Como identificar os riscos de cibersegurança de sua empresa

Este artigo foi publicado originalmente na IndustryWeek. Postagem de blog de convidado por Traci Spencer, gerente do programa de concessão da TechSolve, Inc., o parceiro regional do sudoeste do Ohio MEP, parte da MEP National Network ^TM .

Este artigo é o primeiro de uma série de cinco partes que descreve as práticas recomendadas quando se trata de "Segurança cibernética para fabricantes". Essas recomendações seguem a estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST), que se tornou o padrão para o setor de manufatura dos EUA.

De acordo com um estudo de 2018 patrocinado pela IBM pelo Ponemon Institute, a média global para uma violação de dados é de US $ 3,86 milhões. Isso chega a quase US $ 150 por registro roubado. Se você é um fabricante de pequeno ou médio porte, pode achar que estatísticas como essas não se aplicam a você. Mas, dos 17 setores representados no relatório, os setores mais afetados foram financeiro, de serviços e espere por isso - manufatura.

Como os fabricantes costumam colocar menos recursos na segurança da informação, eles são um alvo popular para os criminosos cibernéticos. E basta um ataque cibernético para devastar todo o sistema operacional de um fabricante menor. Máquinas, fornecedores, distribuidores ou mesmo clientes em rede podem ser hackeados por meio de um computador / dispositivo em uma fábrica.

Outros riscos incluem:

• Perda de informações críticas para o funcionamento do seu negócio
• Impacto negativo na confiança do cliente
• Multas regulatórias e taxas legais resultantes
• Diminuição ou interrupção da produtividade.

Felizmente, você pode aprender a proteger suas operações com a ajuda do Instituto Nacional de Padrões e Tecnologia (NIST), que desenvolveu uma estrutura de cinco etapas para segurança cibernética que pode ser implementada por empresas de qualquer tamanho. Disponível online, a Estrutura de Segurança Cibernética do NIST pode ser explicada posteriormente por seu representante local da Rede Nacional MEP, os especialistas confiáveis ​​para o avanço da fabricação nos EUA. Você também pode ver o Guia dos fabricantes para cibersegurança (adicionar link assim que soubermos a localização do documento), que fornece aos fabricantes as práticas e ferramentas básicas necessárias para desenvolver um programa de cibersegurança.

Pronto para dar o primeiro passo em direção à segurança de dados? O processo começa identificando seus riscos.

Controle quem tem acesso às suas informações

Faça uma lista de funcionários com acesso ao computador e inclua todas as suas contas comerciais, o tipo de acesso (físico ou senhas) e proteja fisicamente todos os laptops e dispositivos móveis quando não estiverem em uso. Faça com que seus funcionários usem uma tela de privacidade ou posicionem a tela do computador de forma que as pessoas que passem não vejam as informações exibidas e defina o bloqueio de tela para ativar quando o computador não estiver em uso.

Não permita o acesso físico a computadores ou sistemas por pessoal não autorizado, como:

• Equipes de limpeza ou pessoal de manutenção
• Computador não supervisionado ou equipe de reparos de rede trabalhando em sistemas ou dispositivos
• Indivíduos não reconhecidos que entram em seu escritório ou chão de fábrica sem serem questionados por um funcionário

Leva apenas alguns segundos para um criminoso acessar uma máquina desbloqueada. Não facilite o roubo de suas informações confidenciais.

Realizar verificações de histórico e segurança para todos os funcionários

As verificações de antecedentes são essenciais para identificar seus riscos de segurança cibernética. Pesquisas completas em todo o país devem ser realizadas para todos os funcionários em potencial ou outras pessoas que terão acesso aos seus computadores e sistemas e equipamentos da empresa.

Essas verificações devem incluir:

• Verificações de antecedentes criminais
• Verificações de agressor sexual
• Verificações de crédito, se possível (alguns estados dos EUA limitam o uso de verificações de crédito)
• Referências para verificar as datas trabalhadas para empregadores anteriores
• Verificação de educação e graduação

Você também pode conduzir uma verificação de antecedentes pessoais, o que pode alertá-lo rapidamente se, sem saber, você se tornou vítima de roubo de identidade.

Exigir contas de usuário individuais para cada funcionário

Se você tiver perda de dados ou manipulação de dados não autorizada, pode ser difícil investigar sem contas individuais para cada usuário. Configure uma conta separada para cada funcionário e contratado que precise de acesso. Exija que eles usem senhas fortes e exclusivas para cada conta.

Limite o número de funcionários que têm acesso administrativo, especialmente se isso não for necessário para que eles realizem suas tarefas diárias de trabalho. Considere contas de convidados com apenas acesso à Internet para visitantes ou clientes em suas instalações.

Criar políticas e procedimentos de segurança cibernética

Embora a criação de sua primeira política de segurança cibernética possa parecer uma tarefa difícil, existem várias dicas fáceis de seguir da Rede Nacional MEP que podem ajudá-lo a começar. Você também pode consultar um profissional jurídico familiarizado com a lei cibernética para revisar suas políticas e certificar-se de que está cumprindo as leis e regulamentações locais.

Sua nova política de segurança cibernética deve incluir:

• Suas expectativas de seus funcionários para proteger as informações da empresa
• Recursos essenciais que precisam ser protegidos e como você espera que seus funcionários protejam essas informações
• Um contrato assinado por cada funcionário para confirmar que leram a política e a compreenderam.

Mantenha o acordo assinado no arquivo de RH de cada funcionário. Revise a política pelo menos uma vez por ano e faça atualizações ao fazer qualquer alteração na tecnologia de sua empresa. Você pode então usar sua política de segurança cibernética para treinar seus novos funcionários em suas responsabilidades de segurança da informação e definir práticas aceitáveis ​​para todas as suas operações de negócios.

Agora que você aprendeu como identificar seus riscos e avaliar seus recursos, é hora de pensar em protegê-los. Na segunda parte de nossa série de cinco partes “Segurança cibernética para fabricantes” da Rede Nacional MEP, percorremos as principais etapas para proteger seus dados e informações valiosos contra ameaças cibernéticas.