Hur startar man ett cybersäkerhetsprogram?
Cybersäkerhet har snabbt vuxit till att vara en av de viktigaste affärsriskerna att ta hänsyn till för företagsledningar. Ransomware, dataskydd för kunders personuppgifter och övervakning av tredjepartsleverantörer är bara några av de saker som ska hanteras och prioriteras på ledningsnivå. Men att lägga cyberämnet till ledningsansvar skapar ofta mycket osäkerhet, där den största brukar vara: Var ska vi börja?
Här är våra råd om de första stegen för att skapa ett systematiskt cybersäkerhetsprogram under ledningens styrning:
Lär känna din nuvarande situation
Detta kan verka självklart, du kan inte orientera dig på en karta utan att veta var du befinner dig. Men i den verkliga världen tar ledningen, på alla nivåer, ofta snabba beslut för att förbättra säkerheten baserat på råd från produktleverantörer eller nyhetsinslag, utan att ta hänsyn till företagets skyddsnivå i sin helhet. Detta leder ofta till ett teknikfokus, men som alltid måste du ta hänsyn till människor, processer och teknik. I den ordningen.
Så för att börja förbättra din säkerhetsnivå måste du ta reda på var du står på "cyberkartan":
- Medvetenhet - Kan ditt team upptäcka ett falskt mejl eller sms? Prova en simulerad nätfiskeattack för att mäta antal klick. Det kommer förmodligen att bli högre än du förväntar dig...
- Processer - Har du korrekta processer på plats för åtkomst- eller patchhantering? Har du en dokumenterad incidenthanteringsplan och har den testats? Vet du hur dina leverantörer hanterar personuppgifter från dina kunder?
- Teknik - Gör åtminstone en sårbarhetsskanning av din infrastruktur och exponerade webbtjänster, kombinera det med ett penetrationstest för att gräva djupare om det behövs.
Gör en riskbedömning
Använd resultat från de tre tidigare områdena och gör en riskbedömning. Vad är sannolikheten och affärspåverkan om en hacker drar fördel av något av resultaten från de tidigare stegen? Bedömningen kan vara grundlig eller enkel, men den hjälper dig att fokusera dina budgetinvesteringar på de mest kritiska områdena baserat på affärsnytta.
Använd standarder och ramverk
Att definiera och implementera säkerhetskontroller är ett petigt jobb. Att utnyttja offentligt tillgängliga standarder som CIS Controls eller ISO 27001 snabbar verkligen upp arbetet och ger dig ett bra riktmärke för bästa praxis. Och med en dokumenterad gap-analys bygger du också förtroende hos dina kunder och partners genom att faktiskt kunna beskriva säkerhetsnivån i ett välkänt och erkänt format.
Gör uppföljningar av din leverantörskedja
Det här är något som verkligen har växt de senaste åren. Ditt företags cyberresiliens är troligen beroende av tredjeparts SaaS eller outsourcade tjänster på något sätt. Så du måste ha samma insikt i dina partners säkerhetsarbete som ditt eget. Har din leverantör råkat ut för intrång tidigare? Vart lagras dina kunders personuppgifter eller fanns det några tecken på otillräckliga säkerhetskontroller när de gjorde sin senaste säkerhetsgranskning själva?
Baserat på resultaten från alla fyra områden ovan kan du nu definiera ditt cybersäkerhetsprogram. Du känner till dina svaga punkter och vilka du först ska lägga din budget på. Du har också de första mätvärdena för att börja mäta förbättringar. Detta skulle vara ett riktigt systematiskt tillvägagångssätt för att börja bygga ett cybersäkerhetsprogram baserat på ditt företags behov.