A kiberbiztonság a vállalat méretétől függetlenül minden iparágat érint. Az IT biztonsági fenyegetések súlyosak és folyamatosan fejlődnek. A vállalkozások által okozott károk miatt az IT Security túl nagy ahhoz, hogy egy vállalkozás figyelmen kívül hagyja. A vállalati érdekek védelme és az elszámoltathatóság biztosítása érdekében elengedhetetlen a rendszeres kommunikáció a szolgáltatóval a kiberbiztonságról. Az IT biztonság ugyanolyan, mint bármely más kiszervezett szolgáltatás. Ha a könyvelő intézi a vállalkozás pénzügyeit, akkor is figyelemmel kíséred a bankszámlát és a cég adózását.
Tehát csak azért, mert rendelkezel IT -biztonsági szolgáltatással, továbbra is érdeklődnöd kell a vállalkozás biztonsága iránt. Ha arra gondolsz, hogy nem tudsz mit kérdezni, akkor van egy jó hírünk: összeállítottunk 10 kérdést, amelyeket fel kell tenni az informatikai szolgáltatónak.
Aktuálisan melyek a cégre leselkedő legnagyobb kockázatok?
A Gartner szerint 2020-ra a Global 2000 vállalatok 30%-át közvetlenül veszélyeztették kiberaktivista vagy kiberbűnözői csoportok. A cégnek kiemelten kell kezelni a valós kockázatokat, felismerve és azonosítva a biztonsági hiányosságokat és azok üzleti tevékenységre gyakorolt hatását. Ennek ismeretében biztosítható a kockázatok kezeléséhez szükséges költségvetés. Kérdezd meg az informatikai szolgáltatót, hogy fel vannak-e készülve az informatikai biztonsággal kapcsolatos jogi, szabályozási és szerződéses követelményeket.
Teszteli-e a rendszereinket, mielőtt megtörténne a baj?
Számos teszt létezik az informatikai rendszerek, hálózatok és alkalmazások sebezhetőségeinek felismerésére és feltérképezésére. Minden biztonsági rendszer fontos eleme a rendszeres behatolási teszt. Az ún. pentestek (penetration tesztek) szimulált támadások egy számítógépes rendszer ellen, azzal a szándékkal, hogy felderítsék a kihasználható biztonsági hiányosságokat. Ezek a tesztek segítenek megállapítani, hogy a kritikus folyamatokat, például a javítások, patch-ek telepítését és a konfiguráció menedzsmentet, a szabályozásoknak megfelelően végzik-e. A legtöbb vállalat nem végez rendszeres behatolási teszteket, tévesen azt feltételezve, hogy biztonságban vannak, de naponta új biztonsági rések és fenyegetések derülnek ki, amelyek megkövetelik a vállalatoktól, hogy folyamatosan teszteljék védelmi rendszerük felkészültségét.
Rendszeresen felméri az informatikai biztonsági kockázatokat?
Az értékelés során győződjön meg arról, hogy az IT szolgáltató minden lényeges kockázatot figyelembe vett. A kockázatok felmérése nélkül, vállalkozásod rosszul szervezheti a biztonsági stratégiát és az erőforrásokat. Ez a megközelítés nemcsak időt és pénzt fecsérel, hanem lehetőséget biztosít a hackerek számára, hogy kihasználják a kritikus biztonsági réseket.
Hogyan igazoljuk, hogy megfelelünk a információbiztonsági szabályozásnak?
A rendszeres ellenőrzés segíthet abban, hogy a vállalkozás megértse kiberbiztonság fontosságát és az információbiztonsági szabályozás hatékonyságát. Ha egy szervezet úgy döntött, hogy megfelel egy olyan információbiztonsági szabványnak, mint az ISO 27001, akkor egy tanúsító szervezet elvégezheti az információbiztonsági audit független felülvizsgálatát. A tanúsítványok meggyőző bizonyítékokkal is szolgálhatnak arra vonatkozóan, hogy egy vállalkozás kellő gondossággal járt el információs eszközeinek védelmében.
Kínál valamilyen informatikai biztonságtudatossági programot?
Az informatikai biztonsági incodensek jelentős részét a munkavállalók hibája vagy gondatlansága okozza.
A GSIS (Global Security and Innovative Strategies) felmérése szerint az informatikai biztonsági események 27%-ért a munkavállalók a felelősek.
A social engineering továbbra is gyakori taktika, amellyel az informatikában járatos bűnözők bejáratott módszerekkel, kiszolgáltatott vagy tájékozatlan munkavállalókat kifaggatva, tőlük kritikus információkat megszerezve törhetnek be a céges hálózatba. A hatékony személyzeti biztonságtudatossági program kritikus fontosságát nem lehet elégszer hangsúlyozni. A kutatások azt mutatják, hogy a hagyományos kiberbiztonsági intézkedéseket nagymértékben fokozhatja egy megfelelő biztonságtudatossági program, amely az informatikai kultúra teljes változását hozhatja el és segít leküzdi a tartósan helytelen munkavállalói magatartást.
Adatszivárgás esetén van-e választerve?
A kiberbiztonsági szakértők egyetértenek abban, hogy nem az a kérdés, hogy „ha”, hanem „mikor”, ha megsértik. A kritikus különbség a vállalkozások között, amelyek túl fogják élni az adatvédelmi incidenseket, és azok között, akik elvéreznek, az egy úgynevezett informatikai ellenállóképességi stratégia megléte és hatékony végrehajtása, amely figyelembe veszi az incidensre tervezett reagálást, az üzletmenet folytonosságot (BCP) és a katasztrófa helyreállítási (DRP) stratégiákat, hogy incidens esetén minimális zavart okozzon egy kibertámadás. A szolgáltatónak tisztában kell lennie a vállalkozás adatvédelmi incidens közzétételére vonatkozó kötelezettségeit szabályozó törvényekkel is. A NIS direktívák és a GDPR egyaránt jó példák a jogszabályokra, amelyek bevezetik a vállalati jogsértési bejelentési kötelezettségeket.
Megfelelünk a vezető informatikai biztonsági szabványoknak?
Ilyen például a vezető nemzetközi információbiztonsági menedzsment szabvány pl. az ISO 27001. A vezető nemzetközi szabványok tanúsítása azt jelenti, hogy egy vállalat a kiberbiztonság bevált gyakorlatait alkalmazza, és teljességre törekvő megközelítést alkalmaz nemcsak az online információk, hanem az emberekkel és folyamatokkal kapcsolatos kockázatok védelmére is. A vállalkozás független tanúsítást is választhat annak ellenőrzésére, hogy az általa végrehajtott ellenőrzések megfelelően működnek-e.
Az IT biztonsági költségvetésünket megfelelően használják fel?
Az informatikai biztonsági költségvetés megfelelő meghatározása nemcsak arról szól, hogy több pénze van ahhoz, hogy több technológiát vásároljon a kiberbiztonsági rések elhárítására. A kulcs az, hogy hosszútávú stratégiai megközelítést alkalmazzunk a költségvetés elosztásában annak érdekében, hogy valódi változást hozzunk a vállalat információbiztonsági helyzetében.
A fokozott biztonság nem jelent megnövelt technológiát.
Valójában a technológia önmagában nem védi meg vállalkozást az állandó fenyegetéstől. Az üzleti igényeknek meg kell őrizniük folyamatos biztonsági állapotukat azáltal, hogy milyen lépéseket kell tenni annak érdekében, hogy az informatikai szabályozások megfeleljenek a hatályos jogszabályoknak, és előtérbe helyezzék a támadások megelőzését és kezelését.
Megfelelően monitorozzuk a hálózatunkat?
A nem megfelelően monitorozott hálózati viselkedés nagy kockázatokat jelent a vállalkozás működésére.
Az IBM Cost of Data Breach Study 2017-es tanulmánya szerint az adatszivárgás észlelésének átlagos ideje 191 nap.
Sok informatikai szakember nem rendelkezik megfelelő hozzáféréssel a hálózathoz és biztonsági rendszerekhez, amelyre szükségük van ahhoz, hogy pontos képet kaphassanak arról, ami valójában történik a hálózatban, és nincsenek olyan eszközeik, amelyek gyorsan azonosíthatják, értelmezhetik és reagálhatnak a fenyegetésekre. Az informatikai és informatikai biztonsági szolgáltatókat fel kell hatalmazni arra, hogy folyamatosan monitorozzák és monitorozhassák a hálózatot.
Mikor tesztelte utoljára a helyreállítási folyamatainkat?
Iparági tanulmányok szerint az üzletmenet-folytonossági tervek jelentősen lerövidítik az adatszegések azonosításának és visszatartásának idejét. A hatékony üzletmenet-folytonossági menedzsment (BCM) képes 43 napot megtakarítani a vállalatoknak a jogsértés azonosításában, és 35 napot az informatikai fenyegetés megfékezésben. A BCM-et és a katasztrófa utáni helyreállítási terveket (DRP) rendszeresen tesztelni kell annak megállapítása érdekében, hogy a vállalkozás gyorsan helyreállhat-e egy támadást követően.
Összefoglalás
Az informatikai üzemeltetés és biztonság kiszervezése hatékony módja a vállalat védelmének. Azonban, mint minden kiszervezésnél, elengedhetetlen, hogy a megfelelő céget válassza, és naprakész legyen a biztonságával. Tegye fel ezeket a kérdéseket az informatikai biztonsági szolgáltatójának, és ha nem tud mindegyikre válaszolni, vagy nem tetszik a válasz, akkor ideje megfontoli a szolgáltatóváltást. Az informatikai rendszere üzemeltetésével, vagy a biztonsággal kapcsolatos segítségért lépjen velünk kapcsolatba itt, e -mailben: iroda@divergen.com vagy hívjon minket a +36 20 9 320 970 telefonszámon.
