中小型企業 (SMB) 無法免受網路攻擊,但他們卻在不斷變化的威脅情況中掙扎,並了解如何最好地管理風險。
在XNUMX 月初的「中小型企業網路安全圓桌會議:應對複雜性和增強彈性」期間,Sage 召集了一群來自小型企業、政府機構和非營利組織的CISO 和其他網路安全專業人士,討論中小型企業面臨的一些最大問題以及他們解決問題的能力。確保他們的公司資產。 中小企業和非營利組織面臨的最大挑戰包括:
- 人為因素。 員工不斷犯錯誤,例如點擊網路釣魚電子郵件中的連結或允許對其設備進行不受保護的訪問,這使公司網路面臨風險。
- 第三方合規需求。 合作夥伴組織、承包商、供應商和其他第三方實體要求滿足其網路安全要求,尤其是那些受到嚴格監管的組織,例如金融機構。
- 各州和國家的資料隱私法。 不符合這些合規要求可能會導致制裁和罰款。
- 混合勞動力。 當員工遠距工作(甚至部分時間)時,中小型企業不再對設備和線上行為進行同等程度的監督。
- 目標平台和產業。 威脅行為者會尋找使用旨在籌集資金或收集大量個人資訊的應用程式的組織。
- 不斷變化的威脅情勢。 每天似乎都有新的攻擊媒介、新的惡意軟體和新的威脅行為者。
一項新的調查顯示,近一半的中小企業在過去一年中經歷過網路安全事件 研究 來自聖人。 儘管全球69% 的受訪者表示網路安全是其公司文化的一部分,但幾乎相同數量的受訪者直到發生事件後才會考慮這一點— 只有四分之一的受訪者表示他們的公司定期討論網路安全。
網路安全不一定要昂貴
攻擊發生後,再開始討論如何保護網路和公司已經為時已晚,但許多中小型企業沒有適當的系統。 例如,根據 Sage 的研究,46% 的中小企業不使用防火牆,19% 的中小企業僅依賴非常基本的工具。
是的,網路安全可能代價高昂。 企業公司 可以擁有超過 100 個安全工具 正在使用。 然而,對於中小型企業來說,這並不一定那麼複雜,有些方法甚至可以是免費或便宜的。
首先創建一個 內部風險計劃 Vaillance Group 執行長 Shawnee Delaney 在圓桌會議期間建議,該機構負責監督整個公司的安全政策,並專注於員工行為。
「這需要你進行對話,有時是一次令人不舒服的對話,因為沒有人願意認為自己的員工可能會做一些惡意的事情,」德萊尼說。 「但事實是,絕大多數(網路事件)都是無意的。」
管理人類就業生命週期對於有效的網路安全系統至關重要。 德萊尼補充說,它從面試和招募過程開始,確保你擁有一個文化契合度高、願意認識網路安全如何融入組織結構的人。 聘用後,請遵循強調基本安全衛生的入職流程,包括最低權限和按需存取。 當員工離開時,確保 離職流程 完全斷開存取。
個人化安全培訓
由於人與網路安全之間存在聯繫,小公司中的每個人(從執行長到下)都必須對威脅有基本的了解。 有許多安全意識培訓選項,但中小型企業最好避免採用一刀切的選項。
培訓應該是 面向個體工人 基於工作職能以及技術悟性和興趣方面的世代差距等標準。 年長員工的學習方式通常與年輕員工不同,就像從事勞力密集工作的員工與整天盯著設備的員工與科技的關係可能不同一樣。 不尊重這些差異會導致訓練不均勻,最終可能弊大於利。
讓網路安全成為商業問題
Sage 首席資訊安全長 Gustavo Zeidan 表示,有一種趨勢,特別是在中小型企業中,將網路安全視為 IT 問題,所有知識都集中在技術領域。
更好的方法是考慮 網路安全作為一個商業問題。 澤丹在圓桌會議上表示,安全文化更好地由高層驅動,管理層需要討論網路威脅以及他們的業務如何成為目標。
「商界領袖承認這是一個問題,但他們沒有談論它,」扎伊丹解釋道。 可能發生的最糟糕的事情是對擾亂業務運營的安全事件毫無準備。
當公司內部發生網路事件時,不要隱瞞。 由聯邦貿易委員會 (FTC) 提供 方針 您應該聯絡誰,包括執法部門、客戶和供應商。
但不要就此止步。 與其他企業溝通並討論解決該事件的策略。 透過以行業為中心的組織或在當地分享此訊息 商會 會議-無論您在哪裡與其他商業領袖接觸。
德萊尼說:“如果你發現了違規行為,請保持開放、誠實,並與其他企業分享你學到的經驗教訓,以便從業者從中吸取教訓。” “我們是否是競爭對手並不重要。 歸根結底,這都是國家安全。”
知道去哪裡尋求幫助
每家公司,無論規模大小,都需要更多的網路安全專業知識。 無論中小企業如何在安全方面進行投資,網路安全的責任都需要分散到整個公司。
有一些資源可以幫助指導中小企業的安全之旅。 網路安全和基礎設施安全局 (CISA) 擁有許多可用資源,包括 中小企業網路安全指南 這專門針對個人在小型企業環境中扮演的不同安全相關角色。 圓桌會議小組成員、CISA 技術和創新高級顧問 Lauren Boas Hayes 表示,與各種類型和規模的企業建立合作夥伴關係是 CISA 使命的核心。
「景觀正在改變; 每天都有新的威脅,」德萊尼說。 從業者和企業可能會覺得他們在努力阻止這些新威脅,就像在玩打地鼠遊戲,但對中小型企業來說,好消息是有緩解技術。 這只是找到最適合各家公司的計劃的問題。
