Mentre riflette sul programma di sicurezza su scala aziendale, ho avuto questa domanda se le piccole imprese beneficiano di un test di sicurezza ad hoc ?
Quali sono alcuni suggerimenti che risolveranno i problemi di sicurezza in una piccola organizzazione in cui le risorse umane non sono disponibili rispetto a quelle di una scala aziendale?
Direi che qualsiasi test è meglio di nessun test. Il problema con i test ad hoc è che rischia di creare un falso senso di sicurezza o non è mirato al giusto livello. L'azienda ritiene che abbia complessivamente aumentato la sicurezza a causa dei test ad hoc. Questo può essere vero, ma allo stesso tempo, a causa della natura di questo tipo di test, è del tutto possibile che non sia stato identificato un grosso buco di sicurezza.
La sicurezza per le piccole imprese è estremamente difficile. Oltre alla mancanza di risorse umane disponibili per svolgere il lavoro, spesso si ha anche un basso livello di consapevolezza della sicurezza. Ottenere le configurazioni tecniche di base giuste è relativamente facile rispetto a garantire che gli utenti del sistema siano informati e non fare cose stupide, come fare clic su collegamenti errati in e-mail sospette. Non importa quanti test del software e dell'infrastruttura hai in atto se uno degli utenti accederà accidentalmente alla rete nella tua rete e ignorerà tutte le misure messe in atto per proteggere i sistemi.
Una delle maggiori sfide nelle piccole imprese è quella di convincere i proprietari a rendersi conto che gli investimenti nella tecnologia dell'informazione sono diversi dagli altri investimenti infrastrutturali. Quando investi in nuove risorse fisiche, come un edificio, mobili e arredi aggiornati ecc., Una volta pagato l'investimento, normalmente non avrai bisogno di molto investimento / manutenzione. Con l'infrastruttura IT, la manutenzione continua e la necessità di investimenti continui tendono ad essere molto più elevati. Troppo spesso, le piccole imprese pensano di poter acquistare un server, eventualmente pagare qualcuno per sviluppare un po 'di software specialistico e il loro lavoro. Non riescono a riconoscere l'investimento in corso necessario per garantire che il server sia aggiornato e aggiornato, la manutenzione per il semplice bit del software per garantire che rimanga corrente, sia compatibile con le versioni successive del software di supporto e dei sistemi operativi ed è rappezzato contro minacce in evoluzione ecc.
Il mio approccio è quello di scoraggiare attivamente le piccole imprese dall'infrastruttura, ove possibile. Incoraggio le piccole imprese a sfruttare i servizi SaaS e cloud. Per quanto possibile, limita l'IT che sono effettivamente responsabili per il mantenimento al minimo assoluto. Questa può essere una sfida perché non capiscono tutti i costi nascosti - sembra più economico farlo da soli. È necessario esporre i costi nascosti per consentire loro di prendere una decisione pienamente informata e garantire che questo includa alcuni test di base regolari / di verifica, backup automatici affidabili ecc. E garantire che ci sia un piano per quando le cose falliscono. Il piano deve includere come recuperare dall'errore il ripristino di emergenza e come continuare a lavorare mentre si sta recuperando, ovvero la continuità del business.
In quelle situazioni in cui l'azienda non ha altra scelta che eseguire / sviluppare il proprio software, cercare soluzioni che limitino la necessità di investire in sicurezza. Ad esempio, un provider di hosting in cui la società di hosting si occupa della sicurezza dell'hardware e del sistema operativo e l'azienda deve solo preoccuparsi della sicurezza dell'applicazione. Lavorare per aiutare l'azienda a sviluppare procedure che facilitino le buone pratiche e la comprensione dei rischi e cercare di garantire che rispecchino effettivamente i rischi reali affrontati dall'azienda (piuttosto che implementare le buone pratiche, valutare i rischi che specifiche buone pratiche sono progettate per proteggere e determinare se questo è davvero un rischio per quella attività) e riconoscere che non è possibile eliminare tutti i rischi per la sicurezza - non ci sono mai abbastanza risorse. È necessario identificare esattamente quali sono i rischi reali per l'attività specifica e stabilire le priorità in modo che le risorse disponibili per i test ad hoc siano indirizzate alle priorità più elevate. Comunicare chiaramente i rischi che non vengono affrontati e quali sono le loro probabilità e conseguenze in modo che l'azienda possa prendere una decisione informata in merito alla necessità di investire in risorse aggiuntive.
Leggi altre domande sui tag risk-management people-management