Как определить риски кибербезопасности вашей компании

Эта статья изначально была опубликована на IndustryWeek. Сообщение в гостевом блоге Трейси Спенсер, менеджера программы грантов для TechSolve, Inc., юго-западного регионального партнера MEP Огайо, входящего в Национальную сеть MEP ^TM .

Эта статья - первая часть из серии из пяти статей, в которых излагаются передовые практики, когда речь идет о «Кибербезопасности для производителей». Эти рекомендации соответствуют структуре кибербезопасности Национального института стандартов и технологий (NIST), которая стала стандартом для производственного сектора США.

Согласно исследованию Ponemon Institute, спонсируемому IBM в 2018 году, средний мировой показатель утечки данных составляет 3,86 миллиона долларов. Это почти 150 долларов за каждую украденную пластинку. Если вы являетесь производителем малого или среднего бизнеса, вы можете не думать, что подобная статистика применима к вам. Но из 17 отраслей, представленных в отчете, больше всего пострадали финансовый сектор, сфера услуг и, ожидая этого, - производство.

Поскольку производители часто вкладывают меньше ресурсов в информационную безопасность, они становятся популярной мишенью для киберпреступников. И достаточно одной кибератаки, чтобы разрушить всю операционную систему небольшого производителя. Сетевое оборудование, поставщики, дистрибьюторы или даже клиенты могут быть взломаны с помощью одного компьютера / устройства на производственном предприятии.

К другим рискам относятся:

• Потеря информации, критически важной для ведения вашего бизнеса.
• Негативное влияние на доверие клиентов.
• Нормативные штрафы и связанные с этим судебные издержки.
• Снижение или прекращение продуктивности.

К счастью, вы можете научиться защищать свои операции с помощью Национального института стандартов и технологий (NIST), который разработал пятиступенчатую структуру кибербезопасности, которая может быть реализована в бизнесе любого размера. Доступный в Интернете, NIST Cybersecurity Framework может быть дополнительно объяснен вашим местным представителем Национальной сети MEP, ведущими экспертами по продвижению производства в США. Вы также можете просмотреть Руководство производителя по кибербезопасности (добавьте ссылку, как только мы узнаем местонахождение документа), которое предоставляет производителям основные методы и инструменты, необходимые для разработки программы кибербезопасности.

Готовы сделать первый шаг к безопасности данных? Процесс начинается с определения ваших рисков.

Контроль доступа к вашей информации

Составьте список сотрудников, имеющих доступ к компьютеру, и укажите все свои бизнес-учетные записи, тип доступа (физический или парольный) и физически защитите все ноутбуки и мобильные устройства, когда они не используются. Попросите ваших сотрудников использовать экран конфиденциальности или расположите экран компьютера так, чтобы люди, проходящие мимо, не могли видеть информацию на дисплее, и попросите их установить блокировку экрана, чтобы активировать, когда компьютер не используется.

Не позволяйте физический доступ к компьютерам или системам неуполномоченному персоналу, например:

• Бригады по уборке или обслуживающий персонал.
• Неконтролируемый персонал по ремонту компьютеров или сетей, работающий с системами или устройствами.
• Незнакомые люди, которые входят в ваш офис или цех, не будучи допрошенными сотрудником.

Преступнику требуется всего несколько секунд, чтобы получить доступ к разблокированной машине. Не упростите им кражу вашей конфиденциальной информации.

Проведите проверку данных и безопасности для всех сотрудников

Проверка анкетных данных важна для выявления ваших рисков кибербезопасности. Необходимо провести полный поиск по всей стране для всех потенциальных сотрудников или других лиц, которые будут иметь доступ к вашим компьютерам, системам и оборудованию компании.

Эти проверки должны включать:

• Проверка на наличие судимости.
• Проверки сексуального преступника.
• Проверки кредитоспособности, если возможно (некоторые штаты США ограничивают использование проверок кредитоспособности).
• Ссылки для подтверждения дат работы у предыдущих работодателей.
• Образование и подтверждение степени

Вы также можете рассмотреть возможность проведения проверки личных данных, которая может быстро предупредить вас, если вы неосознанно стали жертвой кражи личных данных.

Требовать индивидуальные учетные записи для каждого сотрудника

Если вы столкнулись с потерей данных или несанкционированными манипуляциями с данными, расследование может быть затруднено без отдельных учетных записей для каждого пользователя. Создайте отдельную учетную запись для каждого сотрудника и подрядчика, которым требуется доступ. Требуйте от них использования надежных уникальных паролей для каждой учетной записи.

Ограничьте количество сотрудников, у которых есть административный доступ, особенно если они не обязаны выполнять свои повседневные рабочие обязанности. Рассмотрите возможность использования гостевых учетных записей с доступом только к Интернету для посетителей или клиентов на вашем предприятии.

Создание политик и процедур кибербезопасности

Хотя создание вашей первой политики кибербезопасности может показаться сложной задачей, национальная сеть MEP предлагает множество простых советов, которые помогут вам начать работу. Вы также можете проконсультироваться со специалистом-юристом, знакомым с кибер-законодательством, чтобы изучить свои правила и убедиться, что вы соблюдаете местные законы и постановления.

Ваша новая политика кибербезопасности должна включать:

• Ваши ожидания от сотрудников в отношении защиты информации компании.
• Основные ресурсы, которые необходимо защитить, и то, как вы ожидаете, что ваши сотрудники будут защищать эту информацию.
• Подписанное соглашение от каждого сотрудника, подтверждающее, что они прочитали политику и поняли ее.

Храните подписанное соглашение в кадровом файле каждого сотрудника. Пересматривайте политику не реже одного раза в год и вносите обновления, когда вы вносите какие-либо изменения в технологии своей компании. Затем вы можете использовать свою политику кибербезопасности, чтобы обучить своих новых сотрудников их обязанностям в области информационной безопасности и установить приемлемые методы для всех ваших бизнес-операций.

Теперь, когда вы узнали, как определять свои риски и оценивать свои ресурсы, пора подумать об их защите. Во второй части нашей серии из пяти частей «Кибербезопасность для производителей» из национальной сети MEP мы рассмотрим основные шаги по защите ваших ценных данных и информации от киберугроз.