راهنمای امنیت سایبری برای سازمان های کوچک – امنیت


12 ژوئیه 2023

Borden Ladner Gervais LLP



برای چاپ این مقاله کافی است در سایت Mondaq.com ثبت نام کنید یا وارد شوید.

امنیت سایبری یک چالش مهم برای سازمان‌ها در هر نوع و اندازه، از جمله سازمان‌های کوچک با منابع محدود برای برنامه امنیت سایبری است. هر کدام از مرکز کانادایی امنیت سایبری (“CCCS”)، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده(“CISA”)، و مرکز امنیت سایبری استرالیا(“ACSC”) دستورالعمل های اخیر را برای کمک به سازمان های کوچک برای اجرای اقدامات اساسی امنیت سایبری برای شروع ایجاد انعطاف پذیری امنیت سایبری صادر کرده اند.

چالش امنیت سایبری

امنیت سایبری برای همه سازمان های کانادایی مهم است. CCCS ارزیابی ملی تهدیدات سایبری 2023-2024 هشدار می دهد که جرایم سایبری همچنان به ،وان یک فعالیت تهدید سایبری باقی می ماند که احتمالاً کانادایی ها را تحت تأثیر قرار می دهد و باج افزارها تهدیدی دائمی برای سازمان های کانادایی هستند.

مجرمان سایبری به طور فزاینده ای سازمان های کوچک و متوسط ​​را مورد هدف قرار می دهند، از جمله برای به دست آوردن اطلاعات در مورد مشتریان خود و به ،وان ابزاری برای دسترسی به سیستم های فناوری اطلاعات و داده های شرکای تجاری خود. در دسامبر 2022، فدراسیون تجارت مستقل کانادا گزارش شده است نتایج نظرسنجی نشان می‌دهد که تقریباً نیمی از ،ب‌وکارهای کوچک (45%) در سال گذشته یک حمله سایبری تصادفی را تجربه کرده‌اند و 27 درصد نیز حمله هدفمند را تجربه کرده‌اند.

حملات سایبری می تواند سازمان های کوچک را متحمل خسارات و بدهی های مالی م،ب بالقوه ای کند. با این حال، برنامه های پیچیده مدیریت ریسک سایبری فراتر از امکانات مالی و منابع انس، ا،ر سازمان های کوچک است. به این دلایل، سازمان‌های ،تی و سایر سازمان‌ها دستورالعمل‌های امنیت سایبری را که برای سازمان‌های کوچک طراحی شده است، صادر کرده‌اند. به ،وان مثال، در سال 2019 CCCS دستورالعملی با ،وان صادر کرد کنترل های پایه امنیت سایبری برای سازمان های کوچک و متوسط برای کمک به سازمان های کانادایی برای به حدا،ر رساندن اثربخشی سرمایه گذاری های امنیت سایبری خود. کنترل‌های پایه پیشنهادی این دیدگاه را منع، می‌کنند که سازمان‌ها می‌توانند بیشتر تهدیدات سایبری را از طریق آگاهی و بهترین شیوه‌ها کاهش دهند و با موفقیت قانون 20/80 را به کار گیرند – 80 درصد از سود حاصل از 20 درصد تلاش – را در حوزه امنیت سایبری به دست آورند.

بولتن های BLG را ببینید راهنمای امنیت سایبری برای سازمان‌های کوچک و متوسط، گواهی امنیت سایبری برای شرکت‌های کوچک و متوسط، آماده، تنظیم، گواهی – برنامه جدید صدور گواهینامه CyberSecure کانادا، و گواهی امنیت سایبری برای شرکت‌های کوچک و متوسط.

راهنمایی اخیر

CCCS، CISA، و ACSC هر کدام اخیراً دستورالعمل‌های امنیت سایبری را منتشر کرده‌اند که برای سازمان‌های کوچک طراحی شده‌اند.

CCCS

CCCS اقدامات اساسی امنیت سایبری برای سازمان های کوچک اقدامات امنیتی اساسی (با چک لیست ها و پیوندها به منابع اضافی) را توصیه می کند که سازمان های کوچک می توانند برای شروع ایجاد انعطاف پذیری امنیت سایبری خود انجام دهند. در زیر خلاصه ای آمده است:

  • اعتبارنامه: از رمزهای عبور پیچیده مختلف و احراز هویت چند عاملی (“MFA”) برای هر دستگاه و حساب استفاده کنید

  • به روز رس، / وصله: سیستم عامل ها و برنامه ها را به طور خودکار به روز رس، و وصله کنید.

  • پشتیبان گیری: پشتیبان‌گیری از داده‌ها را ایجاد و ذخیره کنید.

  • ابزارهای امنیتی: ابزارهای امنیتی پیشگیرانه (به ،وان مثال، نرم افزار ضد ویروس و یک شبکه خصوصی مجازی) را روی شبکه ها و دستگاه ها نصب کنید و از یک سیستم نام دامنه محافظتی استفاده کنید.

  • آموزش: کارمندان را در مورد شیوه های اساسی امنیت سایبری آموزش دهید.

  • آمادگی واکنش به حادثه: برنامه واکنش به حادثه را ایجاد و آزمایش کنید.

این راهنما به سازمان‌های کوچک توصیه می‌کند برای شناسایی و اولویت‌بندی حفاظت از دارایی‌های با ارزش، فهرستی منظم از دارایی‌های فناوری اطلاعات خود انجام دهند. این راهنما همچنین به سازمان‌های کوچک توصیه می‌کند فعالیت‌های امنیت سایبری را بر اساس راهنمایی‌های CCCS به یک ارائه‌دهنده خدمات برون سپاری کنند.
انتخاب بهترین راه حل امنیت سایبری برای سازمان شما.

CISA

CISA راهنمای سایبری برای مشاغل کوچکراهنمایی (با پیوندهایی به اطلاعات و منابع اضافی) برای ایجاد یک برنامه امنیت سایبری مؤثر سازماندهی شده بر اساس نقش ها و مسئولیت های من، برای مشاغل کوچک ارائه می دهد. این راهنما شامل وظایفی برای رسیدگی به “متداول ترین حملات” است. در زیر خلاصه ای آمده است:

  • مدیر عامل: مدیر عامل سازمان باید: (1) فرهنگ امنیت را ایجاد کند. (2) انتخاب و حمایت از “مدیر برنامه امنیتی” و دریافت گزارش های منظم از مدیر. (3) بررسی و تصویب طرح واکنش به حادثه؛ (4) در تمرینات شبیه سازی حمله منظم (ی،ی تمرینات روی میز) شرکت کنید. و (5) از رهبران فناوری اطلاعات حمایت کنید.

  • مدیر برنامه های امنیتی: مدیر برنامه امنیتی سازمان باید: (1) اطمینان حاصل کند که همه کارکنان به طور رسمی در مورد مسائل و وظایف کلیدی امنیت سایبری آموزش دیده اند. (2) یک طرح واکنش به حادثه را بنویسید و حفظ کنید. (3) میزب، تمرینات سه ماهه روی میز. و (4) اطمینان حاصل شود که همه کارکنان از MFA برای دسترسی به سیستم های کلیدی استفاده می کنند.

  • سرب IT: رهبر فناوری اطلاعات سازمان باید: (1) اطمینان حاصل کند که و، امور خارجه با استفاده از کنترل های فنی اجباری شده است. (2) MFA را برای تمام حساب های مدیر سیستم فعال کنید. (3) وصله و به روز رس، نرم افزار با اولویت به آسیب پذیری های شناخته شده سوء استفاده شده. (4) پشتیبان گیری و طرح های بازسازی را انجام و آزمایش کنید. (5) حذف امتیازات مدیر از لپ تاپ های کاربر. و (6) رمزگذاری دیسک را برای لپ تاپ ها فعال کنید.

این راهنما بر اهمیت استفاده از MFA برای دسترسی به حساب تأکید می کند. این راهنما همچنین مزایای امنیتی بالقوه استفاده از خدمات امن مبتنی بر ابر به جای سرویس‌های داخلی را توضیح می‌دهد.

ACSC

ACSC ها راهنمای امنیت سایبری مشاغل کوچکالف را فراهم می کند چک لیست اقدامات اساسی امنیت سایبری و جزئیات راهنما برای کمک به ،ب و کارهای کوچک در برابر تهدیدات رایج امنیت سایبری محافظت کنند. در زیر خلاصه ای آمده است:

  • امنیت حساب ها: از MFA و مدیر رمز عبور استفاده کنید، استفاده از حساب های مش، را محدود کنید و دسترسی را بر اساس نیاز به دانستن محدود کنید.

  • از دستگاه ها/اطلاعات محافظت کنید: به‌روزرس، خودکار دستگاه‌ها و نرم‌افزارها، پشتیبان‌گیری منظم از اطلاعات، استفاده از نرم‌افزار امنیتی برای اسکن منظم دستگاه‌ها، دریافت مشاوره حرفه‌ای در مورد ایمن‌سازی شبکه‌ها، وب‌سایت‌های امن، بازنش، کارخانه‌ای دستگاه‌ها قبل از فروش/دفع آنها، پیکربندی دستگاه‌ها برای قفل خودکار پس از مدت کوتاهی عدم فعالیت ، اطلاعات ،ب و کار و مسئولیت های محافظت از آن را درک کنید.

  • کارکنان را آماده کنید: به کارکنان در مورد امنیت سایبری آموزش دهید، یک طرح پاسخگویی به حوادث امنیت سایبری ایجاد کنید و در برنامه مشارکت ACSC ثبت نام کنید.

این راهنما همچنین سازمان‌های کوچک را تشویق می‌کند تا اولین سطح بلوغ را اجرا کنند The Essential Eight استراتژی‌های کاهش خطر سایبری برای محافظت از شبکه‌های متصل به اینترنت مبتنی بر ویندوز مایکروسافت.

نظرات

اقدامات اساسی امنیت سایبری توصیه شده توسط CCCS، CISA و ACSC مهم هستند، اما ممکن است برای مطابقت با قو،ن قابل اجرا یا ا،امات خاص صنعت کافی نباشند. مثلا:

هنگام بررسی این موضوع که آیا و چگونه می توان اقدامات اولیه امنیت سایبری توصیه شده را اجرا کرد، سازمان ها باید موارد زیر را در نظر بگیرند:

  • رعایت قو،ن قابل اجرا: بسیاری از اقدامات امنیت سایبری پیامدهای قانونی دارند، از جمله رعایت قو،ن حفظ حریم خصوصی/اطلاعات شخصی، کار/اشتغال، و قو،ن حقوق بشر. مشاوره حقوقی به موقع می تواند به سازمان کمک کند تا به طور قانونی کنترل های امنیت سایبری را اجرا کند.

  • معاملات M&A: استارت‌آپ‌ها و سایر سازمان‌های کوچکی که برای فروش یا ،وج دیگر برنامه‌ریزی می‌کنند باید به اهمیت فزاینده حریم خصوصی و خطرات سایبری در معاملات M&A توجه داشته باشند. به بولتن BLG مراجعه کنید مدیریت حریم خصوصی و خطرات سایبری در معاملات M&A.

  • برون سپاری فعالیت های امنیت سایبری: برون سپاری فعالیت های امنیت سایبری (مثلاً به یک ارائه دهنده خدمات امنیتی مدیریت شده) می تواند خطرات قانونی را به همراه داشته باشد، از جمله مطابقت با قو،ن کاربردی عمومی (به ،وان مثال، قو،ن حفاظت از حریم خصوصی/اطلاعات شخصی) و ا،امات خاص صنعت. در نتیجه، سازمان‌ها باید بهترین شیوه‌های برون‌سپاری توصیه‌شده توسط سازمان‌های ،تی، تنظیم‌کننده‌ها، کمیسیون‌های حریم خصوصی و سایر منابع معتبر را در نظر بگیرند. بولتن های BLG را ببینید
    بهبود امنیت سایبری با منابع داخلی و خدمات برون سپاری و راهنمای ریسک سایبری برای مشتریان و ارائه دهندگان خدمات فناوری اطلاعات مدیریت شده.

  • آمادگی واکنش به حادثه: پاسخ موثر به یک حادثه امنیت سایبری به چیزی بیش از یک طرح واکنش به حادثه نیاز دارد. بولتن های BLG را ببینید پاسخ به حوادث امنیت سایبری – نکاتی از سنگرها و حملات باج افزار – نکاتی از سنگر.

  • به حداقل رساندن داده ها: به حداقل رساندن داده ها یک اصل اساسی از قو،ن حفاظت از اطلاعات شخصی کانادا است و می تواند به کاهش خطرات حریم خصوصی و سایبری کمک کند. به بولتن BLG مراجعه کنید
    کمتر است بیشتر – به حداقل رساندن داده ها و مدیریت ریسک حریم خصوصی/سایبری.

  • امتیاز قانونی: در صورت ،وم، سازمان‌ها باید اقداماتی را برای ایجاد و حفظ امتیاز قانونی نسبت به ارتباطات و اسناد مربوط به فعالیت‌های امنیت سایبری خود، از جمله تهیه و آزمایش طرح‌های واکنش به حادثه و آموزش تیم واکنش به حادثه‌شان انجام دهند. بولتن های BLG را ببینید مدیریت ریسک سایبری – استراتژی امتیازات قانونی – ،مت 1، مدیریت ریسک سایبری – استراتژی امتیازات قانونی – ،مت 2، امتیاز قانونی برای گزارش‌های تحقیق در مورد امنیت داده‌ها و از دست دادن امتیاز قانونی در مورد گزارش بررسی حملات سایبری.

درباره BLG

محتوای این مقاله به منظور ارائه راهنمای کلی در مورد موضوع است. باید در مورد شرایط خاص خود از یک متخصص مشاوره بگیرید.

مقالات پرطرفدار در مورد: فناوری از کانادا

ملاحظات حقوقی کلیدی با هوش مصنوعی مولد

دنتون ها

توجه رسانه‌های جمعی پس از انتشار ChatGPT توسط Open AI، موضوع هوش مصنوعی (AI) را دوباره در کانون توجه قرار داده است. بحث به طور خاص متمرکز شده است …

مطالعه روندهای امنیت سایبری کانادا در سال 2023

Blake, C،els & Graydon LLP

بلیکز از راه اندازی چهارمین مطالعه سالانه روندهای امنیت سایبری کانادایی خود ،سند است. مطالعه ما به چهار بخش ت،یم شده است که هر بخش یک مؤلفه متفاوت از کانادا را بررسی می کند.


منبع: http://www.mondaq.com/Article/1341092