راهنمای امنیت سایبری برای سازمان های کوچک – امنیت

این راهنما به سازمان‌های کوچک توصیه می‌کند برای شناسایی و اولویت‌بندی حفاظت از دارایی‌های با ارزش، فهرستی منظم از دارایی‌های فناوری اطلاعات خود انجام دهند. این راهنما همچنین به سازمان‌های کوچک توصیه می‌کند فعالیت‌های امنیت سایبری را بر اساس راهنمایی‌های CCCS به یک ارائه‌دهنده خدمات برون سپاری کنند.
انتخاب بهترین راه حل امنیت سایبری برای سازمان شما.

CISA

CISA راهنمای سایبری برای مشاغل کوچکراهنمایی (با پیوندهایی به اطلاعات و منابع اضافی) برای ایجاد یک برنامه امنیت سایبری مؤثر سازماندهی شده بر اساس نقش ها و مسئولیت های من، برای مشاغل کوچک ارائه می دهد. این راهنما شامل وظایفی برای رسیدگی به “متداول ترین حملات” است. در زیر خلاصه ای آمده است:

• مدیر عامل: مدیر عامل سازمان باید: (1) فرهنگ امنیت را ایجاد کند. (2) انتخاب و حمایت از “مدیر برنامه امنیتی” و دریافت گزارش های منظم از مدیر. (3) بررسی و تصویب طرح واکنش به حادثه؛ (4) در تمرینات شبیه سازی حمله منظم (ی،ی تمرینات روی میز) شرکت کنید. و (5) از رهبران فناوری اطلاعات حمایت کنید.




• مدیر برنامه های امنیتی: مدیر برنامه امنیتی سازمان باید: (1) اطمینان حاصل کند که همه کارکنان به طور رسمی در مورد مسائل و وظایف کلیدی امنیت سایبری آموزش دیده اند. (2) یک طرح واکنش به حادثه را بنویسید و حفظ کنید. (3) میزب، تمرینات سه ماهه روی میز. و (4) اطمینان حاصل شود که همه کارکنان از MFA برای دسترسی به سیستم های کلیدی استفاده می کنند.




• سرب IT: رهبر فناوری اطلاعات سازمان باید: (1) اطمینان حاصل کند که و، امور خارجه با استفاده از کنترل های فنی اجباری شده است. (2) MFA را برای تمام حساب های مدیر سیستم فعال کنید. (3) وصله و به روز رس، نرم افزار با اولویت به آسیب پذیری های شناخته شده سوء استفاده شده. (4) پشتیبان گیری و طرح های بازسازی را انجام و آزمایش کنید. (5) حذف امتیازات مدیر از لپ تاپ های کاربر. و (6) رمزگذاری دیسک را برای لپ تاپ ها فعال کنید.

این راهنما بر اهمیت استفاده از MFA برای دسترسی به حساب تأکید می کند. این راهنما همچنین مزایای امنیتی بالقوه استفاده از خدمات امن مبتنی بر ابر به جای سرویس‌های داخلی را توضیح می‌دهد.

ACSC

ACSC ها راهنمای امنیت سایبری مشاغل کوچکالف را فراهم می کند چک لیست اقدامات اساسی امنیت سایبری و جزئیات راهنما برای کمک به ،ب و کارهای کوچک در برابر تهدیدات رایج امنیت سایبری محافظت کنند. در زیر خلاصه ای آمده است:

• امنیت حساب ها: از MFA و مدیر رمز عبور استفاده کنید، استفاده از حساب های مش، را محدود کنید و دسترسی را بر اساس نیاز به دانستن محدود کنید.




• از دستگاه ها/اطلاعات محافظت کنید: به‌روزرس، خودکار دستگاه‌ها و نرم‌افزارها، پشتیبان‌گیری منظم از اطلاعات، استفاده از نرم‌افزار امنیتی برای اسکن منظم دستگاه‌ها، دریافت مشاوره حرفه‌ای در مورد ایمن‌سازی شبکه‌ها، وب‌سایت‌های امن، بازنش، کارخانه‌ای دستگاه‌ها قبل از فروش/دفع آنها، پیکربندی دستگاه‌ها برای قفل خودکار پس از مدت کوتاهی عدم فعالیت ، اطلاعات ،ب و کار و مسئولیت های محافظت از آن را درک کنید.




• کارکنان را آماده کنید: به کارکنان در مورد امنیت سایبری آموزش دهید، یک طرح پاسخگویی به حوادث امنیت سایبری ایجاد کنید و در برنامه مشارکت ACSC ثبت نام کنید.

این راهنما همچنین سازمان‌های کوچک را تشویق می‌کند تا اولین سطح بلوغ را اجرا کنند The Essential Eight استراتژی‌های کاهش خطر سایبری برای محافظت از شبکه‌های متصل به اینترنت مبتنی بر ویندوز مایکروسافت.

نظرات

اقدامات اساسی امنیت سایبری توصیه شده توسط CCCS، CISA و ACSC مهم هستند، اما ممکن است برای مطابقت با قو،ن قابل اجرا یا ا،امات خاص صنعت کافی نباشند. مثلا:

هنگام بررسی این موضوع که آیا و چگونه می توان اقدامات اولیه امنیت سایبری توصیه شده را اجرا کرد، سازمان ها باید موارد زیر را در نظر بگیرند:

• رعایت قو،ن قابل اجرا: بسیاری از اقدامات امنیت سایبری پیامدهای قانونی دارند، از جمله رعایت قو،ن حفظ حریم خصوصی/اطلاعات شخصی، کار/اشتغال، و قو،ن حقوق بشر. مشاوره حقوقی به موقع می تواند به سازمان کمک کند تا به طور قانونی کنترل های امنیت سایبری را اجرا کند.




• معاملات M&A: استارت‌آپ‌ها و سایر سازمان‌های کوچکی که برای فروش یا ،وج دیگر برنامه‌ریزی می‌کنند باید به اهمیت فزاینده حریم خصوصی و خطرات سایبری در معاملات M&A توجه داشته باشند. به بولتن BLG مراجعه کنید مدیریت حریم خصوصی و خطرات سایبری در معاملات M&A.




• برون سپاری فعالیت های امنیت سایبری: برون سپاری فعالیت های امنیت سایبری (مثلاً به یک ارائه دهنده خدمات امنیتی مدیریت شده) می تواند خطرات قانونی را به همراه داشته باشد، از جمله مطابقت با قو،ن کاربردی عمومی (به ،وان مثال، قو،ن حفاظت از حریم خصوصی/اطلاعات شخصی) و ا،امات خاص صنعت. در نتیجه، سازمان‌ها باید بهترین شیوه‌های برون‌سپاری توصیه‌شده توسط سازمان‌های ،تی، تنظیم‌کننده‌ها، کمیسیون‌های حریم خصوصی و سایر منابع معتبر را در نظر بگیرند. بولتن های BLG را ببینید
  بهبود امنیت سایبری با منابع داخلی و خدمات برون سپاری و راهنمای ریسک سایبری برای مشتریان و ارائه دهندگان خدمات فناوری اطلاعات مدیریت شده.




• آمادگی واکنش به حادثه: پاسخ موثر به یک حادثه امنیت سایبری به چیزی بیش از یک طرح واکنش به حادثه نیاز دارد. بولتن های BLG را ببینید پاسخ به حوادث امنیت سایبری – نکاتی از سنگرها و حملات باج افزار – نکاتی از سنگر.




• به حداقل رساندن داده ها: به حداقل رساندن داده ها یک اصل اساسی از قو،ن حفاظت از اطلاعات شخصی کانادا است و می تواند به کاهش خطرات حریم خصوصی و سایبری کمک کند. به بولتن BLG مراجعه کنید
  کمتر است بیشتر – به حداقل رساندن داده ها و مدیریت ریسک حریم خصوصی/سایبری.




• امتیاز قانونی: در صورت ،وم، سازمان‌ها باید اقداماتی را برای ایجاد و حفظ امتیاز قانونی نسبت به ارتباطات و اسناد مربوط به فعالیت‌های امنیت سایبری خود، از جمله تهیه و آزمایش طرح‌های واکنش به حادثه و آموزش تیم واکنش به حادثه‌شان انجام دهند. بولتن های BLG را ببینید مدیریت ریسک سایبری – استراتژی امتیازات قانونی – ،مت 1، مدیریت ریسک سایبری – استراتژی امتیازات قانونی – ،مت 2، امتیاز قانونی برای گزارش‌های تحقیق در مورد امنیت داده‌ها و از دست دادن امتیاز قانونی در مورد گزارش بررسی حملات سایبری.

درباره BLG

محتوای این مقاله به منظور ارائه راهنمای کلی در مورد موضوع است. باید در مورد شرایط خاص خود از یک متخصص مشاوره بگیرید.