Будинки Бізнес 10 кроків із кібербезпеки, які має здійснити ваш малий бізнес зараз

10 кроків із кібербезпеки, які має здійснити ваш малий бізнес зараз

2024

Відео: Ð Ð¡ DONI ft Ð¢Ð¸Ð¼Ð°Ñ Ð¸ Ð Ð¾Ñ Ð¾Ð´Ð° Ð Ñ ÐµÐ¼Ñ ÐµÑ Ð° ÐºÐ»Ð¸Ð¿Ð°, 2014 (Вересень 2024)

Національний тиждень малого бізнесу триває, і урочистості не зайняли багато часу, щоб вирішити одне з найяскравіших та найпоширеніших питань для малого та середнього бізнесу (SMB): кібербезпека. Адміністрація малого бізнесу (SBA) - це урядове агентство США, яке займається наданням конкретної допомоги, навчання та рекомендацій, які малий бізнес може втілити на практиці відразу у своїй щоденній діяльності. З цією метою, а не просто пропонувати нові тенденції безпеки, сьогоднішня панель кібербезпеки SBA дала SMB конкретним порадам, ресурсам та крокам, які вони можуть вжити, щоб зменшити вразливості безпеки та створити комплексну стратегію безпеки.

Заступник адміністратора SBA Дуг Крамер модерував групу експертів з безпеки, обговорюючи найбільші ризики безпеки, з якими стикається малий бізнес, та найважливіші кроки, які вони можуть вжити для захисту своєї інфраструктури та даних, на основі хмарних чи фізичних даних. До складу групи входив Білл О'Коннелл, віце-президент Global Trust Assurance в ADP; Стівен Кобб, старший науковий співробітник ESET Північної Америки; Метт Літтлтон, регіональний директор Східної служби кібербезпеки та інфраструктури Azure в Microsoft; та Патрісія (Пат) Тот, науковий співробітник відділу комп'ютерної безпеки Національного інституту стандартів і технологій (NIST).

Учасники дискусії розповіли про проблеми кібербезпеки, починаючи від фішингу, викупу програмного забезпечення та про те, як вирішити порушення, до того, як малий бізнес повинен підходити до багатофакторної аутентифікації (МЗС), навчання безпеки та політики співробітників, на що звернути увагу на договір керованого постачальника послуг (MSP), і коли зателефонувати до консультанта з питань ІТ-безпеки.

За словами Крамера, справа не лише у кредитних картках працівника та клієнтів, а й у банківській інформації, але в галузі даних про інтелектуальну власність є скрізь - від електронної пошти до хмарного сховища та атак, які можуть зробити малий бізнес слабкою ланкою та легкою ціллю ланцюг поставок За даними SBA, зазначає Крамер, майже половина всіх малих підприємств певною мірою зазнала жертв кіберзлочинністю, а середня вартість нападу становить приблизно 21 000 доларів.

"Кожен, хто починає малий бізнес, працює якнайбільше, не маючи зайвого часу або грошей, щоб вирішити проблеми з кібербезпекою, які можуть коштувати дорожче, ніж очікувалося, і означати життя чи смерть для малого бізнесу", - зауважив Крамер SBA на панелі почався. "Загроза вторгнення та крадіжок в кібер-мережі є дуже реальною. Малий бізнес по-різному вимірює активи та інвентар, але вони сидять у скарбниці інформації".

1. Хмарна безпека: робити і не робити

З економічних і зручних причин всі SMB повинні розглянути можливість переходу до хмари, але перехід повинен відбуватися ретельно. Учасники дискусії обговорили деякі найважливіші міркування та перешкоди.

Робити: Поступова резервна копія хмар

"Хмара має багато переваг та ризиків, але одне, що потрібно робити малим і середнім підприємствам, - це резервне копіювання", - сказав Кобб ESET. "Поточна резервна копія всіх файлів - це найкращий захист від викупу програмного забезпечення та найважливіша частина вашої кібербезпеки та захист. Вам слід створити резервну копію на жорсткому диску та зберігати копію десь у безпечному місці в окремому місці, але хмара дозволяє створювати резервні копії. постійно ».
Робіть: платіть за безпеку Premium Cloud Cloud

"Власники малого бізнесу орієнтовані на ціни, але для отримання потрібної ваги потрібні інші фактори", - сказав О'Коннелл ADP. "Деякі речі повинні коштувати більше грошей для більш високого рівня обслуговування, а безпека - одна з таких речей. Не приймайте рішення просто на основі ціни".
Не слід: просто підпишіть договір MSP

"Перевірте цей контракт", - сказав Кобб. "Ви можете передавати в зберігання або резервне копіювання, але ви не можете передавати відповідальність за аутсорсинг. Якщо власник SMB каже, що ІТ-постачальник має всі дані про клієнтів і співробітників - ваші дані - ви все ще несете відповідальність."

"Якщо мова йде не лише про договір, а про дані, зробіть дослідження, щоб перевірити, чи є якісь проблеми із безпекою", - додав О'Коннелл ADP. "Для SMB контракт є хорошою частиною цієї лінії оборони. Ознайомтеся з угодами про надання доступу до послуг (SLA) та політикою доступу до рівня даних. Як довго МСП зберігають дані? Що вони з цим роблять?"

Не залишайте невикористані функції інфраструктури MSP

"Якщо ви перейдете до хмарного середовища, ви можете перекласти частину цієї відповідальності. Ми більше не перебуваємо на майданчику платформи, де вам потрібно переживати, щоб персонал не відповідав на проблему чи виправляв сервер", - сказали в Microsoft Літтлтон. "Ось тут постачальник послуг може вступити і вирішити це від вашого імені. Вам потрібно зрозуміти, що ви вступаєте з точки зору контракту та які послуги надає хмарний постачальник послуг".

2. Багатофакторна автентифікація: просто зробіть це

"З особистого та ділового погляду МЗС - це те, що ви можете зробити негайно. Компанії не мають приводу не робити цього відразу", - зазначив Літтлтон у Microsoft. "Це просто з усім продуктовим пакетом Microsoft; те ж саме стосується Google, Yahoo, ви називаєте постачальника електронної пошти. Подивіться на налаштування безпеки та вимагайте від кожного співробітника ввести свій номер мобільного телефону як другий фактор. Тоді, навіть якщо я Зловмисник, і я вкрав ваш пароль, я не можу ним скористатися, якщо не вкраду ваш мобільний телефон і не знаю PIN-код ".

3. Коли потрібно зателефонувати до консультанта з питань ІТ-безпеки

" Будуть речі, які ви не можете зробити самостійно як власник малого бізнесу", - сказав О'Коннелл ADP. "Для дуже важливих контрактів ви отримуєте зовнішню юридичну консультацію. Щорічні та квартальні фінансові послуги у вас є бухгалтер. Те саме стосується експертизи з безпеки. Коли вам потрібно перевірити сайт, щоб переконатися, що він безпечний в Інтернеті, або провести оцінку ризику" це добре витрачені гроші, якщо у вас немає досвіду зробити це самостійно. Ви не займаєтеся електрикою чи сантехнікою в будівлі самостійно; це означає дізнатися, коли вам потрібна допомога ".

4. Безпека є частиною роботи кожного

"Ви не можете просто покластися на одну людину в компанії на 10 осіб; всі повинні добре розуміти кібербезпеку та які ризики для організації", - сказав Тот NIST. "Якщо цього не зробити, їх робота може опинитися під загрозою, якщо буде порушення, і бізнес не зможе відновитися".

"Зробіть безпеку частиною роботи кожної людини", - додав О'Коннелл ADP. "Людина, яка займається фінансами - що їм потрібно робити щодня? З фізичного боку, хто той, хто зачиняє двері вночі? Усі повинні знати компоненти та те, як їх роль вписується в загальну безпеку бізнесу".

5. Не будьте слабкою ланкою постачання

Як пояснив Крамер SBA, більше немає розподілу між МСП та підприємствами. Малі підприємства або хочуть рости і розширюватися, або вони підключаються до ланцюжка постачань підприємств для програмного забезпечення та послуг. Проблема полягає в тому, що політика безпеки SMB може не відповідати компанії ланцюгів поставок, з якою вони хочуть співпрацювати.

"Коли SMB отримує свій перший великий контракт з великою компанією, і вони просять переглянути вашу політику безпеки та програму поінформованості, вам не слід намагатися перевіряти все з контрольного списку", - сказав Кобб ESET. "Ризик ланцюгів поставок викликає велику стурбованість. Якщо SMB взаємодіє цифровим чином з постачальником, перевірте їх. Потрібно мати політику безпеки та навчання, щоб це не стало перешкодою".

"Жоден бізнес не надто малий, щоб націлювати його на кібер-арену, особливо з управління ланцюжками поставок", - заявив Літтлтон у Microsoft. "Багато порушень починаються не вгорі; вони починаються десь у ланцюзі поставок, а зловмисники пробиваються до кінцевої цілі".

Тот заявив, що в наступні два роки компанія NIST побачить, що урядові установи почнуть публікувати правила доступу до систем ланцюгів поставок. Тим часом вона сказала, що для малого і середнього бізнесу потрібно створити план.

"Планування безцінне, щоб знати, що насправді важливо; це одне, що потрібно захистити, і як ваш бізнес буде працювати, якби він не був доступний", - сказав Тот компанії NIST. "Для малого і середнього бізнесу потрібно створити плани, правила та процедури. Не великий урядовий підхід; він може бути таким же простим, як політики у вашому посібнику з працівниками, що говорять, що вони можуть, а що не можна робити в Інтернеті, як визначити фішинг-атаку, і коли відкривати, а не відкривати посилання та вкладення. "

6. Ставтеся до електронної пошти як до листівки, а не до конверта

"Перше, що потрібно зробити малим бізнесом з електронною поштою - подумати про те, що в ньому є. Якщо я збираюся зламати інформацію про чиюсь компанію, в їх електронному листі часто є всі хороші речі", - сказав Кобб ESET. "Люди часто не замислюються над тим, що вони там залишають. Погляньте на злом Sony; люди говорили речі по електронній пошті, яких не слід було. Електронна пошта - це листівка, а не герметичний конверт. Майте це на увазі. "

"Це також стає більшою здатністю контролювати дані", - сказав Littleton. "Можливо, варто використати зашифровану службу електронної пошти із вхідною фільтрацією, яка зменшує вашу атакову поверхню. Якщо ви залишили номер своєї кредитної картки в електронному листі, служба запитає, чи дійсно ви хочете це надіслати, а потім автоматично шифрувати не лише кількість, але вся електронна пошта. По мірі розвитку галузі ці послуги стають більш розумними і звичними ".

7. Завжди повідомляйте про випадки

Крамер SBA пояснив, що, коли малий бізнес порушується або потрапляє з фішинг-аферами або запитом на викуп, вони повинні знати, кому зателефонувати. Кобб ESET заявив, що якщо малий бізнес не повідомить про це в поліцію, побоюючись, що правоохоронні органи не матимуть ресурсів для розслідування, цикл буде продовжуватися.

"У нас невдалий цикл, коли правоохоронні органи отримують фінансування, грунтуючись на повідомленнях про злочини, але люди не повідомляють про злочини, оскільки не думають, що поліція має ресурси", - сказав Кобб. Якщо ніхто не повідомляє, поліція ніколи не матиме доказів, щоб забезпечити себе ресурсами для вирішення цих проблем у сфері кіберзлочинності ".

"Більшість муніципалітетів мають кіберзлочинні підрозділи, і вони реагують", - додав Тот.

8. Створити план реагування на випадки

"Ви не намагаєтесь надягати ремінь безпеки посеред аварії", - сказав Літтлтон. "Вам потрібен план, який визначає, як ви будете реагувати до того, як відбудеться порушення".

"Ви теж не в цьому абсолютно самотні", - сказав Кобб ESET. "Служби безпеки, які ви купуєте на полиці, забезпечують підвищений захист у хмарі або доступ до мережі постачань. Вони можуть надавати послуги з виявлення та запобігання на базовому рівні. Складаючи свій план, переконайтеся, що ви не залишаєте служб безпеки на столі, запропонованому вашим MSP або службою безпеки. "

9. Не залишайте розпущені кінці

"Одне з проблемних напрямків, які ми бачимо - якщо і коли працівник залишає або звільняють з посади - їхній доступ до системи не одразу припиняється", - сказав Кобб. "Малий бізнес працює з людьми, яким вони довіряють, і багато людей, які приїжджають і їдуть. Іноді вони не йдуть за найщасливіших обставин. Якщо колишній працівник з кривдою все ще має доступ або навіть все ще має багатофакторну автентифікацію, це велика проблема безпеки інсайдера, яку болісно легко вирішити ".

10. Урядові ресурси та навчання

Уряд вживає великих заходів для вирішення питань кібербезпеки. Білий дім випустив рамки кібербезпеки на початку цього року, а пропозиція президента Обами на 2017 рік передбачає збільшення на 35 відсотків фінансування (до 19 мільярдів доларів) для боротьби з атаками на кібербезпеку. Крамер та NIST Тот вказували на безкоштовні урядові ресурси, такі як вся сторінка SBA щодо кібербезпеки для малих і середніх підприємств, включаючи поради та інструменти з питань кібербезпеки, колекцію курсів, тренінгів та вебінарів.

Одні з найкорисніших ресурсів: