1. Computere Computernetværk NetværkssikkerhedFind slutbrugere til at overholde cybersikkerhedsbestræbelser i små virksomheder

Af Joseph Steinberg

Medarbejdere og de mange cybersikkerhedsrisici, som de skaber, kan blive stor hovedpine for små virksomheder. Menneskelige fejl er katalysatoren nr. 1 for dataovertrædelser. Selv hvis du aktivt søger at forbedre din viden og holdning inden for cybersikkerhed, er dine medarbejdere og kolleger muligvis ikke det samme niveau af engagement som du gør, når det gælder beskyttelse af data og systemer.

Som sådan er en af ​​de vigtigste ting, som en lille virksomhedsejer kan gøre, at uddanne sine medarbejdere. Cybersikkerhedsuddannelse består i det væsentlige af tre nødvendige komponenter:

  • Bevidsthed om trusler: Du skal sikre dig, at enhver medarbejder, der arbejder for virksomheden, forstår, at han eller hun, og virksomheden som helhed, er mål. Mennesker, der mener, at kriminelle ønsker at overtræde deres computere, telefoner og databaser, handler anderledes end mennesker, der ikke har internaliseret denne virkelighed. Selvom formel, regelmæssig træning er ideel, kan selv en enkelt, kort samtale, der føres, når arbejderne starter, og opdateres med periodiske påmindelser, give en betydelig værdi i denne henseende. Grundlæggende uddannelsessikkerhed: Alle medarbejdere skal forstå visse grundlæggende oplysninger om informationssikkerhed. De skal for eksempel vide at undgå cyber-risikofyldt opførsel, såsom at åbne vedhæftede filer og klikke på links, der findes i uventede e-mail-beskeder, downloade musik eller videoer fra tvivlsomme kilder, ukorrekt bruge offentlig Wi-Fi til følsomme opgaver eller købe produkter fra ukendte butikker med for gode værdipriser og ingen offentligt kendt fysisk adresse.

Talrige relaterede træningsmaterialer (ofte gratis) er tilgængelige online. Når det er sagt, skal du aldrig stole på at uddannelse i sig selv tjener som den eneste forsvarslinje mod nogen væsentlig menneskelig risiko. Mange mennesker gør dumme ting, selv efter at have modtaget en tydelig træning mod det modsatte. Desuden gør uddannelse intet for at adressere useriøse medarbejdere, der med vilje saboterer informationssikkerhed.

  • Øvelse: Uddannelse af informationssikkerhed bør ikke være teoretisk. Medarbejderne skal have mulighed for at øve det, de har lært - for eksempel ved at identificere og slette / rapportere en test phishing-e-mail.

Incitamenter medarbejderne til at overholde cybersecurity-bestræbelser

Ligesom du skal holde medarbejderne ansvarlige for deres handlinger, hvis ting går galt, bør du også belønne medarbejderne for at udføre deres job på en cybersikker måde og handle med korrekt cyberhygiejne. Positiv forstærkning kan gå langt og modtages næsten altid bedre end negativ forstærkning.

Derudover har mange organisationer med succes implementeret rapporteringssystemer, der giver medarbejderne mulighed for anonymt at underrette de relevante beføjelser inden for branchen om mistænkelige insideraktiviteter, der kan indikere en trussel mod dine cybersikkerhedsinitiativer, samt potentielle fejl i systemer, der kan føre til sårbarheder. Sådanne programmer er almindelige blandt større virksomheder, men kan også være til fordel for mange små virksomheder.

Husk at tilbagekalde adgang for tidligere ansatte

Der er utallige historier om, at medarbejdere begår fejl, der åbner organisationsdøren for hackere og om utilfredse medarbejdere, der stjæler data og / eller saboterer systemer. Skaderne fra sådanne cybersikkerhedshændelser kan være katastrofale for en lille virksomhed. Beskyt dig selv og din virksomhed mod disse typer risici ved at opsætte din informationsinfrastruktur til at indeholde skaden, hvis noget går galt.

Hvordan kan du gøre dette? Giv arbejdstagere adgang til alle computersystemer og data, de har brug for for at udføre deres job med maksimal ydeevne, men ikke give dem adgang til noget andet af følsom karakter.

Programmerere skal for eksempel ikke være i stand til at få adgang til en virksomheds lønsystem, og en controller ikke har brug for adgang til versionskontrolsystemet, der indeholder kildekoden til en virksomheds proprietære software.

Begrænsning af adgang kan gøre en verden af ​​forskel med hensyn til omfanget af en datalækage, hvis en medarbejder bliver useriøs. Mange virksomheder har lært denne lektion på den hårde måde. Bliv ikke en af ​​dem.

Giv alle hans eller hendes egne legitimationsoplysninger

Hver medarbejder, der får adgang til hvert system, der er i brug af organisationen, skal have sine egne loginoplysninger til dette system. Del ikke legitimationsoplysninger!

Implementering af en sådan ordning forbedrer evnen til at revidere folks aktiviteter (hvilket kan være nødvendigt, hvis der sker en dataovertrædelse eller anden cybersikkerhedsbegivenhed) og opfordrer også folk til bedre at beskytte deres adgangskoder. fordi de ved, at hvis kontoen misbruges, vil ledelsen adressere sagen til dem personligt snarere end til et team.

Viden om, at en person bliver stillet til ansvar for sin adfærd over for at opretholde eller kompromittere sikkerhed, kan udføre vidundere i en proaktiv forstand.

Ligeledes bør hver person have sine egne multifaktorgodkendelsesfunktioner - hvad enten det er et fysisk token, en kode, der genereres på hans / hendes smartphone, og så videre.

Begræns administratorer

Systemadministratorer har typisk superbrugerrettigheder - hvilket betyder, at de muligvis kan få adgang til, læse, slette og ændre andre menneskers data. Det er derfor vigtigt, at hvis du - virksomhedsejeren - ikke er den eneste superbruger, at du implementerer kontroller for at overvåge, hvad en administrator gør.

For eksempel kan du logge administratorhandlinger på en separat maskine, som administratoren ikke har adgang til.

At tillade adgang fra kun en bestemt maskine på en bestemt placering - som undertiden ikke er mulig på grund af forretningsbehov - er en anden metode, der er almindelig inden for cybersikkerhed, da det tillader et kamera at være rettet mod den maskine for at registrere alt det, administratoren gør.

Begræns adgangen til firmakonti

Din virksomhed kan selv have flere af sine egne konti. For eksempel kan det have sociale mediekonti - en Facebook-side, Instagram-konto og en Twitter-konto - kundesupport-e-mail-konti, telefonkonti og andre hjælpekonti.

Giv kun adgang til de mennesker, der absolut har brug for adgang til disse konti. Ideelt set skal alle de mennesker, du giver adgang til, have auditerbar adgang - det vil sige, det skal være let at afgøre, hvem der gjorde hvad med kontoen.

Grundlæggende kontrol og hørbarhed er enkle at opnå når det kommer til Facebook-sider, for eksempel, da du kan eje Facebook-siden til virksomheden, samtidig med at andre giver mulighed for at skrive til siden.

I nogle andre miljøer er granulære kontroller imidlertid ikke tilgængelige, og du bliver nødt til at bestemme mellem cybersikkerhedsmæssige implikationer af at give flere mennesker logins til en social mediekonto eller få dem til at indsende indhold til en enkelt person (måske endda dig) der laver de relevante stillinger.

Udfordringen med at give hver autoriseret bruger af virksomhedens sociale mediekonti sin egen konto for at opnå både kontrol og hørbarhed forværres af det faktum, at alle følsomme konti skal beskyttes med multifaktorgodkendelse.

Nogle systemer tilbyder multifaktorgodkendelsesfunktioner, der tegner sig for det faktum, at flere uafhængige brugere muligvis skal gives auditerbar adgang til en enkelt konto. I nogle tilfælde er systemer, der tilbyder multifaktor-autentificeringsfunktioner, ikke godt blandet med flere-personers miljøer.

De kan for eksempel tillade kun et mobiltelefonnummer, hvortil engangsadgangskoder sendes via SMS. I sådanne scenarier skal du beslutte, om du vil

  • Brug multifaktorgodkendelse, men med en løsning - for eksempel ved at bruge et VOIP-nummer til at modtage teksterne og konfigurere VOIP-nummeret til at videresende meddelelserne til flere parter via e-mail (som for eksempel tilbydes uden beregning af Google Stemme). Brug multifactor-godkendelse uden nogen løsning - og konfigurer de autoriserede brugers enheder til ikke at have brug for multifactor-godkendelse til de aktiviteter, de udfører. Brug ikke multifaktorgodkendelsen, men stole i stedet udelukkende på stærke adgangskoder (anbefales ikke) Find en anden løsning ved at ændre dine processer, procedurer eller teknologier, der bruges til at få adgang til sådanne systemer. Brug tredjepartsprodukter, der overlejrer systemer (ofte den bedste mulighed, når den er tilgængelig)

Den sidste mulighed er ofte den bedste mulighed. Forskellige indholdsstyringssystemer tillader for eksempel at de kan konfigureres til flere brugere, hver med hans eller hendes egne uafhængige stærke autentificeringsfunktioner, og alle sådanne brugere har auditerbar adgang til en enkelt social media-konto.

Mens større virksomheder næsten altid følger en variant af den sidste tilgang - både af forvaltnings- og sikkerhedsmæssige årsager - har mange små virksomheder en tendens til at tage den lette vej ud og simpelthen ikke bruge stærk autentificering i sådanne tilfælde. Omkostningerne ved implementering af ordentlig cybersikkerhed - både med hensyn til dollars og tid - er normalt ret lave, så udforskning af tredjepartsprodukter bør bestemt gøres, inden de beslutter at tage en anden tilgang til denne cybersikkerhedsudfordring.

Værdien af ​​at have ordentlig sikkerhed med revisionsevne vil straks blive klart, hvis du nogensinde har en utilfredse medarbejder, der havde adgang til virksomhedens sociale mediekonti, eller hvis en glad og tilfreds medarbejder med sådan adgang er hacket.

Håndhæv politikker på sociale medier

Det er vigtigt at udarbejde, implementere og håndhæve politikker på sociale medier, fordi upassende sociale medieindlæg, der er foretaget af dine medarbejdere (eller dig selv) kan påføre alle slags skader. De kan lække følsomme oplysninger, overtræde overholdelsesregler og hjælpe kriminelle med at være socialingeniør og angribe din organisation, udsætte din virksomhed for boikotter og / eller retssager osv.

Du vil gøre det klart for alle ansatte, hvad der er og ikke er acceptabel brug af sociale medier. Som en del af processen med at udarbejde politikkerne, skal du overveje at konsultere en advokat for at sikre dig, at du ikke krænker nogens ytringsfrihed. Du ønsker måske også at implementere teknologi for at sikre, at sociale medier ikke forvandles fra en marketingplatform til et cybersikkerheds mareridt.

Overvåg medarbejderne for at få succes med cybersikkerhed

Uanset om de planlægger at overvåge medarbejdernes brug af teknologi eller ej, skal virksomheder informere brugerne om, at de har ret til det. Hvis en medarbejder for eksempel ville slynge sig og stjæle data, ønsker du ikke, at bevismaterialets anmodning om anfægtelse er begrundet i, at du ikke havde ret til at overvåge medarbejderen.

Desuden mindsker sandsynligheden for, at medarbejdere gør ting, der er i strid med cybersikkerhedspolitikken, fordi de ved, at de kan overvåges, mens de gør sådanne ting.

Her er et eksempel på tekst, som du kan give medarbejdere som en del af en medarbejderhåndbog eller lignende, når de begynder på arbejde:

Virksomheden forbeholder sig efter eget skøn og uden yderligere meddelelse til medarbejderen ret til at overvåge, undersøge, gennemgå, registrere, indsamle, gemme, kopiere, overføre til andre og kontrollere al e-mail og anden elektronisk kommunikation, filer, og ethvert andet indhold, netværksaktivitet inklusive internetbrug, transmitteret af eller gennem dets teknologisystemer eller gemt i dets teknologisystemer eller systemer, hvad enten det er på stedet eller offsite. Sådanne systemer skal omfatte systemer, det ejer og driver, og systemer, som det lejer, licenser, eller som de ellers har brugsrettigheder til.

Uanset om de sendes til en intern part, ekstern part eller begge dele, alle e-mails, tekst- og / eller andre onlinemeddelelser, voicemail og / eller al anden elektronisk kommunikation, betragtes det endvidere som virksomhedens forretningsregister, og kan være genstand for opdagelse i tilfælde af retssager og / eller videregivelse baseret på tegningsoptioner, der leveres på selskab eller anmodninger fra tilsynsmyndigheder og andre parter.