Καθώς ο κόσμος παρακολουθούσε τις λεπτομέρειες της περυσινής παραβίασης δεδομένων της Equifax, ενός από τα μεγαλύτερα σκάνδαλα εισβολής στην ιστορία των Ηνωμένων Πολιτειών, αποκαλύφθηκε πρόσφατα ότι ο πρώην διευθύνων σύμβουλος της εταιρείας, Richard Smith, κατηγόρησε για ολόκληρο το φιάσκο έναν μόνο τεχνικό IT, ο οποίος δεν ενημέρωσε τους υπαλλήλους της Equifax να εγκαταστήσουν μια ενημερωμένη έκδοση κώδικα που αποσκοπούσε στην εξάλειψη μιας ευπάθειας στο σύστημα Apache Struts.
Αν μη τι άλλο, αυτή η κατάσταση δείχνει πόσο δύσκολη είναι η ασφάλεια των τμημάτων IT και πόσο σημαντικό είναι για όλους στον οργανισμό σας να συμμετέχουν ενεργά σε ένα πρόγραμμα διαχείρισης κινδύνων ΤΠ. Εξάλλου, οι απειλές για την ασφάλεια του κυβερνοχώρου δεν πρόκειται να εξαλειφθούν σύντομα. Στην πραγματικότητα, αναμένεται να κοστίσουν στις εταιρείες 6 τρις δολάρια ετησίως έως το 2021 τα οποία, συγκριτικά, “αντιπροσωπεύουν τη μεγαλύτερη μεταφορά οικονομικού πλούτου στην ιστορία”.
Φυσικά, η συντριπτική πλειοψηφία των ζημιών που απορρέουν από την απώλεια της ασφάλειας στον κυβερνοχώρο θα προέρχεται από τις μεγάλες επιχειρήσεις, αλλά αυτό δεν σημαίνει ότι οι μικρές και μεσαίες επιχειρήσεις δεν θα πρέπει να κάνουν ό τι μπορούν για να προστατευτούν. Στην πραγματικότητα, επειδή εργάζεστε σε ένα τέτοιο προσωπικό επίπεδο με το προσωπικό και τους πελάτες σας, ίσως έχετε ακόμη περισσότερα να χάσετε από οποιονδήποτε, όπως τα μέσα διαβίωσής σας, τις προσωπικές σας σχέσεις, τη φήμη σας κ.λπ. Ευτυχώς, υπάρχουν μερικά πράγματα που μπορούν να κάνουν οι επιχειρήσεις όλων των μεγεθών για να βελτιώσουν την ασφάλειά τους σε κάθε επίπεδο και να αντιμετωπίσουν αυτές τις απειλές:
- Εκπαιδεύστε το προσωπικό σας: Είναι ένα απλό πράγμα, αλλά όπως φαίνεται από την παραβίαση του Equifax, η εκπαίδευση σε θέματα ασφάλειας μέσω Internet και η καθιέρωση βέλτιστων πρακτικών σε όλη την επιχείρησή σας μπορεί να βοηθήσουν πολύ στο θέμα της άμβλυνσης των ψηφιακών καταστροφών. Αναζητήστε ένα εκπαιδευτικό σεμινάριο (online ή διαπροσωπικό) που να καλύπτει θέματα όπως η αναγνώριση και ο χειρισμός μηνυμάτων ηλεκτρονικού ταχυδρομείου, η ενημέρωση του συστήματος ασφαλείας, οι ασφαλείς συμπεριφορές στο internet κ.λπ. και εκπαιδεύστε όλα τα μέλη της ομάδας σας.
- Επιλέξτε το κατάλληλο πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου: Η πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου σας από οπουδήποτε, και σχεδόν σε οποιαδήποτε συσκευή, είναι ζωτικής σημασίας, αλλά η θυσία της ευκολίας για την ασφάλεια δεν πρέπει ποτέ να αποτελεί επιλογή. Επομένως, αναζητήστε μια υπηρεσία ηλεκτρονικού ταχυδρομείου που έχει τη δυνατότητα να διακρίνει μεταξύ ανεπιθύμητης αλληλογραφίας, ηλεκτρονικού “ψαρέματος” και νόμιμων μηνυμάτων και να τα φιλτράρει κατάλληλα. Επίσης, εάν τα φίλτρα του ηλεκτρονικού ταχυδρομείου επιτρέπουν την απενεργοποίηση των υπερ-συνδέσεων και την παρεμπόδιση της ομάδας από το να απαντά σε επιβλαβή μηνύματα, ακόμη καλύτερα. Εάν είναι δυνατόν, αναζητήστε προγράμματα με φίλτρα ηλεκτρονικού ταχυδρομείου που μπορούν να οριστούν σε προσωπικό επίπεδο ή σε επίπεδο ομάδας, επειδή με αυτόν τον τρόπο μπορείτε να καθορίσετε ποιο είναι το καλύτερο για την εταιρεία σας.
- Διατηρήστε ενημερωμένη την πολιτική της συσκευής σας: Δώστε προτεραιότητα στη φυσική ασφάλεια, δημιουργώντας εταιρικές πολιτικές που περιγράφουν τις βέλτιστες πρακτικές για την διατήρηση της ασφάλειας των συσκευών. Δημιουργήστε πρωτόκολλα που πρέπει να ακολουθούνται σε περίπτωση απώλειας μιας συσκευής, επιτρέψτε στην ομάδα σας να γνωρίζει με ποιον να επικοινωνήσει και καταστήστε σαφές τι πρέπει να συμβεί από τεχνική άποψη, σε περίπτωση απώλειας μιας συσκευής. Ως πρόσθετο επίπεδο προστασίας, απαιτήστε από όλους τους υπαλλήλους να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων στις συσκευές τους. Με αυτόν τον τρόπο, ακόμη και αν μια συσκευή κλαπεί, θα χρειαστεί μια μέθοδος επικοινωνίας για να μπορέσει ο κλέφτης να αποκτήσει πρόσβαση σε ό τι βρίσκεται πίσω από την οθόνη σύνδεσης.
- Ενημερώστε το λογισμικό σας: Εάν η παραβίαση του Equifax μας δίδαξε κάτι, είναι ότι είναι κρίσιμο για κάθε εργαζόμενο, από τα ανώτερα έως τα κατώτερα στελέχη, να διατηρούν το λογισμικό τους ενημερωμένο. Εάν χρησιμοποιείτε λογισμικό που βασίζεται στο cloud, οι ενημερώσεις ασφαλείας ΤΠ γίνονται συνήθως αυτόματα, αλλά, αν είστε ιδιοκτήτης ή διαχειρίζεστε μια εταιρεία που δεν έχει ακόμη υιοθετήσει τη χρήση λογισμικού που βασίζεται στο cloud, εξακολουθείτε να μπορείτε να αυτοματοποιήσετε τις ενημερώσεις και να τις προωθήσετε στο προσωπικό σας. Εάν αυτό δεν αποτελεί επιλογή ή είναι κάτι που απλώς δεν θα αναλαμβάνατε, μπορείτε να αναθέσετε σε κάθε μέλος της ομάδας σας να εγκαθιστά τις ενημερώσεις στη δική του συσκευή. Θα χρειαστεί απλώς να ρυθμίσετε το λογισμικό σας για να ζητείται από τους χρήστες να εγκαθιστούν τις ενημερώσεις όταν γίνουν διαθέσιμες.
Αν και η εκπαίδευση της ομάδας σας έχει ήδη καλυφθεί, δεν μπορεί να τονιστεί αρκετά. Ανεξάρτητα από το πόσα μέτρα προστασίας έχετε στη διάθεσή σας, η ομάδα σας πρέπει να εκπαιδεύεται για τη σωστή χρήση τους ενώ το προσωπικό σας πρέπει να λαμβάνει τακτικά υλικό ανανέωσης και υπενθυμίσεις σχετικά με τη σημασία της λήψης αυτών των προφυλάξεων. Με αυτόν τον τρόπο, μπορείτε όχι μόνο να τους βοηθήσετε να μάθουν πώς να αναγνωρίζουν τις απειλές για την ασφάλεια στον κυβερνοχώρο, αλλά και να τους παρέχετε τις πληροφορίες που χρειάζονται για να αποφύγουν τυχόν περιττούς κινδύνους.