Dom Bezpieczeństwo Dlaczego małe firmy muszą wyciągać wnioski z głośnych naruszeń danych

Dlaczego małe firmy muszą wyciągać wnioski z głośnych naruszeń danych

Spisu treści:

Anonim

W ostatnim raporcie McAfee ogłosił rok 2014 „rokiem naruszenia” i łatwo zrozumieć, dlaczego. Od wielu znanych firm i korporacji od stycznia doszło do kalectwa, od ponad 50 milionów osób w Home Depot do 70 milionów plus w JPMorgan. Tymczasem Staples, PF Chang, Goodwill i mnóstwo innych ofiar padło ofiarą cyberprzestępczości.


Według indeksu poziomu bezpieczeństwa SafeNet za trzeci kwartał 2014 r. Odnotowano 320 naruszeń danych między lipcem a wrześniem, z czego 46% dotyczyło kradzieży tożsamości.


Bąbelkowanie pod powierzchnią powiadomień o poważnych naruszeniach jest falą niższych profilów naruszeń danych, które zdarzają się co tydzień, o których rzadziej słyszysz. Cel taki jak Home Depot stanowi okazję do ogromnej wypłaty, ale wiąże się również z większym ryzykiem i wymaga dużego planowania transakcji. Nie jest więc zaskakujące, że niektórzy hakerzy szukają nisko wiszących owoców, takich jak małe firmy (SMB). Przyniosą one mniejsze wypłaty, ale mogą być obfite, jeśli kilka zostanie zdjętych z rzędu.


Przez cały czas cyberprzestępcy używają nowych narzędzi do atakowania małych i średnich firm, mówi Trend Micro w jednym z najnowszych raportów na temat keyloggerów, których hakerzy mogą wykorzystać do odsysania danych firmowych.


„Małe i średnie firmy mają takie fałszywe poczucie bezpieczeństwa, sądząc, że taki atak nigdy nie nastąpi” - mówi Gary Davis, główny ewangelista ds. Bezpieczeństwa konsumentów w McAfee. „Zagrożenia bezpieczeństwa nie dyskryminują ze względu na wielkość organizacji, a dla małych i średnich firm, których pracownicy używają wielu urządzeń, coraz ważniejsze staje się posiadanie wyjątkowych rozwiązań bezpieczeństwa”.


Nie musisz kopać zbyt daleko, aby znaleźć przykłady małych i średnich naruszeń. W hotelu Houstonian w Houston w Teksasie ujawniono dane dotyczące 10 000 klientów kart kredytowych podczas naruszenia bezpieczeństwa na początku tego roku. Na mniejszą skalę, ale nie mniej poważną, sklep sprzętu sportowego Backcountry Gear z siedzibą w Oregonie, który wysyła towary na terenie USA, wykrył w swoim systemie złośliwe oprogramowanie w lipcu 2014 r., Które mogło narazić dane klientów.


„Problem polega na tym, że tak wiele z tych firm po prostu nie uważa bezpieczeństwa za coś, co musi zrobić, ale raczej za coś, co musi zrobić” - mówi Marcus Ranum, dyrektor ds. Bezpieczeństwa w Tenable Network Security. „Będąc szczerymi, często w najlepszym wypadku przyjmują absolutne minimum, outsourcing i starają się odłożyć na później odpowiedzialność”.

Przyjmowanie właściwych postaw

Bezpieczeństwo działa najlepiej, gdy jest traktowane jako „podstawowy proces biznesowy”, zgodnie z SMB Security Guide, witryną, która doradza małym firmom w zakresie najlepszych praktyk bezpieczeństwa.


Potrzebne jest podstawowe szkolenie podstawowe dla każdej małej firmy w zakresie ochrony jej zasobów cyfrowych. Davis powiedział, że pracownicy powinni zostać przeszkoleni w zakresie używania unikalnych i trudnych haseł, a właściciele firm muszą znać swoje dane od wewnątrz i na zewnątrz, gdzie wszystko jest przechowywane i kto dokładnie ma do nich dostęp. Posiadanie otwartej książki na temat danych wśród pracowników może doprowadzić do wycieku danych, celowego lub przypadkowego.


Gdzie indziej właściciele firm muszą upewnić się, że ich aplikacje i systemy operacyjne są również aktualizowane, ale bezpieczeństwo cybernetyczne ma wiele aspektów i może również przybrać fizyczną obecność. Kto ma na przykład dostęp do pomieszczeń, w których przechowywane są dyski twarde?


„Nie pozwól nieznajomym wędrować po korytarzach i ogranicz fizyczny dostęp przy zamkniętych drzwiach i zarządzanych systemach wejściowych” - mówi Davis. „Przed zatrudnieniem nowych pracowników należy dokładnie sprawdzić przeszłość i referencje”.

Przynieś własne urządzenie … lub przynieś własne dane?

Przewodnik Experiana w sprawie reagowania na naruszenia danych 2014/2015 i Instytut Ponemona przemawiają za opracowaniem sztywnej polityki reagowania na naruszenia. Skuteczne zasady na wszystkich szczeblach pomogą każdej firmie lepiej radzić sobie z naruszeniami danych, szczególnie w przypadku firm stosujących praktyki BYOD, które tworzą coraz więcej możliwości wystąpienia naruszeń.


BYOD w biurze staje się nieunikniony, mówi Sean Sullivan, doradca ds. Bezpieczeństwa F-Secure.


„Z punktu widzenia użytkownika BYOD to świetny pomysł, ale z punktu widzenia bezpieczeństwa jest to okropny pomysł”, mówi. „Grasz w loterię pechową; szanse są niewielkie, ale pierwszą nagrodą jest znaczna strata pieniędzy”.


Urządzenie należy do osoby, co rodzi problemy związane z odpowiedzialnością, dlatego opracowanie żelaznej polityki jest niezbędne i musi uzupełniać szkolenie pracowników w zakresie protokołów bezpieczeństwa.


„Zalecamy organizacjom, aby same zapewniły swoim pracownikom dodatkowe szkolenie dotyczące samych urządzeń fizycznych” - dodaje Sullivan. „Oferując pracownikom doskonałą obsługę, wytyczne firmy dotyczące bezpieczeństwa są mniej narażone na naruszenie.”

Małe i średnie firmy mogą pozostać w tyle

Małe firmy zachęca się do proaktywnego podejścia do bezpieczeństwa i przyjęcia mentalności dużych firm, ponieważ nikt inny nie będzie na ciebie uważał.


„W rzeczywistości branża bezpieczeństwa zawiodła małe i średnie firmy” - mówi Paul Lipman, dyrektor generalny firmy iSheriff, firmy zajmującej się ochroną chmury w Redwood City w Kalifornii. Małe i średnie firmy mogą się zagubić w rozmowie i nie zwracają takiej samej uwagi na bezpieczeństwo, często pozostawiając im samodzielność.


Małe i średnie firmy mogą nie mieć tak wiele do zaoferowania cyberprzestępcy jak Home Depot lub Target, ale firmy wciąż mają wiele do stracenia.


„nie są zainteresowani kradzieżą tajemnic lub własności intelektualnej, takich jak hakerzy atakujący większe przedsiębiorstwa” - mówi Lipman, ale tam, gdzie jest biznes, są pieniądze, a cyberprzestępcy będą atakować wszystko, o czym wiedzą, że mogą przeniknąć.


Niektóre firmy stają się coraz bardziej obeznane z technologią, ale najważniejsze jest to, że małe i średnie firmy nie mogą się tym zająć. Technologia - i zagrożenia cybernetyczne - ewoluują w zaskakującym tempie.


Raport właściciela małej firmy Bank of America stwierdza, że ​​80% małych firm włączyło do swojego biznesu „pewnego rodzaju metodę cyfrową”, ale może to obejmować zarówno media społecznościowe, jak i bezpieczeństwo. Ile uwagi poświęca się zwiększeniu bezpieczeństwa, a także zwiększeniu zasięgu mediów społecznościowych?


Firma ochroniarska BitSight opublikowała nowe badanie w listopadzie 2014 r., Które potwierdza wiele obaw związanych z bezpieczeństwem firm, zwłaszcza w handlu detalicznym, i zauważa, że ​​integralność bezpieczeństwa spadła w tych firmach.


„Choć zachęcające jest to, że większość detalistów, których dotyczy naruszenie, poprawiło skuteczność swoich zabezpieczeń, pozostaje jeszcze wiele do zrobienia, szczególnie w zakresie zarządzania ryzykiem dostawców”, powiedział Stephen Boyer, dyrektor ds. Technicznych w BitSight, ogłaszając badanie.


Rodzi kilka pytań. Jeśli jesteś właścicielem małej firmy, czy przeprowadziłeś audyt praktyk bezpieczeństwa swojej firmy i oceniłeś, gdzie bezpieczeństwo stoi w Twojej hierarchii? W miarę ewolucji zagrożeń cybernetycznych małe firmy będą musiały zrobić to samo.

Dlaczego małe firmy muszą wyciągać wnioski z głośnych naruszeń danych