So identifizieren Sie die Cybersicherheitsrisiken Ihres Unternehmens

Dieser Artikel erschien ursprünglich auf IndustryWeek. Gast-Blogpost von Traci Spencer, Grant Program Manager bei TechSolve, Inc., dem südwestlichen Regionalpartner des MEP von Ohio, Teil des MEP National Network ^TM .

Dieser Artikel ist der erste Teil einer fünfteiligen Serie, in der Best Practices zum Thema "Cybersicherheit für Hersteller" beschrieben werden. Diese Empfehlungen folgen dem Cybersicherheitsrahmen des National Institute of Standards and Technology (NIST), der zum Standard für den US-amerikanischen Fertigungssektor geworden ist.

Laut einer von IBM gesponserten Studie des Ponemon Institute aus dem Jahr 2018 beträgt der weltweite Durchschnitt für eine Datenschutzverletzung 3,86 Millionen $. Das entspricht fast 150 US-Dollar pro gestohlenem Datensatz. Wenn Sie ein kleiner oder mittlerer Hersteller sind, denken Sie vielleicht, dass Statistiken wie diese nicht auf Sie zutreffen. Aber von 17 in dem Bericht vertretenen Branchen waren die Sektoren Finanzen, Dienstleistungen und darauf warten – Fertigung am stärksten betroffen.

Da Hersteller oft weniger Ressourcen in die Informationssicherheit investieren, sind sie ein beliebtes Ziel für Cyberkriminelle. Und es braucht nur einen Cyberangriff, um das gesamte Betriebssystem eines kleineren Herstellers zu zerstören. Vernetzte Maschinen, Lieferanten, Händler oder sogar Kunden könnten alle über einen Computer/ein Gerät in einer Produktionsstätte gehackt werden.

Andere Risiken sind:

• Verlust von Informationen, die für die Führung Ihres Unternehmens wichtig sind
• Negative Auswirkungen auf das Kundenvertrauen
• Behördliche Geldbußen und daraus resultierende Anwaltskosten
• Verringerte oder gestoppte Produktivität.

Glücklicherweise können Sie mit Hilfe des National Institute of Standards and Technology (NIST) lernen, wie Sie Ihren Betrieb schützen können, das ein Fünf-Schritte-Framework für Cybersicherheit entwickelt hat, das von Unternehmen jeder Größe implementiert werden kann. Das online verfügbare NIST Cybersecurity Framework kann von Ihrem lokalen Vertreter des MEP National Network, den Experten für die Weiterentwicklung der US-amerikanischen Fertigung, näher erläutert werden. Sie können auch den Herstellerleitfaden zur Cybersicherheit anzeigen (Link hinzufügen, sobald wir den Speicherort des Dokuments kennen), der Herstellern grundlegende Vorgehensweisen und Tools zur Entwicklung eines Cybersicherheitsprogramms bietet.

Bereit für Ihren ersten Schritt in Richtung Datensicherheit? Der Prozess beginnt mit der Identifizierung Ihrer Risiken.

Kontrollieren Sie, wer Zugriff auf Ihre Informationen hat

Erstellen Sie eine Liste der Mitarbeiter mit Computerzugriff und geben Sie alle Ihre Geschäftskonten, die Art des Zugriffs (physisch oder Passwörter) an und sichern Sie alle Laptops und Mobilgeräte physisch, wenn sie nicht verwendet werden. Bitten Sie Ihre Mitarbeiter, einen Sichtschutz zu verwenden oder den Bildschirm des Computers so zu positionieren, dass Passanten die angezeigten Informationen nicht sehen können, und lassen Sie sie die Bildschirmsperre so einstellen, dass sie aktiviert wird, wenn der Computer nicht verwendet wird.

Erlauben Sie keinen physischen Zugriff auf Computer oder Systeme durch nicht autorisiertes Personal, z. B.:  

• Reinigungsteams oder Wartungspersonal
• Unbeaufsichtigtes Computer- oder Netzwerkreparaturpersonal, das an Systemen oder Geräten arbeitet
• Unerkannte Personen, die Ihr Büro oder Ihre Werkstatt betreten, ohne von einem Mitarbeiter befragt zu werden

Es dauert nur Sekunden, bis ein Krimineller auf eine entsperrte Maschine zugreift. Machen Sie es ihnen nicht leicht, Ihre sensiblen Informationen zu stehlen.

Durchführen von Hintergrund- und Sicherheitsüberprüfungen für alle Mitarbeiter

Hintergrundüberprüfungen sind unerlässlich, um Ihre Cybersicherheitsrisiken zu identifizieren. Es sollte eine vollständige landesweite Suche nach allen potenziellen Mitarbeitern oder anderen Personen durchgeführt werden, die Zugriff auf Ihre Computer und die Systeme und Geräte Ihres Unternehmens haben.

Diese Überprüfungen sollten Folgendes umfassen:

• Kriminelle Hintergrundüberprüfungen
• Überprüfungen auf Sexualstraftäter
• Bonitätsprüfungen, falls möglich (einige US-Bundesstaaten beschränken die Verwendung von Bonitätsprüfungen)
• Referenzen zur Überprüfung von Arbeitsdaten früherer Arbeitgeber
• Bildung und Abschlussprüfung

Sie können auch erwägen, eine Hintergrundüberprüfung bei sich selbst durchzuführen, die Sie schnell warnen kann, wenn Sie unwissentlich Opfer eines Identitätsdiebstahls geworden sind.

Erfordern Sie individuelle Benutzerkonten für jeden Mitarbeiter

Bei Datenverlust oder unbefugter Datenmanipulation kann die Untersuchung ohne individuelle Konten für jeden Benutzer schwierig sein. Richten Sie für jeden Mitarbeiter und Auftragnehmer, der Zugriff benötigt, ein separates Konto ein. Fordern Sie sie auf, starke, eindeutige Passwörter für jedes Konto zu verwenden.

Begrenzen Sie die Anzahl der Mitarbeiter, die über Administratorzugriff verfügen, insbesondere wenn diese für die Erfüllung ihrer täglichen Arbeitsaufgaben nicht erforderlich sind. Ziehen Sie Gastkonten mit nur Internetzugang für Besucher oder Kunden in Ihrer Einrichtung in Betracht.

Cybersicherheitsrichtlinien und -verfahren erstellen

Auch wenn das Erstellen Ihrer ersten Cybersicherheitsrichtlinie wie eine entmutigende Aufgabe erscheinen mag, gibt es viele leicht verständliche Tipps des MEP National Network, die Ihnen den Einstieg erleichtern können. Sie können sich auch an einen mit Cyberrecht vertrauten Juristen wenden, um Ihre Richtlinien zu überprüfen, um sicherzustellen, dass Sie die lokalen Gesetze und Vorschriften einhalten.

Ihre neue Cybersicherheitsrichtlinie sollte Folgendes beinhalten:

• Ihre Erwartungen an Ihre Mitarbeiter zum Schutz von Unternehmensinformationen
• Wichtige Ressourcen, die geschützt werden müssen und wie Sie von Ihren Mitarbeitern erwarten, dass sie diese Informationen schützen
• Eine unterschriebene Vereinbarung von jedem Mitarbeiter, um zu bestätigen, dass er die Richtlinie gelesen und verstanden hat.

Bewahren Sie die unterzeichnete Vereinbarung in der Personalakte jedes Mitarbeiters auf. Überprüfen Sie die Richtlinie mindestens einmal im Jahr und aktualisieren Sie sie, wenn Sie Änderungen an der Technologie Ihres Unternehmens vornehmen. Sie können dann Ihre Cybersicherheitsrichtlinie verwenden, um Ihre neuen Mitarbeiter in ihren Verantwortlichkeiten für die Informationssicherheit zu schulen und akzeptable Praktiken für alle Ihre Geschäftsvorgänge festzulegen.

Nachdem Sie nun gelernt haben, Ihre Risiken zu identifizieren und Ihre Ressourcen zu bewerten, ist es an der Zeit, darüber nachzudenken, sie zu schützen. Im zweiten Teil unserer fünfteiligen Reihe „Cybersicherheit für Hersteller“ des MEP National Network führen wir die wichtigsten Schritte durch, um Ihre wertvollen Daten und Informationen vor Cyberbedrohungen zu schützen.