Imagine o seguinte: é época de impostos e seu diretor de RH recebe um e-mail de alguém que está fingindo ser você - o CEO. O diretor de RH acha que o e-mail é legítimo e atende à solicitação de envio de cópias de todos os W2s de seus funcionários. Dias depois, o remetente do e-mail - que na verdade é um hacker habilidoso - usa esses W2s para preencher um lote de declarações fiscais falsas.
Ataques cibernéticos como esse acontecem todos os dias. E se você dirige uma empresa de pequeno ou médio porte, você é um alvo direto para um ataque. As empresas de pequeno e médio porte são vítimas da grande maioria das violações de dados porque tendem a:
- Falta de medidas de segurança suficientes e pessoal treinado
- Retenha dados valiosos para hackers (por exemplo, números de cartão de crédito, informações protegidas de saúde)
- Negligencie o uso de uma fonte externa ou serviço de terceiros para fazer backup de seus arquivos ou dados, tornando-os vulneráveis a ransomware
- Conecte-se à cadeia de abastecimento de uma empresa maior e pode ser aproveitado para entrar
Nosso mais recente relatório - uma colaboração de pesquisa com Cisco e a Centro Nacional para o Mercado Médio - é baseado em dados de 1.377 CEOs de pequenas e médias empresas que contam uma história semelhante. Sessenta e dois por cento dos entrevistados disseram que suas empresas não têm uma estratégia de segurança cibernética ativa ou atualizada - ou nenhuma estratégia. E isso é um grande problema, visto que o custo de um ataque cibernético pode ser alto o suficiente para colocar uma empresa fora do mercado; de acordo com a National Cyber Security Alliance, 60 por cento das pequenas e médias empresas que são hackeadas fecham as portas em seis meses.
Se você está entre esses CEOs, é hora de fazer uma mudança. Siga estas quatro etapas para começar a construir uma estratégia de segurança cibernética que mantenha os hackers fora de seus negócios.
1. Determine o status atual de segurança cibernética de sua empresa.
Reúna membros de sua equipe de liderança sênior, conselho de diretores e investidores para conduzir uma auditoria informal do negócio. Tenha uma noção do nível de segurança que você tem hoje.
Perguntas a serem feitas: Há alguém encarregado de nossa segurança cibernética? Que defesas já temos no lugar? Nossa estratégia é abrangente e coordenada? Se não, podemos identificar nossos pontos fracos?
2. Identifique a pessoa-chave responsável por sua segurança cibernética.
Envolva líderes de toda a organização - não apenas os de TI. Inclui pessoas de diferentes áreas funcionais, como relações humanas, marketing, operações e finanças. Outros atores essenciais para esta conversa são o seu advogado e o seu contador / auditor.
Perguntas a serem feitas: Quem deve ser responsável por nossa segurança cibernética? Que processo podemos implementar para garantir a responsabilidade? Como podemos nos comunicar e aumentar a conscientização sobre a segurança cibernética em nossos diferentes departamentos e equipes?
3. Faça um inventário de seus ativos, determine seu valor e priorize seus ativos mais críticos.
Identifique as 'joias da coroa' em sua empresa, sejam eles registros de funcionários, propriedade intelectual ou dados de clientes. Reconheça que você nunca estará 100% seguro contra um ataque, portanto, é importante priorizar as áreas de defesa.
Perguntas a serem feitas: Quais são os ativos mais importantes que precisamos proteger? Dados do cliente? Propriedade intelectual? Registros de funcionários? Podemos medir o grau de confidencialidade, integridade, disponibilidade e segurança de nossos ativos mais críticos?
4. Decida quais recursos de negócios e medidas de segurança cibernética você deseja gerenciar sozinho, em vez de terceirizar.
Considere se faz sentido terceirizar certos aspectos de seus negócios para um sistema baseado em nuvem para aumentar sua segurança. Ao mesmo tempo, considere se faz sentido contratar um especialista ou provedor de segurança cibernética. Decida se deseja trabalhar com um consultor para descobrir seu plano de segurança cibernética ou se deseja terceirizar totalmente sua segurança cibernética.
Perguntas a serem feitas: Quais aspectos de nosso negócio - como atendimento de pedidos - devemos tratar internamente em vez de terceirizar para terceiros (por exemplo, Amazon, Cisco, Google)? Devemos terceirizar nossa segurança cibernética para um serviço de terceiros? Devemos usar um modelo fracionário de CIO e buscar consultoria em segurança cibernética? Ou devemos cuidar de todo o processo sozinhos?
A melhor defesa é um bom ataque. Faça com que seja uma prioridade proteger seus dados para o benefício de seus funcionários, seus clientes e a saúde de longo prazo de sua empresa.
