Cybersecurity readiness checklist

Maraming maliliit na negosyo ang nakakaalam na mahalaga ang seguridad, pero hindi sigurado kung ano ang “sapat na muna” sa ngayon. Ang checklist na ito ay nagbibigay sa iyo ng praktikal na panimulang punto. Nakatuon ito sa mga pangunahing bagay na nagpapababa ng karaniwang panganib araw-araw, gaya ng proteksyon sa account, mga update sa software, backup, at mga gawi ng staff.

Hindi mo kailangang maging teknikal para magamit ito. Kung kaya mong sumagot ng oo, hindi, o hindi sigurado para sa bawat item, sapat na iyon. Ang “hindi sigurado” ay kapaki-pakinabang. Madalas itong nangangahulugang hindi pa pormal ang proseso, walang dokumento, o umaasa sa isang tao.

Impormasyon ito para sa pangkalahatang edukasyon, hindi pagsusuri sa seguridad. Nag-iiba ang mga kinakailangan depende sa industriya at estado. Kung humahawak ka ng health, payment, legal, o iba pang sensitibong data, maaaring may mga karagdagang panuntunan na dapat sundin.

Suriin ang bawat item at markahan ang isang sagot: Oo, Hindi, o Hindi sigurado. Maging tapat. Ang layunin ay hindi ang makakuha ng perpektong marka. Ang layunin ay maunawaan kung nasaan ka ngayon.

Kung ikaw ay may-ari o office manager, maaaring gusto mong sagutin ito kasama ang input mula sa taong humahawak ng mga computer, software, o vendor. Huwag ipadala sa amin ang mga password, detalye ng network, o access sa system. Basic na detalye lang ng negosyo at contact ang kinukuha namin kapag hiniling mo sa amin na tulungan kang makahanap ng provider.

Simple lang ang magandang tuntunin. Kung ang hakbang sa seguridad ay nangyayari lang “kapag may naaalala,” bilangin iyon bilang Hindi. Kung nangyayari ito nang regular, nakasulat, at alam ito ng higit sa isang tao ang proseso, bilangin iyon bilang Oo.

I-rate ang bawat item bilang Oo, Hindi, o Hindi sigurado.

1. Naka-enable ang multi-factor authentication para sa email, accounting, banking, file storage, at iba pang mahahalagang system. Ang multi-factor authentication, o MFA, ay nangangahulugang kailangang dumaan sa pangalawang hakbang ang mga user para makapag-sign in, gaya ng code ng app o security key, hindi lang password.

2. Bawat empleyado ay may sariling account. Iniiwasan ang shared logins, lalo na para sa email, pananalapi, at admin tools.

3. Mabilis na inaalis ang mga dating empleyado at lumang vendor sa mga account, software, Wi-Fi, at device.

4. Ang mga password ay malalakas at natatangi, at ginagamit ng team mo ang password manager sa halip na inuulit ang mga password sa spreadsheet o notebook.

5. Ang mga computer, telepono, router, at business apps ay ina-update nang regular. Ang patching ay pag-install ng security at bug-fix updates para mabawasan ang posibilidad na ma-exploit ang mga kilalang kahinaan.

6. May naka-install at aktibo na antivirus o modern device protection sa mga computer ng negosyo. Ang endpoint ay isang device tulad ng laptop, desktop, telepono, o tablet na kumokonekta sa mga system ng negosyo. Ang EDR, o endpoint detection and response, ay mas advanced na tool na ginagamit ng ilang provider para makita at siyasatin ang kahina-hinalang activity sa mga device na iyon.

7. Ang mahahalagang data ay auto-backup, hindi lang kinokopya nang manu-mano paminsan-minsan.

8. Ang mga backup ay minsang sinusubok sa pamamagitan ng pag-restore ng file o system, para malaman mong magagamit ang backup.

9. Ang paraan mo sa backup ay halos sumusunod sa 3-2-1 backup rule. Ibig sabihin nito ay may 3 kopya ng mahahalagang data, sa 2 magkakaibang uri ng storage, na may 1 kopya na naka-offsite o nasa cloud.

10. Alam ng staff kung paano kilalanin ang mga kahina-hinalang email, pekeng invoice, at hindi inaasahang login prompts, at tumatanggap sila ng simpleng security training kahit minsan o dalawang beses sa isang taon.

11. May malinaw na paraan para mabilis na ma-report ng staff ang anumang kahina-hinala, nang hindi nakakahiya.

12. Secure ang business Wi-Fi, gumagamit ng malakas na password, at hiwalay ang guest Wi-Fi sa mga business device kung maaari.

13. Nililimitahan ang admin access sa ilang taong tunay na kailangan ito. Hindi lahat dapat may kakayahang mag-install ng software, magbago ng security settings, o makapag-access ng lahat ng files.

14. Alam mo kung anong mga device at pangunahing software ang nakasalalay sa negosyo mo. Hindi ito kailangang bongga, pero dapat may kasalukuyang listahan.

15. Ang remote work ay pinamamahalaan gamit ang mga pangunahing panuntunan, tulad ng screen locks, mga aprubadong device, at secure na access sa files at apps.

16. Kung nangongolekta ka ng card payments, health information, o iba pang regulated data, alam mo kung aling mga patakaran ang maaaring naaangkop. Ang PCI ay tumutukoy sa mga kinakailangan para sa seguridad ng payment card. Ang HIPAA ay ang Health Insurance Portability and Accountability Act, na nalalapat sa ilang uri ng health information sa US. Ang SOC 2 ay isang reporting standard na ginagamit ng ilang software vendors para ipakita kung paano nila pinangangalagaan ang mga security controls.

17. Alam mo kung sino ang tatawagan kapag may nangyaring mali, tulad ng kahina-hinalang login, nawalang laptop, o ransomware event. Kahit simpleng contact list ay mas mabuti kaysa ang subukang alamin ito sa gitna ng nakaka-stress na araw.

18. Dokumentado ang mga pangunahing software vendors at IT providers ninyo, kasama ang kasalukuyang support contacts at mga petsa ng pag-renew.

19. Kung may panlabas na kumpanya na tumutulong sa IT, naiintindihan mo kung ano ang responsibilidad nila at kung ano ang hindi nila pananagutan. Ang SLA, o service level agreement, ay bahagi ng kontrata na nagpapaliwanag ng mga target sa pagtugon at saklaw ng serbisyo. Ang RMM, o remote monitoring and management, ay software na ginagamit ng maraming managed providers para bantayan ang kalusugan ng device, mag-apply ng updates, at suportahan ang mga system nang malayuan.

20. Nirerebyu ang mga desisyon sa seguridad kahit minsan, hindi lang pagkatapos magkaroon ng problema. Nag-aalok din ang ilang managed providers ng vCIO support. Ang vCIO ay virtual Chief Information Officer, isang papel sa pagpaplano na tumutulong sa negosyo na pag-isipan ang mga priyoridad sa teknolohiya, budget, at risk.

Kung sinagot mong Oo ang karamihan sa mga item, magandang senyales iyon. Karaniwan, ibig sabihin ay mayroon ka nang gumaganang base. Iyon ay hindi nangangahulugang “ganap na secure” ang iyong negosyo. Walang matinong provider ang nangangakong hindi mahahack ang network o zero downtime. Ibig sabihin nito ay malamang na nasa lugar na ang mga pangunahing kaalaman at may puwede pang pagbutihin.

Kung sinagot mong Hindi o Hindi sigurado ang ilan, huwag mag-panic. Karaniwan ito, lalo na sa maliliit na negosyo kung saan lumaki nang hindi pormal ang mga teknolohiya sa paglipas ng panahon. Magsimula sa mga basic na karaniwang pinakamahalaga muna: MFA, patching, backup, pag-alis ng lumang access, proteksyon ng device, at simpleng security training ng staff.

Kung halos lahat ay Hindi o Hindi sigurado, ang susunod na hakbang ay hindi bumili ng lahat ng tools nang sabay-sabay. Sa halip, gumawa ng malinaw at naka-prioritize na plano. Ang isang magandang independent managed IT provider ay makakatulong sa iyo na paghiwalayin ang mga agarang ayos mula sa mas pangmatagalang pagpapabuti.

I-convert ang mga resulta mo sa isang maikling action list na may tatlong grupo: ayusin ngayon, ayusin sa lalong madaling panahon, at i-review mamaya. Ang “ayusin ngayon” ay karaniwang kasama ang MFA, software updates, backup checks, pag-alis ng mga lumang account, at pagtiyak na may kasalukuyang proteksyon ang mga business device.

Para sa bawat Hindi o Hindi sigurado, magtanong ng malinaw na tanong. Sino ang may pananagutan nito? Gaano kadalas ito ginagawa? Nakadokumento ba? Paano natin nalalaman na gumana ito? Ang apat na tanong na iyon ang magpapakita kung ang proseso ay tunay na ginagawa o ipinapalagay lang.

Kung gusto mo ng tulong sa pag-unawa sa mga pagpipilian mo, ang NodeBridge IT ay puwedeng i-connect ka sa isang independent managed IT services provider. Kami ay libreng matching service. Hindi namin pinapamahalaan ang mga system, hindi namin binabantayan ang network mo, at hindi namin naa-access ang mga account mo. Maaari rin mong magbasa pa ng mas malinaw na language mga gabay at ihambing ang mga karaniwang managed IT services.