Πιστοποίηση Cyber Essentials, τι είναι και γιατί χρειάζεται;
Υπάρχουν πολλά άρθρα στο διαδίκτυο σχετικά με τις μικρές επιχειρήσεις που δεν λαμβάνουν σοβαρά υπόψη την ασφάλεια στον κυβερνοχώρο, τα οποία λίγο-πολύ λένε τα ίδια, όμως το ζήτημα είναι ποιος τα παίρνει σοβαρά υπόψιν του.
Ακόμη και αν έχετε κάθε πρόθεση να αντιμετωπίσετε αυτό το φλέγον θέμα σχετικά με την επιχείρησή σας, ο κίνδυνος είναι ότι απλά μένει στη λίστα των υποχρεώσεων, με την προοπτική ότι θα το επιλύσω κάποια στιγμή αύριο ή μεθαύριο. Ωστόσο οι περισσότεροι επιχειρηματίες δεν γνωρίζουν τις αρνητικές επιπτώσεις ενός χακαρίσματος και πως αν επέλθει το κακό, από δικιά σας άγνοια πιθανόν να αποκτήσετε κακή φήμη, λόγω της ανευθυνότητας σας.
Πρώτον, τι είναι μια κυβερνο-επίθεση; Βασικά, όταν κάποιος ή κάτι έχει πρόσβαση στο δίκτυό σας, είτε μέσω του διαδικτύου είτε από το γραφείο σας, με σκοπό την καταστροφή ή την κλοπή των δεδομένων σας. Μια εφαρμογή παρόμοια με τον ιό θα μπορούσε να κρυπτογραφήσει όλα τα δεδομένα στο διακομιστή και τους υπολογιστές σας και κατόπιν να ζητήσει λύτρα. Θα μπορούσατε να πληρώσετε τα λύτρα αλλά δεν υπάρχει καμία εγγύηση ότι τα δεδομένα σας θα είναι μη κρυπτογραφημένα.
Μπορεί να σκεφτείτε σίγουρα δεν είστε στόχος των χάκερ, αφού δεν είστε μεγάλη εταιρεία. Αλλά αυτό δεν είναι εγγύηση. Αυτοί οι εγκληματίες έχουν συστήματα που ανιχνεύουν το διαδίκτυο και αναζητούν ευπάθειες. Έτσι, για παράδειγμα, εάν έχετε έναν ανεπαρκώς διαμορφωμένο ή ξεπερασμένο δρομολογητή, ενδέχεται ο εισβολέας να είναι σε θέση να το περάσει και να συνδεθεί στους υπολογιστές σας.
Εάν η εταιρεία σας βασίζεται στα δεδομένα σας, εξαρτάται από εσάς να την κρατήσετε ασφαλείς! Δεν θέλετε να καταστραφούν τα αρχεία του πελάτη σας ή κάποιος άλλος να έχει πρόσβαση σε λεπτομέρειες πληρωμής του πελάτη σας. Τι γίνεται με το εμπιστευτικό προσωπικό και τις οικονομικές σας πληροφορίες; Όλα τα έργα ανάπτυξης που εκτίθενται, θα έχει ως αποτέλεσμα η επιχείρησή σας να διαταραχθεί μαζικά και σε σπάνιες περιπτώσεις, να υποστείτε ολική καταστροφή μεγάλης οικονομικής.
Λοιπόν, από πού ξεκινάμε;
Η διαπίστευση Cyber Essentials είναι ένα καλό σημείο εκκίνησης για να μπείτε στο σωστό δρόμο. Αυτό ξεκίνησε τον Ιούνιο του 2014 από την κυβέρνηση της Μεγάλης Βρετανίας και υποστηρίζεται από την Ομοσπονδία Μικρών Επιχειρήσεων, την CBI και ορισμένους ασφαλιστικούς οργανισμούς.
Το πρόγραμμα έχει αναπτυχθεί για να εκπληρώσει δύο λειτουργίες. Πρώτον, παρέχει μια σαφή δήλωση των βασικών ελέγχων που θα πρέπει να εφαρμόσουν όλοι οι οργανισμοί για να μετριάσουν τον κίνδυνο από κοινές απειλές μέσω του διαδικτύου. Και δεύτερον, μέσω του πλαισίου αξιοπιστίας προσφέρει έναν μηχανισμό για τους οργανισμούς να αποδείξουν στους πελάτες, τους επενδυτές και άλλους ότι έχουν λάβει αυτές τις βασικές προφυλάξεις, επιδεικνύοντας ότι έχετε λάβει πιστοποιητικά Cyber Essentials και Cyber Essentials Plus.
Μια εταιρεία που αποκτά αυτή την πιστοποίηση αποδεικνύει ότι έχει φτάσει σε ένα καλό επίπεδο ασφάλειας IT, έχει ελαχιστοποιήσει τον κίνδυνο της επιθέσεις στον κυβερνοχώρο, και δείχνει ότι εάν η επιχείρηση υποστεί οποιαδήποτε επίθεση στον κυβερνοχώρο, μπορεί να ανακάμψει γρήγορα και να μπορέσει επανέλθει σε φυσιολογικούς ρυθμούς.
Μην ξεχνάτε πως η άγνοια τιμωρείται από το νόμο κι αν εξαιτίας σας διαρρεύσουν πληροφορίες των πελατών σας, τότε θα είσαστε υπόλογοι απέναντι στη δικαιοσύνη τότε θα είσαστε υπόλογοι απέναντι στη δικαιοσύνη και στο χειρότερο σενάριο να μπείτε ακόμη και φυλακή για αμέλεια.
Η απόκτηση της βασικής πιστοποίησης Cyber Essentials προϋποθέτει την ολοκλήρωση ενός ερωτηματολογίου στο διαδίκτυο, που απαιτεί υψηλό επίπεδο τεχνικών λεπτομερειών. Αλλά μην αφήσετε αυτή η προϋπόθεση να σας κρατήσει μακριά από τούτο το βαρυσήμαντο στοιχείο.
Καθώς θα διαβάζετε το ερωτηματολόγιο, θα μάθετε τι δεν γνωρίζετε. Είναι αυτά τα άγνωστα που κατά πάσα πιθανότητα σας κρατούν ξύπνιο το βράδυ (ειδικά όταν βλέπετε τα νέα για μια άλλη εταιρεία που έχει πληρώσει λύτρα σε εκβιαστές χάκερ). Η πιστοποίηση Cyber Essentials Plus είναι λίγο πιο περίπλοκη καθώς περιλαμβάνει αρκετές σύνθετες έννοιες που είναι δύσκολο να τις κατανοήσει ένας απλός άνθρωπος. Ας αρχίσουμε λοιπόν με τα βασικά.
Το ερωτηματολόγιο θα σας ζητήσει να μάθει πληροφορίες σχετικά με:
- Το δίκτυό σας, συμπεριλαμβανομένων των φυσικών τοποθεσιών, της διαχείρισης και των περιοχών IP. Αυτή είναι μόνο μια περίληψη του δικτύου σας – τίποτα δεν είναι σε βάθος. Στην πραγματικότητα, υπάρχουν διάφορα παραδείγματα στο ερωτηματολόγιο, ώστε να μπορείτε να έχετε μια καλή ιδέα για τα πράγματα που θα πρέπει να αναφέρεται.
- Αν έχετε τείχος προστασίας, πώς έχει ρυθμιστεί και ποιος το διαχειρίζεται. Για παράδειγμα, συνδέετε τακτικά με το τείχος προστασίας για να ενημερώσετε το λογισμικό και να αλλάξετε τον κωδικό πρόσβασης;
- Πώς η ομάδα σας έχει πρόσβαση στα δεδομένα και πώς διαχειρίζεστε τους λογαριασμούς τους. Τα δεδομένα σας διαδίδονται σε διάφορους υπολογιστές, διατηρούνται στο νέφος ή σε έναν τοπικό διακομιστή;
- Έχετε ασύρματα δίκτυα και υπάρχει ξεχωριστό για τους επισκέπτες; ή απλά παραδίνεται τον κωδικό πρόσβασης σε οποιονδήποτε σας ρωτάει;
- Πώς μοιράζεστε τα δεδομένα σας και το προσωπικό σας μπορεί να δει μόνο τις πληροφορίες που χρειάζεται πραγματικά; Αυτό μπορεί να είναι περίπτωση για να βεβαιωθείτε και να εξασφαλιστεί ότι το προσωπικό σας μπορεί να δει μόνο τις πληροφορίες που χρειάζεται για τη δουλειά του.
- Έχετε μόνο τις εφαρμογές που χρειάζεστε πραγματικά ή μήπως μπαίνετε στη διαδικασία να εγκαταστήσετε οποιοδήποτε λογισμικό; Μπορεί κάποιος να κατεβάσει το λογισμικό που εγκαταστήσατε;
- Σύνοψη της πολιτικής προστασίας από ιούς και κακόβουλα προγράμματα. Εάν διαφορετικοί υπολογιστές έχουν διαφορετικές εφαρμογές προστασίας από ιούς με διαφορετικές ημερομηνίες λήξης, ίσως τώρα είναι η κατάλληλη στιγμή για την απλοποίησή τους. Πιθανότατα θα λειτουργήσει αρκετά φθηνότερα που είναι ένα μπόνους για εσάς.
- Πολιτική απομακρυσμένης εργασίας. Εάν έχετε προσωπικό που εργάζεται από το σπίτι και διατηρούν δεδομένα της εταιρείας στους οικιακούς υπολογιστές τους, τότε πρέπει να βεβαιωθείτε ότι αυτά είναι ασφαλές. Το ίδιο ισχύει και για δεδομένα που είναι αποθηκευμένα σε φορητούς υπολογιστές. Τι θα συνέβαινε εάν ο υπάλληλος σας ξεχνούσε τον φορητό του υπολογιστή στο λεωφορείο ή του το έκλεβαν; Αυτά τα πράγματα συμβαίνουν συχνά-πυκνά, οπότε μην τα αμελείτε.
- Δημιουργία αντιγράφων ασφαλείας!. Αν πάρουμε για παράδειγμα το χειρότερο σενάριο ότι όλα τα δεδομένα σας έχουν καταστραφεί, πόσο γρήγορα μπορείτε να τα επαναφέρετε;
Αν δεν έχετε ρυθμίσει το δίκτυο στο γραφείο σας και όλες οι παραπάνω ερωτήσεις ακούγονται σαν εφιάλτης, τότε είναι πιθανώς μια καλή στιγμή για να ζητήσετε κάποια εξωτερική βοήθεια που είναι εξειδικευμένη σε αυτό τον τομέα. Ίσως να είστε απρόθυμοι να το πράξετε αυτό επειδή νομίζετε ότι είναι απλά μία υποχρέωση που πρέπει να εκπληρωθεί.
Αν όμως βρείτε μια αξιόπιστη τοπική εταιρεία υποστήριξης που δραστηριοποιείται στην πληροφορική, θα είναι σε θέση να σας παράσχουν την τέλεια λύση για τον έλεγχο ασφαλείας και την αναγκαία βοήθεια με το ερωτηματολόγιο Cyber Essentials. Επιπλέον, θα επισημάνουν τα άγνωστα τρωτά σημεία και θα συνεργαστούν μαζί σας για να βεβαιωθείτε ότι το δίκτυό σας είναι ασφαλές. Αλλά μην ξεχνάτε, αυτή είναι μια συνεχής διαδικασία. Δεν έχει νόημα να εξασφαλίσουμε το καλύτερο για εμάς μονάχα για μία εβδομάδα ή ένα μήνα, ετούτη διαδικασία είναι μία διαρκής μάχη που δεν τελειώνει ποτέ και απαιτείται να είστε συνεχώς σε επαγρύπνηση.
Γιατί λοιπόν να μην ξεκινήσετε με τη πιστοποίηση Cyber Essentials; Θα δείξει ότι η επιχείρησή σας λαμβάνει σοβαρά υπόψιν τους κινδύνους της ασφάλειας σχετικά με την πληροφορική και το δίκτυό σας και οι πελάτες σας θα μπορούν να είναι σίγουροι ότι τα δεδομένα τους είναι ασφαλή. Τι έχεις να χάσεις; Αχ ναι, όλα τα δεδομένα σου.
