Introduktion
Digital transformation er eksploderet i popularitet i løbet af de sidste par år og er nu et buzzword for virksomhedsledere i næsten alle brancher. Små og mellemstore virksomheder får forbedret brugeroplevelse, større smidighed, bekvemmelighed og lavere faste omkostninger, hvilket gør det særligt attraktivt. Flere og flere små og mellemstore virksomheder omfavner digital transformation for at forbedre deres virksomhedsaktiviteter og forhindre en mere massiv omstilling i takt med at deres organisationer vokser.
Der vil altid være en hårfin balance ved digital transformation mellem forbedrede processer og øget risiko. Små og mellemstore virksomheder er i særlig risiko for databrud og kompromittering af oplysninger under deres digitale transformation, hvis de ikke øger deres sikkerhed i takt hermed. Administrerede sikkerhedstjenester giver mulighed for at beskytte følsomme oplysninger med optimale løsninger, der leveres fra clouden med total beskyttelse.
Det første skridt til at levere komplet sikkerhed er at identificere de indbyggede traditionelle sikkerhedsmetoders svagheder for at imødekomme den planlagte digitale transformation. Når de potentielle problemer er blevet identificeret, er næste skridt at finde de bedste værktøjer, der giver det optimale beskyttelsesniveau. Den rette mængde beskyttelse vil i høj grad afbøde sårbarheden, samtidig med at beskyttelsen stadig holder sig inden for budgettet og processerne i en mindre organisation. Denne hvidbog omtaler de aktuelle risici ved digital transformation, som gør små og mellemstore virksomheder særligt sårbare over for angreb, samt de tre vigtige trin ifm. administrerede sikkerhedstjenester til at afbøde dem. Det rette niveau af proaktiv sikkerhed og overvågning vil forhindre kunderne i at bruge for mange penge på sikkerhed, eller i at risikere store udgifter ved et brud på datasikkerheden. Hvidbogen vil især omhandle:
- Hvorfor en digital transformation gør små og mellemstore virksomheder til et attraktivt mål for ondsindede aktører
- Kritiske sårbarheder i de forskellige aspekter af den udvidede teknologi
- Bedste procedurer for beskyttelse af dine kunders data, enheder og medarbejdere
Hvorfor en digital transformation gør små og mellemstore virksomheder sårbare
Hvert år investerer flere og flere virksomheder deres ressourcer og store dele af deres budget i digital transformation. Ofte lykkes det dog ikke at skabe den effekt, som lederne ønsker at opnå. Forskning viser, at 70 % af alle digitale transformationer ikke når deres tilsigtede mål.
Mens der nogle steder peges på organisatoriske problemer eller medarbejdernes tankegang som årsagen til disse fiaskoer, rapporterer virksomhederne selv, at det er sikkerheden, der udgør de største problemer. I en undersøgelse, der inkluderer mere end 270 virksomheder, pegede lederne på sikkerhedsproblemer som deres største hindring for en vellykket digital transformation. Men kun i 34 % af disse organisationer blev det nævnt, at de overvejede cybersikkerhedsproblemer i udviklingsfasen. Organisationer, der ikke tager højde for sikkerhed under deres digitale transformation, risikerer, at hele planen bliver kompromitteret, før de når de tilsigtede mål.
Cyberkriminelle har en tendens til at angribe små og mellemstore virksomheder, fordi de typisk har lavere sikkerhedsstandarder og mindre budget til at beskytte deres data end større virksomheder. De kan angribe et stort antal af dem på én gang, hvilket fører til data, der kan udnyttes, og som ofte er lige så værdifulde som større virksomheders data. Mens små og mellemstore virksomheder vælger digital transformation for at være mere omkostningseffektive, kan det vise sig at være dyrere, hvis de bliver ofre for et databrud. IBM's rapport "Cost of a Data Breach" viste, at de gennemsnitlige omkostninger ved et databrud var 8,19 millioner dollars i USA. Rapporten viste også, at mindre og mellemstore virksomheder i gennemsnit betaler mere end større virksomheder: Organisationer med 500-1000 ansatte betalte 3.533 dollars pr. ansat ved et brud på datasikkerheden, sammenlignet med 204 dollars pr. ansat i virksomheder med mere end 25.000 ansatte.1
Små og mellemstore virksomheder, der gennemgår en digital transformation, er særligt sårbare over for angreb, fordi deres sikkerhed måske ikke altid matcher deres teknologiske udvikling. Angrebene bliver også stadig mere avancerede, hvilket små og mellemstore virksomheder måske ikke er forberedt på at forsvare sig imod. Små og mellemstore virksomheder bliver ofre for ransomware, phishing, distribueret denial-of-service og social engineering-angreb. Angrebsudviklingen og de efterfølgende økonomiske konsekvenser bør få enhver lille og mellemstor virksomhed til at slå alarm.
Risici forbundet med den digitale transformation
Begrebet "digital transformation" har været udskældt af eksperter og ledere, fordi det er et vagt og bredt begreb, der omfatter en bred vifte af teknologier. I denne hvidbog vil vi komme ind på den mest almindelige teknologi, der anvendes i den digitale transformation for små og mellemstore virksomheder.
De fælles aspekter af digital transformation for små og mellemstore virksomheder:
IoT
Internet of Things giver betydelige fordele for små og mellemstore virksomheder. Sensorernes evne til at udføre opgaver, analysere og kommunikere uden menneskelig indgriben giver virksomheder mulighed for at skabe værdi for deres kunder. Men mange er ikke designet med sikkerhed for øje og efterlader organisationer åbne for potentielle brud på datasikkerheden.
IoT's evne til at forbinde lavrisiko- og højrisikoenheder kan forårsage betydelige cybersikkerhedsproblemer for virksomheder, der ikke har tilpasset deres sikkerhed i overensstemmelse med det. Det, der engang var forbundet med en lav risiko i dit system, er nu forbundet med dine mest følsomme data. Hackere behøver kun at finde ét indgangspunkt for at få adgang til alt.
Ifølge National Institute of Standards and Technology2 er de tre største sikkerhedsproblemer for IoT:
- IoT-enheder interagerer med hinanden for at foretage ændringer i fysiske systemer på måder, som traditionel teknologi ikke gør.
- IoT kan ikke tilgås eller kontrolleres på samme måde som traditionel teknologi.
- Cybersikkerheds tilgængelighed og effektivitet er anderledes for IoT end for traditionel IT
Da IoT ikke fungerer på samme måde som IT, kræver det en anden tilgang til cybersikkerhed. Medmindre små og mellemstore virksomheder justerer deres sikkerhed i overensstemmelse med det, står de over for et potentielt databrud.
BYOD
I et forsøg på at reducere de faste omkostninger og forbedre medarbejdertilfredsheden benytter små og mellemstore virksomheder sig mere og mere af BYOD (Bring Your Own Device). Det giver medarbejderne mulighed for at arbejde fra deres personlige enheder såsom smarttelefoner, tablets eller bærbare computere.
I virksomheder, der ikke har en etableret officiel BYOD-politik, bruger deres medarbejdere ofte personlige enheder alligevel. Med udbredelsen af internetenheder vil det være svært for en virksomhed at finde medarbejdere, der ikke har deres mobiltelefon med på arbejde. Mens telefoner, der kun bruges til personlige formål, ikke udgør en sikkerhedstrussel, kan arbejde fra deres enheder kompromittere hele virksomhedens sikkerhed.
BYOD gør organisationer særligt sårbare over for DDoS-angreb. Datatyveri er en anden risiko forbundet med BYOD. Hvis en medarbejder sender en fil over et usikkert netværk, f.eks. på en cafe eller i en lufthavn, kan det meget nemt kompromittere oplysningerne. Malware-infiltration er også et problem. Medarbejdere kan downloade et mobilspil med malware og derved angribe dine oplysninger via deres enhed.
Utilfredse, tidligere medarbejdere kan også udgøre et problem for virksomhedens sikkerhed. De kan bruge oplysningerne på deres enhed til at skabe kaos og ødelæggelse for både dine kunders og din virksomheds omdømme.
Fjernarbejde
Selv før fjernarbejde blev obligatorisk på nogle områder, eksploderede det i popularitet. I nutidens erhvervsliv er fjernarbejde dog en nødvendighed. Organisationer, der tidligere var imod fjernarbejde, ser sig nu nødsaget til at udvikle metoder, der gør det muligt for deres medarbejdere at arbejde hjemmefra.
Medarbejdere, der ikke er opmærksomme på praksis i forbindelse med sikker fjernarbejde, kan gøre en virksomhed sårbar over for databrud. Deling af enheder med ikke-autoriserede personer, adgang til oplysninger via usikre netværk såsom offentlig Wi-Fi, og uforsigtighed ved åbning af mails kan også kompromittere følsomme oplysninger og udsætte din organisation for risiko.
Cloudprogrammer
Cloudprogrammer giver små og mellemstore virksomheder bedre adgang til deres data. Det giver dem mulighed for at træffe datadrevne beslutninger og få vigtig viden, så deres virksomhed kan vokse. Organisationer kan dog være sårbare over for angreb, hvis de ikke tager de rette forholdsregler.
Cloudprogrammer udsætter virksomheder for risikoen for hijacking af konti, hvor angribere kan få adgang til følsomme oplysninger ved hjælp af stjålne legitimationsoplysninger. Avancerede, insisterende trusselsgrupper går målrettet efter cloud-miljøer og bruger offentlige cloudtjenester til at gennemføre deres angreb. Usikre API'er kan også skabe et indgangspunkt, som angribere kan udnytte.
Tab af data kan også være et stort problem for små og mellemstore virksomheder. Et uheld eller en katastrofe kan betyde, at kundeoplysninger går permanent tabt, hvis man ikke har de rigtige backupprocedurer på plads. Google og Amazon er begge eksempler på, hvordan selv de mest teknisk avancerede virksomheder kan miste data ved ikke at foretage sikkerhedskopiering.
Sådan beskytter du din virksomhed ved digital transformation
En administreret sikkerhedstjeneste, der forstår kompleksiteten i både en digital transformation og små og mellemstore virksomheder, bør være i stand til at identificere potentielle sårbarheder, levere det sikkerhedsniveau, der er nødvendigt for at tage højde for eventuelle ændringer i teknologien, og fortsætte med at overvåge din organisation.
Identificer sårbarheder i din digitale transformationsplan
Cybersikkerhed begynder, så snart planen for en digital transformation begynder at tage form. Det skal være en del af den oprindelige plan, hvor hvert skridt på vejen overvejes. Små og mellemstore virksomheder er et særligt mål, fordi deres sikkerhed ikke altid matcher deres vækst, hvilket efterlader huller og sårbarhed. Digital transformation og sikkerhed skal koordineres i samarbejde for at undgå denne potentielt katastrofale fejltagelse.
IBM gennemførte en undersøgelse af de mest succesfulde transformationer og fandt ud af, at de, der havde en større forståelse for og vægt på vigtigheden af sikkerhed, fik det mest vellykkede resultat.3 Disse "high performers", som forskningsartiklen kaldte dem, var mindre tilbøjelige til at blive udsat for et databrud under deres proces.
Identificer, hvilke digitale transformationer din organisation håber at gennemføre. Angiv, hvor du gerne vil udvide med IoT, BYOD, fjernarbejde eller flere cloudprogrammer. Sørg for at inkludere detaljerne i dine planer for at se, hvor de potentielle sårbarheder kan opstå.
Lav også en liste over de fysiske og virtuelle computerenheder i virksomheden. Arbejdsstationer, bærbare computere, printere, mobilenheder, netværksapplikationsservere, virksomhedens firewalls og netværksfilservere bør indgå i vurderingen.
Definer det nødvendige sikkerhedsniveau
Når du har fået overblik over dine mål, og de potentielle sårbarheder, kan du afgøre, hvilket sikkerhedsniveau der er behov for. Nedenfor angives de vigtige sikkerhedstjenester til en vellykket digital transformation.
Kontinuerlig overvågning
En alvorlig fejl, som mange små og mellemstore virksomheder begår, er at bruge for mange penge på forebyggelse på bekostning af opdagelses- og reaktionsmuligheder. Selvom forebyggelse er et vigtigt aspekt af beskyttelse af følsomme oplysninger, ændrer angreb sig og kan ramme når som helst. Jo hurtigere en virksomhed kan reagere på et angreb, jo lettere vil det være at inddæmme og reducere omfanget af den skade, der kan ske.
Oprethold en solid sikkerhedsbasis med løbende fjernovervågning og -administration. Du kan sikre dig kontinuerlig beskyttelse mod cyberkriminelle ved at finde og vedligeholde nye opdateringer af software og sikkerhedsforanstaltninger baseret på nye trusler.
IoT
Antivirus
Installation og overvågning af antivirus på alle enheder for at sikre alle indgange
Jævnlige sårbarhedsscanninger
Regelmæssige scanninger sikrer, at antivirus, adgangskoder og al anden software er opdateret.
Forebyggelse af datatab
Forhindrer brugere i at dele følsomme data og regulerer, hvilke data der kan overføres.
BYOD
Mailkryptering
End-to-end-kryptering direkte på brugernes enheder sikrer, at oplysningerne ikke ender i de forkerte hænder.
SSL-dekryptering
Secure Internet Gateway (SIG) inspicerer alle porte og protokoller for at sikre, at trusler ikke kan komme ind på dit netværk, og udfylder huller i sikkerheden, som traditionelle apparater efterlader.
Sikker godkendelse
Der er adskillige måder at opnå dette på, men adgangskodepolitikker og brug af multifaktorgodkendelse (MFA) er en god begyndelse.
Fjernarbejde
Medarbejdersikkerhed når som helst og hvor som helst
Giv fjernarbejdere en VPN-forbindelse for at sikre adgang til virksomhedens data og applikationer.
Sikkerhedsbevidsthed og uddannelse af medarbejdere
Uddan medarbejderne i praksisser, der beskytter dem selv og din virksomhed såsom at genkende svindel og oprette stærke adgangskoder.
Processer og politikker, der kan håndhæves
Sørg for, at alle ved, hvordan man holder virksomheden sikker. Etabler retningslinjer for, hvilke data der skal beskyttes, og hvordan.
Cloudprogrammer
Sikkerhedskopiering og IT-katastrofeberedskab
Forhindrer dig i at miste følsomme og værdifulde data i tilfælde af uheld eller en nødsituation.
Sikker webgateway
Blokerer, som en virtuel sikkerhedsvagt øjeblikkeligt enhver detektion fra clouden og alle trusler for alle kunder i netværket.
Administration af rettelser
Installation af opdateringer kan hjælpe med at løse de indbyggede sårbarheder i cloudprogrammer.
Opsummering
Digitale transformationer er bydende nødvendigt for små og mellemstore virksomheder. Men det efterlader organisationer sårbare over for nyere og mere avancerede trusler. IoT, BYOD, fjernarbejde og cloudprogrammer byder alle på unikke udfordringer, som virksomheder skal være opmærksomme på. Administrerede sikkerhedstjenester kan hjælpe små og mellemstore virksomheder med at identificere potentielle kompromiser og reducere sårbarheder, samtidig med at de forbedrer deres processer for en stærkere virksomhed. Disse tjenester kan hjælpe dig med at omfavne forandring og teknologi, så du har beskyttelse for både dig og dine kunder.
1 Ponemon Institute. 2019 Cost of a Data Breach Report July 2019.
2 National Institute of Standards and Technology (NIST). Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. Juni 2019.
3 Ponemon Institute. Bridging the Digital Transformation Divide: Leaders Must Balance Risk and Growth. Marts 2018.