetycznego stale się zmieniają, szkolenia muszą być aktualizowane, aby odzwierciedlały te zagrożenia. Opracuj własne przesłanie, które podkreśla znaczenie bycia przygotowanym, a Twoja firma zrobi ogromny postęp w kierunku bycia bezpiecznym po niskich kosztach.

Stała świadomość ryzyka

Każdy biznes wie, że szkolenie jest ważne, ale wie również, że zbyt wielu pracowników siedzi w klasie szkoleniowej i nie zwraca uwagi na słowa instruktora. Dzieje się tak, ponieważ firmy nie starają się pozwolić pracownikom na wykorzystanie wiedzy zdobytej na szkoleniu poza salą wykładową, pozwalając na jej rozpad. Dotyczy to zwłaszcza bezpieczeństwa cyberprzestrzeni.

Przedsiębiorstwa powinny wykazać się zaangażowaniem w tworzenie atmosfery, w której wszyscy rozumieją znaczenie bezpieczeństwa cybernetycznego poprzez wdrażanie prostych, tanich, a jednocześnie skutecznych działań. Upoważnić do stosowania silnych haseł i dwuskładnikowego uwierzytelniania. Zapewnić pracownikom jedynie minimalny poziom potrzebnych im przywilejów informacyjnych. Poddaj wszystkich, nawet kadrę kierowniczą, nowym zasadom bezpieczeństwa, tak aby wszyscy byli na tej samej łodzi. W rzeczywistości, kierownictwo powinno podlegać bardziej rygorystycznym zasadom, ponieważ są one bardziej soczystymi celami.

Niektórzy pracownicy będą się czepiać tych nowych zasad i nadal będą stosować niezabezpieczone metody, ponieważ jest to łatwiejsze. Jednak dzięki systemowi stałej czujności przedsiębiorstwa mogą promować atmosferę, w której wszyscy rozumieją znaczenie bezpieczeństwa. Atmosfera ta jest tak samo niezbędna do stworzenia bezpiecznego przedsiębiorstwa, jak każda modernizacja technologiczna.

Co należy chronić?

Firmy i księgowi nie powinni zadawać sobie pytania, ile wydają na bezpieczeństwo cybernetyczne. Powinny zadawać sobie pytanie, co muszą chronić i w jaki sposób jest to chronione. Bezpieczeństwo cybernetyczne polega zasadniczo na zarządzaniu ryzykiem, co oznacza określenie, które części przedsiębiorstwa mogłyby wyrządzić największe szkody, gdyby zostały narażone na szwank.

Po zidentyfikowaniu tych części, firma może opracować nową politykę bezpieczeństwa, która kładzie nacisk na ochronę niektórych części za pomocą dostawców VPN i ustala, czego pracownicy nie mogą robić. Polityka ta może zaoszczędzić pieniądze poprzez zidentyfikowanie śmieciowych programów, które powinny być złomowane i zapewnienie, że firma kupuje tylko te aktualizacje zabezpieczeń cyberprzestrzeni, których potrzebuje w przyszłości. Bez polityki oceny ryzyka, firmy często podejmują działania, które są modne w zakresie bezpieczeństwa cybernetycznego, nie zastanawiając się nad tym, jak dokładnie chronić swoje aktywa.

Sprawdź swoje systemy

Dzięki polityce bezpieczeństwa możesz wiedzieć, które obszary Twojej działalności mają najwyższy priorytet ochrony. Ale to nie to samo, co wiedza o tym, które obszary Twojej firmy są w rzeczywistości najbardziej narażone, a hakerzy mogą czasami wykorzystywać te bardziej narażone obszary jako tylne drzwi do pozostałej części Twojej firmy. Aby ocenić słabe punkty Twojej organizacji, konieczne jest przeprowadzenie testów bezpieczeństwa.

Idealnie byłoby, gdyby twoja organizacja miała kogoś z doświadczeniem technicznym, kto przeprowadziłby właściwy test penetracyjny, nie powodując przypadkowo rzeczywistej katastrofy ani innych niewłaściwych wyników. Ale większość firm nie, a więc zwraca się do stron trzecich zautomatyzowane oprogramowanie do testowania penetracji, takie jak Metasploit, które może kosztować tysiące dolarów rocznie. Takie koszty mogą wyłączyć firmy z pomysłu testowania bezpieczeństwa, pozostawiając je bezbronnymi.

Dobra wiadomość jest taka, że istnieją darmowe narzędzia do testowania bezpieczeństwa open source, takie jak Zed Attack Proxy lub Vega. Przeprowadzając za darmo wstępny test, firmy mogą odkryć początkowe wyzyskiwania, które można naprawić bez wydawania tysięcy na testy penetracyjne. Niemniej jednak, firmy powinny w końcu rozważyć zakup droższego oprogramowania.