I dag bruger mange virksomheder deres cyberinfrastruktur til at køre nogle af deres primære driftsprocesser.
Da cybertrusler og hacking er stigende, investerer virksomhederne også i bedre sikkerhedssystemer. Faktisk forventes de verdensomspændende cybersikkerhedsudgifter at nå op på 1 billion dollars i 2021.
Hvor stærk du end tror, at din nuværende cybersikkerhedsplan er, så er virkeligheden den, at alle virksomheder har potentiale til at blive angrebet. I dagens verden er brud og cyberangreb det nye normale.
Som sådan skal du altid være forberedt med en cybersikkerhedspolitik. Læs videre for at forstå, hvordan du skriver en effektiv politik.
Forstå din egen sikkerhed
Virksomheder bruger forskellige tredjepartsprodukter i forskellige dele af deres aktiviteter. Det er en almindelig praksis at bruge en standardpolitik for sådanne produkter.
Det er dog ikke den ideelle måde, hvorpå din ledelse kan forstå din netværkssikkerhed.
I stedet bør du finde ud af, hvad dit interne team mener om din sikkerhed.
Politikken består som regel af mandater, der er lavet af din it-professionelle og ledelsen. Begge disse parter skal gennemgå alle vigtige detaljer. De skal nå frem til en fælles konklusion om indholdet af politikken.
At tage sig tid som team til at drøfte din politik hjælper med at forstå de typer oplysninger, som I arbejder med. I kan også se, hvordan de bliver indsamlet og opbevaret. Desuden lærer du, hvilke informationstyper der skal holdes hemmelige.
I de fleste tilfælde bruger virksomheder normalt et dokument om sikkerhedsstandarder i branchen som udgangspunkt for udarbejdelsen af deres politikker.
Derved kan du skrive en sikkerhedspolitik, som ikke kun accepteres af din virksomhed, men også af eksterne revisorer og andre.
Kontroller overensstemmelsen
Som nævnt tidligere hjælper brugen af et dokument om sikkerhedsstandarder i branchen dig med at tilpasse din politik til de anerkendte standarder. Derudover hjælper det dig med at forstå alle kravene til overholdelse af sikkerhedsreglerne i din branche.
Den føderale regering har også opstillet cybersikkerhedsregler, som din færdige politik bør tage hensyn til.
Hvis din virksomhed f.eks. beskæftiger sig med sundhedsoplysninger, skal din politik fremhæve de vigtigste tekniske, fysiske og administrative foranstaltninger til sikring af disse oplysninger. Du skal holde dig i overensstemmelse med HIPAA.
Hvis du anmoder om kreditkortoplysninger fra dine kunder, vil en forståelse af PCI-sikkerhedsstandarderne være med til at sikre, at du overholder reglerne. Kendskab til disse standarder vil hjælpe dig med at udvikle, strukturere og implementere din politik på den bedst mulige måde.
For dem, der er involveret i offentlige kontrakter, er det nyttigt at forstå International Traffic in Arms Regulations (ITAR) og Export Administration Regulations (EAR). Disse bestemmelser giver vejledning om sikring af forsvars-, civile og militære oplysninger.
Hvilken infrastruktur bruger du?
En velplanlagt cybersikkerhedspolitik bør fremhæve de systemer, som en virksomhed bruger til at beskytte sine kritiske data og kundedata. Her skal du arbejde sammen med dit it-team for at forstå din virksomheds kapacitet. Dette vil hjælpe dig med at afværge potentielle cyberangreb.
Forklar, hvilke programmer der vil blive brugt til sikkerhed. Se på, hvordan opdateringer vil blive foretaget for at forsegle alle mulige sårbarheder. Hjælp dine brugere med at forstå, hvordan der vil blive taget backup af data.
Hvis det er muligt, bør din politik også klart angive de cloud-servere, som du bruger til lagring.
Det er afgørende at have disse oplysninger i din politik, da det viser, hvordan du har planlagt til det værste. Desuden hjælper det kunder, partnere eller dine klienter med at forstå de foranstaltninger, du har indført for at håndtere datatab og afbøde et angreb.
Regnskab er vigtigt
Regnskab er et af de vigtige aspekter af din politik. Et angreb er stressende. Det kræver tid og en holdindsats at håndtere. Det hjælper at have personer, der er ansvarlige for at kontakte kunderne og løse problemet.
Dine ansvarlighedsforanstaltninger bør også omfatte en beredskabsplan for cyberangreb.
Du skal f.eks. have en anden person til at håndtere angrebet, hvis det sker, når den ledende sikkerhedstekniker er væk. Alternativt kan du have nogle at kontakte til at håndtere angrebet.
Det er også tilrådeligt at medtage kontaktoplysninger til kunder og klienter, som de kan bruge i kølvandet på et angreb. De skal vide, hvem de kan henvende sig til for at få spørgsmål eller anden hjælp.
Den ledelse bør også udarbejde en tidsplan for gennemgang af virksomhedens cyberrisiko. Dette er med til at forbedre ansvarligheden på alle disse sårbare områder. I det lange løb kan det hjælpe dig med at styre dit omdømme. Det kan også holde virksomheden kørende, når du bliver angrebet.
Tænk på dine medarbejdere
Når du skriver din cybersikkerhedspolitik, er en af de mest kritiske overvejelser at skitsere betingelserne for acceptabel brug for medarbejderne.
Et cyberangreb kan opstå på grund af en enkelt fejl eller fejl, som en medarbejder har begået. Som sådan skal du klart angive de bedste praksisser for brug af virksomhedens ressourcer og værktøjer.
De skal forstå de bedste praksisser for håndtering af adgangskoder. Du bør også have en protokol, som medarbejderne kan bruge til at rapportere sikkerhedshændelser. Brugen af sociale medier kan også reguleres, da det er en af de almindelige kilder til phishing-svindel.
Hvis du har fjernarbejdere, skal du sikre, at de forstår, hvordan de skal bruge dine netværk.
De skal overholde alle de givne retningslinjer, herunder at de ikke deler deres legitimationsoplysninger og så vidt muligt undgår at bruge offentlige netværk. Sørg for at lade dem vide, at der vil være en gengældelsesaktion for enhver person, der ikke overholder dine sikkerhedsretningslinjer.
Medarbejderne skal også forstå, hvordan de skal bruge arbejdsudstyret, f.eks. computere og bærbare lagerenheder. Du kan også lære dem, hvordan de kan identificere svindel og spams, som de kan støde på online.
Cybersikkerhedspolitik: Når du skriver din politik for cybersikkerhed, hjælper det at forstå, at der er flere parter, du skal tage hensyn til.
Disse omfatter kunder, medarbejdere, partnere og overensstemmelsesorganer. Alle parter skal acceptere din politik, før du kan bruge dine tjenester.
Politikken skal give tilstrækkelige oplysninger om omfanget, dataklassificering, ledelsesmål, ansvar og konsekvenser.
Du inddrager også juridisk vejledning, når du skriver politikken.
Har du spørgsmål om cybersikkerhedspolitik? Du er velkommen til at komme i kontakt med os.