Kiedy świat obserwował przebieg sprawy zeszłorocznego naruszenia danych w firmie Equifax, jednego z największych skandali hakerskich w historii Stanów Zjednoczonych, dowiedzieliśmy się niedawno, że były dyrektor generalny firmy, Richard Smith, obwinił o całe fiasko jednego informatyka, który nie poinformował pracowników firmy Equifax, aby zainstalowali poprawkę zaprojektowaną w celu wyeliminowania luki w systemie Apache Struts.
Ta sytuacja pokazuje, jak wątłe może być bezpieczeństwo informatyczne i jak ważne jest, aby wszyscy w organizacji aktywnie uczestniczyli w programie zarządzania ryzykiem informatycznym. W końcu nie ma co oczekiwać zniknięcia cyberzagrożeń w najbliższym czasie. Oczekuje się, że do 2021 roku będą one kosztować firmy 6 bilionów dolarów rocznie, co może oznaczać „największy transfer bogactwa ekonomicznego w historii”.
Oczywiście ogromna większość strat wynikających z luk w cyberzabezpieczeniach będzie dotyczyć dużych przedsiębiorstw, ale to nie znaczy, że małe i średnie firmy nie powinny robić wszystkiego, aby chronić swoją działalność. W rzeczywistości ze względu na to, że w takich firmach kontakty z pracownikami i klientami mają bardziej osobisty charakter, straty mogą być jeszcze większe — mogą objąć całość dochodów, relacje osobiste i reputację. Na szczęście są pewne rozwiązania, które mogą wprowadzić firmy wszystkich rozmiarów, aby poprawić swoje bezpieczeństwo na każdym poziomie i stawić czoła tym zagrożeniom:
- Organizuj szkolenia dla pracowników: to proste rozwiązanie, ale jak ilustruje to przykład naruszenia w firmie Equifax, internetowe szkolenia w zakresie bezpieczeństwa i wdrażanie najlepszych rozwiązań w całej firmie mogą znacznie przyczynić się do załagodzenia cyfrowych katastrof. Poszukaj zajęć (internetowych lub tradycyjnych) poświęconych takim tematom, jak rozpoznawanie fałszywych wiadomości e-mail i postępowanie z nimi, dbanie o aktualność systemu zabezpieczeń, bezpieczne zachowania w Internecie itp. Zadbaj o edukację każdego członka zespołu.
- Wybierz odpowiedniego klienta poczty e-mail: dostęp do wiadomości e-mail w dowolnym miejscu — i na każdym urządzeniu — ma kluczowe znaczenie, ale nigdy nie powinno to wymagać rezygnacji z wygody na rzecz bezpieczeństwa. Poszukaj więc usługi poczty e-mail, która rozróżnia spam, przypadki wyłudzania informacji i wiarygodne wiadomości e-mail oraz odpowiednio je filtruje. Jeśli filtry wiadomości e-mail pozwalają na wyłączenie hiperlinków i uniemożliwienie zespołowi odpowiadania na szkodliwe wiadomości, to dodatkowy plus. Jeśli to możliwe, poszukaj programów z filtrami wiadomości e-mail, które można ustawić na poziomie osobistym lub grupowym — pozwoli to określić, co jest najlepsze dla firmy.
- Zadbaj o aktualność zasad dotyczących urządzeń: traktuj bezpieczeństwo fizyczne priorytetowo, tworząc zasady firmowe określające najlepsze rozwiązania zapewniania bezpieczeństwa urządzeń. Przygotuj protokoły, których należy przestrzegać w razie zniknięcia urządzenia — zespół powinien wiedzieć, z kim się skontaktować. Powinno być też jasne, co w razie zniknięcia urządzenia powinno zostać zrobione z technicznego punktu widzenia. W ramach dodatkowej warstwy ochrony wymagaj, aby wszyscy pracownicy włączyli na swoich urządzeniach uwierzytelnianie dwuskładnikowe. W ten sposób, nawet jeśli urządzenie zostanie skradzione, do uzyskania przez złodzieja dostępu do tego, co znajduje się za ekranem logowania, będzie wymagana metoda kontaktu.
- Aktualizuj oprogramowanie: wnioski z naruszenia danych w firmie Equifax są przede wszystkim takie, że wszyscy pracownicy — od najniższego po najwyższy szczebel organizacji — powinni dbać o aktualność oprogramowania. W razie korzystania z oprogramowania chmurowego aktualizacje zabezpieczeń informatycznych są zwykle wykonywane automatycznie, ale właściciele i kierownicy firm, które nie wdrożyły jeszcze oprogramowania chmurowego, także mogą zautomatyzować aktualizacje i wypychać je do pracowników. Jeśli to niemożliwe lub z jakiegoś powodu niezalecane, można zobowiązać każdego członka zespołu do instalowania aktualizacji na własnym komputerze. Wystarczy tylko skonfigurować w oprogramowaniu monitowanie użytkowników o zainstalowanie aktualizacji po ich udostępnieniu.
Kwestia szkolenia zespołu została już poruszona, ale warto ją jeszcze raz podkreślić. Niezależnie od tego, ile mechanizmów zabezpieczeń jest stosowanych, zespół musi być przeszkolony, aby właściwie z nich korzystać. Powinien też regularnie otrzymywać materiały odświeżające wiedzę na ten temat i odpowiednie przypomnienia. W ten sposób można nie tylko pomóc pracownikom w rozpoznawaniu cyberzagrożeń, ale także zapewnić im informacje potrzebne do unikania niepotrzebnego ryzyka.