ความปลอดภัยทางไซเบอร์สําหรับที่ปรึกษา
การเตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุดเป็นความรับผิดชอบของที่ปรึกษาทางการเงิน แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่าพวกเขาอาจเผชิญกับหายนะหากพวกเขาไม่ได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องบริษัทของตนจากการโจมตีทางไซเบอร์
James Harrison ผู้ก่อตั้งและซีอีโอของบริษัทที่ปรึกษาด้านความปลอดภัยในโลกไซเบอร์ Invisus และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ John Sileo กระตุ้นให้ธุรกิจทั้งขนาดใหญ่และขนาดเล็กวางแผนการรักษาความปลอดภัยที่นอกเหนือไปจากการดูแลของผู้อำนวยการฝ่ายไอทีของบริษัทหรือเพื่อนที่เชี่ยวชาญด้านเทคโนโลยี
Harrison กล่าวว่าการพัฒนากลยุทธ์การป้องกันและแผนปฏิบัติการหากมีการรั่วไหลของข้อมูลมีความสำคัญต่อการรักษาความปลอดภัยให้กับบริษัทของคุณและเสริมสร้างการป้องกันทางกฎหมายของคุณ “เราอยู่ในโลกที่ข้อมูลเป็นราชา ข้อมูลคือทองคำ สิ่งนี้มีค่ามากกว่าเครื่องมือทางการเงินมากมาย ดังนั้นความเสี่ยงจากบุคคลที่สามจึงเป็นส่วนที่ควรเป็นส่วนหนึ่งของแผนของคุณ” เขากล่าว
ฟิชชิง การแฮ็กและการโจมตีทางไซเบอร์ประเภทอื่น ๆ ไม่ใช่เรื่องใหม่สำหรับอุตสาหกรรมบริการทางการเงิน แต่หลายบริษัทเผชิญกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา ด้วยการเพิ่มขึ้นของจำนวนพนักงานที่ทำงานจากที่บ้าน ทำให้การสร้างระบบป้องกันทางดิจิทัลมีความสำคัญมาก ยิ่งขึ้น ตามรายงานของผู้เชี่ยวชาญทั้งสอง
การเริ่มต้นใช้งาน
หนึ่งในส่วนที่สำคัญที่สุดในการสร้างแผนความปลอดภัยทางไซเบอร์คือการเลือกบริษัทที่สามารถทำการประเมินความปลอดภัยได้ ตามข้อมูลของ Sileo “หากคุณยังไม่มีบริษัทรักษาความปลอดภัยภายนอกที่ตรวจสอบช่องโหว่ ในการป้องกันของคุณ และผมไม่สนว่าคุณจะทำงานในสำนักงานคนเดียวหรือสำนักงานที่มีพนักงานเป็นพันคน คุณต้องให้ความสำคัญในทันที" เขากล่าว
Sileo กระตุ้นให้ผู้ที่ไม่มีแผนปรึกษากับเพื่อนร่วมงานในอาชีพเพื่อขอคําแนะนํา “หากคุณอยู่ในกลุ่มธุรกิจบางประเภทหรืออยู่ในกลุ่มสมาชิกระดับ Top of the Table ให้ถามว่าพวกเขาใช้ใครในการประเมินความปลอดภัย และหากคุณไม่มี คำแนะนำที่ชัดเจนของผมคือให้คุณไปที่ธนาคารชุมชนท้องถิ่นและสอบถามพวกเขาว่าสามารถแนะนำผู้ให้บริการที่มีชื่อเสียงได้หรือไม่” เขากล่าว
เขากล่าวว่าค่าใช้จ่ายที่เพิ่มขึ้นในการจ้างบริษัทเพื่อดำเนินการประเมินความปลอดภัยทางไซเบอร์นั้นคุ้มค่า เนื่องจากการเปลี่ยนแปลงด้านความปลอดภัยทางไซเบอร์ ที่เกิดขึ้นระหว่างการแพร่ระบาด โดยเฉพาะอย่างยิ่งใน ระบบคลาวด์คอมพิวติ้ง “การป้องกันถูกกว่าการกู้กลับคืนอย่างมาก”
Harrison กล่าวว่าการประเมินจะกำหนดช่องโหว่ของคุณและไม่ว่าคุณมีแผนรักษาความปลอดภัยที่ดีหรือไม่ ประการแรก ที่ปรึกษาจะมองหาความมุ่งมั่นในการจัดการด้านความปลอดภัยทางไซเบอร์ Harrison กล่าว “แล้วมีใครได้รับการแต่งตั้ง (ดูแลความปลอดภัยทางไซเบอร์) บ้างไหม หากคุณเป็นเจ้าของกิจการอิสระแต่เพียงผู้เดียว คน ๆ นั้นก็คือคุณ” เขากล่าว
ผู้ที่อยู่ในบริษัทที่มีหุ้นส่วนไม่กี่คนจะต้องกำหนดว่าใครจะดูแลโปรแกรมความปลอดภัยและตรวจสอบให้แน่ใจว่าแผนนั้นสอดคล้องกับกฎระเบียบด้านความปลอดภัยทางไซเบอร์ ตามคำกล่าวของ Harrison “พวกเขาต้องการดูนโยบายและขั้นตอนปฏิบัติที่เป็นเอกสาร และนี่คือสิ่งที่ผู้ตรวจสอบหรือหน่วยงานกำกับดูแลกำลังมองหา” แผนดังกล่าวควรมีรายการตรวจสอบพื้นฐาน เช่น การประเมินความเสี่ยงประจำปี ข้อมูลเกี่ยวกับการป้องกันการละเมิดข้อมูลและนโยบายการฝึกอบรมเพื่อให้พนักงานปฏิบัติตาม
การมีแผนนี้ไม่เพียงแต่ปกป้องคุณเท่านั้น แต่ยังช่วย ให้ลูกค้ามั่นใจได้ว่าข้อมูลของพวกเขาปลอดภัย Harrison กล่าว “ผมจะไม่พูดว่าคุณต้องแสดงนโยบายและขั้นตอนปฏิบัติของคุณให้ลูกค้าเห็น แต่ความจริงที่คุณมีสิ่งเหล่านี้ควรจะสร้างความสบายใจให้กับพวกเขา — ว่าคุณมีแผนความปลอดภัยเป็นลายลักษณ์อักษร และคุณปฏิบัติตามและเป็นไปตาม SEC และกฎระเบียบของรัฐ” เขากล่าว
ปิดช่องว่าง
เมื่อการประเมินเบื้องต้นเสร็จสิ้น เจ้าของธุรกิจควรใช้สิ่งที่ค้นพบเป็นจุดเริ่มต้นในการกำหนดหรือต่อยอดจากนโยบายและขั้นตอนปฏิบัติที่มีอยู่ Sileo แนะนำให้เริ่มต้นด้วยการระบุคอมพิวเตอร์ที่ใช้ในบริษัทที่มีระบบปฏิบัติการที่ล้าสมัย ในบางกรณี อาจต้องเปลี่ยนคอมพิวเตอร์ใหม่ เนื่องจากเครื่องรุ่นเก่าอาจไม่รองรับการอัปเดตด้านความปลอดภัย เขากล่าว
การอัปเดตระบบเหล่านั้น "สำคัญอย่างยิ่ง" ต่อการทำให้เครือข่ายของคุณไม่สามารถเข้าถึงได้ เขากล่าว ซึ่งรวมถึงอุปกรณ์อิเล็กทรอนิกส์ทั้งหมดที่ใช้ในการทำงาน เช่น คอมพิวเตอร์ แท็บเล็ต โทรศัพท์มือถือและอุปกรณ์อัจฉริยะ Sileo กล่าว โดยแนะนำให้บริษัท โดยเฉพาะบริษัทขนาดเล็ก ตั้งค่าให้การอัปเดตระบบเกิดขึ้นโดยอัตโนมัติ “เพื่อให้คุณอัปเดตตลอดเวลาทุกครั้งที่มีภัยคุกคามใหม่"
การมีแผนนี้ไม่เพียงแต่ปกป้องคุณเท่านั้น แต่ยังช่วยให้ลูกค้ามั่นใจได้ว่าข้อมูลของพวกเขาปลอดภัย
—James Harrison
การตรวจสอบให้แน่ใจว่าข้อมูลได้รับการเข้ารหัสคือ ขั้นตอนต่อไปในการสร้างแผนความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง Sileo กล่าวเสริม ซึ่งรวมถึงข้อมูลทั้งหมดบนคอมพิวเตอร์ ฮาร์ดไดรฟ์และที่สำคัญที่สุดคือการถ่ายโอนระหว่างแพลตฟอร์มหรือไปยังระบบคลาวด์ “ผมไม่สามารถบอกคุณได้ถึงจำนวนอีเมลที่ไม่ได้เข้ารหัสที่ผมเห็นระหว่าง นักวางแผนการเงินและตัวแทนประกันชีวิตที่ส่งไปมากับลูกค้าของพวกเขาที่มีหมายเลขประกันสังคม บัญชีการเงิน และข้อมูลบัญชีธนาคาร” เขากล่าว
อย่างไรก็ตาม ทุกวันนี้ การเข้ารหัสข้อมูลและมาตรการรักษาความปลอดภัยอื่น ๆ เช่น การติดตั้งไฟร์วอลล์และ เครือข่ายส่วนตัวเสมือน (VPN) สามารถปกป้องข้อมูลของบริษัทได้เพียงเล็กน้อยเมื่อพนักงานทำงานนอกสถานที่ Harrison กล่าว เนื่องจากแฮ็กเกอร์สามารถเข้าถึงข้อมูลโดยการเจาะผ่านการเชื่อมต่ออินเทอร์เน็ต Wi-Fi Harrison เตือนว่า “พวกเขาจะเชื่อมต่อผ่าน VPN ของคุณ ผ่านการยืนยันตัวตนแบบหลายปัจจัยทั้งหมดเพื่อเข้าสู่ระบบบริษัทของคุณโดยตรงจากโฮมออฟฟิศของคุณ”
Harrison กล่าวว่า เป็นปัญหาที่แม้แต่บริษัทที่ใหญ่ที่สุดก็ยังเผชิญอยู่ แต่ก็เป็นปัญหาที่แก้ไขได้ง่าย เขาสนับสนุนให้ธุรกิจขนาดใหญ่และขนาดเล็กให้พนักงานลงนามในข้อตกลงเพื่อให้แน่ใจว่าพวกเขาจะปฏิบัติตามระเบียบปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ทำงานจากที่บ้าน บริษัทควรทำการตรวจสอบความปลอดภัยเป็นประจำสำหรับเราเตอร์ Wi-Fi และคอมพิวเตอร์ที่ใช้ที่บ้าน
ก้าวไปไกลกว่าพื้นฐาน
การวางแผนดังกล่าวเป็นขั้นตอนสำหรับการสร้างกลยุทธ์ระยะยาวสำหรับความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง เช่น ดำเนินการตรวจสอบความปลอดภัยเป็นประจำผ่านที่ปรึกษาบุคคลที่สาม Harrison กล่าวว่า การก้าวไปไกลกว่าทีมไอทีภายในองค์กรของคุณนั้นจำเป็นต้องติดตามภัยคุกคามที่เปลี่ยนแปลงตลอดเวลาและกฎระเบียบใหม่อยู่เสมอ
การทดสอบช่องโหว่ของคุณและติดตามกฎระเบียบใหม่อยู่เสมอเป็นงานที่ผู้เชี่ยวชาญด้านไอทีจำนวนมากไม่พร้อมรับมือ เขากล่าว “การทดสอบ [ช่องโหว่] จากภายนอกสู่ ภายในเป็นอีกส่วนที่คนไอทีมักไม่ทำ พวกเขาไม่ได้นำเครื่องมือที่ทนทานเหล่านี้เข้ามาและพยายามแฮ็กหรือทำลาย เครือข่ายของคุณ และดูว่าคุณจะโดนแฮ็กที่จุดใด”
Harrison กล่าวว่า บางครั้งการโจมตีทางไซเบอร์มาจากบริษัทที่คุณสังกัดอยู่ซึ่งตกเป็นเป้าหมายของแฮ็กเกอร์ทำให้อุดช่องโหว่ได้ยากขึ้น Harrison กล่าว เขาสังเกตเห็นการพัฒนาเมื่อเร็ว ๆ นี้กับผู้จัดการกองทุนเฮดจ์ฟันด์ที่ซื้อขายหุ้นของบริษัทที่ติดอันดับ Fortune 500 ซึ่งเขาได้เรียนรู้ว่าหลายคนกำลังค้นคว้าข้อมูลบริษัทในเครือของบริษัทเหล่านี้เพื่อระบุภัยคุกคามความปลอดภัยทางไซเบอร์ “พวกเขาทำให้เราทุกคนตกอยู่ในความเสี่ยงได้อย่างไร บริษัทที่ซื้อขายในตลาดหลักทรัพย์กำลังจะได้รับคะแนนที่เกี่ยวข้องกับความพร้อมด้านความปลอดภัยในโลกไซเบอร์ และพวกเขากำลังเข้าถึงห่วงโซ่อุปทานเพื่อตรวจสอบความเสี่ยงของบุคคลที่สาม” เขากล่าว นั่นคือรูปแบบที่ที่ปรึกษาทางการเงินทุก ขนาดควรพิจารณา
นอกจากนี้เขายังแนะนำให้พิจารณาซื้อประกันความปลอดภัยทางไซเบอร์ ในกรณีที่ความพยายามในการป้องกันการละเมิดล้มเหลว การจัดทำแผนป้องกันความเสี่ยงทางไซเบอร์สามารถช่วยป้องกันบริษัทของคุณจากการละเมิดความปลอดภัย แต่ยังช่วยเพิ่มสิทธิ์ของคุณเมื่อยื่นคําร้องขอค่าสินไหมทดแทน หากระบบของคุณถูกแฮ็ก
“ผู้ให้บริการประกันภัยทางไซเบอร์ของคุณจะไม่ปฏิเสธคุณเมื่อคุณต้องการยื่นคำร้องประกันภัย” เขากล่าว พร้อม ให้คำแนะนำว่าบริษัทขนาดเล็กถึงขนาดกลางพิจารณากรมธรรม์ครึ่งล้านถึงหนึ่งล้านดอลลาร์ “แต่คุณต้องเข้าใจด้วยว่าหากคุณไม่มีแผน และคุณไม่ได้ทำตาม X, Y และ Z หากคุณไม่ทำให้มั่นใจว่าทุกอย่างถูกต้องแล้ว พวกเขาจะปฏิเสธคำร้องของคุณและทำให้เบี้ยประกันของคุณเพิ่มขึ้นสองเท่าในปีหน้า ดังนั้นการปฏิบัติตามกฎระเบียบจึงเป็นสิ่งสำคํญและการสร้างแผนการรักษาความปลอดภัยและการจัดทำเป็นเอกสารจึงเป็นวิธีที่ง่าย สะดวกที่สุดและประหยัดที่สุดในการทำให้สำเร็จ”
CONTACT
James Harrison james@invisus.com
John Sileo john@sileo.com