Typické chyby v kybernetickej bezpečnosti začínajúcich firiem
Na internete nájdete mnoho článkov zaoberajúcimi sa rôznymi biznisovými, marketingovými či rozpočtovými chybami začínajúcich spoločností, ale len málokto sa venuje problematike začiatočníckych kybernetických chýb pri budovaní vášho projektu.
Typický začiatočný príbeh startupov: vy a váš známy prídete so skvelým nápadom, prediskutujete ho so svojím najbližším, zhromaždíte skupinu nadšencov váš tím je pripravený. Takto nejako sa začali aj slávne príbehy teraz už známych značiek ako Airbnb, Pinterestu, Twitteru, Uberu a mnohých ďalších známych projektov.
Problémy však nastanú, keď startup prejde od počiatočného nápadu k budovaniu skutočných pracovných postupov a najímaniu ďalších zamestnancov. V tomto bode sa malá skupina rovnako zmýšľajúcich ľudí rozširuje a stáva sa z nej tím náhodných ľudí s rôznymi názormi na život a rôznymi životnými skúsenosťami. V takomto tíme môžu mať zamestnanci veľmi odlišné chápanie toho, ktoré informácie by sa mali považovať za dôverné a ako ich zabezpečiť.
Zároveň ľudia, ktorí prichádzajú pracovať do startupov, sú často len nadšenci a ľudia čo radi skúšajú nové veci – rýchlo si vašu myšlienku obľúbia, ale následne často dokážu rýchlo zmeniť záujmy a odísť. Navyše, moderné startupy pomerne často závisia od IT špecialistov, ktorí majú vo všeobecnosti tendenciu prechádzať z biznisu do biznisu.
Kombinácia týchto dvoch skutočností môže vytvoriť vysokú fluktuáciu zamestnancov. V takýchto podmienkach sa môžu ľahko množiť rôzne chyby, najmä chyby súvisiace s kybernetickou bezpečnosťou. Preto je ľahké prehliadnuť kybernetickú hrozbu, ktorej sa dá inak pomerne ľahko vyhnúť.
Základné chyby v kybernetickej bezpečnosti začínajúcich firiem
Nadmerné prístupové práva – často, keď začínajúci zamestnanec potrebuje prístup k podnikovým zdrojom alebo službám, okamžite získa administrátorské práva. Osoba, ktorá zdieľa tieto prístupové práva, si zvyčajne myslí, že je jednoduchšie poskytnúť prístup ku všetkému raz, bez toho, aby pochopila skutočné potreby konkrétneho zamestnanca a jeho zodpovednosti, ako dostávať nové žiadosti o prístup každý týždeň. Ale čím viac prístupových práv má zamestnanec, tým rastie pravdepodobnosť chyby. Ak chcete minimalizovať počet kybernetických incidentov, každý užívateľ by mal mať iba tie prístupové práva, ktoré sú nevyhnutné pre jeho úlohy.
Absencia systému ukladania informácií – vo všeobecnosti je to zlé pre každé podnikanie. Ale v startupe sa môže stať, že kvôli vyššie spomínanej fluktuácii zamestnancov jedného dňa jednoducho nebudete vedieť nájsť dôležité pracovné súbory. S najväčšou pravdepodobnosťou niekde existujú, ale kde presne je už tajomstvo. Vývojár alebo marketingový stážista o tom raz vedel, no nedávno zo spoločnosti odišiel bez toho, aby to komukoľvek povedal.
Zabudnuté heslá – ďalším častým problémom sú zabudnuté heslá pre firemné sociálne siete či iné zriedka používané služby. Možno si nový zamestnanec založí účet na Facebooku alebo LinkedIn, aby pomohol propagovať podnikanie, ale nedokáže zdieľať podrobnosti o účte s ostatnými zamestnancami, potom náhodou odíde – a prihlasovacie údaje sú preč, s malou šancou na obnovenie.
Zdieľané heslá – niektorí ľudia si môžu myslieť, že môže byť dobrý nápad používať zdieľané účty. Čím viac ľudí však heslo pozná, tým je pravdepodobnejšie, že unikne v dôsledku phishingu, nedbalosti alebo zlého úmyslu. Navyše to značne komplikuje vyšetrovanie incidentu, keď k nemu dôjde. Povedzme, že sa ukáže, že niekto získal prístup k účtu – odborníci majú podozrenie, že heslo zachytil malvér a chcú skontrolovať počítač zamestnanca, ktorý mal prístup. Len aby ste zistili, že každý prístup mal ktokoľvek zo spoločnosti.
Heslá v cloudových službách – ďalšou chybou súvisiacou s heslom je ich uloženie do nejakého súboru napríklad v Dokumentoch Google, pretože ich základné nastavenie znamená, že sú tieto dokumenty zvyčajne prístupné každému, kto má odkaz. Výhodou sa môže zdať, že je veľmi pohodlné preniesť potrebné informácie všetkým zamestnancom naraz – stačí vložiť všetky potrebné heslá do jedného dokumentu a poslať im odkaz. Takéto cloudové dokumenty však môžu indexovať aj vyhľadávače. Inými slovami, súbor so všetkými vašimi heslami sa môže potenciálne dostať do nesprávnych rúk.
Absencia dvojfaktorovej autentifikácie – niektoré problémy spojené s heslami by boli menej časté, keby startupy nezanedbávali dvojfaktorovú autentifikáciu na pracovných účtoch. To umožňuje chrániť dôležité údaje pred rôznymi metódami krádeže, ako je napríklad phishing.
Univerzálne tipy na prevenciu kybernetických hrozieb
Aby ste sa vyhli „typickým“ chybám, ktorých sa dopúšťa mnoho malých podnikov a začínajúcich podnikov, skúste postupovať podľa týchto tipov:
- Pokiaľ ide o udeľovanie prístupu k zdrojom alebo službám, mali by ste dodržiavať zásadu najmenších privilégií. To znamená, že zamestnanec musí mať minimálny súbor prístupových práv – dostatočný len na vykonávanie svojich úloh.
- Zistite presne, kde sú uložené dôležité informácie vášho podnikania a kto k nim má prístup. Z toho vypracujte usmernenia pri prijímaní nových zamestnancov, vrátane jasného definovania toho, ktoré účty sú potrebné pre každého zamestnanca a ktoré by mali byť obmedzené len na určité roly.
- Vyspelá firemná kultúra kybernetickej bezpečnosti pomáha predchádzať mnohým kybernetickým hrozbám. Môžete napríklad začať vytvorením príručky kybernetickej bezpečnosti pre zamestnancov, aby boli všetci na rovnakej vlne. Alebo vyskúšať nejaký z online školiacich programov pre zamestnancov.
- Všetky heslá musia byť uložené v zabezpečenom správcovi hesiel. Pomôže vašim zamestnancom, aby ich nezabudli alebo nestratili a tiež minimalizovali šancu, že sa k vašim účtom dostane niekto cudzí. Všade, kde je to možné, používajte aj dvojfaktorové autentifikačné mechanizmy.
- Poraďte svojim zamestnancom, aby si zamkli počítač, keď odídu od stola. Mali by mať na pamäti, že kanceláriu môžu navštíviť všetky druhy tretích strán – vrátane kuriérov, klientov, subdodávateľov alebo uchádzačov o zamestnanie.
- Inštalujte si antivírusový softvér na ochranu zariadení pred vírusmi, trójskymi koňmi a inými škodlivými programami