5 вопросов, которые следует задать своему специалисту по кибербезопасности

Почти еженедельно мы слышим о другой компании или организации, ставшей жертвой кибератаки. Мы знаем, что киберпреступники более настойчивы, и нам нужно более тщательно защищать информацию.

Я думаю, что в личной жизни большинство из нас старается быть более осторожными. Прошли (я надеюсь) те времена, когда мы устанавливали для каждого из наших личных паролей значение 123456. Тем не менее, похоже, что мы не несем такого же уровня беспокойства в офисе. Поскольку наш ИТ-специалист, безусловно, владеет нашей кибербезопасностью, мне не о чем беспокоиться… верно?

Дело в том, что мы, как сотрудники, играем жизненно важную роль в защите компании, в которой работаем, и достаточно одного неверного щелчка мышью, чтобы поставить под угрозу бизнес. Недавнее исследование, проведенное компанией Willis Towers Watson, показало, что 90 процентов заявлений о киберинцидентах являются результатом того или иного типа человеческой ошибки или поведения. Вот пять вопросов и ответов, которые помогут вам на пути к повышению безопасности вашей компании.

1. Каковы основные киберриски, с которыми сталкивается моя компания?

Риски компании значительно различаются в зависимости от уникальной операционной среды, поэтому есть много вещей, которые необходимо оценить и рассмотреть.

Многие ли у вас сотрудники пользуются электронной почтой? Целевой фишинг может представлять для вас наибольший риск. Защищено ли каждое устройство с IP-адресом в вашем цехе? В противном случае главными рисками могут быть вредоносный код, несанкционированный доступ и использование или кража данных.

Оценка рисков кибербезопасности должна быть ключевой частью программы управления информационной безопасностью вашей организации. Все знают, что существует определенный уровень риска, когда речь идет о критически важных и безопасных данных, информационных активах и объектах компании. Но как оценить этот риск кибербезопасности и подготовиться к нему? Цель оценки рисков ИТ-безопасности - определить, с какими рисками безопасности сталкиваются критически важные активы вашей компании, и узнать, сколько средств и усилий следует использовать для их защиты.

Структура управления рисками NIST (RMF) - отличный ресурс для начала. RMF обеспечивает структурированный, но гибкий подход к управлению частью риска, возникающим из-за систем, которые ваша компания может контролировать, и бизнес-процессов вашей организации.

2. Можно ли использовать менеджер паролей?

Хотя использование диспетчера паролей для ваших личных учетных записей в Интернете - отличный способ обеспечить безопасность, не забудьте ознакомиться с политиками вашей компании, прежде чем использовать какое-либо программное обеспечение на работе.

Менеджеры паролей могут помочь вам хранить ваши пароли, а также помочь вам создать уникальные пароли для каждого сайта. Однако хранить все пароли в одном месте рискованно. Важно понимать, как ваши пароли защищены и зашифрованы ли они. Доступны различные коммерческие продукты, которые работают с несколькими устройствами и браузерами, поэтому исследуйте их, чтобы найти тот, который лучше всего соответствует вашим потребностям.

3. Соответствует ли моя компания ведущим системам или стандартам информационной безопасности и нужно ли это?

Защита вашей интеллектуальной собственности и конфиденциальной информации о клиентах и ​​сотрудниках может дать вам и вашим клиентам душевное спокойствие. Это также разумная бизнес-практика, если вы посмотрите на финансовые последствия, снижение производительности и потерю доверия, которые могут стоить вам кибератаки.

Для компаний, входящих в цепочку поставок Министерства обороны (DoD), такая защита абсолютно необходима. Эти компании должны соответствовать минимальным стандартам безопасности Дополнения к Правилам оборонных закупок (DFARS), в противном случае они рискуют потерять свои контракты с Министерством обороны.

Вот несколько примеров структур или стандартов безопасности, которые могут помочь вам понять и снизить риск:Структура кибербезопасности NIST, NIST SP 800-53 - Контроль безопасности и конфиденциальности для информационных систем и организаций, Руководство по самооценке кибербезопасности NIST MEP и Стандарт безопасности данных индустрии платежных карт (PCI DSS). Легко запутаться в том, на какой документ следует ссылаться, поэтому вот немного дополнительной информации о каждом:

• Framework является более высокоуровневым (и более кратким) по сравнению с NIST SP 800-53, который представляет собой каталог средств управления безопасностью и конфиденциальностью. Структура более удобна для руководителей и лиц, принимающих решения, которые могут не иметь технического образования. Он также фокусируется на том, как оценивать и приоритизировать функции безопасности, и ссылается на существующие документы, такие как NIST SP 800-53, который лучше всего используется техническим персоналом, который будет внедрять безопасность и может понять его более подробную информацию о том, какие элементы управления выбрать и внедрить.
• Руководство по самооценке кибербезопасности NIST MEP поможет вашей компании соответствовать требованиям безопасности NIST SP 800-171 в ответ на требования кибербезопасности DFARS. Справочник представляет собой пошаговое руководство по оценке информационных систем небольшого производителя на соответствие требованиям безопасности в NIST SP 800-171 ред. 1, «Защита контролируемой несекретной информации в нефедеральных системах и организациях».

• Стандарт безопасности данных индустрии платежных карт (PCI DSS) - это широко распространенный набор политик и процедур, предназначенных для оптимизации безопасности транзакций по кредитным, дебетовым и кассовым картам. PCI DSS был создан в 2004 году компаниями Visa, MasterCard, Discover и American Express. Обеспечение безопасности платежей требуется для всех компаний, которые хранят, обрабатывают или передают данные о держателях карт. Нарушение или кража данных о держателях карт затрагивает всю экосистему платежных карт. Некоторыми примерами воздействия на вашу компанию являются потеря доверия клиентов, сокращение продаж, убытки от мошенничества, судебные издержки, штрафы и лишение возможности принимать платежные карты. Обеспечение соответствия стандарту PCI DSS жизненно важно для долгосрочного успеха компании, которая обрабатывает платежи по картам и поддерживает киберзащиту наготове от атак, направленных на кражу данных держателей карт. Большинство небольших компаний могут использовать инструмент самопроверки для оценки уровня безопасности данных держателей карт.

4. Что такое двухфакторная аутентификация и как ее включить? Почему пароли недостаточно хороши?

Двухфакторная аутентификация (2FA) - это дополнительный уровень безопасности, позволяющий убедиться, что вы являетесь тем, кем себя называете. Проблема в том, что сами по себе имена пользователей и пароли легко угадываются, и люди используют одни и те же пароли для нескольких сайтов. Обнародованные инциденты показывают, что каждую минуту происходит утечка 5 518 записей.

2FA не позволяет другим людям легко получить доступ к вашим учетным записям. Когда 2FA включен, вы вводите свое имя пользователя и пароль на странице входа. Тогда вместо того, чтобы сразу получить доступ, вам потребуется предоставить другую информацию. Второй фактор может быть одним из следующих:

• Что-то, что вы знаете - личный идентификационный номер (ПИН-код), кодовую фразу или ответы на секретные вопросы.
• Что-то, что у вас есть - кредитная карта, ключ-карта, смартфон, аппаратный или программный токен или уведомление с сайта.
• Что-то, что вы есть - биометрический образец отпечатка пальца, снимка радужной оболочки глаза или отпечатка голоса.

Если вы не уверены, поддерживают ли ваши сайты или приложения двухфакторную аутентификацию, посетите TwoFactorAuth.org, чтобы узнать об этом.

Включите 2FA для всех учетных записей. См. Пошаговые инструкции Telesign по включению 2FA:https://www.turnon2FA.com.

5. Есть ли процесс утверждения покупки приложений, которые, по моему мнению, будут полезны для моей работы?

У большинства компаний есть правила приобретения программного обеспечения (коробочного / онлайн-версии или внешнего хостинга в облаке). Важно знать, какие приложения вы можете использовать немедленно, а какие могут потребовать дальнейшего изучения, чтобы убедиться, что они достаточно безопасны для вашего использования, а также данные, которые будут обрабатываться и / или храниться в них. Знайте, что требуется, и работайте со своим специалистом по кибербезопасности, чтобы пройти необходимые процессы, чтобы обеспечить надлежащую защиту информации.

Если вы хотите лучше понять свой риск кибербезопасности, вы можете использовать Национальную сеть MEP ^TM Инструмент самооценки кибербезопасности. Если у вас есть вопросы или вы хотите поговорить со специалистом по кибербезопасности, свяжитесь с вашим местным национальным сетевым центром MEP.