Immagina questo: è la stagione delle tasse e il tuo direttore delle risorse umane riceve un'e-mail da qualcuno che finge di essere te: l'amministratore delegato. Il direttore delle risorse umane ritiene che l'e-mail sia legittima e soddisfa la richiesta di inviare copie di tutti i W2 dei dipendenti. Giorni dopo, il mittente dell'e-mail, che in realtà è un abile hacker, utilizza quei W2 per presentare una serie di dichiarazioni dei redditi false.
Attacchi informatici come questo accadono ogni giorno. E se gestisci una piccola o media azienda, sei il bersaglio diretto di un attacco. Le piccole e medie imprese sono vittime della stragrande maggioranza delle violazioni dei dati perché tendono a:
- Mancano misure di sicurezza sufficienti e personale qualificato
- Conserva dati preziosi per gli hacker (ad es. numeri di carte di credito, informazioni sanitarie protette)
- Trascurare di utilizzare una fonte fuori sede o un servizio di terze parti per eseguire il backup dei propri file o dati, rendendoli vulnerabili al ransomware
- Connettiti alla catena di approvvigionamento di un'azienda più grande e può essere sfruttato per irrompere
Il nostro più recente rapporto - una collaborazione di ricerca con Cisco e il Centro Nazionale per il Mercato Medio - si basa sui dati di 1.377 CEO di piccole e medie imprese che raccontano una storia simile. Il 62% dei nostri intervistati ha affermato che le proprie aziende non dispongono di una strategia di sicurezza informatica aggiornata o attiva, o di alcuna strategia. E questo è un grosso problema, dato che il costo di un attacco informatico può essere abbastanza alto da far fallire un'azienda; secondo la National Cyber Security Alliance, il 60 percento delle piccole e medie imprese hackerate fallisce entro sei mesi.
Se sei tra questi CEO, è ora di cambiare. Segui questi quattro passaggi per iniziare a creare una strategia di sicurezza informatica che tenga gli hacker fuori dalla tua attività.
1. Determina lo stato attuale della sicurezza informatica della tua azienda.
Riunisci i membri del tuo team dirigenziale senior, del consiglio di amministrazione e degli investitori per condurre un audit informale dell'azienda. Fatti un'idea del livello di sicurezza che hai oggi.
Domande da porre: Qualcuno è responsabile della nostra sicurezza informatica? Quali difese abbiamo già in atto? La nostra strategia è completa e coordinata? In caso contrario, possiamo individuare i nostri punti deboli?
2. Identifica la persona chiave responsabile della tua sicurezza informatica.
Coinvolgi i leader di tutta l'organizzazione, non solo quelli all'interno dell'IT. Includere persone provenienti da diverse aree funzionali, come le relazioni umane, il marketing, le operazioni e la finanza. Altri attori essenziali per questa conversazione sono il tuo avvocato e il tuo commercialista/revisore dei conti.
Domande da porre: Chi dovrebbe essere responsabile della nostra sicurezza informatica? Quale processo possiamo implementare per garantire la responsabilità? Come possiamo comunicare e aumentare la consapevolezza sulla sicurezza informatica nei nostri diversi reparti e team?
3. Fai un inventario delle tue risorse, determina il loro valore e dai priorità alle tue risorse più critiche.
Identifica i 'gioielli della corona' nella tua azienda, siano essi documenti dei dipendenti, proprietà intellettuale o dati dei clienti. Riconosci che non sarai mai al sicuro al 100% da un attacco, quindi è importante dare priorità alle aree di difesa.
Domande da porre: Quali sono i beni più importanti che dobbiamo proteggere? Dati dei clienti? Proprietà intellettuale? Registri dei dipendenti? Possiamo misurare il grado di riservatezza, integrità, disponibilità e sicurezza delle nostre risorse più critiche?
4. Decidi quali capacità aziendali e misure di sicurezza informatica vuoi gestire da solo rispetto all'outsourcing.
Valuta se ha senso esternalizzare determinati aspetti della tua attività a un sistema basato su cloud per aumentare la tua sicurezza. Allo stesso tempo, valuta se ha senso coinvolgere un esperto o un fornitore di sicurezza informatica. Decidi se vuoi lavorare con un consulente per capire il tuo piano di sicurezza informatica o se vuoi esternalizzare completamente la tua sicurezza informatica.
Domande da porre: Quali aspetti della nostra attività, come l'evasione degli ordini, dovremmo gestire internamente rispetto all'esternalizzazione a terzi (ad es. Amazon, Cisco, Google)? Dovremmo affidare la nostra sicurezza informatica a un servizio di terze parti? Dovremmo utilizzare un modello CIO frazionario e cercare consulenza sulla sicurezza informatica? O dovremmo gestire l'intero processo da soli?
lasciando solo un uomo scorpione
La miglior difesa è un buon attacco. Rendi prioritario proteggere i tuoi dati a vantaggio dei tuoi dipendenti, dei tuoi clienti e della salute a lungo termine della tua attività.
