Dzisiaj jest: 21.11.2024, imieniny: Janusza, Marii, Reginy

Bezpieczeństwo cyfrowe małych i średnich firm

Dodano: 15.11.2021 Czytane: 17

Wszystkie firmy, zarówno te działające wyłącznie w sferze wirtualnej, jak i te używające sieci jedynie w celu komunikacji i administracji, muszą bezwzględnie pamiętać o cyberbezpieczeństwie. Jest to jedno z największych obecnie wyzwań dla sektora małych i średnich przedsiębiorstw.

Niemal każda firma narażona jest na ataki cyberprzestępców, włamania do systemu czy próby wyłudzenia danych klientów. Są to realne zagrożenia, dlatego konieczne jest, by zadbać o procesy zabezpieczania infrastruktury technicznej i informatycznej. Każdy cyberatak może spowodować straty – nie tylko finansowe czy wizerunkowe. Może skutkować również (przy wycieku danych osobowych) przeprowadzeniem kontroli przez Urząd Ochrony Danych Osobowych i nałożeniem sankcji oraz koniecznością poniesienia kosztów odszkodowań dla właścicieli danych, których prawa zostały naruszone.

Bezpieczeństwo danych osobowych, zgodnie z ogólnym rozporządzeniem UE RODO, zależy od posiadanego systemu prawnego i systemu IT, na którym opiera się biznes. Można mieć opracowaną i wdrożoną dokumentację (polityki, procedury), prowadzić prawidłowo wymagane rejestry, a mimo tego może dojść do niekontrolowanego wycieku danych spowodowanego atakiem hakerskim lub nieuwagą pracownika.

W dużych podmiotach są specjaliści ds. IT, którzy czuwają nad tymi zagadnieniami, ale dla małych i średnich firm stanowią one problem. ENISA – agencja unijna ds. cyberbezpieczeństwa – wydała w czerwcu br. przewodnik po cyberbezpieczeństwie dla M¦P pt. 12 kroków, dzięki którym zabezpieczysz swoją firmę.

Przewodnik po cyberbezpieczeństwie dla M¦P

Przewodnik powstał jako odpowiedź na raport z badań nad cyberbezpieczeństwem, jakie przeprowadziła ENISA wśród małych i średnich firm w Polsce. 85 proc. ankietowanych prowadzących M¦P uważa, że zagrożenia cyberbezpieczeństwa mogą mieć negatywny wpływ na ich firmy, a 57 proc. twierdzi, że na ich skutek podmioty mogą zniknąć z rynku. Spośród prawie 250 przebadanych M¦P 36 proc. zgłosiło, że doświadczyło incydentu związanego z cyberbezpieczeństwem w ciągu ostatnich 5 lat.

ENISA podzieliła zalecenia na trzy kategorie – istotne z punktu zarządzania ryzykiem: „Ludzie”, „Procesy”, „Aspekty techniczne”, co ułatwia zrozumienie złożoności zagadnienia bezpieczeństwa w sieci i umożliwia samodzielne przeprowadzenie audytu cyberbezpieczeństwa, nawet jeżeli nie posiadamy zaawansowanej wiedzy informatycznej.

  1. Ludzie – to oni odgrywają kluczową rolę. Dlatego tak ważne jest budowanie ich świadomości poprzez szkolenia z cyberbezpieczeństwa i wymianę informacji o nowych formach ataków hakerskich. Nowym zagrożeniom odpowiadają aktualizacje zabezpieczeń, z którymi należy zapoznawać pracowników.
  2. Procesy – każda firma powinna wdrożyć odpowiednie procedury obejmujące m.in.: regularne audyty, reagowanie na incydenty, politykę dotyczącą tworzenia bezpiecznych haseł, aktualizację oprogramowania i ochronę danych osobowych.
  3. Aspekty techniczne – aktualne programy antywirusowe, szyfrowanie i monitorowanie bezpieczeństwa to podstawy funkcjonowania online. Należy również zadbać o regularne tworzenie kopii zapasowych.

12 kroków cyberbezpieczeństwa, dzięki którym zabezpieczysz swoją firmę Rozwijaj kulturę cyberbezpieczeństwa (podział odpowiedzialności, audyt polityki cyberbezpieczeństwa).

  1. Zapewnij szkolenia.
  2. Zadbaj o dostawców i strony trzecie.
  3. Opracuj plan reagowania na incydenty.
  4. Zabezpiecz dostępy hasłami.
  5. Zabezpiecz urządzenia.
  6. Zabezpiecz swoją sieć.
  7. Podwyższaj i monitoruj zabezpieczenia fizyczne.
  8. Zabezpiecz kopie zapasowe.
  9. Stosuj rozwiązania chmurowe.
  10. Zabezpiecz swoje strony WWW.
  11. Dziel się informacjami dotyczącymi cyberbezpieczeństwa.
  12. Dlaczego należy zrealizować audyt cyberbezpieczeństwa systemów IT?

Systemy informatyczne muszą gwarantować bezpieczeństwo przetwarzanych danych osobowych oraz umożliwiać realizację praw właścicieli danych wymienionych w rozporządzeniu RODO. Należy pamiętać, że dane osobowe stały się w tej chwili walutą, a cyberprzestępczość to dziedzina, która na całym świecie rozwija się dynamicznie. Globalne straty spowodowane działaniami hakerskimi:

  • 2014 r. – 400 mld USD,
  • 2020 r. – 1 bln USD.

Wymienione wartości to oczywiście nie tylko koszty zapłaconych okupów czy wartość utraconych danych, ale również czas, jaki w firmie trzeba poświęcić, aby doprowadzić do prawidłowego funkcjonowania po ataku hakerskim. W ostatnich latach sposób działania cyberprzestępców ulega zmianom. Zamiast masowych zautomatyzowanych ataków hakerzy stosują ukierunkowane operacje wymierzone w konkretne przedsiębiorstwo. Ogólna liczba ataków jest więc mniejsza, jednak trudniej zneutralizować ich efekty, a wartość wyrządzanych szkód dynamicznie rośnie.
Ponadto obszar IT Security jest dokładnie kontrolowany przez regulatora, a suma nałożonych kar za nieprawidłowe zabezpieczenia osiągnęła już poziom 4,7 mln zł.

Większość M¦P oraz niewielkich podmiotów ma ograniczony budżet, brakuje ludzi i zasobów do wykonywania audytu IT, duża część zadań jest realizowana bezpośrednio przez właścicieli firmy. Przedsiębiorcy uważają, że przeprowadzenie kontroli zabezpieczeń IT to skomplikowane i kosztowne działanie, wymagające specjalistycznej wiedzy. W praktyce zbadanie podstaw cyberbezpieczeństwa nie jest ani trudne, ani kosztowne i można je wykonać, opierając się na prostej checkliście przygotowanej na podstawie 12 kroków wymienionych w przewodniku ENISA.

Co powinna uwzględniać checklista?

Badaniem kontrolnym powinny zostać objęte następujące obszary:

  • zabezpieczenie proceduralno-organizacyjne danych osobowych,
  • zabezpieczenie infrastruktury informatycznej i telekomunikacyjnej,
  • kopie zapasowe,
  • zabezpieczenie systemów IT i baz danych,
  • prawa osób, których dane osobowe są przetwarzane,
  • obowiązki względem regulatora,
  • strony internetowe.

Celem dobrze opracowanej listy kontrolnej są odpowiedzi na szczegółowe pytania postawione w dwóch ankietach:

  1. Czy system IT spełnia wymagania rozporządzenia RODO?
  2. Czy stosowane środki organizacyjne i techniczne zapewniają bezpieczeństwo przetwarzania danych osobowych?

„Audyt cyberbezpieczeństwa” – to tylko groźnie brzmiące sformułowanie. Odpowiednio przygotowana checklista może posłużyć do prostego audytu IT Security w niedużych przedsiębiorstwach. Należy z niej skorzystać, aby skontrolować i ewentualnie rozbudować swoje zabezpieczenia. Poza realizacją ww. wytycznych warto również zadbać o cykliczne testowanie przyjętych zabezpieczeń. Musimy być pewni, że zastosowane zabezpieczenia działają i są skuteczne, a pracownicy rozumieją ich działanie i potrzebę stosowania.

Wprowadzenie powyższych zasad i niezbędnych procedur w organizacji zapewni bezpieczeństwo cyfrowe małym i średnim firmom w sposób dość prosty, z wykorzystaniem elementarnej wiedzy z zakresu IT. W praktyce okaże się, że zbadanie podstaw cyberbezpieczeństwa w organizacji nie jest trudnym i kosztownym procesem.

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij