中小企業向けのサイバーセキュリティ ヘルプ
公開: 2014-03-04
2014 年に入ってまだ 2 か月しか経っていませんが、プライバシーとデータ侵害の管理に関する膨大な数の問題が発生しています。 私が最近参加したオンライン トラスト アライアンス (OTA) の会議で、「侵害の影響を受けるかどうかではなく、いつ影響を受けるかが問題になる」というコメントがありました。
これは、電子ビジネス モデルを採用しているすべてのビジネスにとって、冷静な解説です。 比較的小規模または匿名であることは、サイバー犯罪者があなたに気付かないことを保証するものではありません. では、豊富な資金やリソースを持たない小規模な組織の場合、どこに支援とガイダンスを求めるのでしょうか?
中小企業向けサイバーセキュリティ問題ガイド
カリフォルニア州は、ビジネス向けの優れたリソースを公開しています。 このドキュメントの情報は、カリフォルニア州だけでなく、あらゆる場所のすべてのビジネスに適用でき、中小企業向けのサイバーセキュリティ ヘルプを提供します。 この記事を読んで、概念と、ブランド、評判、正当なオンライン商取引を行う能力に悪影響を及ぼす可能性のあるすべての脅威の問題について理解することを強くお勧めします. プライバシー侵害から回復するのは困難で費用がかかる可能性があります。 予防は最善の策です。 研究が指摘しているように:
「Ponemon Institute が実施した 2014 年のサイバー犯罪のコストに関する調査によると、インターネット ベースの攻撃の被害者である企業のコストは、過去 4 年間で年平均 78% 増加しています。」
サイバーセキュリティに関する 10 の真実
以下は、レポートのエグゼクティブ サマリーの編集版です。
サイバーセキュリティ対策への比較的小さな投資で、リスクを大幅に軽減できます。 このガイドには、効果的なサイバーセキュリティ インシデント対応計画を準備する方法に関する推奨事項がさらに含まれていますが、主な問題は次のとおりです。
1. 自分がターゲットだと仮定する
大小を問わず、あらゆる企業がサイバー犯罪の被害者になる可能性があります。 私たちのほとんどが家を出るときに玄関のドアをロックすることが当たり前になっているように、あなたが潜在的な標的であると想定し、あなた自身とあなたの会社を守るための基本的な予防措置を講じてください.
2. 模範を示す
サイバーセキュリティは IT の独占的な領域ではありません。 経営陣は関与しなければなりません。 中小企業の経営者は、会社のネットワークとそれに接続するすべてのデバイスを理解するのに最適な立場にあります。 これには、情報資産の安全性とセキュリティを確保するために必要な時間とリソースを投入する必要があります。
3. データをマッピングする
レポートは、データを効果的に保護するために、まず所有しているデータの種類とそのデータの場所を知る必要があることを示唆しています。 IT システムに保存したデータを、オンサイトとオフサイトの両方で、サード パーティと共に包括的に確認します (データ マッピング プロジェクトにバックアップ ストレージとクラウド コンピューティング ソリューションを含めます)。 持っているデータとその場所がわかったら、よく見て、本当に必要のないものを取り除きます。
4. データを暗号化する
保持する必要があるデータを暗号化します。 基本的に、データを暗号化すると、それが電子メール、写真、メモ、またはその他の種類の電子的に保存された情報であるかどうかに関係なく、暗号化キーがないと読み取れないようにデータがエンコードされます。 強力な暗号化技術は、無料で一般的に利用できるようになり、使いやすくなっています。 データを暗号化することの大きな利点は、ハッキングの影響をはるかに受けにくくなることです。 給与計算や販売時点管理 (POS) 機能などの機密情報を処理するマシンは、理想的には、Facebook の更新や電子メールのチェックなどの日常的なサービスに関与するマシンとは別のネットワークまたはシステム上に配置する必要があります。
5.安全に銀行
カリフォルニア州のレポートには、次のようなオンライン バンキングに関する具体的で実用的なアドバイスが含まれています。
- セキュリティを第一に考えてください。 安全なブラウザ接続のみを使用してオンライン バンキングを実行します (「https」および/またはアドレス バーまたは Web ブラウザ ウィンドウの右下隅に表示されるロックで示されます)。 オンライン バンキング セッションは、Web ブラウザーのプライベート モードで実行する必要があります。また、Web ブラウザーのキャッシュ、インターネット一時ファイル、Cookie、および履歴を後で消去して、システムが侵害された場合にサイバー犯罪者がその情報にアクセスできないようにする必要があります。
- 金融機関が提供するセキュリティ オプションを活用してください。 例としては、アカウントへのアクセスに 2 要素認証を使用する、資金の移動ごとに承認された 2 人の個人にサインオフを要求する、アカウントで特定のリスクの高いアクティビティが発生したときに電子メールまたはテキスト メッセージでアカウント通知を設定するなどがあります。
- 電信送金に制限を設定します。 洗練された多国籍犯罪組織は現在、日常的に企業のコンピューターをハッキングし、回収できない海外に多額のお金を配線しています。 これを防ぐには、アカウントから電信送金できる金額に制限を設定し、(ビジネス ニーズに応じて) 海外に電信送金を送信する前に、2 つの経営陣の署名を要求するよう銀行に依頼することを検討してください。
6. 自分を守る
セキュリティ ソリューションを選択する際には、特定のテクノロジまたは保護方法で単一障害点を防ぐ必要があります。 これには、デスクトップ コンピューターからスマートフォン、タブレットに至るまで、すべてのデジタル デバイスにまたがる、定期的に更新されるファイアウォール、ウイルス対策、およびその他のインターネット セキュリティ ソリューションの展開が含まれる必要があります。
ネットワークに接続されたデバイスは、ウイルス対策テクノロジを含むがこれに限定されない多層防御テクノロジによって保護する必要があります。 遭遇する可能性のあるあらゆる脅威からリスクを管理できるように、複数の視点からセキュリティにアプローチする包括的なセキュリティ ソリューションを探してください。 便利な機能には、行方不明になったデバイスをリモートで特定またはワイプする機能や、動作を分析したり仮想化ツールを採用したりするテクノロジーを使用して、これまでに見たことのない攻撃を特定してブロックする機能が含まれます。
7. 従業員を教育する
サイバー脅威のリスク、リスクを軽減するメカニズム、および企業の知的財産とデータの価値について、従業員の意識を高めます。 従業員は防御の最前線であり、優れたセキュリティ トレーニングと手順により、偶発的なデータ損失やその他の内部関係者によるリスクを軽減できます。
8. パスワードは慎重に
コンピューター、プリンター、ルーター、スマートフォン、またはその他のデバイスのデフォルトのユーザー名またはパスワードを変更します。 ANYTHING はデフォルトよりも優れています。 具体的には、強力なパスワードを使用し、インターネット ブラウザにパスワードを記憶させないようにする必要があります。
9.安全に運用する
多層セキュリティ防御を使用し、すべてのオペレーティング システムとソフトウェアを最新の状態に保つことで、システムを安全に保ちます。 特に探していないソフトウェアをインストールしたり、信頼できないソースまたは不明なソースからソフトウェアをダウンロードしたりしないでください。 使用しなくなったソフトウェアを削除またはアンインストールすることを忘れないでください。
10. 最悪の事態に備える
レポートは、サイバーインシデントが発生したときにリソースが賢明かつ効率的に使用されるように、すべての中小企業が災害復旧計画をまとめる必要があると指摘しています。 インシデント対応チームを選び、リーダーを割り当てます。 チームに経営陣のメンバーが含まれていることを確認してください。 役割と責任を定義して、インシデントが発生した場合に誰が責任を負うのかを全員が明確にできるようにします。 サイバーインシデントが発生した (または発生している) と疑われる場合に連絡する会社の全員に連絡してください。 インシデント対応チームの勤務時間外の連絡先情報を収集して配布します。 次に、チェックリストと明確なアクション アイテムを確立して、インシデント対応計画の基本的な手順の概要を説明します。
カリフォルニア州のレポートでは、ソーシャル エンジニアリング詐欺、ネットワーク侵害、物理的な侵害、モバイル侵害が取り上げられており、安全な運用とインシデント対応に関する詳細が含まれています。 時間をかける価値は十分にあります。 デジタル市場での正当なビジネスに影響を与える問題が増えるだけです。 快適な椅子とホット コーヒーを片手に、中小企業向けのサイバーセキュリティに関するこの便利で価値のある読みやすいガイドを読んでください。
Act-On は、お客様のプライバシーとデータ保護に取り組んでいます。 当社の積極的な取り組みと業界認定については、こちら をご覧ください。
トップ画像:g4114isによる「プライバシー」。 クリエイティブ コモンズ 2.0 ライセンスの下、許可を得て使用しています。