Guida alla sicurezza informatica per le piccole e medie imprese

Pubblicato: 2014-03-04

riservatezza della tastiera Sono passati appena due mesi dall'inizio del 2014 e abbiamo riscontrato un numero enorme di problemi relativi alla privacy e alla gestione delle violazioni dei dati. In una riunione di Online Trust Alliance (OTA) a cui ho partecipato di recente, è stato fatto il commento che "Non è un casosesarai interessato da una violazione, è un caso diquando".

Questo è un commento che fa riflettere per qualsiasi azienda che abbia un modello di business elettronico, che, in questi giorni, siamo praticamente tutti noi. Essere relativamente piccoli o anonimi non garantisce che i criminali informatici non ti noteranno. Quindi a chi ti rivolgi per assistenza e guida se sei una piccola organizzazione senza tasche o risorse profonde?

Una guida per le piccole imprese ai problemi di sicurezza informatica

Lo Stato della California ha pubblicato una grande risorsa per le aziende: "Sicurezza informatica nel Golden State: come le aziende della California possono proteggersi e rispondere a malware, violazioni dei dati e altri incidenti informatici". Le informazioni contenute in questo documento sono applicabili a tutte le aziende di tutto il mondo, non solo in California, e offrono assistenza per la sicurezza informatica alle PMI. Ti incoraggio vivamente a leggerlo per familiarizzare con i concetti e tutti i possibili problemi di minaccia che potrebbero avere un effetto dannoso sul tuo marchio, sulla tua reputazione e sulla tua capacità di condurre un commercio online legittimo. Può essere difficile e costoso recuperare da una violazione della privacy; la prevenzione è la strada migliore. Come osserva lo studio:

"Secondo lo studio del 2014 sul costo del crimine informatico, condotto dal Ponemon Institute,... i costi per le aziende vittime di attacchi basati su Internet sono aumentati in media del 78% all'anno negli ultimi quattro anni".

10 verità sulla sicurezza informatica

Ecco una versione modificata del sommario esecutivo del rapporto:

Investimenti relativamente piccoli nella preparazione alla sicurezza informatica possono produrre significative riduzioni del rischio. La Guida contiene ulteriori raccomandazioni su come preparare un efficace piano di risposta agli incidenti di sicurezza informatica, ma ecco i problemi principali:

Supponi di essere un bersaglio1. Supponi di essere un bersaglio

Qualsiasi azienda, grande o piccola, può essere vittima del crimine informatico. Proprio come è diventata una seconda natura per la maggior parte di noi chiudere a chiave la porta d'ingresso quando usciamo di casa, presumi di essere un potenziale bersaglio e prendi le precauzioni di base per proteggere te stesso e la tua azienda.

2. Dare il buon esempio

La sicurezza informatica non è dominio esclusivo dell'IT; la direzione esecutiva deve essere coinvolta. I proprietari di piccole imprese sono nella posizione migliore per comprendere la rete della loro azienda e tutti i dispositivi che vi si connettono. Ciò richiede di dedicare il tempo e le risorse necessarie per garantire la sicurezza e la protezione del proprio patrimonio informativo.

3. Mappa i tuoi dati

Per proteggere efficacemente i tuoi dati, il rapporto suggerisce che devi prima conoscere i tipi di dati che hai e la posizione di tali dati. Esamina in modo completo i dati che hai archiviato sui tuoi sistemi IT, sia in loco che fuori sede, e con terze parti (includi l'archiviazione di backup e le soluzioni di cloud computing nel tuo progetto di mappatura dei dati). Una volta che sai quali dati hai e dove si trovano, dai un'occhiata e sbarazzati di ciò che non ti serve veramente.

4. Cripta i tuoi dati

Cripta i dati che devi conservare. In termini di base, la crittografia dei dati, che si tratti di e-mail, fotografie, appunti o qualsiasi altro tipo di informazione archiviata elettronicamente, li codifica in modo che coloro che non dispongono delle chiavi di crittografia non possano leggerli. La tecnologia di crittografia avanzata è ora comunemente disponibile gratuitamente ed è facile da usare. Il grande vantaggio di crittografare i tuoi dati è che li rende molto meno suscettibili all'hacking. Tieni presente che le macchine che gestiscono informazioni sensibili come le buste paga o le funzioni del punto vendita (POS) dovrebbero idealmente trovarsi su reti o sistemi separati dalle macchine coinvolte con servizi di routine, come l'aggiornamento di Facebook e il controllo della posta elettronica.

5. Banca sicura

Il rapporto della California include consigli specifici e attuabili per l'online banking, tra cui:

  • Metti la sicurezza al primo posto. Eseguire l'online banking utilizzando solo una connessione sicura del browser (indicata da "https" e/o un lucchetto visibile nella barra degli indirizzi o nell'angolo in basso a destra della finestra del browser web). Le sessioni di online banking dovrebbero essere condotte nella modalità privata del tuo browser Web e successivamente dovresti cancellare la cache del browser Web, i file Internet temporanei, i cookie e la cronologia in modo che, se il tuo sistema viene compromesso, le informazioni non siano accessibili ai criminali informatici.
  • Approfitta delle opzioni di sicurezza offerte dal tuo istituto finanziario. Gli esempi includono l'utilizzo dell'autenticazione a due fattori per accedere al tuo account, la richiesta a due persone autorizzate di firmare ogni trasferimento di fondi e l'impostazione di notifiche dell'account tramite e-mail o SMS quando si verificano determinate attività ad alto rischio sul tuo account.
  • Stabilisci dei limiti sui bonifici. Sofisticate organizzazioni criminali transnazionali ora attaccano regolarmente i computer delle aziende e trasferiscono ingenti somme all'estero dove non possono essere recuperate. Per evitare ciò, imposta dei limiti sull'importo che può essere trasferito dai tuoi conti e (a seconda delle tue esigenze aziendali) considera di chiedere alla tua banca di richiedere due firme del team esecutivo prima di inviare bonifici all'estero.

6. Difenditi

Nella scelta delle soluzioni di sicurezza, proteggiti dai singoli punti di errore in qualsiasi tecnologia o metodo di protezione specifico. Ciò dovrebbe includere l'implementazione di firewall, antivirus e altre soluzioni di sicurezza Internet regolarmente aggiornati che si estendono su tutti i dispositivi digitali, dai computer desktop, agli smartphone, ai tablet.

I dispositivi connessi alla tua rete dovrebbero essere protetti da più livelli di tecnologie difensive che includono, ma non sono limitate a, la tecnologia antivirus. Cerca soluzioni di sicurezza complete che affrontino la sicurezza da più prospettive in modo da essere in grado di gestire il rischio dall'intero spettro di minacce che potresti incontrare. Le funzionalità utili includono la capacità di localizzare o cancellare in remoto un dispositivo scomparso e la capacità di identificare e bloccare attacchi mai visti prima utilizzando tecnologie che analizzano il comportamento e/o impiegano strumenti di virtualizzazione.

7. Educare i dipendenti

Aumenta la consapevolezza dei dipendenti sui rischi delle minacce informatiche, sui meccanismi per mitigare il rischio e sul valore della proprietà intellettuale e dei dati della tua azienda. I tuoi dipendenti sono la prima linea di difesa e una buona formazione e procedure sulla sicurezza possono ridurre il rischio di perdita accidentale di dati e altri rischi interni.

8. Sii saggio con la password

Modifica qualsiasi nome utente o password predefiniti per computer, stampanti, router, smartphone o altri dispositivi. QUALSIASI COSA è meglio dell'impostazione predefinita. Nello specifico, dovresti usare password complesse e non lasciare che il tuo browser Internet ricordi le tue password.

9. Operare in modo sicuro

Proteggi i tuoi sistemi utilizzando difese di sicurezza a più livelli e mantenendo aggiornati tutti i sistemi operativi e il software. Non installare software che non hai specificamente cercato e non scaricare software da fonti non attendibili o sconosciute. Ricordati di rimuovere o disinstallare il software che non utilizzi più.

10. Pianifica il peggio

Il rapporto rileva che ogni piccola impresa dovrebbe mettere insieme un piano di ripristino di emergenza in modo che quando si verifica un incidente informatico, le risorse vengano utilizzate in modo saggio ed efficiente. Scegli un team di risposta agli incidenti e assegna un leader. Assicurati che il team includa un membro della direzione esecutiva. Definire ruoli e responsabilità in modo che tutti sappiano chiaramente chi è responsabile e cosa dovrebbe verificarsi in caso di incidente. Comunica a tutti nella tua azienda chi contattare se sospettano che si sia verificato (o si stia verificando) un incidente informatico. Raccogli e distribuisci le informazioni di contatto fuori orario per il tuo team di risposta agli incidenti. Successivamente, delinea i passaggi di base del tuo piano di risposta agli incidenti stabilendo liste di controllo e azioni chiare.

Il rapporto sullo stato della California si occupa di truffe di ingegneria sociale, violazioni di rete, violazioni fisiche e violazioni mobili e include maggiori dettagli sulle operazioni sicure e sulla risposta agli incidenti. Vale la pena il tuo tempo; vedremo solo più problemi che interessano le aziende legittime nel nostro mercato digitale. Quindi prendi una sedia comoda e un caffè caldo e studia questa guida utile, preziosa e leggibile alla sicurezza informatica per le piccole e medie imprese.

Act-On si impegna per la tua privacy e la protezione dei dati. Dai un'occhiata ai nostri sforzi proattivi e alle certificazioni del settore qui .

Immagine in alto: “Privacy” di g4114is. Utilizzato con autorizzazione, con licenza Creative Commons 2.0.