Die Welt hat sich durch die Covid-Pandemie und die Shutdowns drastisch verändert. Schulen sind ferngesteuert, Büroangestellte sind mobil, und die IT-Sicherheit wird in alle Richtungen gedehnt, um diesen neuen Anforderungen gerecht zu werden.
Während sich Ihr Unternehmen in dieser beispiellosen Umgebung vorsichtig vorwärts bewegt, ist das Letzte, was Sie brauchen, ein schlecht zusammengestellter IT-Sicherheitsplan, der Sie ins Stolpern bringt.
Sie verpassen Chancen in dieser neuen Welt, wenn sich Ihr IT-Sicherheitsplan ausschließlich auf Tools und Taktiken konzentriert. Hier sind einige Dinge, über die Sie nachdenken sollten:
Wie könnte Ihr Unternehmen davon profitieren, wenn Sie Fachleute von überall im Land oder auf der Welt anheuern könnten?
Könnte der Verzicht auf das große, teure Büro, in das niemand mehr kommt, Ihrem Unternehmen helfen, den Gewinn zu steigern?
Selbst in dieser auf den Kopf gestellten Welt gibt es Möglichkeiten. In diesem Artikel werden wir besprechen, wie Sie sicherstellen können, dass Ihre IT-Sicherheitsstrategie diese Möglichkeiten nicht einschränkt.
Eine gute IT-Strategie erfordert mehrere Ebenen. Lassen Sie uns 3 davon untersuchen, die für Ihr Unternehmen absolut entscheidend sind, um voranzukommen.
Die menschliche Firewall – die wichtigste Komponente
Die Benutzer stellen die größte und unüberwindbarste Lücke in der IT-Sicherheit dar. Während IT-Sicherheitstaktiker ständig versuchen, die Bösewichte abzuwehren, wird das menschliche Element oft übersehen. Dies kann ein großes Risiko darstellen.
Betrachten Sie ein einfaches Szenario:
Der MFA/2FA-unterstütze Verstoß
Wenn Sie die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) für Ihre E-Mails und vielleicht andere wichtige Apps implementiert haben, ist das ein großartiger erster Schritt! Aber es ist wichtig zu wissen, dass diese Authentifizierungen nicht narrensicher sind. Es gibt tatsächlich eine Reihe von Möglichkeiten, wie Benutzer immer noch überlistet werden können. Konzentrieren wir uns auf eine sehr verbreitete, die nicht besonders raffiniert ist, aber ein großes Risiko darstellt.
Die Push-Benachrichtigung.
Ja, diese superpraktische Funktion kann auch unbefugten Zugriff auf Ihre Anwendungen ermöglichen. Und wie? Das ist ziemlich heimtückisch. Die Push-Benachrichtigungen kommen auf das Telefon des Benutzers, während er in einem Meeting sitzt oder mit einer anderen Aufgabe beschäftigt ist. Sie gehen davon aus, dass ihr Laptop oder Heimcomputer versucht, sich neu zu authentifizieren, und drücken daher die Autorisierungstaste. Oder sie ignorieren die erste Anfrage und werden mit immer mehr Anfragen bombardiert, bis sie versehentlich auf „Ja“ drücken. So oder so, wenn die Anfrage von einem böswilligen Benutzer stammt, befindet sich dieser Benutzer nun innerhalb der Anwendung und kann allerlei Schaden anrichten.
Wie kann dieser Hack vermieden werden? Ganz einfach: Aufklärung. Alle Benutzer sollten verstehen, dass sie niemals Push-Benachrichtigungen autorisieren sollten, wenn sie nicht aktiv versuchen, auf die Anwendung zuzugreifen. Ja, Browser aktualisieren sich gelegentlich automatisch und können eine Push-Benachrichtigung erzwingen. Und obwohl das legitim ist, sollten wir es einfach halten. Befolgen Sie diese Regel und Ihre Benutzer werden sicher sein.
Ein solider Prozess – immer gut.
Der Prozess sitzt irgendwo zwischen Benutzern und Technologie. Aber machen Sie keinen Fehler – genau wie die Benutzerschulung kann der Prozess die Sicherheitslücken schließen, die Ihre Benutzer schaffen. Schauen wir uns ein paar häufige Szenarien an, in denen Prozesse den Unterschied ausmachen können.
Gemeinsame Nutzung von Unternehmensdaten
Dies ist ein wichtiger Bestandteil der heutigen Zusammenarbeit zwischen Mitarbeitern oder Kunden. Das Hin- und Herschicken von Anhängen per E-Mail ist mühsam und zeitaufwändig. Haben Ihre Benutzer also einen Prozess und eine bevorzugte Anwendung dafür? Können Sie überprüfen, ob Ihre Benutzer diesem Prozess folgen und wer Zugriff auf Ihre Daten hat? Wenn die Antwort auf beide Fragen „Nein“ lautet, lassen Sie Ihre Daten einem Risiko ausgesetzt.
Autorisierung von Überweisungen
Die Anzahl der Fälle, in denen wir gesehen oder gehört haben, dass Leute eine E-Mail als Autorisierung für die Überweisung von Geldern akzeptiert haben, ist erschütternd. Dieses Geld kommt nie wieder zurück. Aber das muss nicht so sein. Eine einfache zweite Form der Validierung, wie z. B. ein kurzer Anruf oder eine SMS an die Person, die die Überweisung anfordert, kann diese Katastrophe verhindern.
Datenschutz
Wo speichern Ihre Benutzer ihre Daten? Wenn sie VPNs und Dateifreigaben verwenden müssen, können Sie sicher sein, dass ein Großteil der Daten lokal auf ihren Geräten oder in einem Cloud-Dateisystem wie Dropbox gespeichert ist. Sind diese Daten geschützt? Angenommen, Ihre Benutzer verwenden den Dateiserver, werden die Backups validiert, getestet und an einen externen Standort gesendet? Datenschutz ist eine wichtige IT-Sicherheitsstrategie, die Ihnen hilft, dieses Risiko zu bewältigen.
Wie Sie sehen können, hat die Remote-Arbeit die Notwendigkeit für mehr Prozesse hinzugefügt, um Ihre Benutzer vor sich selbst zu schützen. Prozesse sind eine integrale Sicherheitsebene, die Ihr Unternehmen vor allen Arten von Sicherheitsbedrohungen schützen wird.
Einfache IT-Sicherheits-Tools
In diesem Bereich verbringen die meisten IT-Unternehmen ihre Zeit. Die neueste Firewall, der neueste Hostschutz, die neueste Sicherheitsanwendung… jedes IT-Unternehmen hat seine Liste von Tools, mit denen es gerne arbeitet. Ohne die menschliche und prozessuale Ebene bedeuten diese Tools sehr wenig. Aber wenn Sie diese Ebenen im Griff haben, ist es wichtig, die richtige Mischung von Tools einzusetzen, um Ihre mobilen Mitarbeiter bestmöglich zu schützen, egal wo sie sich befinden.
Einige Tools, die Sie in Betracht ziehen sollten (die Liste ist keineswegs abschliessend):
Zwei-Faktor- oder Multi-Faktor-Authentifizierung – Sollte zumindest für Ihre E-Mail aktiviert sein, um einen grundlegenden Schutz zu bieten. Fügen Sie MFA zu anderen Cloud-Anwendungen hinzu, die Sie verwenden, um Ihr Sicherheitsniveau weiter zu erhöhen. Wenn es gut gemacht ist, sollte ein Benutzer nur eine einzige MFA-Anwendung oder ein Token verwalten müssen, um auf seine Anwendungen zuzugreifen.
Zero-Trust, jederzeit verbundener VPN-Client – Ermöglicht es Ihren Anwendern, von überall aus zu arbeiten, wobei die Sicherheitsvorkehrungen des Unternehmens sie schützen. Und das Beste daran? Es ist völlig transparent und verbindet sie automatisch.
Endpoint-Detection and Response (EDR) – Schutz für Benutzergeräte der nächsten Generation, der sich auf das Erkennen von Verhaltensweisen konzentriert, die Ihr Netzwerk gefährden könnten. Betrachten Sie es als eine Backup-Lösung, die abfängt, was der Antivirus verpasst. Diese Anwendung ist leichtgewichtig und arbeitet im Hintergrund, ohne dass der Benutzer eingreifen muss.
DNS-Schutz – Eine weitere Hintergrundanwendung, die in erster Linie dazu dient, Benutzer daran zu hindern, auf bekannte schädliche Websites zuzugreifen. Sie ist aber auch nützlich, um den Zugriff auf nicht geschäftsrelevante Sites von Unternehmensressourcen aus zu blockieren/zu melden.
Webfilterung/Antivirus/IPS – IT-Sachen zum Schutz Ihrer Benutzer, egal wo sie sich befinden. Erfordert keine Benutzerschulung und schützt Ihre Benutzer, sobald sie ihr Gerät einschalten.
Ist Ihnen bei den oben aufgeführten Tools ein Muster aufgefallen? Das ist richtig, Einfachheit. Keine Benutzeraktion erforderlich. Einfachheit ist bei der Auswahl von Tools zum Schutz Ihrer Benutzer von entscheidender Bedeutung, wenn Sie wollen, dass Ihre Benutzer sie auch wirklich verwenden.
Hört sich das alles entmutigend an? Das ist völlig verständlich. Diese enorme Veränderung, die durch die Pandemie hervorgerufen wird, kann stressig sein, aber sie ist auch eine hervorragende Chance, wenn Sie es richtig machen. Überlassen Sie das nicht dem Zufall. Suchen Sie sich einen IT-Partner, der Ihnen hilft, das Beste aus dieser neuen Umgebung herauszuholen. Rufen Sie uns jetzt an.
Gründer und Inhaber der Firma hagel IT-Services GmbH. Natürlich leidenschaftlicher Technikfan und immer auf der Suche nach Verbesserungen.
Kommentarbereich geschlossen.