ลองนึกภาพสิ่งนี้: เป็นฤดูภาษี และผู้อำนวยการฝ่ายทรัพยากรบุคคลของคุณได้รับอีเมลจากบุคคลที่แอบอ้างเป็นคุณ ซึ่งเป็น CEO ผู้อำนวยการฝ่ายทรัพยากรบุคคลคิดว่าอีเมลนั้นถูกต้องและปฏิบัติตามคำขอให้ส่งสำเนา W2 ของพนักงานทั้งหมดของคุณ วันต่อมา ผู้ส่งอีเมลซึ่งเป็นแฮ็กเกอร์ที่มีทักษะจริงๆ ใช้ W2 เหล่านั้นเพื่อยื่นแบบแสดงรายการภาษีปลอม
การโจมตีทางไซเบอร์แบบนี้เกิดขึ้นทุกวัน และถ้าคุณบริหารบริษัทขนาดเล็กหรือขนาดกลาง คุณก็ตกเป็นเป้าโจมตีโดยตรง บริษัทขนาดเล็กและขนาดกลางตกเป็นเหยื่อของการละเมิดข้อมูลส่วนใหญ่ เนื่องจากพวกเขามีแนวโน้มที่จะ:
- ขาดมาตรการรักษาความปลอดภัยและบุคลากรที่ผ่านการฝึกอบรมเพียงพอ
- เก็บข้อมูลที่มีค่าสำหรับแฮกเกอร์ (เช่น หมายเลขบัตรเครดิต ข้อมูลสุขภาพที่ได้รับการคุ้มครอง)
- ละเลยการใช้แหล่งภายนอกหรือบริการของบุคคลที่สามเพื่อสำรองไฟล์หรือข้อมูล ทำให้เสี่ยงต่อแรนซัมแวร์
- เชื่อมต่อกับห่วงโซ่อุปทานของบริษัทขนาดใหญ่ และสามารถยกระดับเพื่อทำลาย
ล่าสุดของเรา รายงาน - ความร่วมมือด้านการวิจัยกับ ซิสโก้ และ ศูนย์แห่งชาติเพื่อตลาดกลาง - อิงจากข้อมูลจาก 1,377 CEO ของธุรกิจขนาดเล็กและขนาดกลางที่เล่าเรื่องคล้ายกัน ร้อยละ 62 ของผู้ตอบแบบสอบถามกล่าวว่าบริษัทของพวกเขาไม่มีกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่เป็นปัจจุบันหรือเชิงรุก หรือมีกลยุทธ์ใดๆ เลย และนั่นเป็นปัญหาใหญ่ เนื่องจากการโจมตีทางไซเบอร์มีค่าใช้จ่ายสูงพอที่จะทำให้บริษัทต้องเลิกกิจการ ตาม National Cyber Security Alliance 60 เปอร์เซ็นต์ของธุรกิจขนาดเล็กและขนาดกลางที่ถูกแฮ็กออกจากธุรกิจภายในหกเดือน
หากคุณเป็นหนึ่งในบรรดา CEO เหล่านี้ ถึงเวลาต้องเปลี่ยนแปลง ทำตามสี่ขั้นตอนเหล่านี้เพื่อเริ่มสร้างกลยุทธ์ความปลอดภัยทางไซเบอร์ที่ป้องกันไม่ให้แฮ็กเกอร์ออกจากธุรกิจของคุณ
1. กำหนดสถานะการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบันของบริษัทของคุณ
รวบรวมสมาชิกในทีมผู้นำระดับสูง คณะกรรมการบริษัท และนักลงทุนเพื่อดำเนินการตรวจสอบธุรกิจอย่างไม่เป็นทางการ ทำความเข้าใจกับระดับความปลอดภัยที่คุณมีในวันนี้
คำถามที่จะถาม: มีใครรับผิดชอบความปลอดภัยทางไซเบอร์ของเราหรือไม่? เรามีการป้องกันอะไรอยู่แล้ว? กลยุทธ์ของเราครอบคลุมและประสานงานกันหรือไม่? ถ้าไม่เราสามารถระบุจุดอ่อนของเรา?
2. ระบุบุคคลสำคัญที่รับผิดชอบความปลอดภัยทางไซเบอร์ของคุณ
ดึงดูดผู้นำจากทั่วทั้งองค์กร ไม่ใช่แค่ผู้ที่อยู่ในฝ่ายไอที รวมผู้คนจากสายงานต่างๆ เช่น มนุษยสัมพันธ์ การตลาด การดำเนินงาน และการเงิน ผู้เล่นคนอื่นๆ ที่จำเป็นสำหรับการสนทนานี้คือทนายความและนักบัญชี/ผู้ตรวจสอบของคุณ
คำถามที่จะถาม: ใครควรรับผิดชอบความปลอดภัยทางไซเบอร์ของเรา? เราสามารถใช้กระบวนการใดได้บ้างเพื่อให้มั่นใจในความรับผิดชอบ เราจะสื่อสารและเพิ่มการรับรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ในแผนกและทีมต่างๆ ของเราได้อย่างไร
3. ตรวจสอบรายการทรัพย์สินของคุณ กำหนดมูลค่าและจัดลำดับความสำคัญของสินทรัพย์ที่สำคัญที่สุดของคุณ
ระบุ 'มงกุฎเพชร' ในบริษัทของคุณ ไม่ว่าจะเป็นบันทึกของพนักงาน ทรัพย์สินทางปัญญา หรือข้อมูลลูกค้า รับรู้ว่าคุณจะไม่ปลอดภัย 100% จากการโจมตี ดังนั้นการจัดลำดับความสำคัญด้านการป้องกันจึงเป็นสิ่งสำคัญ
คำถามที่จะถาม: อะไรคือทรัพย์สินที่สำคัญที่สุดที่เราต้องปกป้อง? ข้อมูลลูกค้า? ทรัพย์สินทางปัญญา? บันทึกพนักงาน? เราสามารถวัดระดับการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความปลอดภัยของทรัพย์สินที่สำคัญที่สุดของเราได้หรือไม่
4. ตัดสินใจเลือกความสามารถทางธุรกิจและมาตรการรักษาความปลอดภัยทางไซเบอร์ที่คุณต้องการจัดการด้วยตัวเองกับการเอาต์ซอร์ซ
พิจารณาว่าเหมาะสมหรือไม่ที่จะเอาท์ซอร์สบางแง่มุมของธุรกิจของคุณไปยังระบบบนคลาวด์เพื่อเพิ่มความปลอดภัยของคุณ ในขณะเดียวกัน ให้พิจารณาว่าเหมาะสมหรือไม่ที่จะว่าจ้างผู้เชี่ยวชาญหรือผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ ตัดสินใจว่าคุณต้องการทำงานร่วมกับที่ปรึกษาเพื่อคิดแผนความปลอดภัยทางไซเบอร์ของคุณหรือถ้าคุณต้องการจ้างการรักษาความปลอดภัยทางไซเบอร์จากภายนอก
คำถามที่จะถาม: ธุรกิจของเรามีแง่มุมใดบ้าง เช่น การปฏิบัติตามคำสั่งซื้อ เราควรจัดการภายในกับจ้างบุคคลภายนอก (เช่น Amazon, Cisco, Google) เราควรเอาท์ซอร์สการรักษาความปลอดภัยทางไซเบอร์ของเราไปยังบริการของบุคคลที่สามหรือไม่? เราควรใช้โมเดล CIO แบบเศษส่วนและขอคำปรึกษาด้านความปลอดภัยทางไซเบอร์หรือไม่? หรือเราควรจัดการกระบวนการทั้งหมดด้วยตัวเอง?
แบรนดี้ แมกซี่เอลอายุเท่าไหร่
การป้องกันที่ดีที่สุดคือการรุกที่ดี ให้ความสำคัญกับการปกป้องข้อมูลของคุณเพื่อประโยชน์ของพนักงาน ลูกค้า และสุขภาพในระยะยาวของธุรกิจของคุณ