Pomoc dotycząca cyberbezpieczeństwa dla małych i średnich firm

Opublikowany: 2014-03-04

prywatność klawiatury Minęły zaledwie dwa miesiące 2014 roku, a zauważyliśmy ogromną liczbę problemów związanych z zarządzaniem prywatnością i naruszeniami danych. Na spotkaniu Online Trust Alliance (OTA), w którym niedawno uczestniczyłem, padła uwaga: „Nie chodzi o to, czyzostaniesz dotknięty naruszeniem, chodzi o to,kiedy”.

To otrzeźwiający komentarz dla każdej firmy, która ma elektroniczny model biznesowy, którym w dzisiejszych czasach jest w zasadzie każdy z nas. Bycie względnie małym lub anonimowym nie gwarantuje, że cyberprzestępcy Cię nie zauważą. Gdzie więc zwrócić się o pomoc i wskazówki, jeśli jesteś małą organizacją bez głębokich kieszeni lub zasobów?

Przewodnik dla małych firm po kwestiach związanych z cyberbezpieczeństwem

Stan Kalifornia opublikował świetne źródło informacji dla firm: „Cyberbezpieczeństwo w Złotym Stanie: jak kalifornijskie firmy mogą chronić się przed złośliwym oprogramowaniem, naruszeniami danych i innymi incydentami cybernetycznymi oraz reagować na nie”. Informacje zawarte w tym dokumencie mają zastosowanie do wszystkich firm na całym świecie, nie tylko w Kalifornii, i oferują pomoc w zakresie bezpieczeństwa cybernetycznego dla małych i średnich firm. Gorąco zachęcam do przeczytania go w celu zapoznania się z koncepcjami i wszystkimi możliwymi zagrożeniami, które mogą mieć szkodliwy wpływ na Twoją markę, reputację i zdolność do prowadzenia legalnego handlu online. Odzyskiwanie po naruszeniu prywatności może być trudne i kosztowne; najlepszym sposobem jest profilaktyka. Jak zauważa badanie:

„Według badania kosztów cyberprzestępczości z 2014 r., przeprowadzonego przez Ponemon Institute, … koszty ponoszone przez firmy będące ofiarami ataków internetowych rosły średnio o 78 procent rocznie w ciągu ostatnich czterech lat”.

10 prawd o cyberbezpieczeństwie

Oto zredagowana wersja streszczenia raportu:

Stosunkowo niewielkie inwestycje w gotowość do cyberbezpieczeństwa mogą przynieść znaczne zmniejszenie ryzyka. Przewodnik zawiera dalsze zalecenia, jak przygotować skuteczny plan reagowania na incydenty cybernetyczne, ale oto główne kwestie:

Załóżmy, że jesteś celem1. Załóż, że jesteś celem

Każda firma, duża czy mała, może paść ofiarą cyberprzestępczości. Tak jak dla większości z nas zamykanie drzwi wejściowych na klucz, gdy wychodzimy z domu, stało się drugą naturą, załóżmy, że jesteś potencjalnym celem i podejmij podstawowe środki ostrożności, aby chronić siebie i swoją firmę.

2. Świeć przykładem

Cyberbezpieczeństwo nie jest wyłączną domeną IT; kierownictwo wykonawcze musi się zaangażować. Właściciele małych firm najlepiej rozumieją sieć swojej firmy i wszystkie urządzenia, które się z nią łączą. Wymaga to poświęcenia czasu i zasobów niezbędnych do zapewnienia bezpieczeństwa ich zasobów informacyjnych.

3. Mapuj swoje dane

Aby skutecznie chronić swoje dane, raport sugeruje, że najpierw musisz znać rodzaje posiadanych danych i lokalizację tych danych. Kompleksowo przeglądaj dane, które przechowujesz w swoich systemach IT, zarówno na miejscu, jak i poza nim, oraz u osób trzecich (włącz przechowywanie kopii zapasowych i rozwiązania przetwarzania w chmurze w swoim projekcie mapowania danych). Kiedy już wiesz, jakie masz dane i gdzie się one znajdują, przyjrzyj się uważnie i pozbądź się tego, czego tak naprawdę nie potrzebujesz.

4. Zaszyfruj swoje dane

Zaszyfruj dane, które chcesz zachować. Mówiąc najprościej, szyfrowanie danych – czy to wiadomości e-mail, zdjęć, notatek czy innego rodzaju informacji przechowywanych w formie elektronicznej – powoduje ich zakodowanie w taki sposób, że osoby bez kluczy szyfrujących nie mogą ich odczytać. Silna technologia szyfrowania jest obecnie powszechnie dostępna za darmo i łatwa w użyciu. Wielką zaletą szyfrowania danych jest to, że czyni je znacznie mniej podatnymi na ataki hakerów. Należy pamiętać, że maszyny obsługujące poufne informacje, takie jak listy płac lub punkty sprzedaży (POS), powinny znajdować się w sieciach lub systemach oddzielnych od maszyn związanych z rutynowymi usługami, takimi jak aktualizowanie Facebooka i sprawdzanie poczty e-mail.

5. Bankuj bezpiecznie

Raport z Kalifornii zawiera konkretne, praktyczne porady dotyczące bankowości internetowej, w tym:

  • Postaw bezpieczeństwo na pierwszym miejscu. Bankowość internetową wykonuj wyłącznie przy użyciu bezpiecznego połączenia przeglądarki (oznaczonego przez „https” i/lub kłódkę widoczną w pasku adresu lub w prawym dolnym rogu okna przeglądarki internetowej). Sesje bankowości internetowej należy przeprowadzać w trybie prywatnym przeglądarki internetowej, a następnie należy usunąć pamięć podręczną przeglądarki, tymczasowe pliki internetowe, pliki cookie i historię, aby w przypadku naruszenia bezpieczeństwa systemu informacje nie były dostępne dla cyberprzestępców.
  • Skorzystaj z opcji bezpieczeństwa oferowanych przez Twoją instytucję finansową. Przykłady obejmują korzystanie z uwierzytelniania dwuskładnikowego w celu uzyskania dostępu do konta, wymaganie, aby dwie upoważnione osoby podpisywały się przy każdym przekazie środków oraz konfigurowanie powiadomień na koncie za pośrednictwem wiadomości e-mail lub SMS, gdy na koncie wystąpią określone działania podwyższonego ryzyka.
  • Ustaw limity przelewów bankowych. Wyrafinowane międzynarodowe organizacje przestępcze rutynowo włamują się obecnie do komputerów firm i przesyłają duże sumy za granicę, gdzie nie można ich odzyskać. Aby temu zapobiec, ustaw limity kwot, które można przelewać z kont i (w zależności od potrzeb biznesowych) rozważ poproszenie banku o wymaganie dwóch podpisów zespołu kierowniczego przed wysłaniem przelewu zagranicznego.

6. Broń się

Wybierając rozwiązania bezpieczeństwa, chroń się przed pojedynczymi punktami awarii w dowolnej technologii lub metodzie ochrony. Powinno to obejmować wdrażanie regularnie aktualizowanych zapór ogniowych, programów antywirusowych i innych rozwiązań zabezpieczających w Internecie, które obejmują wszystkie urządzenia cyfrowe, od komputerów stacjonarnych, przez smartfony, po tablety.

Urządzenia podłączone do Twojej sieci powinny być zabezpieczone wieloma warstwami technologii obronnych, które obejmują między innymi technologię antywirusową. Szukaj kompleksowych rozwiązań zabezpieczających, które podchodzą do bezpieczeństwa z wielu perspektyw, aby móc zarządzać ryzykiem z pełnego spektrum zagrożeń, które możesz napotkać. Przydatne funkcje obejmują możliwość zdalnego zlokalizowania lub wyczyszczenia zaginionego urządzenia oraz możliwość identyfikowania i blokowania nigdy wcześniej nie widzianych ataków przy użyciu technologii analizujących zachowanie i/lub wykorzystujących narzędzia do wirtualizacji.

7. Edukuj pracowników

Podnieś świadomość pracowników na temat zagrożeń związanych z cyberzagrożeniami, mechanizmów ograniczania ryzyka oraz wartości własności intelektualnej i danych Twojej firmy. Twoi pracownicy są pierwszą linią obrony, a dobre szkolenie w zakresie bezpieczeństwa i procedury mogą zmniejszyć ryzyko przypadkowej utraty danych i innych zagrożeń wewnętrznych.

8. Uważaj na hasła

Zmień dowolną domyślną nazwę użytkownika lub hasło do komputerów, drukarek, routerów, smartfonów lub innych urządzeń. WSZYSTKO jest lepsze niż domyślne. W szczególności należy używać silnych haseł i nie pozwalać przeglądarce internetowej na zapamiętywanie haseł.

9. Działaj bezpiecznie

Zapewnij bezpieczeństwo swoim systemom, stosując wielowarstwowe zabezpieczenia i aktualizując wszystkie systemy operacyjne i oprogramowanie. Nie instaluj oprogramowania, którego nie szukałeś, ani nie pobieraj oprogramowania z niezaufanych lub nieznanych źródeł. Pamiętaj, aby usunąć lub odinstalować oprogramowanie, którego już nie używasz.

10. Zaplanuj najgorsze

W raporcie zauważono, że każda mała firma powinna opracować plan odzyskiwania po awarii, aby w przypadku wystąpienia cyberincydentu Twoje zasoby były wykorzystywane mądrze i wydajnie. Wybierz zespół reagowania na incydenty i wyznacz lidera. Upewnij się, że w skład zespołu wchodzi członek kierownictwa wykonawczego. Zdefiniuj role i obowiązki, aby każdy miał jasność co do tego, kto jest odpowiedzialny za to, co powinno się wydarzyć. Poinformuj wszystkich w firmie, z którymi należy się kontaktować, jeśli podejrzewają, że miał miejsce (lub ma miejsce) incydent cybernetyczny. Zbieraj i rozpowszechniaj informacje kontaktowe zespołu reagowania na incydenty po godzinach pracy. Następnie nakreśl podstawowe kroki planu reagowania na incydenty, ustanawiając listy kontrolne i jasne działania.

Raport stanu Kalifornia dotyczy oszustw socjotechnicznych, naruszeń sieci, naruszeń fizycznych i naruszeń mobilnych oraz zawiera więcej szczegółów na temat bezpiecznych operacji i reagowania na incydenty. To jest warte twojego czasu; zobaczymy tylko więcej problemów, które mają wpływ na legalne firmy na naszym rynku cyfrowym. Więc weź wygodny fotel i gorącą kawę i zapoznaj się z tym przydatnym, wartościowym i czytelnym przewodnikiem po cyberbezpieczeństwie dla małych i średnich firm.

Act-On dba o Twoją prywatność i ochronę danych. Zapoznaj się z naszymi proaktywnymi działaniami i certyfikatami branżowymi tutaj .

Górny obraz: „Prywatność” autorstwa g4114is. Wykorzystane za zgodą, na licencji Creative Commons 2.0.