10 küberturbe parimat praktikat, mis tagavad 80% kaitsest
Täiuslik, 100% kindel küberturvalisus on müüt. Igaüks, kes väidab vastupidist, tahab teile tõenäoliselt midagi müüa. Reaalses ärimaailmas ei ole eesmärk elimineerida kõiki riske – see on võimatu ja majanduslikult ebamõistlik. Eesmärk on riske efektiivselt hallata.
Lähtume 80/20 printsiibist: väike hulk lihtsaid tegevusi ja harjumusi aitab ära hoida valdava enamiku levinud küberohtudest. Te ei pea investeerima kümnetesse kallitesse lahendustesse, et saavutada head turvalisuse taset.
Eelnevast tulenevalt ei ole käesoleva postituse eesmärk olla kõikehõlmav ja ammendav entsüklopeedia. See on praktiline juhend, mis keskendub kümnele kõige olulisemale praktikale, mis annavad suurima võimaliku tulemuse minimaalse aja- ja finantskuluga.
I OSA: Inimene - Teie kõige olulisem vara ja suurim risk
1. Määrake vastutaja
Ka kõige väiksemas ettevõttes peab olema üks kindel isik, kes ametlikult vastutab infoturbe eest. See ei pea olema tema täiskohaga töö, kuid vastutuse määramine tagab, et teema ei jää unarusse. Kui kõik vastutavad korraga, ei vastuta tegelikult mitte keegi. See on esimene ja kõige olulisem juhtimisotsus.
2. Looge jätkusuutlik koolitusprogramm
Teie inimesed on teie esimene ja parim kaitseliin. Looge lihtne, kuid regulaarne koolitusplaan, et tõsta nende teadlikkust levinud ohtudest. Oluline on ka oma meeskonnale tutvustada ettevõttes kehtivaid protseduure – olgu selleks intsidendihaldus plaan või paroolireeglid. Lihtsalt dokumendi saatmine e-mailile ei taga, et keegi seda loeb, rääkimata selle mõistmisest. Praktiline ja kaasav koolitus või inimestega üks-ühele rääkimine on ainukesed viisid tagada, et reegleid ka päriselus järgitakse.
II OSA: Protsessid - Selged reeglid on turvalisuse aluseks
3. Tehke kindlaks oma kriitilised andmed
Te ei saa kaitsta kõike võrdselt. Selleks, et oma ressursse mõistlikult kasutada, peate teadma, millised andmed on teie äritegevuse jaoks kõige olulisemad. Kas need on kliendiandmebaasid, finantsinfo, intellektuaalomand? Nende tuvastamine võimaldab teil suunata oma kaitsemeetmed sinna, kus neist on kõige rohkem kasu.
4. Rakendage "vähima vajaduse" põhimõtet
Andke oma töötajatele ligipääs ainult nendele andmetele ja süsteemidele, mida nad oma tööülesannete täitmiseks tegelikult vajavad. See on "vähima vajaduse põhimõte" (principle of least privilege). Tarbetud ja liiga laiad ligipääsuõigused on üks levinumaid andmelekete põhjuseid, mis on tihti tingitud lihtsast inimlikust eksimusest, mitte pahatahtlikkusest.
5. Looge "lollikindel" varundusplaan
Varukoopiad on teie ainus reaalne kaitse lunavara rünnaku vastu. Ei piisa sellest, et “varukoopiad on kuskil olemas”. Need peavad olema:
Regulaarsed: Hõlmates kõiki kriitilisi andmeid.
Isoleeritud: Vähemalt üks koopia peab olema võrgust eraldatud, et lunavara seda krüpteerida ei saaks.
Testitud: Kõige olulisem samm. Peate olema mõistliku aja jooksul (1 aasta näiteks) praktiliselt proovinud andmeid taastada, et olla kindel, et protsess toimib siis, kui seda päriselt vaja on.
6. Pange kirja ühe lehekülje pikkune intsidendihaldus plaan
Kriisiolukorras ei ole aega mõelda, vaid tuleb tegutseda. Koostage lihtne, ühe lehekülje pikkune tegevusplaan. See peaks vastama vaid paarile küsimusele: Kellele me esimesena helistame (IT-partner, jurist)? Kes suhtleb töötajate ja klientidega? Kuidas me tagame meeskonna omavahelise suhtluse, kui tavapärased kanalid ei tööta? Kuidas seda teostada saab lugeda meie postitusest Intsidendihaldus plaan: Mida see sisaldab ja miks on see oluline?
7. Kontrollige oma partnereid
Teie ettevõtte turvalisus on vaid nii tugev kui teie tarneahela kõige nõrgem lüli. Kui jagate oma andmeid väliste partneritega (raamatupidajad, turundusagentuurid, tarkvaraarendajad), veenduge, et ka nemad suhtuvad turvalisusesse sama tõsiselt kui teie. Küsige nende turvameetmete kohta ja vajadusel fikseerige nõuded lepingus.
III OSA: Tehnoloogia - Praktilised tööriistad
8. Lülitage sisse mitmeastmeline autentimine (MFA)
See on kõige lihtsam ja efektiivsem tehniline meede, mida saate rakendada kontode ülevõtmise riski maandamiseks. See tähendab, et lisaks paroolile on sisselogimiseks vaja veel midagi, tavaliselt ühekordne parool telefonist või näpujälje lugeja puudutamine. Muutke MFA kohustuslikuks kõikides olulistes teenustes, eriti e-posti ja pilvekeskkondade puhul.
9. Automatiseerige tarkvara uuendamine
Uuendamata tarkvara on nagu avatud uks küberkurjategijatele. Lülitage sisse automaatsed uuendused kõikjal, kus see on võimalik. See tagab, et teadaolevad turvaaugud paigatakse ära kiiresti ja järjepidevalt, vähendades oluliselt teie riske.
10. Kasutage professionaalset kaitsetarkvara
Iga ettevõtte seade – olgu see sülearvuti, server või telefon – vajab kaitset. Ärge lootke tasuta viirusetõrjetele. Investeerige professionaalsesse, ärikliendile mõeldud turvalahendusse (nagu Bitdefender GravityZone), mis pakub tsentraalset haldust, automaatset riskide tuvastamist ja aruandlust.
Tugeva küberturvalisuse alus ei ole kallis ja keeruline tehnoloogia. See on nende kümne fundamentaalse praktika järjepidev ja läbimõeldud rakendamine. Keskendudes nendele alustaladele, ehitate oma ettevõttele tugeva vundamendi, mis kaitseb teid 80% levinud ohtude eest ja annab teile meelerahu, et saaksite keskenduda oma põhitegevusele.
Kui te pole kindel, kust alustada või kuidas neid praktikaid oma ettevõttes kõige mõistlikumalt rakendada, siis alustame vestlusest. Tasuta esmane konsultatsioon aitab luua selge ja praktilise tegevusplaani.