تخيل هذا: إنه موسم الضرائب ، ويتلقى مدير الموارد البشرية لديك بريدًا إلكترونيًا من شخص يتظاهر بأنه أنت - الرئيس التنفيذي. يعتقد مدير الموارد البشرية أن البريد الإلكتروني شرعي ويتوافق مع طلب إرسال نسخ من جميع W2s لموظفيك. بعد أيام ، يستخدم مرسل البريد الإلكتروني - وهو في الواقع مخترق ماهر - هؤلاء W2s لتقديم مجموعة من الإقرارات الضريبية المزيفة.
تحدث مثل هذه الهجمات الإلكترونية كل يوم. وإذا كنت تدير شركة صغيرة أو متوسطة الحجم ، فأنت هدف مباشر للهجوم. تقع الشركات الصغيرة والمتوسطة ضحية الغالبية العظمى من انتهاكات البيانات لأنها تميل إلى:
- عدم كفاية الإجراءات الأمنية والموظفين المدربين
- الاحتفاظ بالبيانات ذات الأهمية للمتسللين (على سبيل المثال ، أرقام بطاقات الائتمان والمعلومات الصحية المحمية)
- إهمال استخدام مصدر خارج الموقع أو خدمة جهة خارجية لنسخ ملفاتهم أو بياناتهم احتياطيًا ، مما يجعلها عرضة لبرامج الفدية
- اتصل بسلسلة التوريد الخاصة بشركة أكبر ، ويمكن الاستفادة منها لاقتحام
أحدث أبلغ عن - تعاون بحثي مع سيسكو و ال المركز الوطني للسوق الأوسط - يستند إلى بيانات من 1،377 من الرؤساء التنفيذيين للشركات الصغيرة والمتوسطة الحجم التي تروي قصة مماثلة. قال اثنان وستون في المائة من المجيبين لدينا إن شركاتهم ليس لديها إستراتيجية محدثة أو نشطة للأمن السيبراني - أو أي استراتيجية على الإطلاق. وهذه مشكلة كبيرة ، بالنظر إلى أن تكلفة الهجوم الإلكتروني يمكن أن تكون عالية بما يكفي لإيقاف الشركة عن العمل ؛ وفقًا لـ National Cyber Security Alliance ، فإن 60 في المائة من الشركات الصغيرة ومتوسطة الحجم التي تم اختراقها ستتوقف عن العمل في غضون ستة أشهر.
إذا كنت من بين هؤلاء الرؤساء التنفيذيين ، فقد حان الوقت لإجراء تغيير. اتبع هذه الخطوات الأربع لبدء بناء استراتيجية للأمن السيبراني تُبعد المتسللين عن عملك.
1. تحديد حالة الأمن السيبراني الحالية لشركتك.
اجمع أعضاء فريق القيادة العليا ومجلس الإدارة والمستثمرين معًا لإجراء تدقيق غير رسمي للأعمال. تعرف على مستوى الأمان الذي تتمتع به اليوم.
أسئلة يجب طرحها: هل هناك أي شخص مسؤول عن أمننا السيبراني؟ ما هي الدفاعات الموجودة لدينا بالفعل؟ هل استراتيجيتنا شاملة ومنسقة؟ إذا لم يكن الأمر كذلك ، فهل يمكننا تحديد نقاط ضعفنا؟
2. تحديد الشخص الرئيسي المسؤول عن الأمن السيبراني الخاص بك.
قم بإشراك القادة من جميع أنحاء المؤسسة - وليس فقط أولئك داخل قسم تكنولوجيا المعلومات. قم بتضمين أشخاص من مجالات وظيفية مختلفة ، مثل العلاقات الإنسانية والتسويق والعمليات والتمويل. اللاعبون الآخرون الأساسيون في هذه المحادثة هم محاميك والمحاسب / مدقق الحسابات الخاص بك.
أسئلة يجب طرحها: من يجب أن يكون مسؤولاً عن الأمن السيبراني لدينا؟ ما هي العملية التي يمكننا تنفيذها لضمان المساءلة؟ كيف يمكننا التواصل وزيادة الوعي بالأمن السيبراني في أقسامنا وفرقنا المختلفة؟
3. قم بجرد الأصول الخاصة بك ، وحدد قيمتها وحدد أولويات الأصول الأكثر أهمية لديك.
حدد 'جواهر التاج' في شركتك ، سواء كانت سجلات الموظفين أو الملكية الفكرية أو بيانات العملاء. اعلم أنك لن تكون أبدًا آمنًا بنسبة 100٪ من أي هجوم ، لذا من المهم إعطاء الأولوية لمجالات الدفاع.
أسئلة يجب طرحها: ما هي أهم الأصول التي نحتاج إلى حمايتها؟ بيانات العميل؟ الملكية الفكرية؟ سجلات الموظف؟ هل يمكننا قياس درجة السرية والنزاهة والتوافر والسلامة لأهم أصولنا؟
4. قرر ما هي قدرات العمل وتدابير الأمن السيبراني التي تريد أن تديرها بنفسك مقابل الاستعانة بمصادر خارجية.
ضع في اعتبارك ما إذا كان من المنطقي الاستعانة بمصادر خارجية لجوانب معينة من عملك لنظام قائم على السحابة لزيادة أمنك. في الوقت نفسه ، ضع في اعتبارك ما إذا كان من المنطقي إشراك خبير أو مزود في مجال الأمن السيبراني. حدد ما إذا كنت تريد العمل مع استشاري لمعرفة خطة الأمن السيبراني الخاصة بك أو إذا كنت ترغب في الاستعانة بمصادر خارجية للأمن السيبراني بالكامل.
أسئلة يجب طرحها: ما هي جوانب أعمالنا - مثل تنفيذ الطلبات - التي يجب أن نتعامل معها داخليًا مقابل الاستعانة بمصادر خارجية لطرف ثالث (مثل Amazon و Cisco و Google)؟ هل ينبغي لنا الاستعانة بمصادر خارجية لأمننا السيبراني لخدمة طرف ثالث؟ هل يجب علينا استخدام نموذج CIO الجزئي والبحث عن استشارات الأمن السيبراني؟ أم يجب علينا التعامل مع العملية برمتها بأنفسنا؟
ارتفاع باتريك واربورتون بالقدم
أفضل دفاع هو الهجوم الجيد. اجعل من أولوياتك حماية بياناتك لصالح موظفيك وعملائك وصحة عملك على المدى الطويل.
