Diogelu Data a Seiberddiogelwch

1. Crynodeb

Nid oes unrhyw amheuaeth bod technoleg yn gwneud bywyd llawer yn haws i fusnes cyffredin. Ond a ydych chi erioed wedi meddwl sut byddech chi’n rhedeg eich busnes petaech chi’n colli’r data a’r wybodaeth rydych chi nawr yn eu cadw’n electronig?

 

Meddyliwch am y peth. Mae eich gliniaduron, eich cyfrifiaduron, eich llechi a’ch ffonau clyfar yn cynnwys llawer o ddata hanfodol eich busnes, yn ogystal â gwybodaeth bersonol eich cwsmeriaid, a manylion y cyfrifon ar-lein rydych chi’n eu cyrchu. Gall ymosodiad seiber roi’r cyfan mewn perygl.

 

Ac nid problem busnes mawr yn unig yw hwn. Yn ôl y Ganolfan Seiberddiogelwch Genedlaethol, os ydych chi’n fusnes bach neu ganolig, mae siawns o oddeutu un o bob dau y byddwch chi’n dioddef toriad seiberddiogelwch ac, os ydych chi’n fusnes micro, gallai gostio oddeutu £1,400 i chi.

 

Felly, yn hytrach na gweithredu ag ôl-ddoethineb, beth am ddefnyddio nifer o fesurau fforddiadwy, hawdd i’w gweithredu, i leihau’r risg o droseddwyr yn ennill mynediad anawdurdodedig at eich gwybodaeth? Neu waeth byth, yn analluogi systemau TG er budd ariannol.

 

Mae’r canllaw hwn yn dechrau gyda chrynodeb er gwybodaeth, a gwybodaeth fanylach i ddilyn ar gyfer y busnesau sydd â diddordeb.

 

2. Manteision seiberddiogelwch

 

Beth yw rhai o fanteision seiberddiogelwch effeithiol?

 

  • Lleihau risg: mae amlygu a llenwi bylchau yn eich amddiffynfeydd diogelwch yn helpu i leihau’r risg i’ch busnes a lleihau amhariad os bydd trychineb yn digwydd.
     
  • Arbed costau: mae defnyddio muriau gwarchod, meddalwedd gwrthfirws, diogelwch cyfrinair, diweddariadau meddalwedd, ategiadau systemau a chyfyngu ar fynediad at systemau yn lleihau’r costau adfer tebygol.
     
  • Cyfyngu ar ddifrod: bydd cynllun adfer trychineb a gytunwyd ymlaen llaw yn caniatáu i bawb ymateb yn wybodus ac yn gyflym i leihau amhariad a galluogi amserau adfer byrrach.
     
  • Tawelwch meddwl: mae systemau diogel yn diogelu data sensitif ac yn rhoi hyblygrwydd i weithwyr, hyder i gwsmeriaid ac yn sicrhau eich bod chi’n cydymffurfio â rheoliadau’r diwydiant.

3. Cyngor cyflym

 

Mewn gwirionedd, mae mwyafrif helaeth y problemau diogelwch o ganlyniadau i weithredoedd bwriadol neu ddamweiniol gan ddefnyddwyr awdurdodedig. Er y bydd unrhyw system sy’n weddol ddiogel yn gwrthsefyll ymosodiadau allanol ar hap achlysurol, gweithwyr sy’n gyfrifol am y rhan fwyaf o doriadau diogelwch. Mae’r risgiau’n cynnwys agor negeseuon e-bost twyll, edrych ar wefan heintiedig, cysylltu dyfais bersonol heintiedig â’ch rhwydwaith neu brosesu archeb dwyllodrus.

 

Dyma pam ddylech chi ystyried datblygu polisïau ffurfiol sy’n ymdrin â:

  • rheoli risg seiberddiogelwch,
  • uwchsgilio gyda hyfforddiant seiberddiogelwch,
  • a chynllunio ar gyfer ymosodiad gyda chynllun adfer trychineb.

 

Dechreuwch trwy ddeall beth sydd o werth i’ch busnes, sut gallai gael ei gyfaddawdu (colli, newid, camddefnyddio), a beth fyddai’r canlyniadau posibl i’ch busnes.

 

Mae’n well meddwl y tu hwnt i’r risg i galedwedd a meddalwedd, a chynnwys yr holl wybodaeth sydd gennych, ystorfeydd gwybodaeth a rennir, ac effeithiau posibl ar eich cyllid.

 

4. Beth i’w ddiogelu

 

Ystyriwch sut i ddiogelu:

  • gwybodaeth cwsmeriaid gyfrinachol neu sensitive
  • gweithrediad dydd i ddydd eich system TG a’ch gwefan
  • amhariad ar weithrediadau
  • bygythiadau i’ch cyllid
  • y posibilrwydd o gribddeiliaeth
  • y posibilrwydd o fod yn agored i weithred rheoleiddio neu honiadau o esgeulustod
  • analluogrwydd i fodloni ymrwymiadau cytundebol
  • bygythiadau i’ch enw da a cholli ymddiriedaeth niweidiol ymhlith cwsmeriaid a chyflenwyr

Pan fyddwch chi’n gwybod beth sydd mewn perygl (eich asedion gwybodaeth pwysicaf), beth fydd effaith colli’r asedion hyn ar eich busnes, a faint mae gwerth gwario, yn realistig, i atal y golled honno, yna, gallwch ddyfeisio’r ateb diogelwch mwyaf cost effeithiol.

 

Meddyliwch am CCA - cynnal Cyfrinachedd, Cywirdeb ac Argaeledd gwybodaeth.

 

Ystyriwch y pedwar dull ymosod cyffredin i liniaru yn eu herbyn:

 

  • Gwe-rwydo: y defnydd o e-bost a gwefannau ffug i’ch twyllo chi i roi gwybodaeth gyfrinachol neu bersonol y gellir ei defnyddio at ddibenion twyllodrus.
     
  • Meddalwedd wystlo: fe wnaeth yr ymosodiad a gafodd lawer o gyhoeddusrwydd, WannaCry, ar gyfrifiaduron hŷn y GIG yn arbennig, ddangos yn glir iawn y bygythiad cynyddol gan y math hwn o feddalwedd maleisus, sy’n amgryptio rhai neu’r holl ffeiliau ar eich cyfrifiadur, ac yna mynnu taliad am ddadgriptio’r rhain.
     
  • Ysbïwedd: technoleg sy’n casglu gwybodaeth yn ddirgel, fel trawiadau bysellau, cyfrineiriau a data cyfrinachol arall, heb i chi wybod, y gellir ei defnyddio i ddwyn hunaniaeth.
     
  • Ymosodiadau diwrnod sero: wrth i chi aros am y datblygwr meddalwedd i anfon ‘patch’ i drwsio gwendid meddalwedd, bydd eich data ar drugaredd troseddwyr seiber a all ddefnyddio’r gwendid hwn cyn y caiff ei ddatrys.

5. 10 cam hawdd

 

  • Sefydlu ymagwedd rheoli risg gwybodaeth sy’n amlygu’r risgiau diogelwch y mae eich busnes yn eu hwynebu, a’r polisïau i fynd i’r afael â’r rhain.
     
  • Defnyddio meddalwedd gwrthfirws a gwrthfaleiswedd i ddiogelu yn erbyn bygythiadau a sicrhau y caiff ei ddiweddaru’n rheolaidd.
     
  • Datblygu polisi ar gyfer cyfryngau symudadwy, sy’n cyfyngu ar y mathau a ddefnyddir, a sicrhau y caiff unrhyw feddalwedd felly ei sganio ar gyfer maleiswedd cyn ei fewnforio i’ch systemau busnes eraill.
     
  • Cymhwyso rheoli pats llym – gwnewch yn siwr bod gennych chi’r fersiwn ddiweddaraf o gynhyrchion meddalwedd bob amser a’ch bod chi’n gosod pob pats a diweddariad hanfodol ar unwaith, pan cânt eu cyhoeddi gan gyflenwyr cynhyrchion.
     
  • Rheoli breintiau defnyddwyr - rhowch i’r defnyddwyr y breintiau sydd eu hangen arnynt i wneud eu gwaith yn unig, a monitrwch eu gweithgareddau, yn enwedig y rheiny sy’n ymwneud â mynediad at wybodaeth sensitif.
     
  • Hyrwyddo ymwybyddiaeth defnyddwyr trwy gynnwys polisïau diogelwch fel rhan o delerau ac amodau cyflogaeth, a sicrhau bod yr holl ddefnyddwyr yn cael hyfforddiant rheolaidd ar y risgiau seiber y maent yn eu hwynebu.
     
  • Sganio traffig data i mewn ac allan, a dadansoddi logiau’r system er mwyn canfod unrhyw weithgarwch anarferol a allai amlygu ymosodiad maleisus.
     
  • Ystyried gweithio o adref neu weithio symudol trwy ddatblygu gweithdrefnau sy’n ategu gweithio symudol neu fynediad o bell at systemau, a hyfforddi defnyddwyr i ddefnyddio’u dyfeisiau symudol yn ddiogel mewn lleoliadau i ffwrdd o’ch swyddfa.
     
  • Rhoi cynllun parhad busnes ar waith – nid oes unrhyw system yn 100% diogel, felly cynlluniwch ar gyfer yr achos gwaethaf, ac eglurwch y cyfrifoldebau unigol i’ch cael chi yn ôl i ‘fusnes fel arfer’ mor gyflym ac mor ddi-boen â phosibl.
     
  • Cadw pethau’n syml ac yn gost effeithiol - gwnewch cymaint ag yr ydych chi’n ei ystyried yn angenrheidiol i ddiogelu eich busnes, a lleihau’r risg i lefel rydych chi’n gysurus ag hi, wrth gydbwyso’r gost debygol yn erbyn y risg amcanol.

6. Ystyriaethau allweddol – mewnol

 

Fe wnaeth Mynegai Deallusrwydd Seiberddiogelwch IBM ganfod bod 95% o’r holl doriadau diogelwch yn cynnwys rhyw lefel o wall dynol, sy’n amlygu pwysigrwydd addysgu staff yn yr arferion seiberddiogelwch gorau.

 

Polisïau staff

 

Datblygu polisïau defnyddio derbyniol sy’n diffinio’n glir pa ymddygiad a ddisgwylir a beth sydd ddim yn dderbyniol i’r holl ddefnyddwyr â mynediad at eich systemau. Dylai hwn fod yn rhan o’ch telerau cyflogaeth a bod yr holl staff yn ei ddeall. Fel gydag unrhyw fater adnoddau dynol, bydd angen sicrhau cydbwysedd rhwng ymarferoldeb, ymddiriedaeth a rheolaeth.

 

Gofynion cyfreithiol

 

Os oes gennych chi ddata personol am gleientiaid, gweithwyr neu unigolion eraill, bydd angen i chi gydymffurfio â’r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) a chofrestru gyda Swyddfa’r Comisiynydd Gwybodaeth (ICO). Mae hyn yn gofyn i chi weithredu mesurau diogelwch digidol i ddiogelu preifatrwydd a chywirdeb data personol ble bynnag y caiff y data ei gadw.

 

Safonau

 

Trwy ardystio i safon 27001, gallwch ddangos i gwsmeriaid a phartneriaid busnes eich bod chi’n cymryd seiberddiogelwch o ddifrif, a bydd rhai ymarferion caffael (yn enwedig yn y sector cyhoeddus) yn gofyn i chi brofi eich bod chi’n gyfan gwbl ardystiedig. Defnyddiwch archwiliadau trydydd parti ISO/IEC 27001 i’ch helpu chi sefydlu bod gan unrhyw gyflenwr cwmwl y rheoliadau diogelwch cywir ar waith.

 

7. Ystyriaethau allweddol – diogelwch

 

Meddalwedd gwrthfirws

 

Mae’n well defnyddio meddalwedd gwrthfirws adnabyddus i sganio eich cyfrifiadur a dileu unrhyw firysau neu fathau eraill o faleiswedd y mae’n ei ganfod. Mae firws yn rhaglen gyfrifiadurol sy’n gallu atgynhyrchu ei hun mewn systemau, y mae’n eu heintio a, phan gaiff ei weithredu, mae’n cynhyrchu amrywiaeth o sgil-effeithiau, gan gynnwys llygru a dinistrio ffeiliau a systemau.

 

Er bod maleiswedd yn derm cyffredinol sy’n cynnwys amrywiaeth o raglenni meddalwedd wedi’u cynllunio i ymosod, diraddio, ymdreiddio neu atal y defnydd o system neu rwydwaith TG, gall y rhain gynnwys, nid yn unig firysau, ond mwydod, ceffyl Pren Troea, ysbïwedd a meddalwedd wystlo. Dylech sicrhau bod y feddalwedd yn cael ei diweddaru’n ddyddiol, a chydnabod mai ateb rhannol yw hyn yn unig, gan na all atal pob maleiswedd.

 

Waliau tân

 

Defnyddiwch wal dân i greu rhwystr rhwng eich rhwydwaith (dibynadwy) chi a’r rhyngrwyd (heb fod yn ddibynadwy), er mwyn iddo allu atal unrhyw beth peryglus. Ac os ydych chi’n defnyddio cyflenwr cwmwl, gwnewch yn siŵr eich bod chi’n gofyn pa ddiogelwch y maen nhw’n ei ddarparu a pha mor aml y maen nhw’n ei ddiweddaru. Bydd y rhan fwyaf o ganolfannau data cwmwl yn defnyddio’r mesurau rhagofal diogelwch diweddaraf, gan gynnwys rheolyddion mynediad biometrig a pherimedrau diogelwch amlhaen.

 

Rheoli mynediad

 

Dylech ganiatáu pobl awdurdodedig yn unig i gyrchu eich rhwydwaith. Mae nifer o ffyrdd i gyflawni hyn, ond yn syml, mae’n debyg i gynnal rhestr o bobl awdurdodedig a defnyddio cyfrineiriau unigryw i wirio’r bobl sydd ar y rhestr. At nifer o ddibenion busnes, bydd polisi cyfrineiriau cryf gorfodol yn darparu dilysiad defnyddiwr digonol. Gwnewch yn siŵr bod defnyddwyr yn creu cyfrinair cryf, a bod y busnes yn storio’r cyfrineiriau’n ddiogel.

 

Cyfrineiriau

 

Mae ychydig o ddadlau ynghylch beth sy’n gwneud cyfrinair cryf, ond cofiadwy. Ond mae arfer da yn awgrymu defnyddio o leiaf 16 nod, sy’n cynnwys cymysgedd o briflythrennau a llythrennau bychain, rhifau a nodau atalnodi/arbennig. Os oes angen rheoli mynediad lefel uwch, gall y system reoli hefyd ofyn i’r defnyddiwr feddu ar docyn, sy’n cael ei adnabod fel dilysiad dau ffactor.

 

8. Ystyriaethau allweddol – mynediad

 

Rheoli breintiau defnyddwyr

 

Gall rhoi fwy o freintiau systemau neu hawliau mynediad at ddata nag sydd ei angen ar ddefnyddwyr i wneud eu gwaith, arwain at broblemau sylweddol os caiff eu cyfrifon eu camddefnyddio neu eu bod o dan fygythiad. Felly, oni bai eu bod nhw’n weinyddwyr system, dylai fod gan bob gweithiwr fynediad cyfyngedig i leihau lledaenu heintiau, petai toriad diogelwch yn digwydd.

 

Amgryptio

 

Os ydych chi’n defnyddio rhwydwaith diwifr i gyrchu gwybodaeth ar ddyfeisiau symudol, ystyriwch ddefnyddio rhaglen a all sgramblo data neu sy’n gofyn am gyfrinair neu allwedd amgryptio i’w ddatgloi.

 

Canfod anomaledd

 

Efallai y gall cwmnïau bach ddadansoddi logiau eu rhwydwaith â llaw, ond byddai’r mwyafrif yn elwa ar feddalwedd rheoli logiau, neu feddalwedd Rheoli Digwyddiadau a Gwybodaeth Diogelwch (SIEM). Mae’r olaf yn dadansoddi’n awtomatig nifer o ffynonellau o wybodaeth diogelwch a data logiau o waliau tân, systemau canfod ymyriad a meddalwedd gwrthfirws.

 

Rheoli Dyfeisiau Symudol (MDM)

 

Os yw’ch busnes yn caniatáu neu’n annog gweithwyr i ddod â’u dyfeisiau eu hunain i’r gweithle, gall hyn wneud eich systemau’n agored i heintiau afreolus. Mae MDM yn canoli rheolyddion cysylltiedig â diogelwch ar gyfer ffonau clyfar, llechi a dyfeisiau symudol eraill. Mae nodweddion diogelwch yn cynnwys y gallu i ffurfweddu a diweddaru gosodiadau, monitro cydymffurfio â pholisïau corfforaethol, a chlirio neu gloi o bell ddyfeisiau sydd wedi cael eu colli neu eu dwyn.

 

Profion treiddio

 

Mae profion treiddio yn cynnwys ceisio torri i mewn i’ch rhwydwaith eich hun i brofi ei wydnwch. Nid yn unig ei fod yn ceisio canfod gwendidau, mae’n ceisio eu hecsbloetio nhw. Mae hefyd yn ceisio ecsbloetio eich staff, gan mai’r staff sy’n cael eu hystyried y ddolen wannaf o ran diogelwch yn gyffredinol. Gall staff mewnol gynnal profion treiddio, ond yn fwy cyffredin, gan gwmnïau arbenigol.

 

Rheoli pats

 

Mae’n hanfodol fod gennych chi’r fersiwn ddiweddaraf o gynhyrchion meddalwedd bob amser a’ch bod chi’n gosod pob diweddariad a phats hanfodol a gyflwynir gan gyflenwyr y cynhyrchion ar unwaith. Mae gosod pats yn golygu cymhwyso diweddariadau ar gyfer systemau gweithredu a chymwysiadau fel porwyr, ategion a chymwysiadau bwrdd gwaith. Bydd cwblhau’r diweddariadau hyn yn cyflwyno llu o adolygiadau i’ch cyfrifiadur, fel ychwanegu nodweddion newydd, tynnu hen nodweddion, diweddaru cydrannau, cyflwyno atebion ar gyfer bygiau ac, yn bwysicaf oll, trwsio unrhyw wendidau diogelwch sydd wedi cael eu canfod gan y cyflenwr.

 

9. Ystyriaethau allweddol – cwmwl

 

Storio a chadw data wrth gefn

 

Cyn dewis ateb ar gyfer storio a chadw data wrth gefn, mae’n bwysig asesu anghenion eich busnes nawr ar yn y dyfodol. Yn gyffredinol, dylech ganiatáu o leiaf 20-30% o gynhwysedd dros ben.

 

Defnyddio’r cwmwl

 

Caiff ei gyrchu dros y rhyngrwyd, ac mae ateb cadw data wrth gefn ar sail cwmwl yn darparu cynhwysedd cadw data wrth gefn diderfyn, sy’n cael ei gynnal a’i reoli gan drydydd parti, ar sail talu wrth fynd. Cyfrifoldeb y busnes yw sicrhau bod y data’n cael ei gadw wrth gefn er mae nifer gynyddol o atebion cadw data wrth gefn awtomatig yn cael eu defnyddio, a fydd yn cadw data’r systemau wrth gefn yn ddyddiol (neu’n amlach) gan ddibynnu ar ofynion y busnes. Mae hanes y data sy’n cael ei gadw wrth gefn yn cael ei gadw ar-lein rhag ofn y bydd angen adfer data.

 

Mewn byd sy’n fwyfwy dibynnol ar ddata a chynnydd mewn troseddau seiber, dylai’r sefydliadau lleiaf fuddsoddi mewn ateb cadw data wrth gefn awtomatig, gan na chaiff cadw data wrth gefn â llaw yn gyflawni’n aml.

 

Gwybod beth sydd angen ei gadw wrth gefn a phryd

 

Mae’n bwysig pennu beth sydd angen ei gadw wrth gefn, a pha mor aml. Gallech gael eich temtio i ddweud “popeth, trwy’r amser” ond, mewn gwirionedd, ychydig bach o sefydliadau sydd angen y lefel honno o gadw data wrth gefn. Er enghraifft, os cedwir at bolisi llym o gadw’r holl wybodaeth bwysig ar weinyddion yn hytrach nag ar ddisgiau caled lleol defnyddwyr unigol, gall colli data dibwys (rhestrau pethau i’w gwneud, gohebiaeth bersonol, a phethau tebyg) ar y disgiau caled hynny fod yn bris derbyniol i’w dalu am leihau cymhlethdod neu gyfaint y data i’w gadw wrth gefn.

 

Mae amseru cadw data wrth gefn hefyd yn bwysig i leihau eu heffaith ar berfformiad systemau. Os nad yw’n hanfodol eu bod nhw’n hollol gyfredol, gellir gwneud hyn dros nos neu yn ystod cyfnodau eraill pan mae’r defnydd o’r rhwydwaith a’ch gweinyddion yn isel, fel na fydd eu gweithgarwch yn arafu popeth.

 

10. Awgrymiadau a phwyntiau gweithredu argymelledig

  • Cymryd ymagwedd gyfannol at ddiogelwch: Amlygu a mynd i’r afael â risgiau i’r busnes a phobl, nid risgiau TG technegol yn unig.
     
  • Paratoi cynllun diogelwch: Amlygu beth sy’n werthfawr i chi, sut gellir ei fygwth, a sut gellir lleihau risgiau i lefel dderbyniol.
     
  • Polisïau a gweithdrefnau: Creu polisïau defnyddio derbyniol a gwneud yn siŵr bod pawb sydd â mynediad at eich systemau yn eu llofnodi a’u dilyn nhw.
     
  • Gwasanaethau allanol diogel: Os ydych chi’n darparu gwasanaethau ar y we, gwnewch yn siwr eu bod nhw wedi cael eu diogelu’n iawn, ac ar wahân i systemau busnes mewnol.
     
  • Cadw’r cyfan yn syml: Peidiwch â gweithredu systemau diogelwch cymhleth heb asesu’n ofalus y buddion yn erbyn y gost.
     
  • Adolygu a diweddaru: Gwnewch yn siŵr eich bod chi bob amser yn cadw eich cynllun cyswllt busnes (adfer trychineb), a’ch holl feddalwedd a phrosesau’n gyfredol.