10 kiberdrošības soļi, kas jūsu mazajam biznesam būtu jāveic tūlīt

Anonim
Mākoņu drošības rokasgrāmata maziem un vidējiem uzņēmumiem

Notiek nacionālā mazās uzņēmējdarbības nedēļa, un svētku pasākumi nelikās ilgi, lai risinātu vienu no visspilgtākajiem un vienmēr aktuālākajiem jautājumiem maziem un vidējiem uzņēmumiem (kiberdrošība). Mazā biznesa administrācija (SBA) ir ASV valdības aģentūra, kas nodarbojas ar konkrētas palīdzības, apmācības un ieteikumu sniegšanu, ko mazie uzņēmumi var uzreiz izmantot ikdienas darbā. Šim nolūkam, tā vietā, lai piedāvātu tikai drošības tendences debesīs, šodienas SBA kiberdrošības panelis deva MVU konkrētus padomus, resursus un pasākumus, ko viņi var veikt, lai mazinātu drošības ievainojamības un ieviestu visaptverošu drošības stratēģiju.

SBA administratora vietnieks Dougs Kramers vadīja drošības ekspertu grupu, jo viņi apsprieda lielākos drošības riskus, ar kuriem saskaras mazie uzņēmumi, un svarīgākos pasākumus, ko viņi var veikt, lai aizsargātu savu mākoņa vai fizisko infrastruktūru un datus. Žūrijā bija Bils O'Konnels, ADP Globālā uzticības nodrošināšanas viceprezidents; Stefans Kobs, ESET Ziemeļamerikas vecākais drošības pētnieks; Matt Littleton, Microsoft kiberdrošības un Azure infrastruktūras pakalpojumu austrumu reģionālais direktors; un Patricia (Pat) Toth, Nacionālā standartu un tehnoloģijas institūta (NIST) Datoru drošības nodaļas uzraudzības datorzinātniece.

Žūrijas dalībnieki runāja par kiberdrošības jautājumiem, sākot no pikšķerēšanas, izpirktās programmatūras un kā rīkoties ar pārkāpumiem, beidzot ar to, kā mazajiem uzņēmumiem vajadzētu tuvināties daudzfaktoru autentifikācijai (MFA), darbinieku drošības apmācībai un politikai, kas jāmeklē pārvaldīta pakalpojumu sniedzēja (MSP) līgumā, un kad piezvanīt IT drošības konsultantam.

Pēc Kramera teiktā, tas attiecas ne tikai uz darbinieku un klientu kredītkartēm un banku informāciju, bet arī intelektuālā īpašuma datu uzņēmumi atrodas visur, sākot no e-pasta un beidzot ar mākoņu krātuvi, un uzbrukuma virsmām, kas mazo biznesu varētu padarīt par vāju saiti un vieglu mērķi piegādes ķēde. Saskaņā ar SBA teikto, Kramers sacīja, gandrīz pusi no visiem mazajiem uzņēmumiem zināmā mērā ir skāruši kibernoziegumi, un vidējās uzbrukuma izmaksas ir aptuveni 21 000 USD.

"Ikviens, kurš sāk mazu biznesu, strādā tikpat smagi, cik vien iespējams, bez papildu laika vai naudas, lai risinātu kiberdrošības problēmu, kas varētu izmaksāt vairāk, nekā paredzēts, un mazam biznesam nozīmē dzīvību vai nāvi, " atzīmēja SBA Kramers kā ekspertu grupa. sākās. "Kiberuzbrukuma un zādzības draudi ir ļoti reāli. Mazie uzņēmumi aktīvus un inventāru mēra dažādos veidos, bet viņi sēž uz informācijas dārgumu krātuves."

(No kreisās) Pols Tots, Stefans Kobs, Bils O'Konnels, Metjū Littletons, Dougs Kramers

  • Dariet: maksājiet par Premium Cloud drošību
    "Mazo uzņēmumu īpašnieki apzinās cenu, bet citiem faktoriem ir nepieciešams iegūt pareizo svara daudzumu, " sacīja ADP pārstāvis O'Konnels. "Dažām lietām vajadzētu maksāt vairāk naudas par augstāku pakalpojumu līmeni, un drošība ir viena no tām lietām. Nepieņemiet lēmumu tikai pamatojoties uz cenu."
  • Nelietojiet: vienkārši parakstiet JTP līgumu
    "Pārbaudiet šo līgumu, " sacīja ESET Cobb. "Jūs varat nodot ārpakalpojumus krātuvei vai dublēšanai, bet jūs nevarat nodot atbildību ārpakalpojumiem. Ja SMB īpašnieks saka, ka IT sniedzējam ir visi klienta un darbinieka dati - jūsu dati, jūs joprojām esat atbildīgs."
    "Runājot ne tikai par līgumu, bet arī ar datiem, veiciet pētījumu, lai noskaidrotu, vai ir kādas drošības problēmas, " piebilda ADP pārstāvis O'Konnels. "MVU līgums ir labs šīs aizsardzības līnijas elements. Iepazīstieties ar SLA [pakalpojumu līmeņa līgumiem] un piekļuves līmeņa politikām. Cik ilgi MSP saglabā datus? Ko viņi ar to dara?"
  • Nelietojiet: atstājiet neizmantotās JTP infrastruktūras iespējas
    "Ja jūs ieejat mākoņu vidē, jūs varat novirzīt daļu no šīs atbildības. Mēs vairs neatrodamies platformas arēnā, kur jums ir jāuztraucas par to, ka jums nav darbinieku, kas atbildētu uz problēmu vai paturētu serveri, " sacīja Microsoft pārstāvis Littleton. "Tieši tajā pakalpojuma sniedzējs var ienākt un rīkoties ar to jūsu vārdā. Jums ir jāsaprot, ko jūs uzsākat no līguma viedokļa un kādus pakalpojumus mākoņpakalpojumu sniedzējs piedāvā."
  • 2. Daudzfaktoru autentifikācija: vienkārši dariet to
    "Gan no personiskā, gan biznesa viedokļa MFA ir kaut kas, ko jūs varat darīt nekavējoties. Uzņēmumiem nav attaisnojuma to nedarīt uzreiz, " sacīja Microsoft pārstāvis Littleton. "Tas ir vienkārši ar visu Microsoft produktu kaudzi; tas pats attiecas uz Google, Yahoo, jūs nosaucat e-pasta pakalpojumu sniedzēju. Apskatiet savus drošības iestatījumus un pieprasiet, lai katrs darbinieks ievadītu sava mobilā tālruņa numuru kā otro faktoru. Tad, pat ja es esmu uzbrucējs un es nozagu jūsu paroli, es to nevaru izmantot, ja vien es nozagu jūsu mobilo tālruni un nezinu PIN. "

    3. Kad jāzvana IT drošības konsultantam
    "
    Būs lietas, kuras jūs nevarat darīt viens pats kā maza biznesa īpašnieks, " sacīja ADP pārstāvis O'Konnels. "Par ļoti svarīgiem līgumiem jūs saņemat ārēju juridisku konsultāciju. Gada un ceturkšņa finansēm jums ir grāmatvedis. Tas pats attiecas uz drošības ekspertīzi. Kad jums ir jāpārbauda vietne, lai pārliecinātos, ka tā ir droša tīmeklī, vai jāveic riska novērtēšana, tā ir nauda, ​​kas labi iztērēta, ja jums nav kompetences to izdarīt pats. Jūs pats nenodarbojaties ar elektrību vai santehniku ​​ēkā; tas nozīmē, ka zināt, kad jums nepieciešama palīdzība. "

    4. Drošība ir ikviena darba sastāvdaļa
    "10 cilvēku uzņēmumā nevar paļauties tikai uz vienu cilvēku; visiem ir jābūt labai izpratnei par kiberdrošību un to, kādi riski ir organizācijai, " sacīja NIST pārstāvis Tots. "Ja viņi to nedara, viņu darbs var tikt apdraudēts, ja ir pārkāpums un bizness nevar atgūties."
    "Padariet drošību par katras personas darba daļu, " piebilda ADP pārstāvis O'Konnels. "Persona, kas pārvalda finanses - kas viņiem jādara katru dienu? Kas no fiziskā viedokļa ir tas, kurš naktī aizslēdz durvis? Ikvienam jāzina komponenti un tas, kā viņu loma iederas uzņēmuma vispārējā drošībā."

    5. Nebūt vājai piegādes ķēdes saitei
    Kā skaidroja SBA Kramers, vairs nav dalījuma starp MVU un uzņēmumiem. Mazie uzņēmumi vēlas attīstīties un paplašināties, vai arī viņi iesaistās programmatūras un pakalpojumu piegādes ķēdē. Problēma ir tā, ka SMB drošības politikas var nebūt līdzvērtīgas piegādes ķēdes uzņēmumam, ar kuru viņi vēlas kļūt par partneri.
    "Kad SMB saņem pirmo lielo līgumu ar lielu uzņēmumu un viņi lūdz redzēt jūsu drošības politikas un izpratnes programmu, jums nevajadzētu ķerties pie tā, lai pārbaudītu visu, kas ir ārpus kontrolsaraksta, " sacīja ESET Cobb. "Piegādes ķēdes risks augšup un lejup rada lielas bažas. Ja SMB digitāli mijiedarbojas ar piegādātāju, pārbaudiet tos. Jums ir nepieciešama drošības politika un apmācība, lai tā nekļūtu par šķērsli."

    "Neviens bizness nav pārāk mazs, lai to mērķētu kibernozarē, it īpaši piegādes ķēdes pārvaldībā, " sacīja Microsoft pārstāvis Littleton. "Daudzi pārkāpumi nesākas no augšas; tie sākas kaut kur piegādes ķēdē, un uzbrucēji strādā līdz galīgajam mērķim."

    NIST's Toth sacīja, ka nākamajos divos gados jūs redzēsit, ka valdības aģentūras sāks publicēt noteikumus par piekļuvi piegādes ķēdes sistēmām. Pa to laiku viņa sacīja, ka mazajiem un vidējiem uzņēmumiem ir jābūt izstrādātam plānam.

    "Plānošana ir nenovērtējama, lai zinātu, kas patiešām ir svarīgs; ka viena lieta, kas jums jāaizsargā, un kā jūsu bizness darbosies, ja tas nebūtu pieejams, " sacīja NIST pārstāvis Tots. "MVU ir jābūt ieviestiem plāniem, politikām un procedūrām. Tā nav liela valdības pieeja; tā var būt tikpat vienkārša kā politika jūsu darbinieku rokasgrāmatā, sakot, ko viņi var un ko nevar darīt internetā, kā pamanīt pikšķerēšanas uzbrukumu un kad atvērt un neatvērt saites un pielikumus. "

    6. E-pastu apstrādājiet kā pastkarti, nevis aploksni
    "Pirmais, kas jādara kā mazam uzņēmumam, izmantojot e-pastu, ir jāpārdomā, kas tajā atrodas. Ja es gatavojos uzlauzt kāda uzņēmuma informāciju, viņu e-pastā bieži ir viss labais, " sacīja ESET Cobb. "Cilvēki bieži nedomā par to, ko viņi tur atstāj. Paskatieties uz Sony hack; cilvēki teica, ka ar e-pasta starpniecību lietām to nevajadzētu būt. E-pasts ir pastkarte, nevis aizzīmogota aploksne. Paturiet to prātā. "

    "Tas arvien vairāk kļūst par iespēju kontrolēt datus, " sacīja Microsoft pārstāvis Littleton. "Var būt naudas vērts izmantot šifrētu e-pasta pakalpojumu ar ienākošo filtrēšanu, kas samazina jūsu uzbrukuma virsmu. Ja atstājāt kredītkartes numuru e-pastā, pakalpojums jautās, vai tiešām vēlaties to nosūtīt, un pēc tam automātiski šifrē nevis tikai numurs, bet viss e-pasts. Tā kā nozare attīstās, šie pakalpojumi kļūst saprātīgāki un ikdienišķāki. "

    7. Vienmēr ziņojiet par incidentiem
    SBA Kramers paskaidroja, ka tad, ja mazs uzņēmums tiek pārkāpts vai noticis ar pikšķerēšanas veida izkrāpšanas vai izpirktās programmatūras pieprasījumu, viņiem jāzina, kam piezvanīt. ESET Cobb teica, ja mazie uzņēmumi neziņos par to policijai, baidoties, ka tiesībaizsardzības iestādēm nebūs resursu izmeklēšanai, cikls tiks saglabāts.

    "Mums ir neveiksmīgs cikls, kurā tiesībaizsardzības iestādes saņem finansējumu, pamatojoties uz paziņotajiem noziegumiem, bet cilvēki neziņo par noziegumiem, jo ​​viņi neuzskata, ka policijai ir resursi, " sacīja ESET Cobb. Ja neviens neziņo, policijai nekad nebūs pierādījumu, lai nodrošinātu resursus šo kibernoziedzības problēmu risināšanai. "

    "Lielākajā daļā pašvaldību ir kibernoziegumu vienības un tās atbildēs, " piebilda NIST pārstāvis Tots.

    8. Vietā izveidojiet reaģēšanas incidentu plānu
    "Jūs nemēģināt ievietot drošības jostu avārijas vidū, " sacīja Microsoft pārstāvis Littleton. "Jums ir nepieciešams plāns, kā izklāstīts, kā jūs reaģēsit, pirms notiks pārkāpums."

    "Jūs arī neesat šajā pilnībā viens pats, " sacīja ESET pārstāvis Kobs. "Drošības pakalpojumi, kurus jūs iegādājaties plauktā, tiek nodrošināti ar paaugstinātu aizsardzību mākonī vai piekļuvei piegādes ķēdei. Iespējams, ka tie sniedz atklāšanas un novēršanas pakalpojumus bāzes līmenī. Sastādot plānu, pārliecinieties, ka jūs neatstājat drošības pakalpojumus. uz jūsu MSP vai drošības dienesta piedāvātā galda. "

    9. Neatstājiet brīvus galus
    "Viena no problemātiskajām jomām, kuras mēs redzam - ja un kad darbinieks aiziet vai tiek atlaists - viņu piekļuve sistēmai netiek nekavējoties pārtraukta, " sacīja ESET Cobb. "Mazie uzņēmumi strādā ar cilvēkiem, kuriem uzticas, un ļoti daudziem cilvēkiem, kuri nāk un aiziet. Dažreiz viņi neiet laimīgākajos apstākļos. Ja bijušajam darbiniekam, kurš izjūt nepatiku, joprojām ir pieeja vai pat joprojām ir iespējota daudzfaktoru autentifikācija, tas ir liela iekšējās drošības problēma, kuru ir sāpīgi viegli risināt. "

    10. Valdības resursi un apmācība
    Valdība veic nozīmīgus pasākumus, lai risinātu kiberdrošības jautājumus. Baltais nams šā gada sākumā izlaida kiberdrošības sistēmu, un prezidenta Obamas 2017. gada budžeta priekšlikumā paredzēts palielināt finansējumu par 35 procentiem (līdz 19 miljardiem USD), lai risinātu kiberdrošības uzbrukumus. SBA Kramer un NIST's Toth norādīja uz bezmaksas valsts resursiem, piemēram, SBA visu lapu, kurā ir ietverti MVU kiberdrošības resursi, ieskaitot padomus un rīkus kiberdrošības jomā, kursu, apmācību un tīmekļa semināru kolekciju.
    Daži no visnoderīgākajiem resursiem ir:

    • SBA desmit labākie kiberdrošības padomi
    • SBA tiešsaistes kurss: kiberdrošība maziem uzņēmumiem
    • Kibernoturības pārskata (CRR) novērtēšanas rīks
    • Mazo Biz kiberplānotājs
    • SBA, NIST un FBI kopīgie mazā biznesa semināri
    • SBA YouTube kanāls
    • NIST datoru drošības resursu centrs
    • COMPTIA sertifikāti un izglītības programmas, lai apgūtu MSP drošības protokolus