Klienci na całym świecie, nie tylko w Stanach Zjednoczonych czy w Polsce, oczekują pełnego bezpieczeństwa danych osobowych i finansowych, a ich naruszenie to bolesne doświadczenie, generujące równie wysokie koszty w każdym zakątku świata. Tak samo jak duże firmy, drobni przedsiębiorcy przyjmujący płatność kartą kredytową muszą przestrzegać standardów bezpieczeństwa PCI DSS. Taka rzeczywistość może być przerażająca dla małych podmiotów, które często nie mają nawet odrębnego działu IT. Dlatego warto zapoznać się z podstawowymi zasadami, które specjaliści ds. bezpieczeństwa opracowali na użytek małych i średnich firm.

1. Każdy zarząd lub osoba kierująca przedsiębiorstwem powinni dysponować podstawową wiedzą na temat tego, gdzie przechowywane są kluczowe dla firmy dane, niezależnie od tego, czy są one gromadzone na tradycyjnych desktopach i serwerach, w chmurze czy na urządzeniach mobilnych. Niezależnie od tego, czy taką wiedzę dostarcza wewnętrzny kierownik ds. IT czy zewnętrzny dostawca rozwiązań informatycznych, konieczne jest prowadzenie bieżącej dokumentacji wszelkich kwestii związanych z przechowywaniem danych, uprawnieniami dostępu i przetwarzaniem informacji. Warto stosować wszelkie dostępne środki kontroli bezpieczeństwa. Osoby odpowiedzialne w firmie za kwestie biznesowe i technologiczne muszą jednak świadomie zdecydować, w oparciu np. o porady prawników lub specjalistów IT zajmujących się bezpieczeństwem, czy planowane środki kontroli są adekwatne do poziomu potencjalnych zagrożeń. Na tej podstawie można określić efektywną strategię tworzenia planów wykonywania kopii zapasowych i odzyskiwania danych w wypadku awarii.

Zobacz również:

• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo
• Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
• Jak cyfryzuje się sektor MŚP?

2. Dobrym firmom też przytrafiają się złe rzeczy: powodzie, pożary, trzęsienia ziemi, kradzież danych wewnątrz lub z zewnątrz firmy, pojawienie się złośliwego oprogramowania lub innych czynników, które mogą naruszać bezpieczeństwo przechowywanych informacji. Dlatego warto wdrożyć zautomatyzowane procesy wykonywania kopii zapasowych danych. Ponieważ dziś praktycznie każda firma jest uzależniona od tej czy innej formy elektronicznego przetwarzania danych, należy zadać sobie pytanie, co powinni zrobić pracownicy jeśli nie będą mieli fizycznego dostępu do firmy. Warto stworzyć plan działań na wypadek wystąpienia zakłóceń mających wpływ na funkcjonowanie biznesu i przetestować jego skuteczność.

3. Nie należy lekceważyć szkoleń pracowników, wyjaśniających im istotę i metody współczesnych ataków cybernetycznych. Małe i średnie firmy zazwyczaj myślą, że hakerzy atakują tylko duże firmy, ale to nieprawda. Niektóre grupy hakerów koncentrują się wyłącznie na mniejszych organizacjach, atakując urządzenia wykorzystywane do obsługi bankowości online i płatności przez internet. Wyczyszczenie kont firmy do cna uchodzi w hakerskim świecie za znaczące osiągnięcie. Niestety, aktualne przepisy prawne zapewniają firmom dużo mniejszą ochronę niż konsumentom, jeśli chodzi o odzyskiwanie utraconych środków. Również banki mogą dać się we znaki przedsiębiorcom, np. kwestionując jakość wdrożonych zabezpieczeń. Jak najczęściej dochodzi do przestępstwa w internecie? Wystarczy otworzyć wiadomość e-mail i załącznik zawierający złośliwe oprogramowanie, by pozwolić atakującemu na infiltrację sieci. Przeciwdziałanie takim sytuacjom wymaga skutecznych filtrów spamu wykrywających zagrożenia. Ale i tak niektóre z takich wiadomości przedostaną się do skrzynki odbiorczej. Dlatego pracownicy powinni wiedzieć, że nie należy otwierać niczego, co wydaje się być niestandardowym e-mailem. Ponieważ złośliwe oprogramowanie działające w sieci również jest na porządku dziennym, dobrym pomysłem jest zastosowanie oprogramowania kontrolującego dostęp do stron webowych. Pracownicy powinni też zdawać sobie sprawę z oszustw telefonicznych, do których dochodzi dziś bardzo często.