Mareritt på Cyber Street – håndtering av risikoen ved fjernarbeid
Det var min første dag tilbake ved skrivebordet mitt på mandag denne uken, og jeg skremte meg nesten i hjel ved å lese denne interessante artikkelen om nettkriminalitet i 2015. Bare navnene knyttet til cybertrusler advarer om deres ondsinnede natur og gir deg et dårlig tilfelle av heebie-jeebies. Hvem ønsker å bli "hacket" eller lide av et "maskeangrep" eller til og med lide av en "cyber-orm"? Yuk!
Dette er imidlertid ikke noe mareritt, det er virkeligheten. Det ser ut til at truslene blir mer alvorlige, mer regelmessige og har dyrere konsekvenser. Inntil nylig var jeg en selvtilfreds iOS-bruker som trodde at, forutsatt at jeg fulgte alle de vanlige reglene, hadde de flinke gutta hos Apple dekket det. Men mens Android-angrep er mer vanlige, spår bloggen strengere forsøk på å angripe iOS etter hvert som de vinner markedsandeler.
Bekymringene har også økt etter hvert som flere organisasjoner er avhengige av fjernarbeidere og behovet for ansatte å få ekstern tilgang til systemene sine.
Så hvis du har omfavnet spranget til enhetlig kommunikasjon for å bidra til effektivitet, bedre samarbeid og kundeservice, er sjansen stor for at du har investert i teknologi og arkitektur som fullt ut støtter flere operativsystemer og enheter og til og med BYOD (ta med din egen enhet).
Men har du omfavnet og tatt tak i de tilhørende risikoene på samme måte?
A Undersøkelsen utført i USA i fjor fremhevet at 94 % av heltidsansatte regelmessig kobler mobilenheten til et offentlig Wi-Fi-nettverk. Ikke i seg selv, et stort problem, men gitt resten av statistikken som er rapportert, slik som at 41 % ikke visste hva tofaktorautentisering var og 37 % bare endret passord sporadisk eller årlig, er det veldig bekymringsfullt. Les og fortell meg at du er sikker på at dine retningslinjer og opplæring har dekket det!
Jeg mistenker at en tredjedel av dere ikke har det. De HM Government Information Security Breaches Survey 2015 identifiserte at 32 % av respondentene ikke hadde utført noen form for sikkerhet risikovurdering og det var opp fra 20 % fra året før. Nå er det skummelt!
Så hva bør jeg gjøre?
Få en plan
Et flott sted å begynne er å ta en titt ISO 27001. Den gir rammeverket for "beste praksis" for å holde deg trygg, inkludert områder som beskyttelse mot skadelig programvare, kontroll av programvareinstallasjon på operasjonelle systemer, aktivaadministrasjon og menneskelig ressurssikkerhet.
Etter ISO 27001 standard, med eller uten akkreditering vil oppmuntre deg til å se på alle områder av informasjonssikkerhet i virksomheten din og sette på plass retningslinjer og kontroller for ikke bare å beskytte organisasjonen din, men også hva du skal gjøre i tilfelle et brudd.
Administrer eiendelene dine
Vi har ISO 27001: 2013 akkreditering og 8.1 i standarden tar for seg kapitalforvaltning. Vi bruker vår egen ISMS.online plattform som har et rammeverk der vi registrerer alle eiendeler og enhver enhet som eies av en ansatt, men som brukes til informasjonsbehandling. På den måten kan ansattgrupper settes opp etter for eksempel operativsystemet de bruker, og potensielle trusler og sårbarheter varslet til alle berørte ved å klikke på en knapp. For hastetiltak kan det settes opp oppgaver som individene skal bekrefte og bekrefte når nødvendige skritt er tatt.
Rapportering om informasjonssikkerhetshendelser
Dessverre vil sikkerhetshendelser være uunngåelige, men takket være ISO 27001, har vi retningslinjer på plass for å rapportere potensielle sikkerhetstrusler som tapte eller stjålne enheter, mistenkte brudd på sikkerheten eller funksjonsfeil i programvare eller maskinvare. Enhver mistenkt risiko vurderes av vår seniorinformasjon Risk Officer og, der det er nødvendig, lagt inn på vårt system som en sikkerhetshendelse. Vi bruker sporingsverktøyet vårt for å følge hendelsen til en tilfredsstillende konklusjon og, der det er mulig, a korrigerende handling eller forbedring.
Utdannelse av ansatte
Det er sant å si det uansett løsninger du setter på plass de er bare så gode som engasjementet de får fra dine ansatte.
ISO 27001 dekker menneskelig sikkerhet godt, men alle retningslinjene i verden vil ikke beskytte deg hvis en ansatt ikke leste introduksjonsmanualen hans eller forstår viktigheten av informasjonssikkerhet i organisasjonen.
Vi vet fra alt vi leser at den menneskelige faktoren er en av de største sikkerhetshodepinene i enhver organisasjon, så å takle det er en grunnleggende del av enhver styringssystem for informasjonssikkerhet. Heldigvis er det virkelig her ISMS.online kommer til sin rett, og drar nytte av sin arv som en samarbeidsplattform, pam.
Alle politikk og kontroller lagres trygt på ett sted med kommunikasjon, fra induksjonstrening til exit management, målrettet mot enkeltpersoner på behov for å vite-basis. Grupper kan settes opp rundt hvilke kriterier du velger, og meldinger og oppdateringer kun varsles til de de påvirker. Handlinger kan gis i oppgave med tidsfrister og avmelding eller godkjenning.
Så hvis de ansatte kjemper mot hundrevis av e-poster hver dag, er sjansen stor for at de vil gå glipp av den om den siste store Android-trusselen, iOS-oppdateringen eller svindelen, og en sprekk i rustningen din kan nettopp ha dukket opp. Hvor mye mer nyttig ville det være å sette varsler med handlingsfrister som kan gjennomgås og avskrives?
Selvfølgelig vil mange av dere se ISO 27001 som å skape sitt eget mareritt... en overflod av papirarbeid og dokumenter, vanskelig å engasjere ansatte i og ressurskrevende å implementere og vedlikeholde.
Det trenger virkelig ikke være sånn. Hvis du har investert i teknologi for å løse andre forretningsbehov, se deretter til teknologi for å gjøre implementering og vedlikehold av ISMS enkelt og effektivt.
Behold marerittene som bare det, og gjør 2016 til året for å takle risikoene med en enkel å håndtere styringssystem for informasjonssikkerhet.
Hvis du vil vite mer om hvordan ISMS.online vil hjelpe deg å oppnå ISO 27001 raskere og mer kostnadseffektivt, eller du ønsker å ta ISMS på nettet, Kontakt oss i dag for en gratis demo eller for å snakke om kravene dine mer detaljert.
