Справка по кибербезопасности для малого и среднего бизнеса

Опубликовано: 2014-03-04

конфиденциальность клавиатуры Прошло всего два месяца с начала 2014 года, и мы столкнулись с огромным количеством проблем, связанных с конфиденциальностью и управлением утечкой данных. На собрании Online Trust Alliance (OTA), которое я недавно посетил, был сделан комментарий: «Дело не в том, затронетливас взлом, дело в том,когда…».

Это отрезвляющий комментарий для любого бизнеса, использующего электронную бизнес-модель, которой в наши дни является практически каждый из нас. Относительно небольшой размер или анонимность не гарантирует, что киберпреступники не заметят вас. Итак, к кому обратиться за помощью и советом, если вы небольшая организация без глубоких карманов или ресурсов?

Руководство для малого бизнеса по вопросам кибербезопасности

Штат Калифорния опубликовал отличный ресурс для бизнеса: «Кибербезопасность в Золотом штате: как предприятия Калифорнии могут защититься от вредоносного ПО, утечки данных и других киберпроисшествий и реагировать на них». Информация в этом документе применима ко всем компаниям во всем мире, а не только в Калифорнии, и предлагает помощь в области кибербезопасности для малого и среднего бизнеса. Я настоятельно рекомендую вам прочитать его, чтобы ознакомиться с концепциями и всеми возможными угрозами, которые могут оказать пагубное влияние на ваш бренд, вашу репутацию и вашу способность вести законную онлайн-торговлю. Восстановление после нарушения конфиденциальности может быть трудным и дорогим; профилактика - лучший курс. Как отмечается в исследовании:

«Согласно исследованию стоимости киберпреступности 2014 года, проведенному Институтом Понемона, … расходы предприятий, ставших жертвами интернет-атак, за последние четыре года выросли в среднем на 78 процентов в год».

10 истин кибербезопасности

Вот отредактированная версия резюме отчета:

Относительно небольшие инвестиции в обеспечение готовности к кибербезопасности могут привести к значительному снижению рисков. Руководство содержит дополнительные рекомендации по подготовке эффективного плана реагирования на инциденты кибербезопасности, но вот основные вопросы:

Предположим, вы являетесь целью1. Предположим, что вы цель

Любая компания, большая или маленькая, может стать жертвой киберпреступности. Так же, как для большинства из нас стало второй натурой запирать входные двери, когда мы выходим из дома, предположите, что вы являетесь потенциальной целью, и примите основные меры предосторожности, чтобы защитить себя и свою компанию.

2. Подавайте пример

Кибербезопасность не является исключительной областью ИТ; должно вмешаться исполнительное руководство. Владельцы малого бизнеса лучше всего разбираются в сети своей компании и всех устройствах, которые к ней подключаются. Это требует выделения времени и ресурсов, необходимых для обеспечения безопасности их информационных активов.

3. Сопоставьте свои данные

Для эффективной защиты ваших данных в отчете предлагается сначала узнать, какие типы данных у вас есть и где они находятся. Всесторонне просмотрите данные, которые вы сохранили в своих ИТ-системах, как на месте, так и за его пределами, а также перед третьими лицами (включите резервное хранилище и решения для облачных вычислений в свой проект сопоставления данных). Как только вы узнаете, какие данные у вас есть и где они находятся, тщательно изучите и избавьтесь от того, что вам на самом деле не нужно.

4. Зашифруйте свои данные

Зашифруйте данные, которые необходимо сохранить. Проще говоря, шифрование данных — будь то электронная почта, фотографии, заметки или любой другой тип информации, хранящейся в электронном виде — кодирует их так, что те, у кого нет ключей шифрования, не могут их прочитать. Технология надежного шифрования теперь общедоступна бесплатно и проста в использовании. Большое преимущество шифрования ваших данных заключается в том, что оно делает их гораздо менее уязвимыми для взлома. Обратите внимание, что машины, которые обрабатывают конфиденциальную информацию, такую ​​как расчет заработной платы или функции точек продаж (POS), в идеале должны быть в сетях или системах отдельно от машин, связанных с рутинными услугами, такими как обновление Facebook и проверка электронной почты.

5. Безопасный банк

Калифорнийский отчет содержит конкретные практические рекомендации по онлайн-банкингу, в том числе:

  • Ставьте безопасность на первое место. Выполняйте онлайн-банкинг, используя только безопасное соединение с браузером (обозначается «https» и/или замком, видимым в адресной строке или в правом нижнем углу окна веб-браузера). Сеансы онлайн-банкинга должны проводиться в приватном режиме вашего веб-браузера, после чего вам следует стереть кеш веб-браузера, временные файлы Интернета, файлы cookie и историю, чтобы в случае взлома вашей системы эта информация не была доступна киберпреступникам.
  • Воспользуйтесь возможностями безопасности, предлагаемыми вашим финансовым учреждением. Примеры включают использование двухфакторной аутентификации для доступа к вашей учетной записи, требование двух уполномоченных лиц подписывать каждый перевод средств и настройку уведомлений учетной записи по электронной почте или текстовым сообщением, когда в вашей учетной записи происходят определенные действия с более высоким риском.
  • Установите лимиты на банковские переводы. Изощренные транснациональные преступные организации в настоящее время регулярно взламывают компьютеры предприятий и переводят крупные суммы за границу, где их невозможно вернуть. Чтобы предотвратить это, установите ограничения на сумму, которая может быть переведена с ваших счетов, и (в зависимости от потребностей вашего бизнеса) рассмотрите возможность попросить свой банк потребовать две подписи руководства перед отправкой банковских переводов за границу.

6. Защити себя

Выбирая решения для обеспечения безопасности, остерегайтесь единых точек отказа в какой-либо конкретной технологии или методе защиты. Это должно включать развертывание регулярно обновляемых брандмауэров, антивирусов и других решений для интернет-безопасности, которые охватывают все цифровые устройства, от настольных компьютеров до смартфонов и планшетов.

Устройства, подключенные к вашей сети, должны быть защищены несколькими уровнями защитных технологий, которые включают, помимо прочего, антивирусную технологию. Ищите комплексные решения для обеспечения безопасности, которые подходят к безопасности с разных точек зрения, чтобы вы могли управлять рисками, связанными со всем спектром угроз, с которыми вы можете столкнуться. Полезные возможности включают в себя возможность удаленного обнаружения или уничтожения пропавшего устройства, а также возможность выявлять и блокировать невиданные ранее атаки с помощью технологий, которые анализируют поведение и/или используют инструменты виртуализации.

7. Обучайте сотрудников

Повысьте осведомленность сотрудников о рисках киберугроз, механизмах снижения рисков и ценности интеллектуальной собственности и данных вашего бизнеса. Ваши сотрудники являются первой линией защиты, а хорошая подготовка и процедуры безопасности могут снизить риск случайной потери данных и другие внутренние риски.

8. Будьте мудры с паролями

Измените любое имя пользователя или пароль по умолчанию для компьютеров, принтеров, маршрутизаторов, смартфонов или других устройств. ВСЕ лучше, чем по умолчанию. В частности, вы должны использовать надежные пароли и не позволять интернет-браузеру запоминать ваши пароли.

9. Безопасная работа

Обеспечьте безопасность своих систем, используя многоуровневую защиту и обновляя все операционные системы и программное обеспечение. Не устанавливайте программное обеспечение, которое вы специально не искали, и не загружайте программное обеспечение из ненадежных или неизвестных источников. Не забудьте удалить или удалить программное обеспечение, которое вы больше не используете.

10. Планируйте худшее

В отчете отмечается, что каждый малый бизнес должен составить план аварийного восстановления, чтобы в случае кибер-инцидента ваши ресурсы использовались разумно и эффективно. Выберите группу реагирования на инциденты и назначьте лидера. Убедитесь, что в команду входит член исполнительного руководства. Определите роли и обязанности, чтобы всем было ясно, кто за что отвечает в случае возникновения инцидента. Сообщите всем сотрудникам вашей компании, к кому следует обращаться, если они подозревают, что произошел (или происходит) кибер-инцидент. Соберите и распространите контактную информацию в нерабочее время для вашей группы реагирования на инциденты. Затем наметьте основные этапы вашего плана реагирования на инциденты, создав контрольные списки и четкие действия.

В отчете штата Калифорния рассматриваются мошенничество с использованием социальной инженерии, взломы сетей, физические взломы и взломы мобильных устройств, а также дополнительные сведения о безопасных операциях и реагировании на инциденты. Это стоит вашего времени; мы увидим только больше проблем, которые затрагивают законный бизнес на нашем цифровом рынке. Так что возьмите удобное кресло и горячий кофе и изучите это полезное, ценное, доступное для чтения руководство по кибербезопасности для малого и среднего бизнеса.

Act-On заботится о вашей конфиденциальности и защите данных. Взгляните на наши активные действия и отраслевые сертификаты здесь .

Верхнее изображение: «Конфиденциальность» от g4114is. Используется с разрешения под лицензией Creative Commons 2.0.