Cyberataki nasilają się podczas pracy w domu – jak chronić swoją firmę
Organizacje są bardziej narażone na cyberataki, ponieważ pracownicy pracują z domu.
(Shutterstock)

Doświadczeni sportowcy na świeżym powietrzu wiedzą, że w obliczu szybko zbliżającej się zimy sekretem sukcesu jest ochrona rdzenia. Oznacza to, że temperatura ciała jest utrzymywana dzięki warstwom, odprowadzaniu wilgoci i wielu ulepszonym tkaninom technicznym, które zapobiegają wpływowi zimna, śniegu i lodu na wydajność.

To samo można powiedzieć o cyberbezpieczeństwie. Ponieważ organizacje i pracownicy znajdują się obecnie w dziewiątym miesiącu COVID-19, nadszedł czas na przygotowanie się, ponieważ zagrożenie cyberatakami staje się jeszcze bardziej groźne.

Eksperci ds. cyberbezpieczeństwa przewidują, że w 2021 r incydentu cyberataku co 11 sekund. Jest prawie dwa razy więcej niż w 2019 r. (co 19 sekund) i czterokrotnie więcej niż pięć lat temu (co 40 sekund w 2016 r.). Oczekuje się, że cyberprzestępczość będzie kosztować światową gospodarkę 6.1 bilionów dolarów rocznie, co czyni ją trzecią co do wielkości gospodarką na świecie, zaraz za Stanami Zjednoczonymi i Chinami.

Ponieważ trwająca pandemia powoduje, że większa część populacji pracuje z domu — ze wszystkimi towarzyszącymi mu zakłóceniami — a otoczenie jest gotowe do eksploatacji. Skromny router domowy stał się celem ataku powierzchniowego, a nękany, pośpieszny, zmęczony i zestresowany pracownik – celem z wyboru. Nic dziwnego, że w ciągu kilku miesięcy od pierwszej blokady związanej z pandemią, koniec W Internecie pojawiło się 4,000 złośliwych witryn COVID.


wewnętrzna grafika subskrypcji


Pandemia zmusiła organizacje do jeszcze szybszego wprowadzania innowacji i dostosowywania się. Edukacja, medycyna, podróże, handel detaliczny i usługi gastronomiczne to tylko kilka branż, które zostały radykalnie zmienione przez COVID-19. Niestety, innowacje i bezpieczeństwo rzadko idą w parze.

Co organizacje mogą zrobić, aby się do tego przygotować? Sprowadza się to do ochrony rdzenia: ludzi, procesów i danych, które są najbardziej krytyczne dla organizacji.

Ochrona ludzi

Ludzie wnoszą swoje osobiste nawyki, dobre i złe, do swojego życia zawodowego. Ludzie, którzy ponownie używają haseł do różnych witryn zakupów online lub używają słabych, łatwych do zapamiętania haseł (imion zwierząt domowych, czy ktoś?) wydają się być podobnie niedbali podczas tworzenia lub używania firmowych haseł i baz danych. Klikali i prawdopodobnie nadal będą klikać wiadomości phishingowe i angażować się (niewinnie lub nie) w potencjalnie destrukcyjne praktyki.

Dla nich zimowanie oznacza ciągłe formalne programy szkoleniowe i monitorowanie w celu zmniejszenia prawdopodobieństwa przypadkowego ujawnienia lub złośliwego załadowania. Jeśli akurat znajdują się na wrażliwych stanowiskach, z dostępem do poufnych danych, oznacza to dodatkową warstwę czujności, a być może nawet ograniczenia i zaawansowane narzędzia, takie jak uwierzytelnianie wieloskładnikowe. Dla kadry kierowniczej i dyrektorów oznacza to zapewnienie, że znają i przestrzegają przepisów dotyczących prywatności i innych przepisów.

Uwierzytelnianie wieloskładnikowe wymaga od pracownika przedstawienia co najmniej dwóch bezpiecznych dowodów (np. haseł) w celu uzyskania dostępu do treści lub usług.
Uwierzytelnianie wieloskładnikowe wymaga od pracownika przedstawienia co najmniej dwóch bezpiecznych dowodów (np. haseł) w celu uzyskania dostępu do treści lub usług.
(Shutterstock)

Podsumowując, organizacje muszą poświęcać swoim pracownikom jeszcze więcej czasu, ponieważ pracują zdalnie, a nie mniej.

Ochrona procesów

To, że organizacje powinny alokować zasoby do swoich priorytetów, wydaje się oczywistym stwierdzeniem. Jeśli jednak model biznesowy całkowicie się zmienił, czy procesy organizacyjne prowadziły, czy były opóźnione? Zbyt często w czasach szybkich zmian procesy pozostają w tyle, pozostawiając procesy doraźne. Bez ich identyfikacji trudno jest zrozumieć ryzyko. Dlatego na dziale technologii informacyjnej (IT) organizacji spoczywa obowiązek ciągłego monitorowania, przeglądu i aktualizacji procedur.

Shadow IT są aplikacje lub oprogramowanie używane przez osobę fizyczną na komputerze bez wiedzy lub zgody usług IT, takich jak gra lub rozszerzenie przeglądarki zakupów. W najlepszym razie nic złego się nie dzieje. W najgorszym przypadku niezweryfikowane oprogramowanie powoduje awarię systemu lub umożliwia załadowanie oprogramowania monitorującego lub złośliwego kodu.

Shadow IT może być nieuniknione, zwłaszcza że komputery mogą być używane przez wiele osób w domu z wielu powodów, a znane luki w zabezpieczeniach mogą i powinny być monitorowane przez organizację i jasno komunikowane wszystkim pracownikom.

Może to również oznaczać, że organizacje udostępniają chronione i zablokowane komputery pracownikom przebywającym w domu, co ogranicza im możliwość instalowania oprogramowania.

Ochrona danych

Ostatnim i najważniejszym obszarem do ochrony są dane organizacji. Menedżerowie, dyrektorzy i dyrektorzy muszą dobrze rozumieć dane, które organizacja posiada, przetwarza i przekazuje.

Niedawne badanie wykazało, że firmy udostępniać poufne i wrażliwe informacje ponad 500 stronom trzecim. Pierwszym krokiem ochrony jest przeprowadzenie inwentaryzacji, aw razie potrzeby przeanalizowanie tych osób trzecich.

Po drugie, organizacje muszą być na bieżąco z branżowymi wzorcami w zakresie cyberbezpieczeństwa, a mianowicie tendencje w zakresie częstotliwości, zmieniającego się charakteru i nasilenia ataków. Następnie mogą się porównać i odpowiednio dostosować zasoby. Obejmuje to śledzenie trzech kluczowych wskaźników: czasu potrzebnego do wykrycia ataku, czasu potrzebnego na reakcję na niego oraz czasu potrzebnego do usunięcia szkód.

Wreszcie, rozmowy na temat cyberbezpieczeństwa muszą wyjść poza fatalistyczne dyskursy, które charakteryzują większość dyskusji, zwłaszcza podczas mrocznych zimowych dni. Podobnie jak ciepły płaszcz lub opony zimowe, inwestycje w cyberodporność mogą sprzyjać wzrostowi i pozytywnym wynikom.

Rośnie liczba cyberataków. Podobnie jak sportowiec, który ubiera się i przygotowuje na pogodę, organizacje mogą być proaktywne w ciągłym wzmacnianiu ludzi, procesów i danych.

O autorzeKonwersacje

Michael Parent, profesor, systemy informacji zarządczej, Uniwersytet Simona Frasera

Artykuł został opublikowany ponownie Konwersacje na licencji Creative Commons. Przeczytać oryginalny artykuł.