توجه به امنیت سایبری و یافتن نقاط ضعف، می‌تواند از تجارت کوچک شما در برابر حملات پرهزینه در آینده محافظت کند. تقریباً 43٪ از حملات سایبری، مشاغل و تجارت‌های کوچک را هدف قرار داده‌اند. کارشناسان تخمین می‌زنند که هزینه جرایم سایبری در سراسر جهان تا سال 2021 از 6 تریلیون دلار بالاتر خواهد رفت. طبق یک مطالعه از دانشگاه مریلند، با دسترسی به اینترنت در هر 39 ثانیه یک حمله سایبری اتفاق می‌افتد. نقض داده‌ها در دنیای بسیار متصل و یکپارچه امروزی امری عادی شده است. به نظر می‌رسد به عنوان یک تجارت کوچک، دور نگه داشتن فعالان بد از داده‌ها با گسترش داده‌های مشتریان، وظیفه دشوار و سختی است. با این وجود با انجام ارزیابی خطر سایبری، شما اولین قدم‌ها را برای درک بهتر نقص‌های امنیتی شبکه خود و اقدامات لازم برای برطرف کردن آنها را انجام می‌دهید.
ارزیابی ریسک فضای سایبری به منظور شناسایی مهمترین داده‌ها و دستگاه‌های شما، نحوه دسترسی هکرها، پاسخ به این مسأله که اگر داده‌های شما در دسترس شخص مجرمی قرار گیرد، چه خطراتی شما را تهدید می‌کند و چقدر شما به عنوان هدف آسیب پذیر هستید، استفاده می‌شود. اگرچه شما می‌توانید تجزیه و تحلیل جامع خود را انجام دهید، بسیاری از شرکت‌های خارج از کشور وجود دارند که مایل هستند شما را در طی کل مراحل راهنمایی کرده و یک سرویس نظارت را با دریافت هزینه ارائه دهند.
لازم به ذکر است که بسته به صنعت شما، ممکن است به طور الزامی، در معرض ارزیابی خطر امنیت سایبری از یک نهاد معتبر قرار بگیرید. در چنین مواردی ممکن است لازم باشد از یک سیستم شخص ثالث برای رعایت مقررات استفاده کنید.
براساس گزارش بررسی‌های مربوط به نقض اطلاعات Verizon 2019، 43% از حمله‌ها، مشاغل کوچک را مورد هدف قرار داده‌اند. این جای تعجب ندارد زیرا نزدیک به 30 میلیون مشاغل کوچک آمریکایی وجود دارد و بیشتر آنها هدف نرم افزاری هکرها هستند.

از آنجا که انجمن حسابرسی و کنترل سیستم‌های اطلاعاتی نشان می‌دهد که ارزیابی ریسک امنیت سایبری حداقل باید هر دو سال یک بار انجام شود، در این جا برخی اقدامات و نکاتی که می‌توانید امروز برای شروع کار استفاده کنید، آورده شده است:

1. جمع آوری اطلاعات

مهمترین دلیل برای ارزیابی ریسک امنیت سایبری، جمع آوری اطلاعات در چارچوب امنیت سایبری شبکه، کنترل‌های امنیتی و آسیب پذیری‌های آن است. اگر نمی‌دانید چه کاری انجام می‌دهید یا به دنبال چه چیزی هستید، یک ارزیابی انجام شده ضعیف و نادرست می تواند شما را در معرض حمله آسیب‌پذیر قرار دهد.
“اگر مشاغل، تجربه، ابزار یا تیمی برای انجام ارزیابی دقیق ریسک نداشته باشند و فقط با انجام این کار خود سعی در صرفه جویی در هزینه‌ها را داشته باشند، می‌توانند در آینده با افزایش هزینه‌ها هنگام هک داده یا نقض داده‌ها مواجه شوند، در غیر این صورت می‌توانستند از وقوع این مشکل جلوگیری کنند. کِری، مدیر بازاریابی گروه کایل دیوید گفت: “بسیاری از مشاغل کوچک به دلیل پیامدهای مالی از نقض داده‌ها بازیابی نمی‌شوند و در نهایت باعث بسته‌شدن درهای خود برای همیشه می‌شوند.”
برای این منظور، اگر جزء مشاغل کوچک هستید، متخصصان فناوری اطلاعات دارید و دانش عمیق در مورد سیستم‌های خود نیز دارید، باید با آنها همکاری کنید تا طرحی برای ارزیابی ریسک خود فراهم کنید.
اگر با متخصصان فناوری اطلاعات کار نمی‌کنید یا با آنها قرارداد ندارید، اما با سیستم خود و نحوه عملکرد آن آشنا هستید، در صورتی که طی کل فرآیند هدفمند باشید، می‌توانید ارزیابی خود را انجام دهید.
غالبا شرکت‌ها جنبه‎های خاصی از امنیت را نادیده می‌گیرند؛ زیرا تغییر در این موارد باعث ایجاد اختلال بیش از حد می‌شود، یا تعمیر آن دارای هزینه زیادی است. اگر نتایج شما به شکاف‌های اصلی شبکه اشاره دارد، باید مایل به ایجاد تغییرات بزرگ باشید.

2. سیستم خود را طرح ریزی کنید.

هنگامی که فکر کردید چگونه می‌خواهید جمع آوری اطلاعات را انجام دهید، زمان آن رسیده است تا ارزیابی واقعی را شروع کنید. برای شروع، می‌توان مشخص کرد که سیستم شما چگونه کار می‌کند، چه عملکردی دارد و چه کسی از سیستم استفاده می­‌کند.
هدف شما تعیین خطرات و آسیب‌هایی است که در شبکه شما وجود دارد. پس از شناسایی، باید ارزیابی کنید که ابعاد این مسأله چقدر بزرگ هستند، آنچه در حال حاضر انجام می‌دهید برای کاهش این مورد و محاسبه خطر کلی شما است.
همه چیز متصل به شبکه خود را در نظر بگیرید. چاپگرها، لپ‌تاپ‌ها، تلفن‌های همراه و دستگاه‌های هوشمند همه نقاط ورودی، کد مخرب برای ورود به شبکه شما هستند. شما می‌توانید با کمک برخی از برنامه‌های خودکار، مانند برنامه پرداخت شده Nessus حرفه‌ای و ابزار رایگان OpenVAS، آسیب‌ها را پیدا کنید به گونه‌ای که برای شناسایی خطرات، در جنبه‌های مختلف از شبکه شما، آسیب پذیری را اسکن کند.
در دفتر کار، حتماً اطمینان حاصل کنید که وسایل فیزیکی شما نیز ایمن باشد. مهاجمان غالباً از طریق دستگاههای مجهز به اینترنت، دسترسی پیدا می‌کنند. دستگاه‌هایی مانند چاپگرهای بی‌سیم، روترهای Wi-Fi و دستگاه‌های تلفن همراه می‌توانند مورد سوء استفاده قرار بگیرند تا هکرها به بقیه شبکه شما دسترسی داشته باشند. یک راه آسان برای جلوگیری از بروز مشکلات، اطمینان از بروزرسانی نرم افزار دائمی (سیستم عامل) دستگاه‌های شما است. مایکروسافت از یک ابزار رایگان برای کمک به شما در تشخیص این که آیا محصولات Microsoft در شبکه شما به روز هستند، استفاده می‌­کند.

 3. مقابله با عامل انسانی

خطای انسانی همچنین می‌تواند باعث آسیب پذیری شبکه شود. یکی از بزرگترین دلایل نقض داده‌ها ناشی از کارمندانی است که به طور تصادفی روی پیوندهای مشکوک کلیک می‌کنند یا پیوست‌های ایمیل فیشینگ را بارگیری می‌کنند. آزمون آسیب‌پذیری روی پاسخ‌های کارکنان و روش‌های آنلاین، قبل از شروع آموزش تخصصی امنیت سایبری مفید است.

شما می‌توانید با استفاده از شبیه ساز فیشینگ آنلاین، تست آسیب‌پذیری فیشینگ را اجرا کنید. این امکان را برای شما فراهم می‌کند که ایمیل‌هایی را که از طریق همکاران، با هدف ترغیب کارمندان به بارگیری یک پیوست یا ارسال مدارک ارسال می‌شوند، طراحی کنید. نتایج منفی نباید منجر به اقدامات مجازاتی (تنبیهی) شود. درعوض، می‌توانید از این اطلاعات استفاده کنید تا آموزش‌های دیگری را در مورد بهترین شیوه‌های امنیت سایبری ایجاد کنید و به کارمندان خود نکاتی را برای جلوگیری از حملات فیشینگ ارائه دهید. نتایج همچنین می‌تواند به شما کمک کند تا تعیین کنید که آیا باید احراز هویت دو عاملی را در دسترسی به شبکه، پیاده‌سازی کنید.
در کنار نقاط دسترسی ناخواسته، امنیت سایبری شما می‌تواند با استفاده از درایوهای فلش USB بدون رمزگذاری، شیوه‌های ضعیف در حفظ اسناد، استفاده از کانال‌های ناایمن برای انتقال اطلاعات شخصی و ارسال ناخواسته داده‌های حساس به فرد اشتباه، در معرض خطر باشد.
در حالی که ممکن است حوادث رخ دهد، حملات مخرب رایج‌ترین حملات سایبری است. در این موارد، نرم افزارهای مخرب (بدافزار)، تهدیدهای مربوط به هک داخلی یا تاکتیک‌هایی مانند حمله‎‌های منع سرویس توزیع شده (DDoS) می‌توانند به شبکه شما ضربه سختی بزنند.
بسیاری از ابزارها به صورت آنلاین وجود دارند تا به شما در تعیین این که آیا مهاجمان می‌توانند به راحتی از طریق وب سایت خود با قدرت وارد شبکه شما شوند، کمک کنند. به عنوان مثال، ابزارهای تست نفوذ یک سرویس پرداخت است که وب سایت‌ها، برنامه‌های وب و شبکه شما را اسکن می‌کند تا مشخص شود آیا آسیب پذیری وجود دارد یا خیر. نرم افزار تست نفوذ به شما کمک می‌کند ببینید هکرها می‌توانند از طریق وب به داده‌های شما دسترسی پیدا کنند. مشکلات رایج وب سایت‌ها فقدان گواهینامه‌های SSL / TLS و HTTPS است که عواملی در تأمین امنیت دامنه هستند.

4. خطرات احتمالی و تأثیر آنها را در نظر بگیرید.

همراه با در نظر گرفتن جنبه فنی و انسانی امنیت سایبری، در نظر بگیرید کدام تهدیدات ممکن است به شبکه شما وارد شود و احتمال وقوع آنها چگونه است. در طی ارزیابی ریسک امنیت سایبری، شما می‌توانید هر نوع حمله احتمالی را که هکرها می‌توانند از آنها برای دسترسی به شبکه و داده‎های شما بهره بگیرند، صرف نظر از این که آنها از نظر ماهیت مخرب یا بی خطر باشند، لیست کنید.

یکی از راه‌های آماده‌سازی، پیروی از راهنمای انجمن ملی استاندارد و فناوری برای انجام ارزیابی‌های خطر است. این سند دارای جداول نمونه است که می‌توانید از آنها برای ارزیابی هرگونه خطر احتمالی امنیتی استفاده کنید.                                  پس از شناسایی تهدیدهای احتمالی، می توانید تعیین کنید که چگونه آنها می‌توانند زیرساخت‌ها و دفاع‌های واقعی شبکه را تحت تأثیر قرار دهند.
شما همچنین می‌توانید تعیین کنید چقدر احتمال دارد این تهدیدها اتفاق بیافتند. طبق Sage Data Security ، شما می‎توانید آن را به “رتبه بندی احتمال”، مانند زیر تقسیم‌بندی کنید:
• منبع تهدید، بسیار با انگیزه و به اندازه کافی توانمند است، و کنترل‌هایی برای جلوگیری از آسیب پذیری ناشی از اجرای موارد ناکارآمد است.
• منبع تهدید، با انگیزه و توانمند است، اما کنترل هایی وجود دارد که ممکن است مانع از انجام موفقیت آمیز آسیب‌پذیری شود.
• منبع تهدید فاقد انگیزه یا توانایی است، یا کنترل‌هایی برای جلوگیری از اعمال آسیب پذیری یا حداقل به طور قابل توجهی مانع از آسیب پذیری هستند.
پس از تعیین تهدیدات احتمالی، تأثیر آنها بر شبکه شما و احتمال وقوع آنها، احتمالاً تصور می‌کنید اگر این حملات به کسب و کار شما با موفقیت انجام شود چه اتفاقی خواهد افتاد. من می‌دانم که می‌تواند ترسناک باشد، اما اگر این اتفاقات افتاد، مهم است بدانید که چه عواقب بدی را می‌توان متحمل شد و یک دوره عملی را برای مقابله با عواقب و نتایج منفی آن، ایجاد کرد. از این گذشته ، بیشتر SMB ها به یکباره تحت تأثیر نقض اطلاعات قرار دارند.
در پایان روز، امنیت شبکه مشاغل کوچک شما حائز اهمیت است. داده‌های شما و همچنین داده‌های مشتریان، فوق العاده با ارزش و مهم هستند – که البته به همین دلیل هکرها می‌خواهند آن را بدست آورند.
اگر تصمیم دارید ارزیابی امنیت سایبری خود را انجام دهید، ممکن است ضمن آشنایی با شبکه و نحوه عملکرد آن، مشکلات امنیتی روشنی را پیدا کنید. در حالی که همیشه این یک چیز خوب است یک مشاور حرفه‌ای در زمینه امنیت سایبر می‌تواند ارزیابی کمی از ریسک را انجام دهد که می تواند در جلوگیری از نقض گسترده داده های ناشی از برخی از جدیدترین و ظریف‌ترین سوء استفاده‌ها به شما کمک کند.