Dlaczego małe firmy muszą wyciągać wnioski z poważnych naruszeń danych

Autor: Roger Morrison
Data Utworzenia: 17 Wrzesień 2021
Data Aktualizacji: 1 Lipiec 2024
Anonim
Elektronizacja zamówień publicznych w Polsce oraz RODO w zamówieniach publicznych
Wideo: Elektronizacja zamówień publicznych w Polsce oraz RODO w zamówieniach publicznych

Zawartość



Źródło: Mbolina / Dreamstime.com

Na wynos:

Małe i średnie firmy często nie traktują bezpieczeństwa tak poważnie, jak potrzebują.

W ostatnim raporcie McAfee ogłosił rok 2014 „rokiem naruszenia” i łatwo zrozumieć, dlaczego. Od wielu znanych firm i korporacji od stycznia doszło do kalectwa, od ponad 50 milionów osób w Home Depot do 70 milionów plus w JPMorgan. Tymczasem Staples, PF Chang, Goodwill i mnóstwo innych padło ofiarą cyberprzestępczości.

Według wskaźnika poziomu bezpieczeństwa SafeNets za trzeci kwartał 2014 r. Odnotowano 320 naruszeń danych między lipcem a wrześniem, z czego 46% dotyczyło kradzieży tożsamości.

Bąbelkowanie pod powierzchnią powiadomień o poważnych naruszeniach jest falą niższych profilów naruszeń danych, które zdarzają się co tydzień, o których rzadziej się słyszy. Cel taki jak Home Depot stanowi okazję do ogromnej wypłaty, ale wiąże się również z wyższym ryzykiem i wymaga dużego planowania transakcji. Nie jest więc zaskakujące, że niektórzy hakerzy szukają nisko wiszących owoców, takich jak małe firmy (SMB). Przyniosą one mniejsze wypłaty, ale mogą być obfite, jeśli kilka zostanie zdjętych z rzędu.

Przez cały czas cyberprzestępcy używają nowych narzędzi do atakowania małych i średnich firm, mówi Trend Micro w jednym z najnowszych raportów na temat keyloggerów, których hakerzy mogą wykorzystać do odsysania danych firmowych.

„Małe i średnie firmy mają takie fałszywe poczucie bezpieczeństwa, sądząc, że taki atak nigdy nie nastąpi” - mówi Gary Davis, główny ewangelista ds. Bezpieczeństwa konsumentów w McAfee. „Zagrożenia bezpieczeństwa nie dyskryminują ze względu na wielkość organizacji, a dla małych i średnich firm, których pracownicy używają wielu urządzeń, coraz ważniejsze stają się wyjątkowe rozwiązania bezpieczeństwa”.

Nie musisz kopać zbyt daleko, aby znaleźć przykłady małych i średnich naruszeń. W hotelu Houstonian w Houston w Teksasie ujawniono dane karty kredytowej 10 000 klientów podczas naruszenia bezpieczeństwa na początku tego roku. Na mniejszą skalę, ale nie mniej poważną, sklep sprzętu sportowego Backcountry Gear z siedzibą w Oregonie, który wysyła towary na terenie USA, wykrył w swoim systemie złośliwe oprogramowanie w lipcu 2014 r., Które mogło narazić dane klientów.

„Problem polega na tym, że tak wiele z tych firm po prostu nie uważa bezpieczeństwa za coś, co musi zrobić, ale raczej za coś, co musi zrobić” - mówi Marcus Ranum, dyrektor ds. Bezpieczeństwa w Tenable Network Security. „Będąc szczerymi, często w najlepszym wypadku przyjmują absolutne minimum, outsourcing i starają się odłożyć na później odpowiedzialność”.

Przyjmowanie właściwych postaw

Bezpieczeństwo działa najlepiej, gdy jest traktowane jako „podstawowy proces biznesowy”, zgodnie z SMB Security Guide, witryną, która doradza małym firmom w zakresie najlepszych praktyk bezpieczeństwa.

Potrzebne jest podstawowe szkolenie podstawowe dla każdej małej firmy w zakresie ochrony jej zasobów cyfrowych. Davis powiedział, że pracownicy powinni zostać przeszkoleni w zakresie używania unikalnych i trudnych haseł, a właściciele firm muszą znać swoje dane od wewnątrz i na zewnątrz, gdzie wszystko jest przechowywane i kto dokładnie ma do nich dostęp. Posiadanie otwartej książki na temat danych wśród pracowników może doprowadzić do wycieku danych, celowego lub przypadkowego.

Gdzie indziej właściciele firm muszą upewnić się, że ich aplikacje i systemy operacyjne są również aktualizowane, ale bezpieczeństwo cybernetyczne ma wiele aspektów i może również przybrać fizyczną obecność. Kto ma na przykład dostęp do pomieszczeń, w których przechowywane są dyski twarde?

„Nie pozwól obcym wędrować po korytarzach i ograniczaj fizyczny dostęp przy zamkniętych drzwiach i zarządzanych systemach wejściowych” - mówi Davis. „Przed zatrudnieniem nowych pracowników należy dokładnie sprawdzić przeszłość i referencje”.

Przynieś własne urządzenie ... lub przynieś własne dane?

Przewodnik Experiana dotyczący reagowania na naruszenia danych 2014/2015 i Instytut Ponemona uzasadniają opracowanie sztywnej polityki reagowania na naruszenia. Skuteczne zasady na wszystkich szczeblach pomogą każdej firmie lepiej radzić sobie z naruszeniami danych, szczególnie w przypadku firm stosujących praktyki BYOD, które tworzą coraz więcej możliwości wystąpienia naruszeń.

BYOD w biurze staje się nieunikniony, mówi Sean Sullivan, doradca ds. Bezpieczeństwa F-Secure.

„Z punktu widzenia użytkownika BYOD to świetny pomysł, ale z punktu widzenia bezpieczeństwa jest to okropny pomysł”, mówi. „Grasz w loterię pechową; szanse są niewielkie, ale pierwsza nagroda to znaczna strata pieniędzy”.

Urządzenie należy do osoby, co rodzi problemy związane z odpowiedzialnością, dlatego opracowanie żelaznej polityki jest niezbędne i musi uzupełniać szkolenie pracowników w zakresie protokołów bezpieczeństwa.

„Zalecamy organizacjom, aby same zapewniły swoim pracownikom dodatkowe szkolenie dotyczące samych urządzeń fizycznych” - dodaje Sullivan. „Oferując pracownikom doskonałą obsługę, wytyczne firmy dotyczące bezpieczeństwa są mniej narażone na naruszenie.”

Małe i średnie firmy mogą pozostać w tyle

Małe firmy zachęca się do proaktywnego podejścia do bezpieczeństwa i przyjęcia mentalności dużych firm, ponieważ nikt inny nie będzie na ciebie uważał.

„W rzeczywistości branża bezpieczeństwa zawiodła małe i średnie firmy” - mówi Paul Lipman, dyrektor generalny firmy iSheriff, firmy zajmującej się ochroną chmury w Redwood City w Kalifornii. Małe i średnie firmy mogą zagubić się w rozmowie i nie zwracają na siebie takiej samej uwagi, jeśli chodzi o bezpieczeństwo, często pozostawiając im samodzielność.

Małe i średnie firmy mogą nie mieć tak wiele do zaoferowania cyberprzestępcy jak Home Depot lub Target, ale firmy wciąż mają wiele do stracenia.

„nie są zainteresowani kradzieżą tajemnic lub własności intelektualnej, takich jak hakerzy atakujący większe przedsiębiorstwa” - mówi Lipman, ale tam, gdzie jest firma, są pieniądze, a cyberprzestępcy będą atakować wszystko, o czym wiedzą, że mogą przeniknąć.

Niektóre firmy stają się coraz bardziej obeznane z technologią, ale najważniejsze jest to, że małe i średnie firmy nie mogą się tym zająć. Technologia - i zagrożenia cybernetyczne - ewoluują w zaskakującym tempie.

Raport właściciela małej firmy Bank of America stwierdza, że ​​80% małych firm włączyło do swojego biznesu „pewnego rodzaju metodę cyfrową”, ale może to obejmować zarówno media społecznościowe, jak i bezpieczeństwo. Ile uwagi poświęca się zwiększeniu bezpieczeństwa, a także zwiększeniu zasięgu mediów społecznościowych?

Firma zajmująca się bezpieczeństwem BitSight opublikowała nowe badanie w listopadzie 2014 r., Które potwierdza wiele obaw związanych z bezpieczeństwem firm, zwłaszcza w handlu detalicznym, i zauważa, że ​​integralność zabezpieczeń spadła w tych firmach.

„Choć zachęcające jest to, że większość detalistów, których dotyczy naruszenie, poprawiło swoją skuteczność w zakresie bezpieczeństwa, pozostaje jeszcze wiele do zrobienia, zwłaszcza w zakresie zarządzania ryzykiem dostawcy”, powiedział Stephen Boyer, dyrektor ds. Technicznych w BitSight, ogłaszając badanie.

Rodzi kilka pytań. Jeśli jesteś właścicielem małej firmy, czy sprawdziłeś praktyki bezpieczeństwa swojej firmy i oceniłeś, gdzie bezpieczeństwo stoi w Twojej hierarchii? W miarę ewolucji zagrożeń cybernetycznych małe firmy będą musiały zrobić to samo.