Şunu hayal edin: Vergi mevsimi ve İK direktörünüz, sizi taklit eden birinden, CEO'dan bir e-posta alıyor. İK direktörü e-postanın yasal olduğunu düşünüyor ve tüm çalışanlarınızın W2'lerinin kopyalarını gönderme talebine uyuyor. Günler sonra, aslında yetenekli bir bilgisayar korsanı olan e-postayı gönderen kişi, bir grup sahte vergi beyannamesi vermek için bu W2'leri kullanır.
Bunun gibi siber saldırılar her gün oluyor. Ve küçük veya orta ölçekli bir şirket yönetiyorsanız, bir saldırı için doğrudan hedefsiniz. Küçük ve orta ölçekli firmalar, aşağıdakileri yapma eğiliminde oldukları için veri ihlallerinin büyük çoğunluğunun kurbanı olurlar:
- Yeterli güvenlik önlemleri ve eğitimli personel eksikliği
- Bilgisayar korsanları için değerli olan verileri (örneğin, kredi kartı numaraları, korunan sağlık bilgileri) saklayın
- Dosyalarını veya verilerini yedeklemek için site dışı bir kaynak veya üçüncü taraf hizmeti kullanmayı ihmal ederek onları fidye yazılımlarına karşı savunmasız hale getirin
- Daha büyük bir şirketin tedarik zincirine bağlanın ve araya girmek için kullanılabilir
bizim en son bildiri - ile bir araştırma işbirliği Cisco ve Orta Pazar için Ulusal Merkez - benzer bir hikaye anlatan küçük ve orta ölçekli işletmelerin 1.377 CEO'sunun verilerine dayanmaktadır. Katılımcılarımızın yüzde altmış ikisi, firmalarının güncel veya aktif bir siber güvenlik stratejisine ya da herhangi bir stratejisine sahip olmadığını söyledi. Ve bir siber saldırının maliyetinin bir şirketi iflas ettirecek kadar yüksek olabileceği düşünüldüğünde, bu büyük bir sorundur; Ulusal Siber Güvenlik İttifakına göre, saldırıya uğrayan küçük ve orta ölçekli işletmelerin yüzde 60'ı altı ay içinde kapanıyor.
Siz de bu CEO'lar arasındaysanız, bir değişiklik yapmanın zamanı geldi. Bilgisayar korsanlarını işinizden uzak tutan bir siber güvenlik stratejisi oluşturmaya başlamak için bu dört adımı izleyin.
1. Şirketinizin mevcut siber güvenlik durumunu belirleyin.
İşin gayri resmi bir denetimini yapmak için üst düzey liderlik ekibinizin üyelerini, yönetim kurulunu ve yatırımcıları bir araya getirin. Bugün sahip olduğunuz güvenlik düzeyi hakkında bir fikir edinin.
Sorulacak sorular: Siber güvenliğimizden sorumlu kimse var mı? Halihazırda hangi savunmalara sahibiz? Stratejimiz kapsamlı ve koordineli mi? Değilse zayıf noktalarımızı tespit edebilir miyiz?
2. Siber güvenliğinizden sorumlu kilit kişiyi belirleyin.
Yalnızca BT içindekilerle değil, kuruluş genelindeki liderlerin katılımını sağlayın. İnsan ilişkileri, pazarlama, operasyonlar ve finans gibi farklı işlevsel alanlardan insanları dahil edin. Bu konuşma için gerekli olan diğer oyuncular, avukatınız ve muhasebeciniz/denetçinizdir.
Sorulacak sorular: Siber güvenliğimizden kim sorumlu olmalı? Hesap verebilirliği sağlamak için hangi süreci uygulayabiliriz? Farklı departmanlarımızda ve ekiplerimizde siber güvenlik konusunda nasıl iletişim kurabilir ve farkındalığı nasıl artırabiliriz?
3. Varlıklarınızın envanterini çıkarın, değerlerini belirleyin ve en kritik varlıklarınıza öncelik verin.
Çalışan kayıtları, fikri mülkiyet veya müşteri verileri olsun, şirketinizdeki 'taç mücevherlerini' tanımlayın. Bir saldırıdan asla %100 güvende olmayacağınızı kabul edin, bu nedenle savunma alanlarına öncelik vermek önemlidir.
Sorulacak sorular: Korumamız gereken en önemli varlıklar nelerdir? Müşteri bilgisi? Fikri mülkiyet? Çalışan kayıtları? En kritik varlıklarımızın gizlilik, bütünlük, kullanılabilirlik ve güvenlik derecesini ölçebilir miyiz?
4. Dış kaynak kullanımına karşı kendinizi yönetmek istediğiniz iş yeteneklerine ve siber güvenlik önlemlerine karar verin.
Güvenliğinizi artırmak için işinizin belirli yönlerini bulut tabanlı bir sisteme yaptırmanın mantıklı olup olmadığını düşünün. Aynı zamanda, bir siber güvenlik uzmanı veya sağlayıcısı ile bağlantı kurmanın mantıklı olup olmadığını da değerlendirin. Siber güvenlik planınızı belirlemek için bir danışmanla çalışmak mı yoksa siber güvenliğinizi tamamen dışarıdan temin etmek mi istediğinize karar verin.
Sorulacak sorular: Üçüncü bir tarafa (örneğin, Amazon, Cisco, Google) dış kaynak kullanımına karşı, işimizin hangi yönlerini (sipariş karşılama gibi) dahili olarak ele almalıyız? Siber güvenliğimizi üçüncü taraf bir hizmete mi devretmeliyiz? Kesirli bir CIO modeli kullanmalı ve siber güvenlik danışmanlığı almalı mıyız? Yoksa tüm süreci kendimiz mi ele almalıyız?
En iyi savunma saldırıdır. Çalışanlarınızın, müşterilerinizin ve işletmenizin uzun vadeli sağlığı için verilerinizi korumayı bir öncelik haline getirin.
