SBC Podjetnik - september 2019: Kako se pripraviti? Na inšpekcijo. Na hekerje.
SBC Podjetnik je revija SBC - Kluba slovenskih podjetnikov, namenjena najboljšim slovenskim malim in srednjim podjetjem in ključnim posameznikom ter ustanovam v državi, ki bi vsak na svojem področju morali skrbeti za čim bolj podjetno in podjetniško Slovenijo. SBC Podjetnik je revija SBC - Kluba slovenskih podjetnikov, namenjena najboljšim slovenskim malim in srednjim podjetjem in ključnim posameznikom ter ustanovam v državi, ki bi vsak na svojem področju morali skrbeti za čim bolj podjetno in podjetniško Slovenijo.
60 SBC | Kibernetska tveganja | September 2019 Kontrolni seznam za direktorje Kaj storiti, ko se zgodi varnostni incident? Kaj pa, da se ne bo zgodil? Avtorja: Marko Vidrih, Jan Tomše Vzpostavljanje ustrezne kibernetske zaščite v podjetju predstavlja velik izziv: zaščita je po navadi sorazmerna z zavedanjem vodstva, kako pomembno je zagotavljanje informacijske varnosti. Praviloma prepozna ugotovitev, da so se informacijsko- -komunikacijski sistemi v podjetju razvijali stihijsko in brez pravega razmisleka o informacijski varnosti, je lahko neprijetna. »Če varčujete tu in vaše računalniško omrežje 'leti' bolj na 'avtopilot', potem ste iz dneva v dan bolj ranljivi za resne kibernetske napade,« opozarja Gorazd Božič, vodja nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. Foto: Shutterstock Ko se vodstvo odloči, da želi vzpostaviti ustrezno kibernetsko zaščito, je priporočljivo slediti nekaterim utečenim korakom, ki naj jih uvedejo IT-službe v podjetju ali pa naj vodstvo za to angažira zunanje strokovnjake. Korake našteva Metod Platiše, produktni vodja za kibernetsko varnost v Telekomu Slovenije: 1Opredelite, kaj je za vas najbolj dragoceno in kako boste to zaščitili Katera sredstva imate Kdo so vaše stranke in dobavitelji Katerim vrednotam sledite Katerim tveganjem ste izpostavljeni Katere so vaše prednostne usmeritve Katerim zahteve skladnosti upoštevate Kakšna je vaša strategija Uporabite standard ISO 27001. Če se boste oprli na standard ISO 27001, bo ta vodilo pri varnem ravnanju z informacijami, ki se pojavljajo v delovnem procesu. Pozorni bodite na vse vidike kibernetskih tveganj: krepitev ozaveščanja, pravilno ravnanje z dokumenti, nadzor nad informacijami in napravami, povečevanje zaupanja in podobno. Upoštevajte svojo panogo, pozor pri kritičnih področjih. Standarde, ki so vam v pomoč, uporabljajte smiselno: prilagodite jih vaši panogi in naravi vaše dejavnosti. Upoštevajte vrsto podjetja, dragocenost sredstev in virov, ključne stranke in dobavitelje, kaj ustvarja dodano vrednost … Nekatera področja, kot so varovanje osebnih podatkov ter komunikacije na spletu in po elektronski pošti, je treba upoštevati brez izjeme. 2 Pripravite krovni dokument informacijske varnosti Opredelite varnostno politiko v podjetju Določite konkretna pravila ravnanja Spremljajte skladnost poslovanja Ozaveščajte zaposlene Gradite podjetniško kulturo, ki krepi kibernetsko varnost 3Zagotovite tehnične ukrepe za zaščito pred napadi Zagotavljajte varnost fizičnih naprav Poskrbite za varnost informacijskokomunikacijske infrastrukture Poskrbite za upravljanje in varovanje baz podatkov in storitev v oblaku Uporabljajte napredne požarne zidove (NGFW – Next-generation Firewall) Uporabljajte napredno tehnologijo za zaznavanje škodljivega delovanja na računalnikih Upravljajte in zaščitite mobilne dostope do sistema v podjetju (EMM – Enterprise Mobility Management)
Kibernetska tveganja 61 4Operacije za zagotavljanje kibernetske varnosti Proaktivno spremljajte varnostne dogodke in ranljiva področja Analizirajte varnostno dogajanje Obvladujte potencialne grožnje Vnaprej pripravite sistem odzivanja na več ravneh Zgodil se je incident, kaj pa zdaj? Sledite načrtu ukrepanja, kjer so točno opredeljene ranljivosti sistema in postopki ravnanja, ki jih izvaja operativni center. Načrt naj vsebuje natančno operativno navodilo, kako ravnati ob posameznem incidentu. Prvi korak v primeru napada je odstranitev grožnje. Sledi identifikacija ogroženih podatkov in njihovo reševanje. Nato je na vrsti obveščanje notranje javnosti (vodstvo, zaposleni) in zunanje javnosti (dobavitelji, stranke, drugi poslovni partnerji). Koga obvestiti, je odvisno od vrste in narave incidenta. Proučiti je treba tudi, ali bosta o primeru obveščena policija in SI-CERT, nacionalni odzivni center za kibernetsko varnost. 5Zavarovanje: prenos tveganj na zunanje partnerje Katera so 4 vprašanja, ki si jih morate zastaviti, ko sklepate zavarovanje kibernetskih tveganj, pišemo na strani 62. Vabljeni tudi k branju drugih uporabnih praktičnih nasvetov na spletni strani SBC – Kluba slovenskih podjetnikov na povezavi https://www.sbc. si/sbc-podjetnik/izbrani-nasveti/. Daljši nasvet o tem, kako ugotoviti, kje ste najbolj ranljivi, in kako pripraviti krovni dokument informacijske varnosti, tako imenovano »varnostno ustavo«, smo objavili v prejšnji številki revije SBC Podjetnik iz maja 2019, preberete pa ga lahko tudi na tej povezavi: https://www.sbc.si/2019/09/13/ veste-kje-ste-najbolj-ranljivi-11-nasvetov-kakoobvladovati-kibernetska-tveganja/ info@vizija.si, www.nova.vizija.si
- Page 9 and 10: SBC Mladi 9 najodmevnejšimi poslov
- Page 11 and 12: Davčne spremembe 11 Če se bo dave
- Page 13 and 14: Študentsko delo 13 Sebastjan Česn
- Page 15 and 16: 15
- Page 17 and 18: Letalski prevozi v EU 17 ali in kda
- Page 19 and 20: SBC | Najnovejši podjetniški nasv
- Page 21 and 22: Top nasveti tržnega inšpektorata
- Page 23 and 24: Top nasveti tržnega inšpektorata
- Page 25 and 26: 25 površine, ki vključuje tri eno
- Page 27 and 28: Top nasveti inšpektorata RS za del
- Page 29 and 30: Top nasveti inšpektorata RS za del
- Page 31 and 32: 31 Krediti za financiranje naložb
- Page 33 and 34: 33 POHIŠTVO PO MERI Prihranite z n
- Page 35 and 36: Top nasveti finančne uprave RS 35
- Page 37 and 38: Top nasveti finančne uprave RS 37
- Page 39 and 40: Intervju: Hubert Kosler, Yaskawa 39
- Page 41 and 42: Intervju: Hubert Kosler, Yaskawa 41
- Page 43 and 44: Evropska komisija 2019-2024 43 2Gos
- Page 45 and 46: 45 082 80 9000 051 380 838 www.palm
- Page 47 and 48: Kibernetski napadi 47 NAJPOGOSTEJŠ
- Page 49 and 50: 49 breZpapirna prOiZvOdnja vrača u
- Page 51 and 52: 51 Z naprednimi rešitvami ciljajo
- Page 53 and 54: 53 20 let uspehov na področju meri
- Page 55 and 56: Hekerji ne mirujejo 55 V preteklost
- Page 57 and 58: CARINSKO POSREDOVANJE_NON-STOP 575
- Page 59: Varnost gesel in spletnih strani 59
- Page 63 and 64: Zavarovanje kibernetskih tveganj 63
- Page 65 and 66: 65
- Page 67 and 68: Kovis je mednarodno inovativno podj
- Page 69 and 70: PAMETNA ENERGIJA Z lastno sončno e
- Page 71 and 72: 71 3M 1/2M 3 x 2M 2/3M 4 x 2M 7M 4M
- Page 73 and 74: Razpisi 73 območjih zahodne kohezi
- Page 75 and 76: 75 jih ogledujemo, preučujemo in a
- Page 77 and 78: Spletna trgovina B2B 77 7 korakov d
- Page 79 and 80: 793 Cleangrad postavlja nove standa
- Page 81 and 82: 81 Genis e-GenDoc Celovita procesno
- Page 83 and 84: Kadrovske evidence 83 Slovenija: km
- Page 85 and 86: Lahko noč, skrbi. Zavarujte večin
- Page 87 and 88: njevanju razvoja znanj in veščin,
- Page 89 and 90: Turizem 89 Globalni turizem bo po n
- Page 91 and 92: 91 V podjetje Vpeta že tretja gene
- Page 93 and 94: Nasveti 93 Nedovršene rešitve: V
- Page 95 and 96: 95 praktično brezplačna. Piko na
- Page 97 and 98: 97 ZVOK ZMOGLJIVOSTI Akrapovičev i
- Page 99 and 100: 99 DH Ponudba za pravne osebe Podpi
Kibernetska tveganja<br />
61<br />
4Operacije za zagotavljanje kibernetske<br />
varnosti<br />
<br />
Proaktivno spremljajte varnostne<br />
dogodke in ranljiva področja<br />
<br />
Analizirajte varnostno dogajanje<br />
<br />
Obvladujte potencialne grožnje<br />
<br />
Vnaprej pripravite sistem odzivanja na<br />
več ravneh<br />
Zgodil <strong>se</strong> je incident, kaj pa zdaj?<br />
Sledite načrtu ukrepanja, kjer so točno opredeljene<br />
ranljivosti sistema in postopki ravnanja, ki jih izvaja<br />
operativni center.<br />
<strong>Na</strong>črt naj v<strong>se</strong>buje natančno operativno navodilo, kako<br />
ravnati ob posameznem incidentu.<br />
Prvi korak v primeru napada je odstranitev grožnje.<br />
Sledi identifikacija ogroženih podatkov in njihovo<br />
reševanje.<br />
<strong>Na</strong>to je na vrsti obveščanje notranje javnosti (vodstvo,<br />
zaposleni) in zunanje javnosti (dobavitelji, stranke,<br />
drugi poslovni partnerji). Koga obvestiti, je odvisno<br />
od vrste in narave incidenta. Proučiti je treba tudi,<br />
ali bosta o primeru obveščena policija in SI-CERT,<br />
nacionalni odzivni center za kibernetsko varnost.<br />
5Zavarovanje: prenos tveganj na zunanje<br />
partnerje<br />
Katera so 4 vprašanja, ki si jih morate zastaviti,<br />
ko sklepate zavarovanje kibernetskih tveganj, pišemo<br />
na strani 62.<br />
Vabljeni tudi k branju drugih uporabnih<br />
praktičnih nasvetov na spletni strani <strong>SBC</strong> – Kluba<br />
slovenskih podjetnikov na povezavi https://www.sbc.<br />
si/sbc-podjetnik/izbrani-nasveti/.<br />
Daljši nasvet o tem, kako ugotoviti, kje ste<br />
najbolj ranljivi, in kako <strong>pripraviti</strong> krovni dokument<br />
informacijske varnosti, tako imenovano »varnostno<br />
ustavo«, smo objavili v prejšnji številki revije <strong>SBC</strong><br />
<strong>Podjetnik</strong> iz maja <strong>2019</strong>, preberete pa ga lahko tudi<br />
na tej povezavi: https://www.sbc.si/<strong>2019</strong>/09/13/<br />
veste-kje-ste-najbolj-ranljivi-11-nasvetov-kakoobvladovati-kibernetska-tveganja/<br />
info@vizija.si, www.nova.vizija.si