V dnešní době mnoho podniků využívá svou kybernetickou infrastrukturu k provádění některých svých primárních provozních procesů.
S rostoucími kybernetickými hrozbami a hackerskými útoky investují společnosti také do lepších bezpečnostních systémů. Ve skutečnosti se předpokládá, že celosvětové výdaje na kybernetickou bezpečnost dosáhnou do roku 2021 výše 1 bilionu dolarů.
Bez ohledu na to, jak silný si myslíte, že je váš současný plán kybernetické bezpečnosti, realita je taková, že všechny podniky mají potenciál být napadeny. V dnešním světě jsou narušení bezpečnosti a kybernetické útoky novou normou.
Proto musíte být vždy připraveni pomocí zásad kybernetické bezpečnosti. Přečtěte si, jak napsat účinnou politiku.
Pochopte vlastní bezpečnost
Podniky používají v různých částech své činnosti různé produkty třetích stran. Běžnou praxí je používat pro takové produkty hotové zásady.
Není to však ideální způsob, jak může vedení porozumět zabezpečení vaší sítě.
Místo toho byste měli zjistit, co si o zabezpečení myslí váš interní tým.
Zásady se v podstatě obvykle skládají z pověření vytvořených odborníkem na IT a vedením. Obě tyto strany musí projít každý klíčový detail. Musí dospět ke společnému závěru o obsahu zásad.
Vyčlenění času na týmovou diskusi o zásadách vám pomůže pochopit, s jakými typy informací pracujete. Můžete také zjistit, jak jsou shromažďovány a uchovávány. Navíc se dozvíte, které typy informací je třeba udržovat v tajnosti.
Ve většině případů podniky obvykle používají jako základ pro tvorbu svých zásad dokument s průmyslovými standardy zabezpečení.
To vám umožní napsat zásady zabezpečení, které budou akceptovány nejen vaší společností, ale také externími auditory a dalšími subjekty.
Kontrola shody
Jak již bylo uvedeno, použití dokumentu s průmyslovými standardy zabezpečení vám pomůže sladit vaše zásady s uznávanými standardy. Navíc vám pomůže pochopit všechny požadavky na dodržování bezpečnostních předpisů ve vašem oboru.
Federální vláda rovněž vydala předpisy týkající se kybernetické bezpečnosti, které by vaše vyplněné zásady měly zohlednit.
Pokud například vaše firma pracuje se zdravotními informacemi, musí vaše zásady zdůraznit klíčová technická, fyzická a administrativní opatření pro jejich zabezpečení. Budete muset zůstat v souladu se zákonem HIPAA.
Pokud od svých zákazníků požadujete informace o kreditních kartách, porozumění bezpečnostním standardům PCI vám pomůže zajistit jejich dodržování. Znalost těchto standardů vám pomůže co nejlépe vypracovat, strukturovat a implementovat vaše zásady.
Těm, kteří se podílejí na státních zakázkách, pomůže porozumět předpisům ITAR (International Traffic in Arms Regulations) a EAR (Export Administration Regulations). Tyto předpisy poskytují pokyny pro zabezpečení obranných, civilních a vojenských informací.
Jakou infrastrukturu používáte?
Dobře naplánovaná politika kybernetické bezpečnosti by měla zdůraznit systémy, které podnik používá k zabezpečení svých kritických dat a dat zákazníků. Zde budete muset spolupracovat s týmem IT, abyste pochopili možnosti vaší společnosti. To vám pomůže odvrátit případné kybernetické útoky.
Vysvětlete, které programy budou použity pro zabezpečení. Podívejte se, jak budou prováděny aktualizace, aby byly uzavřeny všechny možné zranitelnosti. Pomozte uživatelům pochopit, jak budou data zálohována.
Pokud je to možné, měly by vaše zásady také jasně uvádět cloudové servery, které používáte pro ukládání dat.
Mít tyto informace v zásadách je velmi důležité, protože ukazují, jak jste počítali s nejhorším. Navíc pomáhá zákazníkům, partnerům nebo vašim klientům pochopit, jaká opatření jste zavedli pro případ ztráty dat a zmírnění útoku.
Důležitá je odpovědnost
Odpovědnost je jedním z důležitých aspektů vašich zásad. Útok je stresující. Jeho zvládnutí vyžaduje čas a týmové úsilí. Pomáhá, když máte osoby odpovědné za kontaktování zákazníků a odstranění problému.
Vaše opatření týkající se odpovědnosti by měla zahrnovat také pohotovostní plán pro případ kybernetických útoků.
Například musíte mít další osobu, která se postará o útok, pokud k němu dojde v době nepřítomnosti hlavního bezpečnostního technika. Případně můžete mít někoho, na koho se můžete obrátit, aby útok zvládl.
Vhodné je také zahrnout kontaktní informace pro klienty a zákazníky, které můžete použít v případě útoku. Potřebují vědět, na koho se obrátit s dotazy nebo jakoukoli jinou pomocí.
Vedení by také mělo vytvořit harmonogram přezkoumávání kybernetických rizik společnosti. To pomůže zlepšit odpovědnost ve všech těchto zranitelných oblastech. Z dlouhodobého hlediska to může pomoci řídit vaši pověst. Může také udržet firmu v chodu, když vás někdo napadne.
Přemýšlejte o svých zaměstnancích
Při psaní zásad kybernetické bezpečnosti je jedním z nejdůležitějších bodů vymezení podmínek přijatelného použití pro zaměstnance.
Kyberetický útok může nastat kvůli jedné jednoduché chybě nebo omylu, který udělal zaměstnanec. Proto je třeba jasně stanovit osvědčené postupy pro používání firemních zdrojů a nástrojů.
Potřebují pochopit osvědčené postupy pro správu hesel. Měli byste mít také protokol, který mohou zaměstnanci používat k hlášení bezpečnostních incidentů. Regulovat lze také používání sociálních médií, která jsou jedním z častých zdrojů phishingových podvodů.
Pokud máte zaměstnance na dálku, zajistěte, aby rozuměli tomu, jak používat vaše sítě.
Měli by dodržovat všechny uvedené pokyny, včetně toho, že nesmí sdílet své přihlašovací údaje a pokud možno nepoužívat veřejné sítě. Nezapomeňte jim dát najevo, že proti osobám, které nebudou dodržovat vaše bezpečnostní pokyny, budou podniknuty represivní kroky.
Zaměstnanci musí také rozumět tomu, jak používat pracovní zařízení, jako jsou počítače a přenosná paměťová zařízení. Můžete je také naučit, jak rozpoznat podvody a spamy, se kterými se mohou setkat na internetu.
Pravidla kybernetické bezpečnosti:
Mezi ně patří zákazníci, zaměstnanci, partneři a orgány zajišťující dodržování předpisů. Všechny strany musí s vašimi zásadami souhlasit, než začnou využívat jakékoliv vaše služby.
Zásady by měly poskytovat dostatečné informace o rozsahu, klasifikaci dat, cílech řízení, odpovědnosti a důsledcích.
Při psaní zásad zapojíte také právní pokyny.
Máte nějaké otázky týkající se zásad kybernetické bezpečnosti? Neváhejte se na nás obrátit.