W cyfrowym świecie, w którym praktycznie funkcjonuje teraz każda firma bezpieczeństwo danych jest problemem zbyt często ignorowanym. A właśnie na to liczą Ci, którzy chcą w szybki i łatwy sposób skorzystać z naszej ignorancji oraz przekonaniu że na takie ataki narażone są tylko wielkie firmy. Koszt zwiększenia odporności na ataki cyberprzestępców jest stosunkowo niewielki w porównaniu do kosztów na jakie skuteczny atak może nas narazić, a ofiarami padają wszyscy!
Poniżej w 3 punktach opiszę jak w prosty i szybki sposób uodpornić firmę na 99.99% cyberataków.
Od zawsze najsłabszym ogniwem w zabezpieczeniach byli ludzie. Pierwszą i najprostszą rzeczą jaką można zrobić to rozpocząć rozmowę ze swoimi pracownikami odn. bezpieczeństwa cyfrowego. Zaangażuj swój zespół i pozwól aby podzielili się swoimi opiniami i doświadczeniami. Możliwe że ktoś z nich w swoim życiu prywatnym lub zawodowym miał już do czynienia z przykrym zdarzeniem przestępczości internetowej. Jego doświadczenie oraz wnioski mogą posłużyć jako praktyczna wiedza do wdrożenia i doedukowania reszty zespołu.
Zainwestuj czas w przygotowanie scenariuszy kryzysowych. Taki “Playbook” powinien obejmować listę osób/instytucji do powiadomienia oraz kroków/działań, które należy wykonać w przypadku kiedy część infrastruktury Twojej firmy stała się ofiarą cyberataku. Przeprowadź warsztat przerabiając na nim takie scenariusze jak np.:
Przećwicz scenariusze dla wszystkich wrażliwych narzędzi i/lub urządzeń, z których korzystacie.
Taki Emergency/Crisis Playbook pozwoli ci w przypadku udanego cyberataku na twoją firmę zachować nerwy i zimną krew. Będziesz posiadać gotowy plan działań mających na celu minimalizację i zwalczanie szkód.
Zrób dokładny przegląd kto z twoich pracowników, współpracowników i podwykonawców ma dostęp do narzędzi i urządzeń oraz na jakim poziomie te dostępy są nadane. Wiele narzędzi pozwala zarządzać uprawnieniami, dzięki którym określasz kto i z jakich funkcjonalności może korzystać.
Jeżeli jakieś narzędzie z którego korzystasz np. CRM nie posiada takiej funkcji, zastanów się nad zmianą. Na rynku jest wiele rozwiązań, które poważnie podchodzą do bezpieczeństwa ponieważ zdają sobie sprawę że dane jakie przechowujesz są ważne dla Ciebie oraz dla osób odn. których takie dane posiadasz. HubSpot już w darmowej wersji pozwala zarządzać uprawnieniami dla użytkowników. Inwestując w to budujesz kolejną zaporę zabezpieczającą twoją firmę przed cyberatakiem.
Zakładasz konta do nowych narzędzi w celu ich przetestowania swoim kontem na Facebook lub Google? Wielu tak robi. Proces ten pozwala w łatwy i szybki sposób przejść przez ten proces. Przejrzyj dokładnie o jakie uprawnienia pytają takie narzędzia przy takim sposobie logowania.
Często - bo tak jest najłatwiej - zażądają Twojej zgody o nadanie zbyt wiele uprawnień. Sprawdź i wyczyść listę aplikacji, które mają dostęp do twoje konta Google lub Facebook a z których już nie korzystasz. Upewnij się że takie porządki zrobi każdy z Twoich pracowników a na pewno Ci którzy mają uprawnienia administracyjne.
2FA! Jeżeli nie wiesz co oznacza ten skrót to jesteś idealnym celem. 2FA czyli Two-Factor Authentication to metoda zabezpieczeń polegająca na co najmniej podwójnym sposobie autoryzacji osoby logującej się. Przy wykorzystaniu tej metody, posiadanie loginu i hasła przez osoby trzecie nie wystarczy aby zalogować się do Twojego konta. Takie metody zabezpieczeń to wręcz standard wysokiej jakości narzędzi a takie giganty jak Google i Facebook wprowadziły je już lata temu. Korzystasz z nich?
A czy reszta narzędzi, z których korzystasz posiada funkcję 2FA? Jeżeli NIE to zachęcam do kontaktu z dostawcą usługi z prośbą o wprowadzenie takiej funkcjonalności lub rozejrzenie się za alternatywnym rozwiązaniem.
Powiedzmy że zabezpieczenia dostępu do narzędzi online mamy pokryty. Pracownicy są uczulenie na ataki a zarząd wie co ma robić w przypadku utraty danych. Został ostatni element, który w dużych firmach jest odpowiednio kontrolowany przez dział IT. Chodzi o infrastrukturę komputerową oraz internetową.
W epoce przed covidowej zdecydowana większość pracowników przychodziła do biura, gdzie dostęp do internetu i jego zabezpieczenia zapewniał najemca lub infrastruktura była na tyle prosta (router + switch) że bardziej techniczny pracownik był w stanie zabezpieczyć sieć lokalną firmy.
Obecnie komputery, na których pracują Twoi pracownicy podłączone są do Internetu w ich domu, do sieci WIFI w wielu przypadkach zarządzanych przez routery dostarczane przez dostawców Internetu. Wydawać by się mogło że nad bezpieczeństwem takiej infrastruktury nie ma kontroli. Ale czy na pewno?
To jak każdy z pracowników dla bezpieczeństwa własnego ale również Twojej firmy może zabezpieczyć swoją domową sieć dowiesz się z bardzo popularnego w czasach Home Office nagrania poniżej.