Skal du foretage en risikovurdering af cybersikkerhed?


  • Ca. 43% af cyberattacks er målrettet små virksomheder.
  • Eksperter vurderer, at cyberkriminalitet overalt i verden vil koste op til $ 6 billioner inden 2021.
  • Ifølge en undersøgelse fra University of Maryland, sker der et cyberangreb mod en computer med internetadgang hvert 39. sekund.

Dataovertrædelser i nutidens stærkt forbundne verden er blevet almindelige. Overskrifter fortæller jævnligt om større detailkæder, rapporteringsbureauer for forbrugerkredit og endda statslige enheder, der falder for indtrængen fra angribere udenfor.

Som en lille virksomhed kan det virke som en skræmmende opgave at holde dårlige skuespillere væk fra dine data og i forlængelse af det, dine kunders data. Alligevel ved at udføre en cyber-sikkerhedsrisikovurdering tager du de første skridt for bedre at forstå dit netværks sikkerhedsfejl og hvad du skal gøre for at løse dem.

Evalueringer af cybersikkerhedsrisiko bruges til at identificere dine vigtigste data og enheder, hvordan en hacker kunne få adgang, hvilke risici der kan opstå, hvis dine data faldt i de forkerte hænder, og hvor sårbar du er som mål. Selvom du kan udføre din egen omfattende analyse, er der masser af virksomheder derude, der er villige til at guide dig gennem hele processen og levere en overvågningsservice mod et gebyr.

Det skal bemærkes, at afhængigt af din branche, kan du allerede blive underkastet obligatoriske cybersecurity-risikovurderinger fra en certificeret enhed. I sådanne tilfælde skal du muligvis bruge et tredjepartssystem for at overholde reglerne.

I henhold til Verizon 2019 Data Breach Investigations Report var 43% af indtrængen målrettet små virksomheder. Det burde ikke komme som nogen overraskelse, da der er næsten 30 millioner amerikanske små virksomheder, og de fleste af dem er bløde mål for hackere.

Da Information Systems Audit and Control Association antyder, at en cybersecurity-risikovurdering skal finde sted mindst en gang hvert andet år, er her nogle handlinger og tip, du kan bruge i dag til at komme i gang.

1. Saml information

Den vigtigste grund til at udføre en cybersecurity-risikovurdering er at indsamle oplysninger om dit netværks cybersecurity-rammer, dets sikkerhedskontrol og dets sårbarheder. Hvis du ikke ved, hvad du laver, eller hvad du leder efter, kan en dårligt gennemført vurdering stadig give dig sårbar over for angreb.

"Hvis virksomheder ikke har erfaringerne, værktøjerne eller teamet til at foretage en grundig og nøjagtig risikovurdering og bare prøver at spare omkostninger ved at gøre det selv, kan de opleve øgede omkostninger i fremtiden, når et hack eller dataovertrædelse der ellers kunne være forhindret, forekommer, ”sagde Keri Lindenmuth, marketingchef for Kyle David Group. "Mange små virksomheder kommer sig ikke efter en dataovertrædelse på grund af de økonomiske følger og ender med at lukke deres døre for evigt."

Med henblik herpå, hvis din lille virksomhed har IT-fagfolk til rådighed med indgående kendskab til dine systemer, skal du arbejde sammen med dem for at komme med en plan til din risikovurdering.

Hvis du ikke ansætter eller indgår kontrakt med it-specialister, men du er bekendt med dit system, og hvordan det fungerer, kan du stadig foretage din egen vurdering, hvis du forbliver objektiv gennem hele processen.

Ofte overser virksomheder visse aspekter af sikkerhed, fordi ændring af disse ting ville forårsage for meget af en forstyrrelse, eller det vil koste for meget at løse. Du skal være villig til at foretage store ændringer, hvis dine resultater peger på større huller i dit netværk.

2. Kortlæg dit system

Når du først har overvejet, hvordan du skal arbejde med at indsamle information, er det tid til at komme i gang med den faktiske vurdering. For at starte med vil du bestemme, hvordan dit system fungerer, hvilken funktion det tjener, og hvem der bruger systemet blandt andet.

Dit mål er at bestemme eventuelle risici og sårbarheder, der findes i dit netværk. Når den er identificeret, skal du vurdere, hvor stor en risiko disse problemområder er, hvad du i øjeblikket gør for at afbøde disse problemer og beregne, hvad din samlede risiko er.

Overvej alt, der er forbundet til dit netværk. Printere, bærbare computere, mobiltelefoner og smarte enheder er alle indgangspunkter for ondsindet kode til at komme ind på dit netværk. Du kan finde sårbarheder ved hjælp af nogle automatiserede programmer, såsom den betalte applikation Nessus Professional og det gratis værktøj OpenVAS, der kører sårbarhedsscanninger på flere aspekter af dit netværk for at opdage risici.

På kontoret er det vigtigt at sikre, at dine fysiske enheder også er sikret. Angribere får ofte adgang via internetaktiverede enheder og får adgang til dit netværk gennem upålidelige udnyttelser. Enheder som trådløse printere, Wi-Fi-routere og mobile enheder kan udnyttes til at give hackere adgang til resten af ​​dit netværk.

En nem måde at undgå problemer er at sikre dig, at dine enheds firmware er opdateret. Microsoft har et gratis værktøj, der hjælper dig med at registrere, om dine Microsoft-produkter på dit netværk er opdaterede.

3. Tæller den menneskelige faktor

Menneskelig fejl kan også forårsage netværkssårbarheder. En af de største årsager til dataovertrædelser er utilsigtet forårsaget af medarbejdere, der tilfældigt klikker på mistænkelige links eller downloader vedhæftede filer fra phishing-e-mails. Sårbarhedstest på medarbejdernes svar og online praksis kan være nyttigt, inden der påbegyndes specialiseret cybersecurity-uddannelse.

Du kan køre en phishing-sårbarhedstest ved hjælp af en online phishing-simulator. Det giver dig mulighed for at konfigurere e-mails, der er forklædt som dem fra arbejdskolleger med det formål at overbevise medarbejderne om at downloade en vedhæftet fil eller indsende legitimationsoplysninger. Negative resultater bør ikke resultere i nogen straffende handling. I stedet kan du bruge disse oplysninger til at konfigurere yderligere træning i bedste praksis inden for cybersikkerhed og give dine medarbejdere tip til at undgå phishing-angreb. Resultaterne kan også hjælpe dig med at bestemme, om du skal implementere tofaktorautentifikation ved netværksadgang.

Sammen med utilsigtede adgangspunkter kan din cybersikkerhed blive udsat for fare ved hjælp af ikke-krypterede USB-flashdrev, dårlig dokumentopbevarings- og destruktionspraksis, ved hjælp af usikrede kanaler til at overføre personlige oplysninger og utilsigtet sende følsomme data til den forkerte person.

Mens ulykker kan ske, er ondsindede angreb de mest frygtede cyberangreb. I disse tilfælde kan ondsindet software (malware), interne hackingstrusler eller taktikker såsom distribueret afslag på service (DDoS) angreb dit netværk hårdt.

Masser af værktøjer findes online for at hjælpe dig med at afgøre, om angribere let kan styrke deres vej ind på dit netværk gennem dit websted. For eksempel er Pentest Tools en betalt tjeneste, der scanner dine websteder, webapplikationer og netværk for at afgøre, om der findes sårbarheder. Software til penetrationstest hjælper dig med at se, hvor hackere kan få indtrængen i dine data via Internettet. Almindelige problemer med websteder er en mangel på SSL / TLS-certifikater og HTTPS, som er faktorer for at sikre et domæne.

4. Overvej de potentielle risici, deres sandsynlighed og indflydelse

Sammen med at overveje den tekniske og menneskelige side af cybersikkerhed, skal du overveje, hvilke trusler der kan ramme dit netværk, og hvor sandsynligt det vil ske. Under en cybersecurity-risikovurdering vil du gerne angive alle mulige angrebspunkt, som hackere kan udnytte for at få adgang til dit netværk og dine data, uanset om de er ondsindede eller godartede.

En måde at forberede sig på er at følge National Institute of Standards and Technology's Guide til gennemførelse af risikovurderinger. Dette dokument har eksempletabeller, som du kan bruge til at vurdere hver potentiel sikkerhedsrisiko.

Når de potentielle trusler er identificeret, vil du bestemme, hvordan de vil påvirke det faktiske netværks infrastruktur og forsvar.

Du vil også gerne bestemme, hvor sandsynligt det er, at disse trusler faktisk finder sted. I henhold til Sage Data Security kan du opdele dette i "sandsynlighedsvurderinger", såsom:

  • Trusselskilden er yderst motiveret og tilstrækkelig i stand, og kontroller for at forhindre, at sårbarheden udøves, er ineffektive.
  • Trusselskilden er motiveret og i stand, men der er kontroller, der kan hindre en vellykket udøvelse af sårbarheden.
  • Trusselskilden mangler motivation eller evne, eller der er kontrol på plads for at forhindre, eller i det mindste markant hindre, at sårbarheden udøves.

Efter at have fastlagt potentielle trusler, hvordan de vil påvirke dit netværk, og hvor sandsynligt det er, at de finder sted, skal du forestille dig, hvad der ville ske, hvis disse angreb på din virksomhed er succesrige. Jeg ved, at det kan være skræmmende, men hvis disse ting skete, er det vigtigt at vide, hvor dårlige ting kan få, og udtænke et handlingsforløb for at håndtere nedfaldet. Når alt kommer til alt er det kendt, at de fleste SMB'er undergik en gang påvirket af et dataovertrædelse.

I slutningen af ​​dagen er din lille virksomheds netværkssikkerhed vigtigst. Dine data såvel som dine kunders data er utroligt værdifulde og vigtige – hvilket naturligvis er grunden til, at hackere ønsker at få dem.

Hvis du beslutter dig for at udføre din egen cybersecurity-risikovurdering, kan du opleve blændende sikkerhedsproblemer, mens du gør dig bekendt med netværket, og hvordan det fungerer. Selvom det altid er en god ting, kan en professionel cybersecurity-konsulent eller -firma foretage en endnu mere kvantitativ risikovurdering, som kan hjælpe dig med at undgå massive dataovertrædelser forårsaget af nogle af de nyeste og mest subtile udnyttelser.

Yderligere rapportering fra Andreas Rivera