Obsługujemy przeglądarki, a nie dinozaury. Aby prawidłowo wyświetlić treść tej strony, zaktualizuj przeglądarkę.

Nie masz pewności, które rozwiązanie jest odpowiednie dla Twojej firmy?
Pomóż mi wybrać
Skip to main content
  1. Dla firm
  2. Zasoby
  3. Oficjalny dokument
  4. Akceptowanie nowego standardu
Oficjalny dokument

Akceptowanie nowego standardu
Przewodnik po bezpiecznej transformacji cyfrowej dla małych i średnich firm

Wprowadzenie

W ciągu ostatnich kilku lat transformacja cyfrowa zyskała na popularności i jest obecnie modnym hasłem wśród liderów biznesu w niemal każdej branży. Lepsze doświadczenie użytkownika, elastyczność, wygoda i niższe koszty ogólne sprawiają, że jest ono szczególnie atrakcyjne dla małych i średnich firm. Małe i średnie firmy coraz częściej korzystają z transformacji cyfrowej, aby usprawnić swoją działalność i zapobiec konieczności przeprowadzania transformacji na dużą skalę w miarę rozwoju organizacji.

W transformacji cyfrowej zawsze będzie chodzić o delikatną równowagę między ulepszonymi procesami a zwiększonym ryzykiem. Małe i średnie firmy są szczególnie narażone na ryzyko naruszenia zabezpieczeń danych i ujawnienia informacji w trakcie cyfrowej transformacji, jeśli równocześnie nie wzmocnią swoich zabezpieczeń. Zarządzane usługi zabezpieczeń zapewniają możliwość ochrony poufnych informacji za pomocą najwyższej klasy rozwiązań dostarczanych z chmury w całkowicie bezpieczny sposób.

Pierwszym krokiem do zapewnienia pełnego bezpieczeństwa jest wskazanie nieodłącznych słabości tradycyjnych metod zabezpieczeń w celu uwzględnienia ich w planowanej transformacji cyfrowej. Po wskazaniu potencjalnych problemów trzeba znaleźć najlepsze narzędzia, które zapewnią optymalny poziom ochrony. Odpowiednia ilość zabezpieczeń w znacznym stopniu złagodzi podatność na ataki, a jednocześnie zmieści się w ramach budżetu i procesów mniejszych organizacji. W tym opracowaniu zostaną omówione obecne zagrożenia związane z transformacją cyfrową, które sprawiają, że małe i średnie firmy są szczególnie narażone na ataki, a także trzy podstawowe elementy zarządzanych usług zabezpieczeń, które mogą zmniejszyć ryzyko. Odpowiedni poziom proaktywnych zabezpieczeń i monitorowania uchroni klientów przed nadmiernymi wydatkami na bezpieczeństwo lub wysokimi kosztami wiążącymi się z naruszeniem zabezpieczeń danych. To opracowanie porusza następujące kwestie:

  • Dlaczego cyfrowa transformacja naraża małe i średnie firmy na działania przestępców?
  • Krytyczne luki w zabezpieczeniach różnych aspektów rozwijającej się technologii.
  • Jak chronić dane klientów, a także swoje urządzenia i pracowników?

Dlaczego cyfrowa transformacja naraża małe i średnie firmy?

Każdego roku coraz więcej firm przeznacza swoje zasoby i dużą część budżetu na transformację cyfrową. Często nie wywiera ona jednak oczekiwanego wpływu. Badania pokazują, że 70% wszystkich transformacji cyfrowych nie realizuje zamierzonych celów.

Niektóre artykuły wskazują na kwestie organizacyjne lub nastawienie pracowników jako przyczynę niepowodzeń, ale same firmy zgłaszają, że to bezpieczeństwo stanowi duże wyzwanie. W jednym z badań przeprowadzonym na ponad 270 firmach liderzy wskazali kwestie bezpieczeństwa jako najważniejszą barierę dla udanej transformacji cyfrowej. Jednak tylko 34% tych organizacji przyznało, że kwestie cyber­bezpieczeństwa były brane pod uwagę na etapie rozwoju. Organizacje, które podczas cyfrowej transformacji nie biorą pod uwagę bezpieczeństwa, ryzykują niepowodzenie całego planu przed osiągnięciem zamierzonych celów.

Cyberprzestępcy atakują małe i średnie firmy, ponieważ mają one zazwyczaj mniej ścisłe standardy bezpieczeństwa i skromniejszy budżet na ochronę danych niż duże przedsiębiorstwa. Mogą brać na cel wiele małych firm jednocześnie, co prowadzi do uzyskania danych, które często są tak samo cenne jak dane większych przedsiębiorstw. Małe i średnie firmy zwracają się ku transformacji cyfrowej, aby zwiększyć swoją rentowność, jednak może się ona okazać bardziej kosztowna, jeśli padną ofiarą naruszenia zabezpieczeń danych. Raport „Cost of a Data Breach” firmy IBM wykazał, że średni koszt naruszenia zabezpieczeń danych w Stanach Zjednoczonych wyniósł 8,19 miliona dolarów. Ustalono również, że małe i średnie firmy płacą średnio więcej niż duże przedsiębiorstwa: koszt naruszenia zabezpieczeń danych w przypadku organizacji zatrudniających od 500 do 1000 wynosił 3533 dolary na pracownika, w porównaniu do 204 dolarów na pracownika w przedsiębiorstwach zatrudniających ponad 25 000 pracowników1.

Małe i średnie firmy, które przechodzą cyfrową transformację, są szczególnie narażone na ataki, ponieważ ich zabezpieczenia nie zawsze dorównują ich rozwojowi technologicznemu. Ponadto ataki stają się coraz bardziej wyrafinowane, a małe i średnie firmy mogą nie być przygotowane do obrony. Małe i średnie firmy padają ofiarą oprogramowania ransomware, phishingu, ataków DDoS i socjotechnicznych. Ewoluujące ataki i wiążące się z nimi skutki finansowe powinny niepokoić wszystkich małych i średnich przedsiębiorców.

Ryzyko związane z transformacją cyfrową

Termin „transformacja cyfrowa” jest krytykowany przez ekspertów i liderów, ponieważ jest to nieprecyzyjne i ogólne pojęcie obejmujące szeroki zakres technologii. W tym opracowaniu omówimy najpopularniejsze technologie stosowane w transformacji cyfrowej małych i średnich firm.

Wspólne aspekty transformacji cyfrowej małych i średnich przedsiębiorstw obejmują:

Internet rzeczy (IoT)

Internet rzeczy zapewnia znaczące korzyści dla małych i średnich firm. Zdolność czujników do wykonywania zadań, analizowania i komunikowania się bez udziału człowieka oferuje firmom sposoby tworzenia wartości dla klientów. Jednak wiele z nich nie zostało opracowanych z myślą o bezpieczeństwie i naraża organizacje na potencjalne naruszenia zabezpieczeń danych.

Zdolność do łączenia urządzeń IoT niskiego i wysokiego ryzyka może powodować poważne problemy z cyberbezpieczeństwem dla firm, które nie dostosowały odpowiednio swoich zabezpieczeń. Części systemu, które niegdyś stanowiły niskie ryzyko, są teraz powiązane z najbardziej wrażliwymi danymi. Hakerzy muszą znaleźć tylko jeden punkt wejścia, aby uzyskać dostęp do wszystkiego.

Oto trzy największe problemy związane z bezpieczeństwem IoT według National Institute of Standards and Technology2:

  • Urządzenia IoT współdziałają ze sobą, aby wprowadzać zmiany w systemach fizycznych w inny sposób niż tradycyjna technologia.
  • Do IoT nie można uzyskać dostępu ani sterować nim w ten sam sposób co w przypadku tradycyjnej technologii.
  • Dostępność, wydajność i skuteczność cyber­bezpieczeństwa są inne w przypadku IoT niż tradycyjnej technologii informacyjnej.

Ponieważ IoT nie działa tak samo jak technologia informacyjna, wymaga innego podejścia do cyber­bezpieczeństwa. Jeśli małe i średnie firmy nie dostosują odpowiednio swoich zabezpieczeń, staną w obliczu potencjalnego naruszenia danych.

Model BYOD

W dążeniu do zmniejszenia kosztów ogólnych i zwiększenia zadowolenia pracowników, model „przynieś własne urządzenie” (ang. BYOD, Bring Your Own Device) jest coraz częstszą praktyką stosowaną w małych i średnich firmach. Pozwala to pracownikom wykonywać pracę za pomocą urządzeń osobistych, takich jak smartfony, tablety czy laptopy.

W firmach, które nie mają opracowanej polityki BYOD, pracownicy mogą mimo wszystko korzystać z urządzeń osobistych. Wraz z rozprzestrzenianiem się urządzeń łączących się z Internetem firmom trudno znaleźć pracowników, którzy nie przynoszą do pracy swoich telefonów komórkowych. Podczas gdy telefony używane wyłącznie do celów osobistych nie stanowią zagrożenia, używanie ich do pracy może zagrozić bezpieczeństwu całej firmy.

Model BYOD sprawia, że organizacje są szczególnie podatne na ataki DDoS. Kradzież danych to kolejne ryzyko związane z korzystaniem z urządzeń osobistych. Jeśli pracownik wysyła pliki przez niezabezpieczoną sieć, na przykład w kawiarni lub na lotnisku, przestępcom będzie łatwo przejąć informacje. Problemem jest również infiltracja złośliwego oprogramowania. Pracownicy mogą pobrać grę mobilną z dołączonym do niej złośliwym oprogramowaniem i za pośrednictwem własnego urządzenia narazić firmowe dane na atak.

Problem dla bezpieczeństwa firmy mogą również stanowić niezadowoleni byli pracownicy. Mogą oni wykorzystać informacje znajdujące się na ich urządzeniach, aby poważnie zaszkodzić zarówno klientom, jak i reputacji firmy.

Praca zdalna

Popularność pracy zdalnej gwałtownie rosła, jeszcze zanim w niektórych obszarach stała się obowiązkowa. W dzisiejszych okolicznościach praca zdalna jest jednak koniecznością. Organizacje, które wcześniej się opierały, zostały zmuszone do opracowania metod umożliwiających pracownikom wykonywanie obowiązków z domu.

Pracownicy, którzy nie znają bezpiecznych praktyk dotyczących pracy zdalnej, mogą narazić firmę na naruszenie zabezpieczeń danych. Udostępnianie urządzeń nieupoważnionym osobom, uzyskiwanie dostępu do informacji za pośrednictwem niebezpiecznych sieci, takich jak publiczne Wi-Fi, a także nieostrożne otwieranie wiadomości e‑mail może narazić na szwank poufne informacje, a organizację na niebezpieczeństwo.

Aplikacje w chmurze

Aplikacje w chmurze zapewniają małym i średnim firmom większy dostęp do danych. Dzięki temu mogą rozwijać działalność, podejmując decyzje oparte na danych i mając wgląd w krytyczne informacje. Organizacje mogą być jednak podatne na ataki, jeśli nie podejmą odpowiednich środków ostrożności.

Aplikacje w chmurze narażają firmy na ryzyko przejęcia konta, w wyniku którego hakerzy mogą uzyskać dostęp do poufnych informacji przy użyciu skradzionych danych uwierzytelniających. Grupy stosujące zaawansowane trwałe ataki biorą za cel środowiska chmurowe i wykorzystują usługi chmury publicznej do ich przeprowadzania. Niezabezpieczone interfejsy API mogą również stanowić punkt wejścia dla hakerów.

Utrata danych może także stanowić duży problem dla małych i średnich firm. Bez odpowiednich kopii zapasowych informacje klientów mogą zostać trwale utracone w wyniku wypadku lub katastrofy. Google i Amazon są przykładami pokazującymi, jak nawet najbardziej zaawansowane technologicznie firmy mogą utracić dane z powodu nieutworzenia ich kopii zapasowych.

Jak chronić swoją firmę podczas transformacji cyfrowej?

Zarządzana usługa bezpieczeństwa, która została opracowana ze świadomością złożonej natury zarówno transformacji cyfrowej, jak i małych i średnich firm, powinna być w stanie wskazać potencjalne luki w zabezpieczeniach, zapewnić poziom bezpieczeństwa wymagany do uwzględnienia wszelkich zmian technologicznych i zapewniać organizacji ciągłe monitorowanie.

Rozpoznanie słabych punktów planu transformacji cyfrowej

Kwestia cyber­bezpieczeństwa powinna pojawić się już na samym początku tworzenia planu transformacji cyfrowej. Musi być brana pod uwagę na każdym etapie. Małe i średnie firmy są szczególnym celem, ponieważ ich ochrona nie zawsze nadąża za rozwojem działalności, pozostawiając luki w zabezpieczeniach. Aby uniknąć tego potencjalnie katastrofalnego błędu, należy równocześnie koordynować transformację cyfrową i strategię bezpieczeństwa.

Firma IBM przeanalizowała najbardziej udane transformacje i odkryła, że firmy, które kładły większy nacisk na znaczenie bezpieczeństwa, odniosły większy sukces3. Te „wybitne” przedsiębiorstwa, jak określono je w opracowaniu, były mniej narażone na naruszenie zabezpieczeń danych podczas procesu transformacji.

Wskaż, jakie transformacje cyfrowe chce osiągnąć Twoja organizacja. Zwróć uwagę, w jakich obszarach chcesz rozszerzyć swoją działalność o IoT, BYOD, pracę zdalną lub więcej aplikacji w chmurze. Nie zapomnij uwzględnić szczegółów swoich planów, aby móc wskazać ich potencjalne słabe punkty.

Spisz także listę fizycznych i wirtualnych urządzeń komputerowych w firmie. Ocena powinna obejmować stacje robocze, laptopy, drukarki, urządzenia przenośne, serwery aplikacji sieciowych, firmowe zapory ogniowe i sieciowe serwery plików.

Określenie wymaganego poziomu bezpieczeństwa

Gdy ustalisz już, co chcesz osiągnąć i jakie są potencjalne luki w zabezpieczeniach, możesz określić potrzebny poziom bezpieczeństwa. Poniżej znajdują się kluczowe usługi bezpieczeństwa potrzebne do udanej transformacji cyfrowej.

Ciągłe monitorowanie

Poważnym błędem popełnianym przez wiele małych i średnich firm jest wydawanie zbyt dużych pieniędzy na zapobieganie ze szkodą dla rozwiązań do wykrywania i reagowania. Chociaż zapobieganie jest istotnym aspektem ochrony poufnych informacji, ataki zmieniają się i może do nich dojść w każdej chwili. Im szybciej firma jest w stanie zareagować na atak, tym łatwiej będzie go powstrzymać i zmniejszyć rozmiar potencjalnych strat.

Utrzymuj solidne podstawy ochrony za pomocą ciągłego zdalnego monitorowania i zarządzania. Wyszukiwanie i instalowanie nowych poprawek i aktualizacji oprogramowania, a także aktualizowanie środków bezpieczeństwa na podstawie nowych zagrożeń zapewni firmie ciągłą ochronę przed cyberprzestępcami.

Internet rzeczy (IoT)

Antywirus
Instalowanie i monitorowanie oprogramowania antywirusowego na wszystkich urządzeniach w celu zabezpieczenia każdego punktu wejścia.
Regularne skanowanie w poszukiwaniu luk w zabezpieczeniach
Regularne skanowanie daje pewność, że antywirus, hasła i inne oprogramowanie są aktualne.
Zapobieganie utracie danych (DLP)
Zapobiega udostępnianiu przez użytkowników wrażliwych danych i reguluje, jakie dane mogą być przesyłane.

Model BYOD

Szyfrowanie poczty elektronicznej
Szyfrowanie end to end bezpośrednio na urządzeniach użytkowników zapewnia, że informacje trafiają tylko we właściwe ręce.
Deszyfrowanie ruchu SSL
Secure Internet Gateway kontroluje wszystkie porty i protokoły, aby zapewnić, że zagrożenia nie przedostaną się do sieci, a także wypełnia luki w zabezpieczeniach pozostawione przez tradycyjne urządzenia.
Bezpieczne uwierzytelnienie
Można je osiągnąć na wiele sposobów, ale warto zacząć od zasad dotyczących haseł i uwierzytelnienia wieloskładnikowego.

Praca zdalna

Bezpieczeństwo pracowników — zawsze i wszędzie
Zapewnij pracownikom zdalnym połączenie VPN, aby zabezpieczyć dostęp do firmowych danych i aplikacji.
Zwiększanie świadomości i szkolenia w zakresie bezpieczeństwa
Edukuj pracowników w zakresie praktyk chroniących zarówno ich samych, jak i Twoją firmę, takich jak rozpoznawanie oszustw i tworzenie silnych haseł.
Egzekwowalne procesy i zasady
Upewnij się, że wszyscy wiedzą, jak dbać o bezpieczeństwo firmy. Ustal jasne zalecenia dotyczącego tego, jakie dane wymagają ochrony i jak ją zapewniać.

Aplikacje w chmurze

Kopie zapasowe i odzyskiwanie danych po awarii
Zapobiega utracie poufnych i cennych danych w razie wypadku lub awarii.
Bezpieczna brama WWW
Pełni funkcję wirtualnego strażnika bezpieczeństwa. Gdy tylko w chmurze zostanie wykryte zagrożenie, jest ono blokowane dla wszystkich klientów w sieci.
Zarządzanie poprawkami
Instalowanie poprawek i dbanie o ich aktualność może pomóc w wyeliminowaniu nieodłącznych luk w zabezpieczeniach aplikacji w chmurze.

Podsumowanie

Transformacje cyfrowe to nieunikniona zmiana, która czeka małe i średnie firmy. Naraża ona jednak organizacje na nowsze i bardziej wyrafinowane zagrożenia. IoT, BYOD, praca zdalna i aplikacje w chmurze wiążą się z wyjątkowymi wyzwaniami, których firmy muszą być świadome. Zarządzane usługi zabezpieczeń mogą pomóc małym i średnim firmom wskazać potencjalne zagrożenia i zmniejszyć podatność na ataki. Jednocześnie ulepszają ich procesy, aby całościowo usprawnić pracę firmy. Usługi te mogą pomóc przyjąć zmiany i technologię, dzięki świadomości, że ochrona obejmuje zarówno Twoją firmę, jak i klientów.

1 Ponemon Institute. 2019 Cost of a Data Breach Report. Lipiec 2019.

2 National Institute of Standards and Technology (NIST). Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. Czerwiec 2019.

3 Ponemon Institute. Bridging the Digital Transformation Divide: Leaders Must Balance Risk and Growth. Marzec 2018.

Informacje o autorze

Rob Krug,
starszy architekt bezpieczeństwa,
Avast Business

Rob zajmuje się inżynierią i bezpieczeństwem sieci już od ponad 30 lat. Ma bardzo duże doświadczenie w dziedzinach telekomunikacji, projektowania sieci i zarządzania nimi, a także, co najistotniejsze, bezpieczeństwa sieci. Rob specjalizuje się w lukach zabezpieczeń i może poszczycić się sporym doświadczeniem w kryptografii, etycznym hackingu oraz inżynierii wstecznej złośliwego oprogramowania. Odbył służbę wojskową w amerykańskiej Marynarce Wojennej i pracował jako analityk ds. bezpieczeństwa danych oraz dyrektor ds. inżynierii dla wielu międzynarodowych dostawców i dystrybutorów usług. Rob zaprojektował i wdrożył kilka spośród najbardziej złożonych i najlepiej zabezpieczonych sieci, jakie tylko można sobie wyobrazić, oraz zajmował się ich utrzymaniem.

Przewodnik po bezpiecznej transformacji cyfrowej dla małych i średnich firm

Pobierz oficjalny dokument
Zamknij

Prawie gotowe!

Zakończ instalację, klikając pobrany plik i postępując zgodnie z instrukcjami.

Rozpoczynanie pobierania…
Uwaga: Jeśli pobieranie nie rozpocznie się automatycznie, kliknij tutaj.
Kliknij ten plik, aby rozpocząć instalację programu Avast.
Polska
Dla domu
Dla biznesu
Dla partnerów
Firma
© 2024 Gen Digital Inc. Wszystkie prawa zastrzeżone.
Polityka prywatności Polityka dotycząca produktów Informacje prawne Zgłoś lukę w zabezpieczeniach Skontaktuj się z zespołem ds. bezpieczeństwa Oświadczenie dotyczące przeciwdziałania współczesnym formom niewolnictwa Szczegóły subskrypcji