1. Datamaskiner Datanettverk NettverkssikkerhetFå sluttbrukere å overholde cybersecurity-innsats i små bedrifter

Av Joseph Steinberg

Ansatte, og de mange sikkerhetsrisikoer som de skaper, kan bli stor hodepine for små bedrifter. Menneskelige feil er katalysator nr. 1 for brudd på data. Selv om du aktivt søker å forbedre nettkunnskapen og holdningen din, kan det hende at dine ansatte og kolleger ikke har samme engasjementnivå som du gjør når det gjelder å beskytte data og systemer.

Som sådan er en av de viktigste tingene som en liten bedriftseier kan gjøre, å utdanne sine ansatte. Cybersecurity-utdanning består i hovedsak av tre nødvendige komponenter:

  • Bevissthet om trusler: Du må sørge for at hver ansatt som jobber for bedriften forstår at han eller hun, og virksomheten som helhet, er mål. Mennesker som tror at kriminelle ønsker å bryte datamaskiner, telefoner og databaser, handler på en annen måte enn mennesker som ikke har internalisert denne virkeligheten. Selv om formell, regelmessig opplæring er ideell, kan til og med en enkelt, kort samtale som blir ført når arbeiderne starter, og forfrisket med periodiske påminnelser, gi betydelig verdi i denne forbindelse. Grunnleggende opplæring i informasjonssikkerhet: Alle ansatte skal forstå visse grunnleggende om informasjonssikkerhet. De bør for eksempel vite for å unngå nett-risikofylt oppførsel, som å åpne vedlegg og klikke på lenker som er funnet i uventede e-postmeldinger, laste ned musikk eller videoer fra tvilsomme kilder, ved uhensiktsmessig bruk av offentlig Wi-Fi til sensitive oppgaver eller kjøpe produkter fra ukjente butikker med for gode priser, og ingen offentlig kjent fysisk adresse.

Flere relaterte treningsmateriell (ofte gratis) er tilgjengelig online. Når det er sagt, stole aldri på å trene i seg selv for å tjene som eneste forsvarslinje mot vesentlig menneskelig risiko. Mange gjør dumme ting selv etter å ha fått tydelig opplæring til det motsatte. Videre gjør opplæring ingenting for å adressere useriøse ansatte som med vilje saboterer informasjonssikkerhet.

  • Praksis: Opplæring i informasjonssikkerhet skal ikke være teoretisk. Ansatte bør få muligheten til å øve på det de har lært - for eksempel ved å identifisere og slette / rapportere en test phishing-e-post.

Insentiv ansatte til å overholde cybersecurity-innsatsen

På samme måte som du bør holde ansatte ansvarlige for sine handlinger hvis ting går galt, bør du også belønne ansatte for å utføre jobbene sine på en cybersikker måte og oppføre seg med riktig cyberhygiene. Positiv forsterkning kan gå langt og blir nesten alltid bedre mottatt enn negativ forsterkning.

Videre har mange organisasjoner med suksess implementert rapporteringssystemer som lar ansatte anonymt varsle de relevante kreftene i virksomheten om mistenkelige insideraktiviteter som kan indikere en trussel mot dine cybersecurity-tiltak, samt potensielle feil i systemer, som kan føre til sårbarheter. Slike programmer er vanlige blant større virksomheter, men kan være til fordel for mange små selskaper også.

Husk å tilbakekalle tilgang for tidligere ansatte

Det er utallige historier om at ansatte gjør feil som åpner organisasjonsdøren for hackere og om misfornøyde ansatte som stjeler data og / eller saboterer systemer. Skadene fra slike cybersecurity-hendelser kan være katastrofale for en liten virksomhet. Beskytt deg selv og virksomheten din mot disse typer risikoer ved å sette opp informasjonsinfrastrukturen din for å inneholde skaden hvis noe går galt.

Hvordan kan du gjøre dette? Gi arbeidere tilgang til alle datasystemer og data de trenger for å utføre jobbene sine med maksimal ytelse, men ikke gi dem tilgang til noe annet av sensitiv karakter.

Programmerere skal ikke kunne få tilgang til en virksomhets lønnssystem, for eksempel, og en kontrollator trenger ikke tilgang til versjonskontrollsystemet som inneholder kildekoden til selskapets egen programvare.

Begrensning av tilgang kan gjøre en verden av forskjell når det gjelder omfanget av en datalekkasje hvis en ansatt blir useriøs. Mange bedrifter har lært denne leksjonen på den harde måten. Ikke bli en av dem.

Gi alle hans eller hennes egen legitimasjon

Hver ansatt som får tilgang til hvert eneste system som er i bruk av organisasjonen, skal ha sine egne innloggingsopplysninger til dette systemet. Ikke del legitimasjon!

Implementering av en slik ordning forbedrer evnen til å revidere folks aktiviteter (noe som kan være nødvendig hvis et dataovertredelse eller annen cybersikkerhetshendelse skjer) og oppfordrer også folk til å bedre beskytte passordene sine. fordi de vet at hvis kontoen blir misbrukt, vil ledelsen adressere saken til dem personlig snarere enn til et team.

Kunnskapen om at en person skal stilles til ansvar for sin oppførsel overfor å opprettholde eller kompromittere sikkerhet, kan utføre underverker i en proaktiv forstand.

På samme måte bør hver person ha sine egne multifaktor-autentiseringsfunksjoner - enten det er et fysisk symbol, en kode generert på smarttelefonen hans og så videre.

Begrens administratorer

Systemadministratorer har vanligvis superbrukerprivilegier - noe som betyr at de kan få tilgang til, lese, slette og endre andre menneskers data. Det er derfor viktig at hvis du - bedriftseieren - ikke er den eneste superbrukeren, at du implementerer kontroller for å overvåke hva en administrator gjør.

Du kan for eksempel logge administratorhandlinger på en egen maskin som administratoren ikke har tilgang til.

Å tillate tilgang fra bare en spesifikk maskin på et spesifikt sted - noe som noen ganger ikke er mulig på grunn av forretningsbehov - er en annen tilnærming som er vanlig i cybersikkerhet, ettersom det gjør at et kamera kan rettes mot den maskinen for å registrere alt som administratoren gjør.

Begrens tilgang til bedriftskontoer

Virksomheten din kan ha flere av sine egne kontoer. Det kan for eksempel ha kontoer på sosiale medier - en Facebook-side, Instagram-konto og en Twitter-konto - kundesupport-e-postkontoer, telefonkontoer og andre verktøykontoer.

Gi tilgang bare til folk som absolutt trenger tilgang til disse kontoene. Ideelt sett skal alle menneskene du gir tilgang til, ha auditerbar tilgang - det vil si at det skal være enkelt å avgjøre hvem som gjorde hva med kontoen.

Grunnleggende kontroll og hørbarhet er enkle å oppnå når det kommer til Facebook-sider, for eksempel fordi du kan eie Facebook-siden for virksomheten, samtidig som du gir andre mennesker muligheten til å skrive til siden.

I noen andre miljøer er det imidlertid ikke tilgjengelige granulære kontroller, og du må bestemme mellom cybersecurity-implikasjonene av å gi flere innlogginger til en sosial mediekonto eller la dem sende inn innhold til en enkelt person (kanskje til og med deg) som lager de aktuelle innleggene.

Utfordringen med å gi hver autorisert bruker av firmakontoer på sosiale medier sin egen konto for å oppnå både kontroll og hørbarhet forverres av at alle sensitive kontoer skal beskyttes med multifaktorautentisering.

Noen systemer tilbyr multifaktorautentiseringsfunksjoner som står for det faktum at flere uavhengige brukere kan trenge å bli gitt revisjonsbar tilgang til en enkelt konto. I noen tilfeller passer imidlertid ikke systemer som tilbyr multifaktor-autentiseringsfunksjoner godt med miljøer med flere personer.

De kan for eksempel tillate bare ett mobiltelefonnummer som engangs passord sendes via SMS. I slike scenarier må du bestemme deg for om du vil

  • Bruk multifaktor-godkjenning, men med en løsning - for eksempel ved å bruke et VOIP-nummer for å motta tekstene og konfigurere VOIP-nummeret for å videresende meldingene til flere parter via e-post (som for eksempel tilbys uten kostnad av Google Stemme). Bruk multifaktor-autentisering uten løsning - og konfigurer de autoriserte brukernes enheter til ikke å trenge multifaktor-godkjenning for aktivitetene de utfører. Ikke bruk multifaktor-godkjenning, men stole bare på sterke passord (anbefales ikke) Finn en annen løsning ved å endre prosesser, prosedyrer eller teknologier som brukes for å få tilgang til slike systemer. Bruk tredjepartsprodukter som legger over systemer (ofte det beste alternativet når det er tilgjengelig)

Det siste alternativet er ofte det beste alternativet. Ulike innholdsstyringssystemer lar seg for eksempel konfigurere for flere brukere, hver med sine egne uavhengige sterke autentiseringsfunksjoner, og alle slike brukere har kontrollerbar tilgang til en enkelt sosiale mediekonto.

Mens større foretak nesten alltid følger en eller annen variant av den siste tilnærmingen - både av ledelsesmessige og sikkerhetsmessige årsaker - pleier mange små bedrifter å ta den enkle veien ut og ganske enkelt ikke bruke sterk godkjenning i slike tilfeller. Kostnadene for å implementere riktig cybersecurity - både når det gjelder dollar og tid - er vanligvis ganske lave, så å utforske tredjepartsprodukter bør absolutt gjøres før du bestemmer deg for å ta en annen tilnærming til denne cybersecurity-utfordringen.

Verdien av å ha ordentlig sikkerhet med revisjonsevne vil umiddelbart bli tydelig hvis du noen gang har en misfornøyd ansatt som hadde tilgang til selskapets kontoer på sosiale medier, eller hvis en glad og fornøyd medarbeider med slik tilgang blir hacket.

Håndheve politikk på sosiale medier

Å utarbeide, implementere og håndheve retningslinjer for sosiale medier er viktig fordi upassende innlegg i sosiale medier laget av dine ansatte (eller deg selv) kan forårsake alle slags skader. De kan lekke sensitiv informasjon, bryte overholdelsesregler og hjelpe kriminelle til sosialingeniør og angripe organisasjonen din, utsette virksomheten din for boikott og / eller søksmål og så videre.

Du ønsker å gjøre det klart for alle ansatte hva som er og ikke er akseptabel bruk av sosiale medier. Som en del av prosessen med å lage retningslinjene, bør du vurdere å konsultere en advokat for å forsikre deg om at du ikke krenker noens ytringsfrihet. Det kan også være lurt å implementere teknologi for å sikre at sosiale medier ikke forvandles fra en markedsføringsplattform til et mareritt med cybersecurity.

Overvåke ansatte for å lykkes med cybersikkerhet

Uansett om de planlegger å overvåke de ansattes bruk av teknologi eller ikke, bør selskaper informere brukerne om at de har rett til det. Hvis en ansatt skulle være useriøs og stjele data, for eksempel, vil du ikke ha bevisets antagelighet til å bli utfordret på grunn av at du ikke hadde rett til å overvåke den ansatte.

Ved å fortelle de ansatte at de kan overvåkes, reduserer det også sannsynligheten for at ansatte gjør ting som bryter med nettets sikkerhetspolitikk, fordi de vet at de kan overvåkes mens de gjør slike ting.

Her er et eksempel på tekst som du kan gi til ansatte som en del av en ansattes håndbok eller lignende når de begynner arbeidet:

Selskapet forbeholder seg etter eget skjønn og uten ytterligere varsel til den ansatte retten til å overvåke, undersøke, gjennomgå, registrere, samle, lagre, kopiere, overføre til andre og kontrollere all og all e-post og annen elektronisk kommunikasjon, filer, og alt annet innhold, nettverksaktivitet inkludert internettbruk, overført av eller gjennom dets teknologisystemer eller lagret i dets teknologisystemer eller systemer, enten det er på stedet eller på stedet. Slike systemer skal omfatte systemer som det eier og drifter og systemer som det leier ut, lisenser eller som det ellers har noen bruksrettigheter til.

Uansett om de sendes til en intern part, ekstern part eller begge deler, alle og alle e-post-, tekst- og / eller andre direktemeldinger, telefonsvarer og / eller all annen elektronisk kommunikasjon anses å være selskapets forretningsregister, og kan være gjenstand for oppdagelse i tilfelle rettssaker og / eller avsløring basert på tegningsretter tjent med selskap eller forespørsler fra regulatorer og andre parter.