Cyberbezpieczeństwo małych i średnich przedsiębiorstw jest coraz bardziej zagrożone, dlatego zebraliśmy wskazówki i strategie, których wdrożenie może znacząco zwiększyć cyberbezpieczeństwo firmy.
Sprawdź nasze darmowe poradniki i programy
Niestety bardzo rozpowszechnione jest mylne przekonanie, że cyberbezpieczeństwo jest ważne głównie dla większych organizacji. Małe i średnie przedsiębiorstwa (MŚP) powinny uważać, aby nie wpaść w pułapkę myślenia, że są zbyt małe, aby mogły zostać zauważone przez hakerów. Według ostatniego raportu Hiscox „Cyber Readiness Report 2019” na temat ochrony przed cyberatakami, liczba małych i średnich firm zgłaszających co najmniej jeden atak systematycznie wzrasta z roku na rok, osiągając 47% w przypadku firm zatrudniających mniej niż 50 pracowników i 63% w przypadku firm zatrudniających od 50 do 250 pracowników.
Październik to Europejski Miesiąc Cyberbezpieczeństwa, więc to najlepszy moment, aby dowiedzieć się więcej na temat cyberbezpieczeństwa firmy oraz jak zapobiegać skomplikowanym naruszeniom bezpieczeństwa.
Spis treści
- Dlaczego małe przedsiębiorstwa potrzebują cyberbezpieczeństwa?
- Jakie są najlepsze praktyki cyberbezpieczeństwa dla MŚP?
- 1. Tworzenie procedur i dokumentacji
- 2. Przejrzyj uprawnienia dostępu
- 3. Tworzenie kopii zapasowych danych
- 4. Praca zdalna i związane z nią ryzyka
- 5. Szkolenie i edukacja
- 6. Szkolenie personelu
- 7. Hasła
- 8. Uwierzytelnianie dwuskładnikowe
- 9. Oprogramowanie i narzędzia
- 10. VPN
- 11. Zapora sieciowa
- 12. Oprogramowanie Anti-Malware
- 13. Zainstaluj aktualizacje
- Budowa całościowej struktury cyberbezpieczeństwa
- Gwarancja ochrony dla Twojej firmy
Dlaczego małe przedsiębiorstwa potrzebują cyberbezpieczeństwa?
Małe przedsiębiorstwa dysponują często bardzo ograniczonymi zasobami. Zazwyczaj oznacza to przeznaczenie większości środków i czasu na codzienną działalność operacyjną, natomiast ochrona przed cyberatakami nie jest priorytetem. W rezultacie cyberbezpieczeństwo w małej firmie zależy od działań poszczególnych szeregowych pracowników, a nie odpowiednio przeszkolonych specjalistów.
Brakuje również regularnych szkoleń na temat cyberbezpieczeństwa i zagrożeń. Rezultatem zaniedbań w tej strefie jest również przestarzałe i nieaktualizowane oprogramowanie, co w znaczący sposób zmniejsza bezpieczeństwo danych.
Można tego uniknąć, jeśli małe przedsiębiorstwa będą traktowały cyberbezpieczeństwo priorytetowo, w taki sam sposób, jak fizyczne bezpieczeństwo powierzchni biurowej. W tym celu kluczowe znaczenie ma określenie i regularne aktualizowanie najlepszych praktyk w ramach planu cyberbezpieczeństwa dla małych firm.
Poprawa bezpieczeństwa nie musi oznaczać ogromnych wydatków, ale wymaga skoncentrowania się na kwestiach cyberbezpieczeństwa, aby firma nie stała się kolejną ofiarą ataku cybernetycznego. Dzięki najlepszym praktykom w zakresie cyberbezpieczeństwa, małe i średnie przedsiębiorstwa mogą poprawić zarówno swoją ochronę, jak i kulturę organizacyjną w zakresie znaczenia i wdrażania skutecznych środków bezpieczeństwa.
Jakie są najlepsze praktyki cyberbezpieczeństwa dla MŚP?
1. Tworzenie procedur i dokumentacji
Jeżeli chcesz, żeby polityka cyberbezpieczeństwa stała się częścią kultury Twojej firmy, powinna ona być dokładnie udokumentowana, zawierać harmonogramy i listy kontrolne. W ten sposób nowe procesy będą mogły zostać wdrożone, a pracownicy będą świadomi swoich obowiązków. Tutaj zamieściliśmy przykładowy szablon polityki cyberbezpieczeństwa, z którego możesz skorzystać.
2. Przejrzyj uprawnienia dostępu
Prostym, ale skutecznym środkiem ochrony jest ograniczenie uprawnień dostępu do współdzielonych plików i najważniejszych aplikacji. Minimalizuje to możliwość dostępu do danych wrażliwych. Dostęp powinien być udzielany tylko tym pracownikom, którzy naprawdę potrzebują go do swojej pracy, a gdy nie jest już potrzebny, powinien zostać cofnięty. Oznacza to, że nikt nie powinien mieć ogólnych uprawnień administratora tylko na podstawie posiadanego stanowiska.
Należy również ustanowić procesy cofania dostępu natychmiast po odejściu pracownika lub zakończeniu umowy z podwykonawcą czy też innymi podmiotami.
3. Tworzenie kopii zapasowych danych
Mantra „użyj silnego hasła” jest teraz tak samo powszechna jak „pamiętaj o tworzeniu kopii zapasowych danych”. Jest to szczególnie ważne w przypadku małych firm, które chcą uniknąć ataków typu ransomware, gdy haker kradnie i szyfruje dane, grożąc ich zniszczeniem, jeśli nie otrzyma pieniędzy za ich zwrot. Bez gwarancji, że dane zostaną zwrócone w stanie nadającym się do użytku, małe firmy stają przed dylematem, w obliczu którego mogą być zmuszone do zapłacenia zarówno okupu, jak i opłacenia przestoju, na który ich nie stać.
Sytuacji tej można uniknąć poprzez regularne tworzenie kompleksowych kopii zapasowych, dzięki którym można odzyskać dane, minimalizując potencjalne straty finansowe i utratę wiarygodności firmy oraz stres, jaki odczuwają pracownicy podczas ataku typu ransmoware.
Usługi w chmurze są popularną opcją dla tworzenia kopii zapasowych. Chmura nie tylko umożliwia dostęp do dokumentów z dowolnego miejsca, ale także bezpieczeństwo oferowane w ramach tej usługi jest zazwyczaj znacznie bardziej zaawansowane, dzięki czemu jest to przystępny cenowo sposób na znaczną poprawę bezpieczeństwa danych.
4. Praca zdalna i związane z nią ryzyka
Dodanie punktów wejścia do sieci zwiększa potencjalne ryzyko naruszenia bezpieczeństwa danych i sieci, ponieważ cyberprzestępcy mają po prostu możliwość wykorzystania tych punktów jako dostępu do sieci. Z tego powodu trend zmierzający ku zmianie tradycyjnej pracy biurowej na bardziej elastyczną można uznać za powód do niepokoju – choć należy zauważyć, że trend ten jest już widoczny od wielu lat i ciągle rośnie.
Raport na temat pracy zdalnej Avast Business Mobile Workforce Report 2018 wykazał, że w opinii pracowników praca z domu zwiększyła ich wydajność oraz zmniejszyła stres, do tego stopnia, że 52% pracowników małych firm stwierdziło, że wolą otrzymywać niższe wynagrodzenie niż pracować tylko w biurze.
Problem ten stał się bardziej odczuwalny wraz z nagłą koniecznością i wyraźnym wzrostem pracy zdalnej, spowodowanym przez COVID-19. Obecnie znaczna część pracowników biurowych pracuje z domu, a ich prywatne urządzenia i WiFi stanowią integralną część nowoczesnego środowiska pracy, umożliwiając pracownikom wykonywanie zadań w trybie innym niż praca stacjonarna w siedzibie pracodawcy.
Jak więc można znaleźć równowagę między zwiększonym ryzykiem i rozpowszechnionym wykorzystaniem urządzeń osobistych do pracy, a pracą zdalną? Przede wszystkim konieczne jest przedstawienie jasnych wytycznych dotyczących korzystania z urządzeń osobistych.
Polityka „Bring Your Own Device” (BYOD) powinna być ujęta w najlepszych praktykach bezpieczeństwa danych, zobowiązując wszystkich pracowników do utrzymania wysokiego poziomu bezpieczeństwa na każdym urządzeniu, które ma dostęp do firmowych dokumentów i sieci – od instalacji oprogramowania zabezpieczającego po zainstalowanie łatek i aktualizacji, gdy tylko będą one dostępne.
5. Szkolenie i edukacja
Umieszczenie procedur i instrukcji w dokumentacji to jedno, ale aby stały się one częścią codziennej pracy oraz były przestrzegane niezbędne są szkolenia i działania edukacyjne. W małej firmie obowiązki są często dzielone i ta sama zasada powinna dotyczyć również kwestii cyberbezpieczeństwa, które powinno dla każdego pracownika pozostać priorytetem. Każdy, kto posiada konto lub urządzenie podłączone do sieci, musi zostać przeszkolony do poziomu, na którym zapoznał się z polityką bezpieczeństwa i zna sposoby wdrażania najlepszych praktyk w trakcie wykonywania codziennych obowiązków.
6. Szkolenie personelu
Pracownicy mogą mieć różne doświadczenia i umiejętności z zakresu rozwiązań technicznych. Z tego względu, aby uniknąć tworzenia luk w zabezpieczeniach, wszyscy pracownicy powinni wiedzieć, jak aktualizować swoje urządzenia, rozpoznawać próby phishingu oraz znać procedury zgłaszania naruszeń bezpieczeństwa.
Pracownicy powinni również zobowiązać się do przestrzegania tych zasad, a w zamian za to pracodawcy powinni zapewnić regularne szkolenia odzwierciedlające zmiany w zakresie cyberbezpieczeństwa. Zasady te powinny być wyjaśnione w sposób jasny i przejrzysty, zwłaszcza jeśli dotyczą stosowania urządzeń osobistych.
7. Hasła
Nikt nie lubi zmieniać haseł. Ale silne, unikalne hasła mają kluczowe znaczenie dla poprawy bezpieczeństwa. Istnieje wiele ważnych rad dotyczących tworzenia silnych haseł, jednak podstawowa zasada to nieużywanie tego samego hasła w żadnym wypadku ponownie.
Może się to wydawać wygodne, bo hasło może być łatwiejsze do zapamiętania, ale jeśli znajdzie się w rękach hakera, będzie miał niestety dostęp do każdego konta, które ma to samo hasło. Dla zrównoważenia wygody i wysokiego poziomu bezpieczeństwa, można korzystać z menedżera haseł, który generuje silne hasła, regularnie je zmienia, a użytkownik cały czas musi pamiętać jedynie jedno hasło główne, co znacząco wypływa na bezpieczeństwo całej sieci.
8. Uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe (2FA) jest coraz częściej spotykane w bankach, sklepach internetowych i mediach społecznościowych. Ta dodatkowa warstwa bezpieczeństwa wymaga od użytkownika zarówno znajomości hasła, jak i podania unikalnego kodu, który często wysyłany jest SMS-em lub e-mailem w celu weryfikacji, czy logowanie jest dokonane przez uprawnionego użytkownika. Pracownicy powinni być zachęcani do włączania uwierzytelniania dwuskładnikowego we wszystkich usługach, które udostępniają taką możliwość.
Nie ponosząc żadnych dodatkowych kosztów, możemy w bardzo prosty sposób zwiększyć bezpieczeństwo. Szkolenie i wdrożenie tego typu logowania będzie również szybkie, ponieważ wielu pracowników prawdopodobnie poznało już tę funkcję na swoich kontach osobistych.
9. Oprogramowanie i narzędzia
Przy tak szerokim wachlarzu dostępnych obecnie narzędzi bezpieczeństwa, trudno jest określić, które z nich są niezbędne i warte inwestycji, a które spokojnie można pominąć. Oprócz wspomnianego powyżej menedżera haseł i kopii zapasowych w chmurze, jakie inne narzędzia mogą mieć duże znaczenie dla cyberbezpieczeństwa małej lub średniej firmy?
10. VPN
Wirtualna sieć prywatna (VPN) jest coraz bardziej powszechnym narzędziem bezpieczeństwa dla użytkowników domowych. Tworzy ona zaszyfrowany „tunel”, który chroni prywatność użytkowników (dane aktywność użytkowników, adresy IP) przed osobami trzecimi. Po zainstalowaniu sieci VPN, jej uruchomienie ogranicza się zazwyczaj do jednego kliknięcia, co czyni go idealnym dla pracowników zdalnych mających dostęp do poufnych danych.
11. Zapora sieciowa
Zapora sieciowa to ważna pierwsza linia obrony. Jak sama nazwa wskazuje, zapora sieciowa stanowi barierę pomiędzy siecią a ewentualnymi cyberatakami. Zapora może być używana w wielu konfiguracjach, zarówno wewnętrznych, jak i zewnętrznych i powinna stanowić warunek konieczny dla osób korzystających z prywatnego sprzętu, dla osób pracujących zdalnie oraz dla jakiegokolwiek sprzętu podłączonego do sieci firmowej.
12. Oprogramowanie Anti-Malware
Ze względu na dużą liczbę wykrytych już ataków phishingu, wiele osób zakłada, że wiadomości e-mail tego typu są łatwe do zidentyfikowania. W rzeczywistości ataki phishingowe wciąż zdarzają się bardzo często oraz niestety stają się coraz bardziej wyrafinowane. Dlatego oprócz szkolenia personelu, oprogramowanie antywirusowe na poziomie sieci i urządzeń jest niezbędne, aby zminimalizować wpływ błędów ludzkich.
13. Zainstaluj aktualizacje
Oprogramowanie antywirusowe jest najbardziej skuteczne tylko wtedy, gdy jest regularnie aktualizowane w celu uwzględnienia nowych luk w zabezpieczeniach lub rozpoznania nowych typów ataków. Dopilnowanie, aby każde urządzenie – od drukarek i laptopów po smartfony – posiadało najnowsze poprawki i aktualizacje, może być trudne dla dużej firmy, ale jest już bardzo osiągalne w małej lub średniej firmie.
Ogólnodostępne urządzenia firmowe, takie jak np. serwery, powinny być aktualizowane przez pracowników, którzy w ramach swoich obowiązków zarządzają bezpieczeństwem informatycznym, natomiast pozostali pracownicy powinni odpowiadać za sprzęt, na którym pracują. Szkolenia oraz polityka bezpieczeństwa firmy powinny jasno określać obowiązki pracownika w tym zakresie, co uchroni firmę przed naruszeniem bezpieczeństwa z powodu ewentualnych luk w oprogramowaniu.
Budowa całościowej struktury cyberbezpieczeństwa
Po wdrożeniu tych najlepszych praktyk w zakresie cyberbezpieczeństwa w firmie, praca tak naprawdę dopiero się zaczyna. Osobiste zaangażowanie każdego pracownika w pracę nad cyberbezpieczeństwem firmy jest bardzo ważne, ponieważ wzrasta ich codzienna świadomość zagrożeń, a dobre praktyki w zakresie bezpieczeństwa stają się częścią kultury organizacyjnej firmy, co ma kluczowe znaczenie dla poprawy bezpieczeństwa całego przedsiębiorstwa.
Cyberataki stale się zmieniają, co oznacza, że rozwiązania z zakresu bezpieczeństwa muszą dotrzymywać im kroku, aby pozostać skuteczne. Wiedza na temat najnowszych ataków oraz środków bezpieczeństwa jest kluczowa dla zrozumienia powagi sytuacji i bezpieczeństwa Twojego zespołu, ale nie mając zbyt wiele czasu, właściciele firm rzadko są w stanie sami stać się ekspertami w dziedzinie cyberbezpieczeństwa. Dlatego wybór odpowiedniego oprogramowania staje się jeszcze ważniejszy.
Darmowe programy antywirusowe mogą wykonywać podstawowe skanowanie w poszukiwaniu wirusów, ale nie będą miały zasobów do ciągłego monitorowania nowych zagrożeń i luk w zabezpieczeniach. Dlatego warto przyjrzeć się płatnym usługom, może to być niedrogi sposób na zapewnienie swojej firmie najlepszej i najbardziej aktualnej ochrony firmowej sieci.
Połączenie wdrożenia nowych procesów, regularnych szkoleń i aktualizacji oprogramowania pod kątem najnowszych zagrożeń będzie wymagało pracy, ale wynikająca z tego całościowa strategia może znacząco poprawić bezpieczeństwo Twojej firmy.
Gwarancja ochrony dla Twojej firmy
Programy Avast i AVG zapewniają pełną ochronę online nowej generacji dla małych firm, które chcą zabezpieczyć urządzenia i dane przed najnowszymi cyberzagrożeniami. Oprogramowanie zapewnia solidną ochronę w czasie rzeczywistym, która jest łatwa do zainstalowania, ekonomiczna i niezawodna – dzięki temu można skupić się na prowadzeniu firmy z pełnym zaufaniem i spokojem.
Profesjonalna ochrona firmowych komputerów dzięki program od AVG i Avast:
- Gwarancja 100% bezpieczeństwa online dzięki AVG Internet Security lub Avast Business Antivirus Pro Plus
- Prywatne połączenie VPN dzięki AVG Secure VPN lub Avast Secure Line VPN
- Poprawa wydajności komputera dzięki AVG TuneUP lub
Źródło: https://blog.avast.com/smb-cybersecurity-best-practices-avast
Pytanie do Pana Tomka Wasiewicza : Witam, Ponad tydzien temu napisalam do mojego dawnego kolegi, ktory jest informatykiem programista java i zajmuje sie tworzeniem walletow do przechowywania bitcoina dla firm i korporacji, napisalam z ciekawosci co u niego i na czym polega jego praca, nie odpisywal jakies 24 godziny a nastepnego dnia jak ogladalam youtube to weszlam na msg sprawdzic co do niego napisalam czy moze cos nie tak, ze nie odpisuje, nagle jakby z powietrza wyswietlil sie link przekierowujacy widoczny jakby sekunde byly tam literki fb i cos tam dalej wyczulam ze cos nie tak lub jakis blad to… Czytaj więcej »
Dzień dobry Pani Magdaleno, Uspokajam, nie sądzę żeby Pani dawny kolega celowo podesłał narzędzie do szpiegowania w celu przeglądania Pani wiadomości czy podglądania Pani. Nie uważam też, że ktokolwiek przeglądał Pani wiadomości czy Panią podglądał. Faktycznie wygląda to jak wirus, który zaatakował aplikację. Prawdopodobnie pechowo tak się złożyło, że „zaatakował” linkiem akurat wtedy jak Pani napisała do kolegi. Jest też szansa, że kolega tej wiadomości nigdy nie otrzymał, bo wirus zablokował ruch na zewnątrz. Dobrze, że Pani usunęła aplikację. Uważam, że spokojnie może Pani jeszcze raz ją zainstalować, koniecznie ze sklepu Google Play. To prawda, osoby na LinkedIn z kontem… Czytaj więcej »
Dziekuje bardzo 🙂 czyli nie bylo na pewno mozliwosci podgladania mnie? 🙂 uzywam tablet samsung kilkuletni
Nie, nie sądzę żeby to miało miejsce.
Dziekuje za odpowiedzi, jeszcze chcialabym dodac pare rzeczy nadal mysle o tej dziwnej sytuacji, bo on jest specjalista od IT, mozna powiedziec ten kolega to moj byly ale to bylo bardzo dawno temu i nie bylo to powazne gdyz wtedy bylismy mlodzi, potem w szkole mowilismy po kolezensku i potem wiele lat bez kontaktu. Nigdy nie zdarzyla mi sie taka sytuacja z takim linkiem atrapa fb jak wtedy kiedy do niego napisalam, ciezko mi powiedziec skad on sie pojawil jak bylam na msg i wtedy moj fb zostal zablokowany, gdyz bylo ryzyko ze ktos sie zalogowal (jednak fb nie pokazal… Czytaj więcej »
I przepraszam za powtarzanie sie 🙂
Pani Magdo, Zacznę od szczerego wyznania, że nie mogę tego być na 100% pewnym. Jednakże na mocy tego co Pani mi opisała odpowiadam tak jakbym zareagował, gdyby to mi się przydarzyło. Po pierwsze, ciężko mi uwierzyć, że kolega, dawna sympatia, nagle zapałała chęcią zemstą na Pani po latach. Ludzie w takich przypadkach raczej znów zostają parami, a nie się mszczą. Po drugie, pracuje z kilkudziesięcioma specjalistami od IT i dałbym sobie rękę uciąć, że żaden z nich nie przejmuje kont Facebookowych po godzinach. Tak, PDF mógł coś zawierać. Również sam fakt, że kliknęła Pani ten link mógł wystarczyć by coś… Czytaj więcej »
Dziekuje bardzo za odpowiedz, pozdrawiam 🙂
Bardzo proszę i również pozdrawiam! Oby już nic podobnego Pani nie spotkało.