סיוט ברחוב הסייבר - ניהול הסיכונים של עבודה מרחוק

זה היה היום הראשון שלי ליד השולחן שלי ביום שני השבוע וכמעט הפחדתי את עצמי למוות כשקראתי את המאמר המעניין הזה על פשעי סייבר ב-2015. עצם השמות הקשורים לאיומי סייבר מזהירים מפני טבעם הזדוני ונותנים לך מקרה רע של ה-heebie-jeebies. מי רוצה ש'יפרצו' או יסבול מ'מתקפת מסכות' או אפילו יסבול מ'תולעת סייבר'? יוק!

עם זאת, זה לא סיוט, זו המציאות. נראה שהאיומים נעשים רציניים יותר, סדירים יותר ויש להם השלכות יקרות יותר. עד לא מזמן הייתי משתמש iOS זחוח והאמין שבהנחה ששמרתי על כל הכללים הרגילים, החבר'ה הטובים באפל כיסו את זה. אבל, בעוד שהתקפות אנדרואיד נפוצות יותר, הבלוג חוזה ניסיונות קפדניים יותר לתקוף את iOS ככל שהן צוברות נתח שוק.

גם החששות גברו ככל שיותר ארגונים מסתמכים על עובדים מרחוק ועל הצורך לעובדים לגשת מרחוק למערכות שלהם.

לכן, אם אימצת את הקפיצה לתקשורת מאוחדת כדי לעזור להניע יעילות, שיתוף פעולה טוב יותר ושירות לקוחות, רוב הסיכויים שהשקעת בטכנולוגיה ו ארכיטקטורה התומכת באופן מלא במספר מערכות הפעלה ומכשירים ואפילו BYOD (תביאו מכשיר משלכם).

אבל האם אימצת באותה מידה, והתייחסת לסיכונים הנלווים?

A סקר שנערך בארה"ב בשנה שעברה הדגיש 94% מהעובדים במשרה מלאה מחברים באופן קבוע את המכשיר הנייד שלהם לרשת Wi-Fi ציבורית. לא בפני עצמו, בעיה מרכזית אבל בהתחשב בשאר הנתונים הסטטיסטיים שדווחו, כגון 41% לא ידעו מה זה אימות דו-גורמי ו-37% רק שינו את הסיסמאות שלהם באופן ספורדי או מדי שנה, זה מאוד מדאיג. קרא ותגיד לי שאתה בטוח שהמדיניות וההכשרה שלך מכסים את זה!

אני חושד ששליש מכם לא. ה HM Government Security Breaches Survey 2015 זיהה כי 32% מהמשיבים לא ביצעו שום צורה של אבטחה הערכת סיכונים וזה היה עלייה מ-20% לעומת השנה הקודמת. עכשיו זה מפחיד!

אז מה עלי לעשות?

קבל תוכנית

מקום מצוין להתחיל בו הוא להסתכל עליו ISO 27001. הוא מספק את מסגרת 'השיטות הטובות ביותר' כדי לשמור על בטיחותך, כולל תחומים כגון הגנה מפני תוכנות זדוניות, שליטה בהתקנת תוכנה במערכות תפעוליות, ניהול נכסים ו אבטחת משאבי אנוש.

בעקבות ISO 27001 סטנדרטי, עם או בלי הסמכה יעודד אותך להסתכל על כל התחומים של אבטחת מידע בתוך העסק שלך וקבע מדיניות ובקרות כדי לא רק להגן על הארגון שלך אלא גם מה לעשות במקרה של הפרה.

נהל את הנכסים שלך

יש לנו ISO 27001: 2013 הסמכה ו-8.1 של התקן מתייחסים לניהול נכסים. אנחנו משתמשים בעצמנו ISMS.online פלטפורמה בעלת מסגרת שבה אנו מתעדים את כל הנכסים וכל מכשיר שבבעלות עובד אך משמש לעיבוד מידע. כך, ניתן להגדיר קבוצות עובדים לפי, למשל, מערכת ההפעלה שבה הם משתמשים, וכן איומים ופגיעות פוטנציאליים הודעה לכל הנוגעים בדבר בלחיצת כפתור. עבור פעולה דחופה, ניתן להגדיר משימות שהיחידים יכירו ויאשרו כאשר הפעולות הנדרשות ננקטו.

דיווח על אירועי אבטחת מידע

למרבה הצער, אירועי אבטחה יהיו בלתי נמנעים, אבל הודות ל ISO 27001, יש לנו מדיניות לדיווח על איומי אבטחה פוטנציאליים כגון אובדן או גניבה של מכשירים, חשד להפרות אבטחה או תקלות בתוכנה או בחומרה. כל חשוד הסיכון נחשב על ידי המידע הבכיר שלנו קצין סיכונים, ובמידת הצורך, הוכנס למערכת שלנו כאירוע אבטחה. אנו משתמשים בכלי המעקב שלנו כדי לעקוב אחר האירוע עד לסיכום משביע רצון, ובמידת האפשר, א פעולה מתקנת או שיפור.

השכלת עובדים

נכון לומר שלא משנה מה פתרונות אתה מציב, הם טובים רק כמו המעורבות שהם מקבלים מהעובדים שלך.

ISO 27001 מכסה היטב את אבטחת משאבי אנוש אך כל המדיניות בעולם לא יגן עליך אם עובד לא קרא את מדריך החניכה שלו או יבין את החשיבות של אבטחת מידע בארגון.

אנו יודעים מכל מה שקראנו שהגורם האנושי הוא אחד מכאבי הראש האבטחה הגדולים ביותר בכל ארגון ולכן ההתמודדות עם זה היא חלק בסיסי בכל מערכת ניהול אבטחת מידע. למרבה המזל, זה באמת המקום שבו ISMS.online בא לידי ביטוי, ונהנה מהמורשת שלו כפלטפורמת שיתוף פעולה, פאם.

תעשיות מדיניות ובקרות מאוחסנים בבטחה במקום אחד עם תקשורת, מהדרכת אינדוקציה ועד לניהול יציאה, ממוקדים לאנשים על בסיס צורך לדעת. ניתן להגדיר קבוצות סביב כל קריטריון שתבחר והודעות ועדכונים להתריע רק על אלה שהם משפיעים. ניתן להטיל על פעולות מועדים וחתימה או אישור.

לכן, אם הצוות שלך נלחם במאות אימיילים מדי יום, רוב הסיכויים שהם יחמיצו את זה על איום האנדרואיד הגדול האחרון, עדכון iOS או הונאה, וייתכן שסדק בשריון שלך פשוט הופיע. כמה יותר שימושי יהיה להגדיר התראות עם מועדים ניתנים לפעולה שניתן לבדוק ולחתום?

כמובן, רבים מכם יצפו ISO 27001 כמו יצירת סיוט משלה…. שפע של ניירת ומסמכים, קשה לערב צוות ויקר במונחים של משאבים ליישם ולתחזוקה.

זה ממש לא חייב להיות ככה. אם השקעתם בטכנולוגיה כדי לפתור אחרים צרכים עסקיים, לאחר מכן פנה לטכנולוגיה כדי להפוך את היישום והתחזוקה של ה-ISMS שלך לפשוט ויעיל.

שמור על הסיוטים רק כך, והפוך את 2016 לשנה להתמודדות עם הסיכונים בצורה חזקה עם תוכנית קלה לניהול מערכת ניהול אבטחת מידע.

אם אתה רוצה לדעת יותר איך ISMS.online יעזור לך להשיג את ISO 27001 מהר יותר וחסכוני יותר או שתרצה להעביר את ה-ISMS שלך לאינטרנט, צרו קשר עוד היום להדגמה בחינם או לדבר על הדרישות שלך ביתר פירוט.