ENISA przedstawia 12 kroków, jak zadbać o cyberbezpieczeństwo firmy

Wybuch pandemii COVID-19 wymusił na pracodawcach wypracowanie zupełnie nowego modelu pracy zdalnej. Wymagało to znalezienia rozwiązań, które umożliwią dostęp do danych firmowych wszystkim pracownikom, bez konieczności wychodzenia z domu.  

Szczególne znaczenie miało do dla firm z sektora małych i średnich przedsiębiorstw (MŚP), których w Polsce jest ponad 2 miliony. Zatrudniają one około 7 mln osób, które w codziennej pracy korzystają z sieci, stanowiącej potencjalne źródło zagrożenia – informuje KPRM.

Cyberbezpieczeństwo w MŚP 

„Niemal każda firma narażona jest na ataki cyberprzestępców, włamania do systemu czy próby wyłudzenia danych klientów. Są to zagrożenia jak najbardziej realne. Dlatego warto stosować podstawowe zasady cyberhigieny i zalecenia, których wdrożenie poprawi poziom cyberbezpieczeństwa przedsiębiorstwa” – podkreśla minister Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa.

W ostatnim czasie Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przeprowadziła raport, który wykazał, że firmy z sektora MŚP obawiają się incydentów, które mogą uderzyć w ich infrastrukturę informacyjną, co może prowadzić do ich paraliżu – podkreśla KPRM.

Poradnik 12 kroków

W odpowiedzi na te obawy, ENISA opublikowała poradnik 12 kroków, w którym radzi, jak dobrze zabezpieczyć swoją firmę.

1. Buduj kulturę cyberbezpieczeństwa

Wszelkie działania należy rozpocząć od budowy kultury cyberbezpieczeństwa. Warto wyznaczyć osoby, które będą odpowiedzialne za zarządzanie tym obszarem. ENISA radzi, by przeprowadzić audyt posiadanych zabezpieczeń i pamiętać o przestrzeganiu zasad ochrony danych w oparciu o RODO.

2. Zadbaj o odpowiednie szkolenia

Organizowanie szkoleń dla pracowników – zdaniem ENISA – „pozwoli na zbudowanie umiejętności i kompetencji wymaganych do skutecznego wykonywania swoich zadań”. 

3. Zadbaj o bezpieczeństwo podmiotów zewnętrznych

Firma powinna mieć na uwadze również to, że jej bezpieczeństwo zależy także od podmiotów zewnętrznych, z którymi współpracuje i regulacji prawnych między nimi.

4. Opracuj plan reagowania na incydenty

Przedsiębiorstwo powinno opracować również plan reagowania na incydenty w celu zapewnienia „profesjonalnej, sprawnej i szybkiej reakcji” w sytuacji cyberzagrożenia.

5. Zabezpiecz dostęp do systemów

Hasła, których używają pracownicy nie mogą być „typowe” i łatwe do rozszyfrowania. ENISA zachęca, by „opierały się na co najmniej trzech losowych słowach połączonych we frazę”. Należy także używać innych haseł w różnych serwisach, włączyć uwierzytelnianie wieloskładnikowe i nie udostępniać nikomu tego typu informacji. Pomocny w tym zakresie może okazać się manager haseł. 

6. Zabezpiecz urządzenia

Bezpieczeństwo urządzeń to kolejny krok do bezpieczeństwa. Aktualizacja oprogramowania i instalacja rozwiązań antywirusowych, kontrola poczty elektronicznej pod kątem wiadomości niewiadomego pochodzenia, szyfrowanie danych stanowią kluczowe zalecenia.

W czasie pracy zdalnej wielu pracowników korzysta z urządzeń domowych, które nie posiadają odpowiedniej ochrony i za ich pomocą cyberprzestępcy w łatwy sposób mogą zyskać dostęp do wrażliwych danych firmowych. ENISA zaleca „zastosowanie rozwiązania do zarządzania urządzeniami mobilnymi”, co pozwoli poprawić ich ochronę.

7. Zabezpiecz swoją sieć

Z kolei bezpieczeństwo sieci wymaga zastosowania zapór ogniowych (ang. firewall), stanowiących ochronę przed zagrożeniami pochodzącymi z internetu. Wspierać to powinny aktualne rozwiązania zdalnego dostępu, zapewniające połączenie z wewnętrznymi systemami tylko i wyłącznie pracownikom. 

8. Zwiększ bezpieczeństwo fizyczne

ENISA podkreśla znaczenie bezpieczeństwa fizycznego wszędzie tam, gdzie znajdują się dane. Pracownicy powinni zwracać uwagę na to, gdzie zostawiają urządzenia i dokumenty firmowe, aby nie narazić firmy na niepotrzebne ryzyko.

9. Zadbaj o kopie zapasowe

Przedsiębiorstwo może zminimalizować szansę utraty kluczowych danych, jeśli będzie pamiętać o regularnym tworzeniu szyfrowanych kopii zapasowych, które pozwolą na naprawę systemów na wypadek ataku ransomware.

10. Korzystaj z chmury

ENISA stworzyła osobny poradnik, który dotyczy bezpieczeństwa danych przechowywanych w chmurze. Ważne jest, aby ewentualny dostawca takiej usługi przestrzegał regulacji prawnych w zakresie ochrony danych, które funkcjonują na terenie Unii Europejskiej.

11. Zabezpiecz strony internetowe

Luki w zabezpieczeniach strony internetowej firmy to potencjalna zachęta dla cyberprzestępców. ENISA przestrzega, aby zadbać o ich konfigurację i bezpieczeństwo.

12. Szukaj informacji, rozpowszechniaj wiedzę

Wymiana informacji między firmami z sektora MŚP stanowi również skuteczne narzędzie pozwalające na ochronę przed cyberprzestępcami, gdyż łatwiej korzystać z rozwiązań sprawdzonych i polecanych przez innych.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

Fot. Reklama