Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw – 2020 r


Spis treści

  1. Określ swoje podatności
  2. Chroń swoje komputery i urządzenia
    • A. Zaktualizuj oprogramowanie
    • B. Chroń przed wirusami
    • C. Skonfiguruj zaporę ogniową
    • D. Specjalne środki ostrożności dla laptopów i innych urządzeń mobilnych
  3. Chroń swoje dane
    • A. Wdrożyć procedurę tworzenia kopii zapasowych krytycznych danych
    • B. Szyfruj poufne dane firmy przechowywane w chmurze
    • C. Chroń swoje hasła
    • D. Ustanowić uprawnienia
    • E. Chroń swoje sieci bezprzewodowe
    • F. Bezpiecznie przeglądaj Internet
    • G. Chroń wrażliwe dane tworzone przez zdalnych pracowników i pracowników w drodze
    • H. Chroń dane swoich klientów
  4. Zaszczepić kulturę cyberbezpieczeństwa w swoim miejscu pracy

Zagrożenia związane z cyberbezpieczeństwem rosną każdego dnia i nie ma dnia, gdy w wiadomościach nie ma historii o jakimś naruszeniu lub kradzieży danych. Ci z nas, którzy są właścicielami małych i średnich przedsiębiorstw lub nimi zarządzają, wiedzą, że cyberbezpieczeństwo ma kluczowe znaczenie i że powinniśmy zwracać szczególną uwagę na te kwestie. Problem polega na ustaleniu, od czego zacząć.

Cyberbezpieczeństwo może być przytłaczające i strasznie skomplikowane. Nie każdy menedżer lub właściciel małej firmy ma doświadczenie techniczne, więc branie przez cały żargon techniczny i sprzeczne informacje mogą zniechęcić nawet najbardziej ostrożnych i zorientowanych na bezpieczeństwo spośród nas.

Przygotowaliśmy ten przewodnik tylko dla tego rodzaju osób. Jeśli jesteś zapracowanym menedżerem, a Twoja codzienna działalność jest pełna, nie masz czasu, aby zostać zaawansowanym ekspertem technicznym we wszystkich aspektach cyberbezpieczeństwa. Ale jeśli przeczytasz ten przewodnik i będziesz współpracować ze swoim zespołem (w tym osobami, które zatrudniasz lub zlecasz na zewnątrz w celu skonfigurowania sprzętu komputerowego, oprogramowania i sieci) w celu wdrożenia opisanych przez nas środków bezpieczeństwa, będziesz lepiej spać w nocy . Zabezpieczenie firmy nie jest tak trudne, jak wielu ekspertów to robi. Przy odrobinie cierpliwości i wskazówek możesz wdrożyć światowej klasy środki bezpieczeństwa nawet dla najmniejszych firm.

1. Określ swoje słabe punkty

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Pierwszym krokiem do ochrony przed zagrożeniami cyberbezpieczeństwa jest określenie podatności. Jeśli nie wiesz, jakie są twoje słabości, jak będziesz w stanie je naprawić? Jeśli nie wiesz, jakie dane przechowuje Twoja firma, w jaki sposób je zabezpieczysz?

Zacznij od zidentyfikowania „klejnotów koronnych” danych Twojej firmy. Jakie są najważniejsze dane przechowywane przez Twoją firmę??

Mogą to być wszystko, od własności intelektualnej po dane klienta i klienta, zapasy, informacje finansowe itp. Gdzie przechowujesz wszystkie te dane? Po uzyskaniu odpowiedzi na te pytania możesz zacząć myśleć o zagrożeniach, na jakie narażone są Twoje dane.

Starannie zmapuj wszystkie procesy, przez które przechodzisz ty i twoi pracownicy, aby gromadzić, przechowywać i usuwać te dane. Pomyśl o wszystkich punktach tranzytowych, po których dane mogą wyciec lub zostać skradzione. Weź pod uwagę konsekwencje naruszenia bezpieczeństwa cybernetycznego dla Ciebie, Twoich pracowników oraz relacji z klientem, klientem i partnerem. Po wykonaniu tej czynności możesz zacząć stosować środki ostrożności.

2. Chroń swoje komputery i urządzenia

Twoje komputery i inne urządzenia są portalami, przez które wykonuje się prawie wszystkie prace, które sprawiają, że Twoja firma działa. Ponieważ jednak urządzenia te są podłączone do Internetu i sieci lokalnej, są narażone na atak. Są to nasze wytyczne dotyczące zwiększania bezpieczeństwa w całym spektrum systemów komputerowych Twojej firmy.

A. Zaktualizuj oprogramowanie

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Pierwszym krokiem (i prawdopodobnie najłatwiejszym), aby upewnić się, że twoje systemy nie są podatne na ataki, jest upewnienie się, że zawsze używasz najnowszej wersji oprogramowania, na którym opiera się Twoja firma. Hakerzy przestępcy spędzają czas na wyszukiwaniu błędów w popularnym oprogramowaniu, wykorzystując luki w celu dostania się do systemu. Robią to z różnych powodów: aby zarabiać pieniądze, składać oświadczenia polityczne lub po prostu dlatego, że potrafią. Tego rodzaju wtargnięcie może spowodować nieopisane szkody dla Twojej firmy. Hakerzy mogą ukraść numery kart kredytowych klienta z Twojej witryny lub ukraść hasła z komputera. Twoja firma może mieć poważne kłopoty, jeśli tak się stanie.

Microsoft i inne firmy produkujące oprogramowanie zawsze szukają luk w zabezpieczeniach swojego oprogramowania. Gdy go znajdą, udostępniają aktualizację do pobrania przez użytkowników. Pobranie tych aktualizacji, gdy tylko zostaną wydane, jest tak łatwe, że zastanawia się, dlaczego tak wiele firm nie jest ostrożnych.

W 2017 r. Globalny atak oprogramowania ransomware o nazwie „WannaCry” uderzył w tysiące ofiar, w tym w wielkie organizacje, takie jak FedEx i brytyjska National Health Service (więcej o oprogramowaniu ransomware poniżej). Przed atakiem Microsoft wydał łatkę, aktualizację oprogramowania, która rozwiązuje problem, ale wielu administratorów systemu nie zainstalowało go, co doprowadziło do masowego ataku. Na szczęście atak został zatrzymany, ale nie zawsze tak jest. Najłatwiejszym sposobem uniknięcia stania się następną ofiarą hakerów jest sumienna aktualizacja oprogramowania.

Gdzie zaczynam?

  1. Jeśli system jest zarządzany przez administratora systemu, upewnij się, że jest on świadomy aktualizacji oprogramowania, gdy tylko się pojawią i jest na bieżąco z aktualizacją systemu.
  2. Jeśli masz małą firmę, w której samodzielnie zarządzasz komputerami, po prostu włącz aktualizację systemu Windows. Po zaktualizowaniu systemu uruchom ponownie komputery.

B. Chroń przed wirusami

Wirusy to złośliwe programy, które infekują komputer bez żadnego ostrzeżenia. Wirusy mogą robić wiele rzeczy, ale zwykle uzyskują dostęp do twoich plików i usuwają je lub zmieniają. Wirusy rozprzestrzeniają się szybko, replikując się i wysyłając do osób na liście kontaktów. Jeśli jeden komputer w sieci dostanie wirusa, może szybko rozprzestrzenić się po całej firmie, powodując znaczną utratę danych. Jeśli komunikujesz się ze swoimi klientami i klientami za pośrednictwem poczty e-mail (co robią prawie wszyscy z nas), ryzykujesz również ich zarażeniem.

Malware i ransomware to obecnie dwa najbardziej niebezpieczne rodzaje wirusów. Istnieje kilka różnic między złośliwym oprogramowaniem a oprogramowaniem ransomware. Złośliwe oprogramowanie oznacza „złośliwe oprogramowanie”. Działa poprzez nakłonienie ofiary do pobrania określonego oprogramowania, a tym samym uzyskanie dostępu do komputera tej ofiary. Może śledzić dostęp do komputera, kraść poufne informacje lub rozprzestrzeniać spam za pośrednictwem poczty e-mail.

Ransomware to określony rodzaj złośliwego oprogramowania. Blokuje komputer i blokuje dostęp do ważnych plików, dopóki nie zapłacisz okupu. Ransomware działa na zasadzie szyfrowania plików za pomocą klucza prywatnego dostępnego tylko dla jego twórców. Wspomniany wyżej atak WannaCry był rodzajem oprogramowania ransomware. Płacenie okupu niekoniecznie pomaga: nie ma gwarancji, że hakerzy faktycznie odblokują twoje pliki.

Istnieje kilka podstawowych kroków, które można podjąć, aby uniknąć zainfekowania komputera wirusami. Najpierw zainstaluj oprogramowanie antywirusowe na wszystkich komputerach biurowych. Oprogramowanie antywirusowe skanuje przychodzące wiadomości e-mail, a także pliki znajdujące się aktualnie na komputerze, a następnie usuwa lub poddaje kwarantannie wszystkie znalezione wirusy. Hakerzy zawsze wprowadzają nowe wirusy, dlatego należy regularnie aktualizować oprogramowanie antywirusowe. Najlepsi dostawcy oprogramowania będą zawierać funkcję, która nakazuje komputerowi automatyczne pobieranie aktualizacji. Należy upewnić się, że pracownicy wiedzą, że nie należy otwierać podejrzanych plików, a także usuwać załączniki wiadomości e-mail ze źródła, którego nie uznają za wiarygodne.

Korzystanie z VPN w celu uzyskania dostępu do Internetu może również zapewnić dodatkowe zwiększenie bezpieczeństwa. Ponieważ sieci VPN umożliwiają anonimowy dostęp do Internetu, a ponieważ szyfrują wszystkie dane, utrudniają śledzenie komputera hakerów. Dobrzy dostawcy VPN wysyłają ostrzeżenie bezpieczeństwa podczas próby uzyskania dostępu do podejrzanych adresów URL.

Jeśli jesteś już ofiarą ataku oprogramowania ransomware, nie jest za późno. Ten przewodnik krok po kroku pomoże ci pokonać atak.

Gdzie zaczynam?

    1. Zaktualizuj oprogramowanie antywirusowe lub, jeśli go nie masz, zainstaluj je teraz.
    2. Naucz swoich pracowników, aby nie otwierać podejrzanych załączników.
    3. Przeglądaj internet za pomocą VPN.
  1. Przeczytaj, jak udaremnić atak ransomware na wypadek, gdybyś musiał się do niego odwołać.

C. Skonfiguruj zaporę ogniową

Jak większość dzisiejszych firm, wszystkie urządzenia w twoim biurze są prawdopodobnie podłączone do szerokopasmowego połączenia internetowego, które jest zawsze włączone. W takim przypadku istnieje duże prawdopodobieństwo, że hakerzy kryminalni przynajmniej raz sondowali Twoją sieć komputerową. Hakerzy robią to losowo, ale gdy znajdą prawidłowy adres komputera, wykorzystają wszelkie luki w zabezpieczeniach, aby uzyskać dostęp do sieci i poszczególnych komputerów w tej sieci.

Zainstalowanie zapory ogniowej jest najlepszym sposobem zapobiegania tego rodzaju atakom. Zapory działają poprzez oddzielenie od siebie różnych części sieci, umożliwiając przepływ tylko autoryzowanego ruchu przez chronioną część sieci. Jeśli prowadzisz małą firmę, zapora sieciowa odgrodzi lokalną sieć prywatną od szerszego Internetu. Dobra zapora sieciowa sprawdza każdy pakiet danych wpływający do sieci, aby upewnić się, że jest legalny, i odfiltrowuje pakiety, które uważa za podejrzane. Aby uniemożliwić hakerom atakowanie poszczególnych komputerów w sieci, zapora sieciowa ukrywa indywidualną tożsamość każdego komputera.

Instalowanie zapory ogniowej jest skomplikowane i powinno być wykonywane wyłącznie przez przeszkolonego specjalistę. Dzięki temu praca jest łatwa: wystarczy porozmawiać z administratorem systemu i upewnić się, że sieć jest chroniona.

Gdzie zaczynam?

  • Zadzwoń do administratora systemu, zapytaj, czy Twoja sieć lokalna ma zaporę ogniową, a jeśli nie, poproś ją o zainstalowanie.

D. Specjalne środki ostrożności dla laptopów i innych urządzeń mobilnych

Ponieważ są przenośne i dlatego mogą opuścić biuro, laptopy są szczególnie narażone na naruszenia bezpieczeństwa. Są celem złodziei, ponieważ łatwo je ukraść, a następnie sprzedać. Pracownicy mogą również zachować ostrożność przy pracy z laptopami, ponieważ większość firm po prostu wymieni maszynę, jeśli zostanie zgubiona lub skradziona. Jednak wymiana laptopa jest znaczącym nakładem finansowym, szczególnie dla małej firmy. Ale to nie jest nawet największy problem. Laptopy dla pracowników, zwłaszcza tych starszych pracowników, bardziej niż prawdopodobne zawierają poufne informacje, które mogą być szkodliwe dla firmy, jeśli wpadną w niepowołane ręce.

Istnieje kilka środków ostrożności, które Ty i Twój personel powinniście zarówno zapobiec kradzieży laptopa, jak i złagodzić najpoważniejsze konsekwencje kradzieży laptopa firmowego. Po pierwsze, gdy pracownik korzysta z laptopa w miejscu publicznym, a nawet na spotkaniu lub konferencji, zawsze powinien upewnić się, że laptop znajduje się w zasięgu wzroku. Laptopy powinny być przechowywane w bagażu podręcznym, a nie pozostawione w przechowalni bagażu w hotelach lub na lotniskach.

Hakerzy mogą również łatwo uzyskać dostęp do danych na laptopie lub urządzeniu mobilnym, jeśli połączenie nie jest w bezpiecznej sieci. Istnieje szereg środków, które zalecamy w celu ochrony danych, na przykład używanie silnego hasła, tworzenie kopii zapasowej całej pracy wykonanej na laptopie przed podróżą oraz szyfrowanie danych. Te wytyczne dotyczą szczególnie laptopów. Więcej informacji na ten temat znajduje się w sekcji 3 „Chroń swoje dane”.

Warto zaplanować z wyprzedzeniem, że jedno z urządzeń Twojej firmy zostanie skradzione. Jeśli korzystasz z rozwiązania w chmurze w celu zaspokojenia jakichkolwiek potrzeb związanych z oprogramowaniem, sprawdź funkcje zarządzania urządzeniami mobilnymi swojego dostawcy. Główni dostawcy usług w chmurze pozwalają wyczyścić konto z dowolnego zaginionego urządzenia.

Wszystkie te porady dotyczą w równym stopniu smartfonów firmowych. Istnieje szereg kroków, które możesz podjąć, aby zabezpieczyć smartfony firmowe, a ten przewodnik specjalnie dla iPhone'ów przeprowadzi Cię przez ten proces. Istnieje wiele aplikacji zabezpieczających, z których zalecamy korzystać, a także sposoby zmiany ustawień telefonu, aby zwiększyć jego bezpieczeństwo.

Jednym z najlepszych sposobów ochrony urządzeń - laptopów, smartfonów, urządzenia Amazon Alexa, a nawet biurowego PS4 (jeśli jesteś zabawnym typem biura z urządzeniem do gier!) - jest zainstalowanie sieci VPN do szyfrowania wszystkich dane przesyłane przez te urządzenia. Nie musisz instalować VPN na każdym urządzeniu; zamiast tego możesz zainstalować go bezpośrednio na routerze biurowym. W ten sposób wszystkie urządzenia korzystające z biurowego połączenia internetowego będą chronione.

Ważne jest również sformułowanie zasad, na których urządzeniach pracownik może zabrać ze sobą do pracy. Wiele firm zachęca pracowników do przynoszenia do biura własnych laptopów i innych urządzeń, ponieważ jest to o wiele tańsze niż wyposażenie każdego pracownika w sprzęt firmowy. Zalecamy, aby do instalowania oprogramowania antywirusowego i otrzymywania regularnych aktualizacji wymagane były wszystkie urządzenia osobiste używane do jakichkolwiek celów zawodowych.

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Gdzie zaczynam?

  1. Zaktualizuj wszystkie laptopy i smartfony firmy za pomocą najnowszego oprogramowania antywirusowego i aktualizacji systemu operacyjnego.
  2. Sformułuj zasady, dla których urządzenia mogą być używane w pracy oraz funkcje bezpieczeństwa, które muszą one zawierać.
  3. Skontaktuj się z dostawcami usług w chmurze i zapytaj, w jaki sposób mogą ci pomóc w zarządzaniu urządzeniami mobilnymi.

3. Chroń swoje dane

Bez względu na to, jaki rodzaj działalności prowadzisz, Twoje dane są bardzo ważne. Bez danych kontaktowych klienta, zapasów, danych zastrzeżonych i wszystkiego pomiędzy nimi po prostu nie byłbyś w stanie funkcjonować jako firma. Twoje dane mogą zostać utracone na wiele sposobów. Twój sprzęt może ulec uszkodzeniu lub awarii, hakerzy mogą dostać się do twojego systemu i zabrać go, lub możesz zostać dotknięty klęską żywiołową. Dlatego twoim celem powinno być ubezpieczenie się przed utratą danych poprzez podjęcie środków zapobiegających najgorszym skutkom.

A. Wdrożyć procedurę tworzenia kopii zapasowych krytycznych danych

Istnieją dwa różne typy kopii zapasowych. Wykonując pełną kopię zapasową, wykonujesz kopię całości wybranych danych i umieszczasz ją na innym urządzeniu lub przenosisz na inny nośnik. Natomiast w przypadku przyrostowej kopii zapasowej po prostu dodajesz dane utworzone od czasu utworzenia ostatniej kopii zapasowej systemu.

Najłatwiejszą i najbardziej wydajną metodą jest połączenie tych dwóch. Wykonuj pełną kopię zapasową okresowo, a przyrostową kopię zapasową codziennie. Możesz też wykonać pełną kopię zapasową każdej nocy po godzinach pracy. Sprawdzenie, czy kopie zapasowe działają, jest bardzo ważne: utrata wszystkich danych i stwierdzenie, że systemy kopii zapasowych nie działają, byłoby tragedią. Możesz to zrobić, przywracając testową część danych do nowej lokalizacji. Zapewni to pewność, że Twoje systemy kopii zapasowych działają i pomogą zidentyfikować wszelkie problemy w procesie tworzenia kopii zapasowych.

Istnieje wiele różnych sposobów tworzenia kopii zapasowych danych. Możesz umieścić go na urządzeniu fizycznym, takim jak pamięć USB lub drugi dysk twardy, lub umieścić w udostępnionym folderze w sieci. Możesz także przechowywać kopie zapasowe w bezpiecznym miejscu poza siedzibą. Jednak tworzenie kopii zapasowej danych w jednym konkretnym miejscu nie pomoże w przypadku klęski żywiołowej lub kradzieży. Zdecydowanie zalecamy wszystkim firmom zainwestowanie w chmurowy system tworzenia kopii zapasowych - więcej informacji można znaleźć w następnej sekcji.

Gdzie zaczynam?

  1. Oceń zasady przechowywania danych w Twojej firmie. Czy utworzono kopię zapasową wszystkich ważnych danych? Jeśli tak, gdzie przechowujesz te dane?
  2. Współpracuj z administratorem systemu lub personelem IT, aby wdrożyć tygodniowy plan tworzenia kopii zapasowych.
  3. Przetestuj system tworzenia kopii zapasowych, aby upewnić się, że działa.

B. Szyfruj poufne dane firmy przechowywane w chmurze

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Obecnie wiele firm przechowuje większość - jeśli nie wszystkie - swoich danych na platformie chmurowej. Może to być oparty na chmurze system przechowywania danych, taki jak Dropbox, lub platforma SaaS (oprogramowanie jako usługa), taka jak Salesforce. Ponieważ nazywamy te systemy „chmurą”, mamy skłonność wyobrażać sobie, że nasze dane są bezpieczne w jakiejś abstrakcyjnej, wirtualnej przestrzeni. W rzeczywistości oznacza to tylko, że dane nie są przechowywane na dysku twardym lub w sieci lokalnej, a raczej w zdalnych urządzeniach obliczeniowych udostępnianych przez usługę chmurową. Dlatego ważne jest, aby dokładnie sprawdzić, jakie środki bezpieczeństwa wprowadził dostawca usług w chmurze i czy dane są chronione na odpowiednim poziomie.

Istnieje wiele sposobów, aby upewnić się, że Twoje pliki w chmurze są bezpieczne. Najprostszym i najbezpieczniejszym sposobem jest ręczne szyfrowanie plików, a istnieje wiele programów, które mogą ci w tym pomóc. Oznacza to, że nie musisz polegać na bezpieczeństwie swojego dostawcy usług w chmurze i możesz z niego korzystać bez obaw. Pamiętaj tylko, aby nie przesyłać kluczy szyfrujących.

To powiedziawszy, należy dokładnie sprawdzić opcje przechowywania w chmurze. Na rynku jest coraz więcej dostawców, a niektórzy mniejsi i mniej znani mają bardziej niezawodne funkcje bezpieczeństwa niż wielkie nazwiska. Niektóre z tych usług automatycznie szyfrują twoje pliki, zanim zostaną przesłane do chmury.

Inną opcją jest całkowicie użycie BitTorrent Sync, która jest całkowicie bezpłatną usługą. BitTorrent Sync został zaprojektowany jako zamiennik dla systemów opartych na chmurze, ale tak naprawdę nie przechowuje plików w chmurze. Zamiast tego umożliwia współpracę nad dokumentami za pośrednictwem platformy udostępniania plików peer-to-peer (P2P). Usługi te zazwyczaj używają najwyższej jakości szyfrowania AES-256 i umożliwiają uwierzytelnianie dwuskładnikowe, co dodaje dodatkową warstwę bezpieczeństwa.

Ten ostateczny przewodnik po prywatności online wyjaśnia to jeszcze bardziej.

Gdzie zaczynam?

  1. Oceń swoje ważne dane firmy. Ile z tego jest przechowywanych lub tworzonych kopii zapasowych na platformie w chmurze i czy platforma ta jest bezpieczna?
  2. Badaj platformy chmurowe i szukaj poziomu bezpieczeństwa, który najlepiej odpowiada potrzebom Twojej firmy

C. Chroń swoje hasła

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Najczęstszym sposobem uwierzytelnienia tożsamości osób uzyskujących dostęp do sieci lub ważnych danych jest hasło. W przeciwieństwie do innych zaawansowanych systemów uwierzytelniania, takich jak karty inteligentne i skanowanie odcisków palców lub tęczówki oka, hasła są przydatne, ponieważ nic nie kosztują i są łatwe w użyciu. Jednak hasła są również otwarte na atak. Hakerzy opracowali zaawansowane, zautomatyzowane narzędzia, które umożliwiają łamanie prostych haseł w ciągu zaledwie kilku minut. Mogą również korzystać z różnych nieuczciwych metod dostępu do haseł firmy, takich jak atak phishingowy, w którym podszywają się pod oficjalną jednostkę (np. Google) i podstępem podają hasła.

Hasła mogą stać się nieskuteczne z różnych powodów. Często zaniedbujemy ochronę naszych poufnych dokumentów hasłem, co oznacza, że ​​każdy, kto siedzi na jednym z komputerów w biurze, może uzyskać dostęp do tego dokumentu. Aby uniknąć zapomnienia hasła, wielu pracowników zapisuje je na widoku. I, co najważniejsze, ludzie używają słabych haseł, które są łatwe do zapamiętania, używają tego samego hasła w kółko i nigdy nie zmieniają swoich haseł. Wszystkie te błędy pozostawiają otwarte drzwi dla hakerów.

Te siedem kroków do stworzenia silnego hasła pomoże zapobiec atakom hakerów:

  1. Utwórz różne hasła do różnych usług
  2. Regularnie zmieniaj hasła
  3. Wybierz silne hasło
  4. Wybierz weryfikację dwuetapową
  5. Wyłącz autouzupełnianie dla nazw użytkowników i haseł
  6. Użyj menedżera haseł - aplikacji lub programu, który bezpiecznie przechowuje wszystkie hasła użytkownika
  7. Nie wysyłaj swojego hasła e-mailem ani nie przesyłaj go przez telefon

Utworzenie silniejszego hasła nie jest takie trudne. Użyj narzędzia do hasła, takiego jak to, które powie ci, jak dobre jest twoje hasło i ile czasu zajmie hakerowi jego złamanie. Możesz także użyć bezpiecznego generatora losowych haseł, które utworzą całkowicie losowe hasła.

Edukacja pracowników na temat znaczenia silnych haseł ma kluczowe znaczenie, jeśli chcesz uczynić je kluczowym narzędziem w swoim arsenale bezpieczeństwa cybernetycznego, a nie backdoorem, przez który hakerzy mogą przejść.

Gdzie zaczynam?

  1. Poproś wszystkich pracowników o sprawdzenie haseł za pomocą narzędzia do pomiaru haseł. Jeśli ich hasła można wyłamać w ciągu kilku minut lub nawet godzin, poproś, aby zmieniły hasło na bezpieczniejsze.
  2. W miarę możliwości włącz weryfikację dwuetapową dla wszystkich kont pracowników.

D. Ustanowić uprawnienia

Jeśli myślisz o tym, kto ma dostęp do poufnych informacji w Twojej firmie, prawdopodobnie odpowiedzią jest zbyt wiele osób. Podejmij kroki, aby ograniczyć dostęp do swojego systemu. Tylko ci pracownicy, którzy są upoważnieni do zarządzania systemem i instalowania oprogramowania, powinni otrzymać konta administratora.

Firmy mogą być również rozluźnione, umożliwiając wielu pracownikom udostępnianie jednego loginu i hasła. Uniemożliwia to ustalenie, w jaki sposób lub kiedy nastąpiło naruszenie systemu. Daj każdemu użytkownikowi swoje własne konto, włączone z uprawnieniami specyficznymi dla jego pracy. Jeśli używasz systemu Windows, możesz przypisywać użytkownikom różne poziomy uprawnień w zależności od ich ról w Twojej firmie. Jeśli członek personelu jest nieobecny przez dłuższy okres lub opuścił firmę, jak najszybciej wycofaj jego dostęp i uprawnienia.

Gdzie zaczynam?

  1. Współpracuj z administratorem systemu, aby ocenić poziom dostępu każdego pracownika.
  2. Zmień swoje uprawnienia, aby każdy członek personelu miał dostęp tylko do oprogramowania i ustawień wymaganych dla jego pracy.

E. Chroń swoje sieci bezprzewodowe

Innym sposobem, w jaki hakerzy mogą dostać się do twojego systemu, jest bezprzewodowa sieć internetowa Twojego biura. Ponieważ sieci Wi-Fi używają łącza radiowego zamiast kabli do łączenia komputerów z Internetem, wystarczy poruszanie się w zasięgu radiowym sieci oraz kilka bezpłatnych narzędzi programowych, aby się włamać. Intruzi, którzy mogą uzyskać dostęp do sieci, mogą ukraść pliki i uszkodzić systemy. Chociaż urządzenia Wi-Fi są wyposażone w funkcje bezpieczeństwa, aby temu zapobiec, większość z nich domyślnie wyłącza te funkcje, aby ułatwić proces instalacji.

Jeśli korzystasz z sieci Wi-Fi, upewnij się, że masz włączone te funkcje bezpieczeństwa. Możesz także ograniczyć bezprzewodowy dostęp do godzin pracy, aby hakerzy nie mogli dostać się do twojego systemu z dnia na dzień. Możesz także uniemożliwić przechodniom dostęp do Twojego połączenia, ograniczając dostęp Wi-Fi do określonych komputerów, ustawiając punkty dostępu.

Gdzie zaczynam?

  1. Poproś osobę z działu IT o upewnienie się, że Wi-Fi ma włączone funkcje bezpieczeństwa najwyższego poziomu, a dostęp do Wi-Fi jest ograniczony do godzin pracy.

F. Bezpiecznie przeglądaj Internet

Gdy ty i twoi pracownicy przeglądacie internet, wasze działania są śledzone na wiele małych, subtelnych i niezauważalnych sposobów. Działania te mogą być następnie agregowane przez agentów zewnętrznych bez Twojej zgody. Twoi pracownicy mogą przypadkowo przejść do niebezpiecznych witryn, które kradną dane Twojej firmy. A dane osobowe lub biznesowe mogą zostać naruszone, jeśli zostaną wprowadzone na stronach internetowych za pomocą niezaszyfrowanego połączenia.

Najlepszym sposobem zaszyfrowania połączenia i zapewnienia prywatności zarówno Twojej firmy, jak i prywatności poszczególnych pracowników jest zainstalowanie sieci VPN. VPN lub wirtualna sieć prywatna maskuje adres IP firmy i szyfruje dane przeglądania. Anonimizują również Twoje przeglądanie, co może być ważne, jeśli Twoja firma często bada twoich konkurentów lub jeśli twoja zagregowana historia przeglądania może ujawnić informacje zastrzeżone dla konkurentów.

Ranga Dostawca Nasz wynik Ocena użytkownika
Wybór redaktorów 5,0 / 5
Przeczytaj recenzję
Dowiedz się więcej Zaczynaj >> Odwiedź stronę
2) 4,9 / 5
Przeczytaj recenzję
Dowiedz się więcej Zaczynaj >> Odwiedź stronę
3) 4,8 / 5
Przeczytaj recenzję
Dowiedz się więcej Zaczynaj >> Odwiedź stronę
4 4,8 / 5
Przeczytaj recenzję
Dowiedz się więcej Zaczynaj >> Odwiedź stronę
5 4,7 / 5
Przeczytaj recenzję
Dowiedz się więcej Zaczynaj >> Odwiedź stronę

Minusem korzystania z VPN jest to, że godne zaufania i bogate w funkcje usługi VPN kosztują pieniądze za miesięczną subskrypcję. Wiele osób i firm zdecydowało się na użycie bezpłatnego serwera proxy jako alternatywy. Problem polega na tym, że nie wiemy, kto dokładnie obsługuje serwery proxy dostępne za darmo online; równie dobrze mogliby być hakerami lub mogą być wykorzystywani do gromadzenia danych wywiadowczych przez różne podmioty publiczne lub prywatne. Podczas gdy serwer proxy ukrywa twoją tożsamość i aktywność przed odwiedzanymi witrynami, może potencjalnie widzieć wszystko, co robisz online. To jeden z powodów, dla których zalecamy inwestowanie w VPN zamiast w proxy, aby naprawdę bezpiecznie przeglądać.

Możesz także zwiększyć swoje bezpieczeństwo, dodając do przeglądarki szereg funkcji bezpieczeństwa. Ponieważ przeglądarka Firefox jest oprogramowaniem typu open source, z czasem stworzono dla niej solidną grupę dodatków zabezpieczających. Obejmują one uniwersalne blokery reklam, rozszerzenia szyfrowania, ochronę danych przeglądarki, menedżery plików cookie i pamięci podręcznej i wiele innych. Aby uzyskać więcej informacji, zapoznaj się z pełną listą 20 zaleceń dotyczących dodatków bezpieczeństwa do Firefoksa.

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Gdzie zaczynam?

  1. Rozważ subskrypcję usługi VPN oferującej rozwiązania biznesowe.
  2. Zacznij korzystać z przeglądarki Firefox z dodatkami zabezpieczającymi odpowiednimi dla Twojej firmy.

G. Chroń wrażliwe dane tworzone przez zdalnych pracowników i pracowników w drodze

Wiele małych firm zatrudnia pracowników zdalnych do wykonywania szerokiego zakresu zadań. Dzięki internetowi praca z innymi na całym świecie jest łatwa. Zatrudnianie pracowników zdalnych wiąże się z wieloma korzyściami: oznacza to, że nie musisz zatrudniać pracownika, aby zajął się jednym konkretnym zadaniem technicznym lub monotonnym, a także oznacza, że ​​otworzysz pulę wykwalifikowanych kandydatów. Jednak praca zdalna wiąże się z pewnymi pułapkami cyberbezpieczeństwa. Możliwe, że wdrożyłeś wszystkie zabezpieczenia, które opisaliśmy powyżej, ale wiele z nich jest nieskutecznych, jeśli dostęp do poufnych danych mają dostęp zdalni pracownicy działający poza chronioną siecią firmową, szczególnie jeśli korzystają z publicznego hotspotu Wi-Fi.

Rozwiązanie do zarządzania urządzeniami mobilnymi, jak opisano w sekcji 2.D., może pomóc w zarządzaniu zdalnymi pracownikami, a także pracownikami podróżującymi w interesach. Co najważniejsze, należy upewnić się, że jeśli pracownicy zdalni uzyskują dostęp do poufnych danych firmy, robią to za pośrednictwem chronionej sieci firmowej za pomocą bezpiecznego połączenia.

Windows oferuje funkcję połączenia z pulpitem zdalnym, ale to samo w sobie nie wystarcza do zabezpieczenia danych. Jeśli polegasz na zdalnych pracownikach i jeśli nie możesz sobie pozwolić na wyciek lub kradzież danych, mądrze jest wdrożyć specjalistyczną sieć VPN, która pozwala zdalnym użytkownikom najpierw dostać się do sieci biurowej, a następnie połączyć się z ich maszynami za pomocą funkcji połączenia pulpitu zdalnego. Może to się skomplikować, więc porozmawiaj ze swoim specjalistą IT, aby dowiedzieć się, czy może on zorganizować konfigurację VPN specjalnie dla Twojej sieci biurowej.

Gdzie zaczynam?

  1. Oceń swoje zasady dotyczące pracowników zdalnych. W jaki sposób twoi zdalni pracownicy mają dostęp do danych firmy i czy dane firmy są wrażliwe?
  2. Porozmawiaj z administratorem IT, aby skonfigurować bezpieczny sposób łączenia się pracowników zdalnych z prywatną siecią biura.

H. Chroń dane swoich klientów

To jedno, jeśli poufne dane firmy zostaną utracone lub skradzione. To zupełnie inna sprawa, jeśli dane Twoich klientów lub klientów zostaną naruszone. Wiąże się to z poważnymi konsekwencjami prawnymi, dlatego opłaca się traktować wrażliwe informacje klienta z najwyższą starannością.

Zazwyczaj dane klientów są przesyłane przez wiele punktów. Jeśli prowadzisz witrynę handlu elektronicznego lub w inny sposób przetwarzasz płatności za pośrednictwem swojej witryny, pierwszy tranzyt poufnych informacji (w tym nazwisk i danych karty kredytowej) odbywa się z przeglądarki internetowej klienta na serwer internetowy handlu elektronicznego. Najlepszym sposobem ochrony tych danych jest upewnienie się, że witryna korzysta z certyfikatu SSL i protokołu HTTPS, przynajmniej na stronach, które zbierają poufne dane. Zapewni to, że dane twojego klienta są szyfrowane podczas przenoszenia z jego serwera na twój. Jeśli przenosisz dane klienta w firmie, powinieneś zastosować wszystkie funkcje bezpieczeństwa, które opisaliśmy powyżej, zwłaszcza te związane z przechowywaniem i transferem w chmurze.

Gdzie zaczynam?

  1. Porozmawiaj ze swoim dostawcą e-commerce lub wewnętrznymi programistami, aby upewnić się, że karta kredytowa i inne poufne informacje są gromadzone w najbezpieczniejszy możliwy sposób.

4. Zaszczepić kulturę cyberbezpieczeństwa w swoim miejscu pracy

Kompletny przewodnik dotyczący cyberbezpieczeństwa dla małych i średnich przedsiębiorstw - 2020 r

Środki, które opisaliśmy w tym przewodniku, są kompleksowe i jeśli zastosujesz się do wszystkich wytycznych, które są istotne dla Twojej firmy, znacznie zmniejszysz ryzyko cyberataku. To znaczy, jeśli twój biznes to tylko ty.

Wystarczy jeden pracownik, aby wysłać dane klienta przez niezabezpieczone połączenie lub kliknąć niebezpieczne łącze i pobrać złośliwe oprogramowanie, powodując awarię wszystkich Twoich systemów bezpieczeństwa i wszystkich dobrych intencji. Dlatego najważniejszym środkiem, jaki możesz podjąć, jest uświadomienie swoim pracownikom znaczenia cyberbezpieczeństwa.

Z drugiej strony, jeśli zaszczepisz kulturę bezpieczeństwa cybernetycznego w swoim miejscu pracy, wyjaśnisz swoje zasady bezpieczeństwa cybernetycznego i dlaczego one istnieją, a jeśli wyszkolisz pracowników w zakresie bezpiecznego zarządzania sprzętem i danymi firmy, Twoi pracownicy staną się Twoimi pierwszymi i najbardziej efektywnymi, linia obrony przed cyberatakami.

Najlepszym sposobem na uzyskanie akceptacji pracowników w planie cyberbezpieczeństwa jest zaprojektowanie go wspólnie z nimi. Zaangażowanie ich w plan zwiększy ich motywację do jego wdrożenia. Twoi pracownicy są również ekspertami w Twojej firmie, zarówno w jej słabościach, jak i mocnych stronach. To oni pracują z twoimi wrażliwymi danymi firmy przez cały dzień, więc są najlepiej przygotowani, aby powiedzieć ci, gdzie znajdują się luki i które systemy należy wzmocnić lub ulepszyć.

Rozpocznij regularne sesje szkoleniowe ze swoim personelem dotyczące zagadnień bezpieczeństwa cybernetycznego. To miejsce, w którym metodycznie pracujemy przy użyciu ważnych technik bezpieczeństwa, takich jak te, które przedstawiliśmy powyżej. Upewnij się, że ich hasła i uprawnienia są aktualne i że używają haseł, których nie można złamać. Upewnij się, że nie pozostawiają haseł leżących na fizycznych karteczkach lub siedzących na biurku. Pokaż, jak uniknąć oszustw związanych z atakami typu „phishing” za pośrednictwem poczty e-mail i ryzykiem złośliwego oprogramowania z niebezpiecznych stron internetowych. Naucz swoich pracowników wielu i nikczemnych sposobów, w jakie hakerzy mogą próbować uzyskać od nich informacje. Zachęć ich, aby nie dyskutowali publicznie żadnych poufnych informacji firmy - nigdy nie wiesz, z kim możesz rozmawiać i kto może słuchać. Spraw, aby te wytyczne były łatwe do zrozumienia i przestrzegania. Stworzyliśmy wydruk zawierający proste kroki, które pracownicy mogą zrobić, aby zachować bezpieczeństwo. Możesz zawiesić to na biurowej tablicy ogłoszeń lub lodówce lub dostosować do własnych potrzeb.

Zabezpieczyć zasady bezpieczeństwa cybernetycznego w pisemnej polityce i poproś pracowników o podpisanie kopii tej polityki, upewniając się, że rozumieją, jak poważny jest problem cyberbezpieczeństwa. Możesz nawet mieć elementy cyberbezpieczeństwa zapisane w umowach o pracę.

Przede wszystkim pamiętaj, że zagrożenia cyberbezpieczeństwa stale się zmieniają i zmieniają. Hakerzy stale wymyślają bardziej kreatywne i wyrafinowane sposoby włamania się do systemów komputerowych i kradzieży danych. Bądź na bieżąco z rozwojem cyberbezpieczeństwa i upewnij się, że szkolisz swoich pracowników również w tym zakresie.

Gdzie zaczynam?

  1. Zawieś wydruk naszego przewodnika po cyberbezpieczeństwie na swojej tablicy ogłoszeń biurowych i wyślij ten szablon e-maila do wszystkich pracowników.
  2. Zacznij formułować program szkoleniowy dotyczący bezpieczeństwa cybernetycznego dla wszystkich swoich pracowników.

Udostępnij i skopiuj ten post lub jego części na swojej stronie, blogu lub w sieciach społecznościowych. Prosimy tylko o przypisanie nam tego. Chcemy zapewnić firmom bezpieczeństwo, a Twoja pomoc w rozpowszechnianiu informacji jest ważna.

Kliknij tutaj, aby udostępnić go na Facebooku lub Twitterze.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me