Dom Poslovanje 10 Cybersecurity koraci koje vaša mala tvrtka treba poduzeti upravo sada

10 Cybersecurity koraci koje vaša mala tvrtka treba poduzeti upravo sada

2024

Video: Al Jazeera Business: Cyber kriminal (Studeni 2024)

U tijeku je Nacionalni tjedan malog gospodarstva, a svečanosti nisu dugo trebale riješiti jedno od najvažnijih i uvijek prisutnih pitanja za mala i srednja poduzeća (SMBs): kibernetsku sigurnost. Administracija za malo gospodarstvo (SBA) je vladina agencija Sjedinjenih Država posvećena pružanju konkretne pomoći, obuke i preporuka koje mala poduzeća mogu primijeniti u svakodnevnom radu. U tu svrhu, umjesto da nudi samo napredne sigurnosne trendove, današnji panel za cyber-sigurnost SBA dao je malim i srednjim poduzećima konkretne savjete, resurse i korake koje mogu poduzeti kako bi ublažili sigurnosne ranjivosti i postavili sveobuhvatnu sigurnosnu strategiju.

Zamjenik administratora SBA-e Doug Kramer moderirao je skup sigurnosnih stručnjaka dok su razgovarali o najvećim sigurnosnim rizicima s kojima se suočavaju male tvrtke i najvažnijim koracima koje mogu poduzeti kako bi zaštitili svoju infrastrukturu i podatke, utemeljeni na oblaku ili fizički. Panel je uključivao Bill O'Connell, potpredsjednik Global Trust Assurance na ADP-u; Stephen Cobb, stariji istraživač sigurnosti na ESET Sjevernoj Americi; Matt Littleton, regionalni direktor za infrastrukturu za cyber sigurnost i sigurnost Azure u Microsoftu; i Patricia (Pat) Toth, nadzorna informatičarka u odjelu za računalnu sigurnost Nacionalnog instituta za standarde i tehnologiju (NIST).

Panelisti su razgovarali o problemima kibernetičke sigurnosti u rasponu od krađe identiteta, ransomwarea i načina rješavanja kršenja zakona do načina kako male tvrtke trebaju pristupiti višefaktornoj autentifikaciji (MFA), obuci i pravilima o sigurnosti zaposlenika, što tražiti u ugovoru s upravljanim pružateljem usluga (MSP), i kada nazvati konzultanta za informatičku sigurnost.

Prema Krameru, ne radi se samo o kreditnoj kartici za zaposlenike i kupce i bankarskim podacima, već tvrtke s podacima o intelektualnom vlasništvu postoje svugdje, od e-pošte do pohrane u oblaku i napadačkih površina koje bi malu tvrtku mogle učiniti slabom poveznicom i laganom metama lanac opskrbe. Prema SBA, rekao je Kramer, gotovo polovica svih malih poduzeća žrtvom je do nekog stupnja kibernetičkim kriminalom, a prosječna cijena napada iznosi oko 21 000 dolara.

"Svatko tko pokreće mali posao radi koliko god može, bez dodatnog vremena ili novca da se izbori s izazovom kibernetičke sigurnosti koji za male tvrtke može koštati više nego što se očekuje i znači život ili smrt", napomenuo je Kraba SBA kao panel počelo. "Prijetnja cyber napada i krađa vrlo je stvarna. Mala poduzeća mjere imovinu i zalihe na različite načine, ali sjede u riznici informacija."

1. Sigurnost u oblaku: učiniti i nemoj

Iz razloga ekonomičnosti i praktičnosti, svi SMB-ovi trebaju razmotriti mogućnost prelaska u oblak, ali prijelaz se mora dogoditi pažljivo. Panelisti su raspravljali o nekim najvažnijim razmatranjima i preprekama.

Učinite: Pojasni sigurnosna kopija u oblaku

"Oblak ima puno koristi i rizika, ali jedna stvar koju SMB trebaju raditi je rezervno kopiranje", rekao je ESET-ov Cobb. "Trenutačna sigurnosna kopija svih datoteka najbolja je zaštita od ransomwarea i presudan dio vašeg držanja i zaštite u cyber sigurnosti. I dalje biste trebali sigurnosno kopirati na tvrdi disk i pohraniti kopiju negdje na sigurno na zasebno mjesto, ali oblak vam omogućuje sigurnosnu kopiju konstantno."
Učinite: Platite Premium Cloud Security

"Vlasnici malih poduzeća su svjesni cijena, ali drugi čimbenici trebaju dobiti pravu težinu", rekao je O'Connell iz ADP-a. "Neke bi stvari trebale koštati više novca za višu razinu usluge, a sigurnost je jedna od tih stvari. Nemojte samo donositi odluku na temelju cijene."
Nemojte: samo potpišite MSP ugovor

"Provjerite taj ugovor", rekao je ESET-ov Cobb. "Možete dodijeliti prostor za pohranu ili sigurnosnu kopiju, ali ne možete prenijeti odgovornost. Ako vlasnik tvrtke SMB kaže da davatelj IT usluga ima sve podatke o klijentima i zaposlenicima - vaše podatke - i dalje ste odgovorni."

"Kada je riječ o ne samo ugovoru, već i podacima, napravite svoje istraživanje da biste utvrdili postoje li sigurnosni problemi", dodao je O'Connell iz ADP-a. "U slučaju malih i srednjih poduzeća, ugovor je dobar dio te obrambene linije. Provjerite SLA-ove i pristupe podacima o razini podataka. Koliko dugo MSP čuvaju podatke? Što s njima rade?"

Ne ostavljajte neiskorištene značajke infrastrukture MSP

"Ako zakoračite u oblak, možete prebaciti dio te odgovornosti. Više nismo u platformi gdje se morate brinuti da neće imati osoblje koje bi odgovorilo na problem ili zakrpilo poslužitelja", rekao je Microsoft Littleton. "To je mjesto gdje davatelj usluga može ući u vašu korist i riješiti to. Morate shvatiti u što se upuštate sa stajališta ugovora i koje usluge pružatelj usluga oblaka nudi."

2. Višefaktorska provjera autentičnosti: samo to učinite

"Sa osobne i poslovne perspektive, MVP je nešto što možete učiniti odmah. Poduzeća nemaju izgovor da to ne učine odmah", rekao je Littletov Microsoft. "To je jednostavno s čitavim paketom Microsoftovih proizvoda; isto vrijedi i za Google, Yahoo, vi navodite davatelja usluga e-pošte. Pogledajte sigurnosne postavke i od svakog zaposlenika trebate unijeti svoj broj mobitela kao drugi faktor. Tada, čak i ako sam ja napadač i ja vam ukradem lozinku, ne mogu je koristiti ako ne ukradem vaš mobitel i ne znam PIN."

3. Kada nazvati konzultanta za informatičku sigurnost

" Postojat će stvari koje ne možete učiniti sami kao vlasnik male tvrtke, " rekao je O'Connell iz ADP-a. "Za vrlo važne ugovore dobivate vanjski pravni savjet. Za godišnje i tromjesečne financije imate računovođu. Isto vrijedi i za sigurnosnu ekspertizu. Kada trebate testirati web mjesto kako biste bili sigurni da je web-siguran ili provesti procjenu rizika, novac je dobro potrošen ako nemate stručnost da to sami učinite. Ne radite električno ili vodovodno u zgradi sami, već je znati kada vam treba pomoć."

4. Sigurnost je dio posla svih

"Ne možete se osloniti samo na jednu osobu u kompaniji od 10 osoba; svi trebaju dobro razumjeti cyber-sigurnost i koliki su rizici za organizaciju", rekao je Toth iz NIST-a. "Ako to ne učine, njihov posao mogao bi biti ugrožen ako dođe do kršenja pravila i posao se ne može oporaviti."

"Učinite sigurnost dijelom svakog posla", dodao je O'Connell iz ADP-a. "Osoba koja vodi financije - što trebaju raditi svaki dan? S fizičke strane, tko noću zaključava vrata? Svi trebaju znati sastavne dijelove i kako se njihova uloga uklapa u ukupnu sigurnost tvrtke."

5. Nemojte biti slaba veza lanca snabdijevanja

Kao što je objasnio Krabajev SBA, više nema podjele između malih i srednjih poduzeća i poduzeća. Mala poduzeća ili žele rasti i razvijati se ili se povezuju u lanac opskrbe softvera i usluga. Problem je u tome što sigurnosne politike SMB-a možda nisu u skladu s tvrtkom lanca opskrbe s kojom žele biti partneri.

"Kad mali i srednji poduzetnik primi svoj prvi veliki ugovor s velikom tvrtkom i zatraže da pogledaju vaše sigurnosne politike i program podizanja svijesti, ne biste trebali brkati provjeravati sve s kontrolnog popisa", rekao je ESET-ov Cobb. "Rizik lanca opskrbe povećava i spušta. Ako mala i srednja poduzeća digitalno komuniciraju s dobavljačem, provjerite ih. Morate imati sigurnosne politike i obuku kako ne bi postali prepreka."

"Nijedan posao nije premalen da bi se mogao usredotočiti na cyber arenu, posebno iz upravljanja lancem opskrbe", rekao je Littleton iz Microsofta. "Mnogi prekršaji ne počinju od vrha; počinju negdje u lancu opskrbe i napadači se snalaze do krajnjeg cilja."

NIST-ov Toth rekao je da će u sljedeće dvije godine vladine agencije početi objavljivati pravila za pristup sustavima opskrbnih lanaca. U međuvremenu, rekla je da mala i srednja poduzeća moraju imati plan.

"Planiranje je neprocjenjivo da biste znali što je doista važno; to je jedna stvar koju trebate zaštititi i kako bi vaše poslovanje poslovalo ako nije dostupno", rekao je Toth iz NIST-a. "MSP-ovi moraju imati planove, politike i postupke. Nije velik vladin pristup; on može biti tako jednostavan kao politike iz vašeg priručnika o zaposlenicima koji govore što mogu, a što ne mogu učiniti na Internetu, kako uočiti lažni napad i kada otvoriti, a ne otvoriti veze i priloge."

6. Tretirajte e-poštu kao razglednicu, a ne kovertu

"Prva stvar koju ste napravili kao mala poduzeća koja imaju e-poštu jest razmisliti o tome što se nalazi u njoj. Ako idem hakirati nečije podatke o tvrtki, njihova e-pošta često sadrži sve dobre stvari", rekao je ESET-ov Cobb. "Ljudi često ne razmišljaju o onome što ostavljaju unutra. Pogledajte Sonyjev hack; ljudi su preko e-pošte govorili da ne bi trebali biti. E-pošta je razglednica, a ne zatvorena koverta. Imajte to na umu."

"Sve se više povećava i mogućnost kontrole podataka", izjavio je Littletov Microsoft. "Možda je vrijedno novca za korištenje šifrirane usluge e-pošte s ulaznim filtriranjem koje smanjuje napadnu površinu. Ako ste u e-pošti ostavili broj svoje kreditne kartice, služba će vas pitati želite li to zaista poslati, a zatim automatski šifrirati ne samo broj, ali i čitav email. Kako industrija napreduje, ove usluge postaju razumnije i uobičajenije."

7. Uvijek prijavite incidente

Krabi SBA-e je objasnio da, kada je mala tvrtka prekršena ili je napadnuta lažnim prijevarama ili zahtjevom za otkupninu, oni moraju znati koga nazvati. ESET-ov Cobb rekao je da ako se male tvrtke ne prijave policiji zbog straha da policijska uprava ne posjeduje resurse za istraživanje, ciklus će se nastaviti.

"Imamo nesretni ciklus u kojem policijska uprava dobiva financiranje na temelju prijavljenih zločina, ali ljudi ne prijavljuju zločine jer ne misle da policija raspolaže sredstvima", rekao je ESET-ov Cobb. Ako se nitko ne prijavi, policija nikada neće imati dokaze da bi se opremila resursima za rješavanje ovih problema kibernetičke kriminalnosti."

"Većina općina ima jedinice za kibernetički kriminal i oni će reagirati", dodao je Toth.

8. Imati plan za nezgodu

"Ne pokušavate staviti sigurnosni pojas usred nesreće", rekao je Microsoftov Littleton. "Potreban vam je plan kako ćete odgovoriti prije nego što se kršenje dogodi."

"Ni vi niste potpuno potpuno sami", rekao je ESET-ov Cobb. "Sigurnosne usluge koje kupite s police dolaze s povećanom zaštitom u oblaku ili pristupom opskrbnom lancu. Možda pružaju usluge otkrivanja i sprječavanja na osnovnoj razini. Prilikom sastavljanja plana pazite da ne napustite sigurnosne usluge na stolu koji vam nudi MSP ili sigurnosna služba."

9. Ne ostavljajte labave krajeve

"Jedno problematično područje koje vidimo - ako i kada zaposlenik napusti ili je otpušten - njihov pristup sustavu ne prestaje odmah", rekao je ESET-ov Cobb. "Male tvrtke rade s ljudima kojima vjeruju i puno ljudi koji dolaze i odlaze. Ponekad ne prolaze ni u najsretnijim okolnostima. Ako bivši zaposlenik s teškoćama još uvijek ima pristup ili čak i dalje ima multifaktornu provjeru autentičnosti, to je veliki insajderski sigurnosni problem koji je bolno lako riješiti."

10. Vladini resursi i obuka

Vlada poduzima velike korake na rješavanju cyber-sigurnosti. Bijela kuća objavila je okvir za kibernetičku sigurnost ranije ove godine, a prijedlog proračuna predsjednika Obame za 2017. traži povećanje financiranja za 35 posto (na 19 milijardi USD) za rješavanje napada na kibernetsku sigurnost. Kramer i NIST-ov Toth pokazali su slobodne vladine resurse, kao što su SBA-ove stranice za cyber-sigurnost za male i srednja poduzeća, uključujući savjete i alate za cyber-sigurnost, zbirku tečajeva, obuka i webinara.

Neki od najkorisnijih resursa su: