ความช่วยเหลือด้านความปลอดภัยทางไซเบอร์สำหรับธุรกิจขนาดเล็กและขนาดกลาง

ผ่านไปเกือบสองเดือนในปี 2014 และเราได้เห็นปัญหามากมายเกี่ยวกับความเป็นส่วนตัวและการจัดการการละเมิดข้อมูล ในการประชุม Online Trust Alliance (OTA) ที่ฉันเข้าร่วมเมื่อเร็วๆ นี้ มีความคิดเห็นว่า "ไม่ใช่กรณีที่คุณจะได้รับผลกระทบจากการละเมิด แต่เป็นกรณีเมื่อ"

นี่เป็นคำอธิบายที่น่าสยดสยองสำหรับธุรกิจใด ๆ ที่มีรูปแบบธุรกิจอิเล็กทรอนิกส์ซึ่งโดยพื้นฐานแล้วพวกเราทุกคนในทุกวันนี้ การเป็นคนค่อนข้างเล็กหรือไม่ระบุตัวตนไม่ได้รับประกันว่าอาชญากรไซเบอร์จะไม่สังเกตเห็นคุณ แล้วคุณจะขอความช่วยเหลือและคำแนะนำจากที่ไหน หากคุณเป็นองค์กรขนาดเล็กที่ไม่มีทุนทรัพย์หรือทรัพยากรมากมาย

คู่มือธุรกิจขนาดเล็กเกี่ยวกับปัญหาความปลอดภัยในโลกไซเบอร์

รัฐแคลิฟอร์เนียได้เผยแพร่แหล่งข้อมูลที่ยอดเยี่ยมสำหรับธุรกิจ: "ความปลอดภัยทางไซเบอร์ในรัฐแคลิฟอร์เนีย: ธุรกิจในแคลิฟอร์เนียสามารถป้องกันและตอบสนองต่อมัลแวร์ การละเมิดข้อมูล และเหตุการณ์ทางไซเบอร์อื่นๆ ได้อย่างไร" ข้อมูลในเอกสารนี้ใช้ได้กับทุกธุรกิจในทุกที่ ไม่ใช่แค่ในแคลิฟอร์เนีย และให้ความช่วยเหลือด้านความปลอดภัยทางไซเบอร์สำหรับ SMB ฉันขอแนะนำให้คุณอ่านเพื่อทำความคุ้นเคยกับแนวคิด – และปัญหาภัยคุกคามที่เป็นไปได้ทั้งหมดที่อาจส่งผลเสียต่อแบรนด์ของคุณ ชื่อเสียงของคุณ และความสามารถของคุณในการทำการค้าออนไลน์ที่ถูกกฎหมาย การกู้คืนจากการละเมิดความเป็นส่วนตัวอาจเป็นเรื่องยากและมีราคาแพง การป้องกันเป็นวิธีที่ดีที่สุด ตามบันทึกการศึกษา:

“จากการศึกษาค่าใช้จ่ายของอาชญากรรมทางไซเบอร์ในปี 2014 ซึ่งดำเนินการโดยสถาบัน Ponemon … ค่าใช้จ่ายสำหรับธุรกิจที่ตกเป็นเหยื่อของการโจมตีทางอินเทอร์เน็ตได้เพิ่มขึ้น 78 เปอร์เซ็นต์ต่อปีโดยเฉลี่ยในช่วงสี่ปีที่ผ่านมา”

10 ความจริงด้านความปลอดภัยในโลกไซเบอร์

ต่อไปนี้คือบทสรุปสำหรับผู้บริหารของรายงานฉบับแก้ไข:

การลงทุนเพียงเล็กน้อยในการเตรียมความพร้อมด้านความปลอดภัยในโลกไซเบอร์สามารถลดความเสี่ยงได้อย่างมาก คู่มือนี้มีคำแนะนำเพิ่มเติมเกี่ยวกับวิธีการเตรียมแผนรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ แต่นี่คือประเด็นหลัก:

1. สมมติว่าคุณเป็นเป้าหมาย

ไม่ว่าบริษัทเล็กหรือใหญ่ก็สามารถตกเป็นเหยื่อของอาชญากรรมไซเบอร์ได้ เช่นเดียวกับที่เราส่วนใหญ่กลายเป็นเรื่องปกติที่จะล็อกประตูหน้าเมื่อออกจากบ้าน สมมติว่าคุณเป็นเป้าหมายที่เป็นไปได้และใช้มาตรการป้องกันขั้นพื้นฐานเพื่อปกป้องตัวคุณเองและบริษัทของคุณ

2. นำโดยตัวอย่าง

ความปลอดภัยทางไซเบอร์ไม่ใช่โดเมนเฉพาะของไอที ฝ่ายบริหารต้องเข้ามามีส่วนร่วม เจ้าของธุรกิจขนาดเล็กอยู่ในตำแหน่งที่ดีที่สุดในการทำความเข้าใจเครือข่ายของบริษัทและอุปกรณ์ทั้งหมดที่เชื่อมต่อกับเครือข่าย สิ่งนี้ต้องการการอุทิศเวลาและทรัพยากรที่จำเป็นเพื่อให้มั่นใจในความปลอดภัยและความปลอดภัยของสินทรัพย์ข้อมูล

3. ทำแผนที่ข้อมูลของคุณ

เพื่อปกป้องข้อมูลของคุณอย่างมีประสิทธิภาพ รายงานแนะนำว่าคุณต้องทราบประเภทข้อมูลที่คุณมีและตำแหน่งของข้อมูลนั้นก่อน ตรวจสอบข้อมูลที่คุณจัดเก็บไว้ในระบบ IT ของคุณอย่างครอบคลุม ทั้งในสถานที่และนอกสถานที่ และกับบุคคลที่สาม (รวมถึงที่เก็บข้อมูลสำรองและโซลูชันการประมวลผลแบบคลาวด์ในโครงการการทำแผนที่ข้อมูลของคุณ) เมื่อคุณรู้ว่าคุณมีข้อมูลใดบ้างและอยู่ที่ใด ให้ตรวจสอบอย่างละเอียดและกำจัดสิ่งที่คุณไม่ต้องการจริงๆ

4. เข้ารหัสข้อมูลของคุณ

เข้ารหัสข้อมูลที่คุณต้องการเก็บไว้ ในแง่พื้นฐาน การเข้ารหัสข้อมูล ไม่ว่าจะเป็นอีเมล ภาพถ่าย บันทึกช่วยจำ หรือข้อมูลที่จัดเก็บทางอิเล็กทรอนิกส์ประเภทอื่นๆ จะเข้ารหัสข้อมูลดังกล่าวเพื่อให้ผู้ที่ไม่มีคีย์เข้ารหัสไม่สามารถอ่านได้ ขณะนี้เทคโนโลยีการเข้ารหัสที่รัดกุมมีให้บริการฟรีและใช้งานง่าย ข้อได้เปรียบที่ดีในการเข้ารหัสข้อมูลของคุณคือทำให้เสี่ยงต่อการถูกแฮ็กน้อยกว่ามาก โปรดทราบว่าเครื่องที่จัดการข้อมูลที่ละเอียดอ่อน เช่น ฟังก์ชันการจ่ายเงินเดือนหรือจุดขาย (POS) ควรอยู่บนเครือข่ายหรือระบบที่แยกจากเครื่องที่เกี่ยวข้องกับบริการประจำ เช่น การอัปเดต Facebook และการตรวจสอบอีเมล

5. ธนาคารอย่างปลอดภัย

รายงานของ California มีคำแนะนำที่เฉพาะเจาะจงและนำไปปฏิบัติได้สำหรับธนาคารออนไลน์ รวมถึง:

• ให้ความปลอดภัยเป็นอันดับแรก ดำเนินการธนาคารออนไลน์โดยใช้การเชื่อมต่อเบราว์เซอร์ที่ปลอดภัยเท่านั้น (ระบุด้วย “https” และ/หรือแม่กุญแจที่มองเห็นได้ในแถบที่อยู่หรือที่มุมล่างขวาของหน้าต่างเว็บเบราว์เซอร์ของคุณ) เซสชันธนาคารออนไลน์ควรดำเนินการในโหมดส่วนตัวของเว็บเบราว์เซอร์ของคุณ และคุณควรลบแคชของเว็บเบราว์เซอร์ ไฟล์อินเทอร์เน็ตชั่วคราว คุกกี้ และประวัติหลังจากนั้น เพื่อที่ว่าหากระบบของคุณถูกโจมตี อาชญากรไซเบอร์จะไม่สามารถเข้าถึงข้อมูลได้

• ใช้ประโยชน์จากตัวเลือกความปลอดภัยที่นำเสนอโดยสถาบันการเงินของคุณ ตัวอย่าง ได้แก่ การใช้การยืนยันตัวตนแบบสองปัจจัยเพื่อเข้าถึงบัญชีของคุณ การกำหนดให้บุคคลที่ได้รับอนุญาตสองคนลงนามในการโอนเงินทุกครั้ง และการตั้งค่าการแจ้งเตือนบัญชีทางอีเมลหรือข้อความเมื่อกิจกรรมที่มีความเสี่ยงสูงบางอย่างเกิดขึ้นในบัญชีของคุณ

• กำหนดวงเงินในการโอนเงินผ่านธนาคาร ขณะนี้องค์กรอาชญากรข้ามชาติที่มีความซับซ้อนกำลังเจาะระบบคอมพิวเตอร์ของธุรกิจเป็นประจำและเดินสายไฟจำนวนมากไปยังต่างประเทศซึ่งไม่สามารถกู้คืนได้ เพื่อป้องกันปัญหานี้ ให้กำหนดวงเงินที่สามารถโอนเงินจากบัญชีของคุณได้ และ (ขึ้นอยู่กับความต้องการทางธุรกิจของคุณ) ลองขอให้ธนาคารของคุณกำหนดให้มีลายเซ็นผู้บริหารสองคนก่อนที่จะส่งการโอนเงินไปต่างประเทศ

6. ปกป้องตัวเอง

ในการเลือกโซลูชันการรักษาความปลอดภัย ให้ป้องกันความล้มเหลวเพียงจุดเดียวในเทคโนโลยีเฉพาะหรือวิธีการป้องกันใดๆ ซึ่งควรรวมถึงการปรับใช้ไฟร์วอลล์ โปรแกรมป้องกันไวรัส และโซลูชั่นรักษาความปลอดภัยทางอินเทอร์เน็ตอื่นๆ ที่อัปเดตเป็นประจำ ซึ่งครอบคลุมอุปกรณ์ดิจิทัลทั้งหมด ตั้งแต่คอมพิวเตอร์เดสก์ท็อป สมาร์ทโฟน ไปจนถึงแท็บเล็ต

อุปกรณ์ที่เชื่อมต่อกับเครือข่ายของคุณควรได้รับการรักษาความปลอดภัยด้วยเทคโนโลยีป้องกันหลายชั้น ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะเทคโนโลยีป้องกันไวรัส ค้นหาโซลูชันการรักษาความปลอดภัยที่ครอบคลุมซึ่งเข้าใกล้การรักษาความปลอดภัยจากหลายมุมมอง เพื่อให้คุณสามารถจัดการความเสี่ยงจากภัยคุกคามเต็มรูปแบบที่คุณอาจพบ ความสามารถที่มีประโยชน์ ได้แก่ ความสามารถในการค้นหาตำแหน่งหรือล้างข้อมูลอุปกรณ์ที่หายไปจากระยะไกล และความสามารถในการระบุและบล็อกการโจมตีที่ไม่เคยเห็นมาก่อนโดยใช้เทคโนโลยีที่วิเคราะห์พฤติกรรมและ/หรือใช้เครื่องมือการจำลองเสมือน

7. ให้ความรู้แก่พนักงาน

สร้างความตระหนักของพนักงานเกี่ยวกับความเสี่ยงของภัยคุกคามทางไซเบอร์ กลไกในการลดความเสี่ยง และมูลค่าของทรัพย์สินทางปัญญาและข้อมูลของธุรกิจของคุณ พนักงานของคุณคือแนวป้องกันด่านแรก และการฝึกอบรมและขั้นตอนด้านความปลอดภัยที่ดีสามารถลดความเสี่ยงของการสูญหายของข้อมูลโดยไม่ได้ตั้งใจและความเสี่ยงจากข้อมูลภายในอื่นๆ

8. ใช้รหัสผ่านอย่างชาญฉลาด

เปลี่ยนชื่อผู้ใช้หรือรหัสผ่านเริ่มต้นสำหรับคอมพิวเตอร์ เครื่องพิมพ์ เราเตอร์ สมาร์ทโฟน หรืออุปกรณ์อื่นๆ สิ่งใดดีกว่าค่าเริ่มต้น โดยเฉพาะอย่างยิ่ง คุณควรใช้รหัสผ่านที่รัดกุมและอย่าให้อินเทอร์เน็ตเบราว์เซอร์ของคุณจำรหัสผ่านของคุณได้

9. ใช้งานอย่างปลอดภัย

รักษาระบบของคุณให้ปลอดภัยโดยใช้การป้องกันความปลอดภัยหลายชั้น และทำให้ระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดเป็นปัจจุบันอยู่เสมอ อย่าติดตั้งซอฟต์แวร์ที่คุณไม่ได้ค้นหาโดยเฉพาะ และอย่าดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือหรือไม่รู้จัก อย่าลืมลบหรือถอนการติดตั้งซอฟต์แวร์ที่คุณไม่ได้ใช้อีกต่อไป

10. วางแผนสำหรับสิ่งที่เลวร้ายที่สุด

รายงานระบุว่าธุรกิจขนาดเล็กทุกแห่งควรจัดทำแผนการกู้คืนความเสียหาย เพื่อที่ว่าเมื่อเกิดเหตุการณ์ทางไซเบอร์ ทรัพยากรของคุณจะถูกใช้อย่างชาญฉลาดและมีประสิทธิภาพ เลือกทีมตอบสนองต่อเหตุการณ์และกำหนดผู้นำ ตรวจสอบให้แน่ใจว่าทีมประกอบด้วยสมาชิกระดับผู้บริหาร กำหนดบทบาทและความรับผิดชอบเพื่อให้ทุกคนมีความชัดเจนว่าใครเป็นผู้รับผิดชอบหากเกิดเหตุการณ์ขึ้น สื่อสารกับทุกคนในบริษัทของคุณที่จะติดต่อหากพวกเขาสงสัยว่ามีเหตุการณ์ทางไซเบอร์เกิดขึ้น (หรือกำลังเกิดขึ้น) รวบรวมและแจกจ่ายข้อมูลการติดต่อหลังเวลาทำการสำหรับทีมตอบสนองเหตุการณ์ของคุณ จากนั้น ร่างขั้นตอนพื้นฐานของแผนเผชิญเหตุโดยกำหนดรายการตรวจสอบและรายการดำเนินการที่ชัดเจน

รายงานของรัฐแคลิฟอร์เนียกล่าวถึงการหลอกลวงทางวิศวกรรมสังคม การละเมิดเครือข่าย การละเมิดทางกายภาพ และการละเมิดมือถือ และรวมถึงรายละเอียดเพิ่มเติมเกี่ยวกับการดำเนินงานที่ปลอดภัยและการตอบสนองต่อเหตุการณ์ มันคุ้มค่ากับเวลาของคุณ เราจะพบปัญหามากขึ้นเท่านั้นที่ส่งผลกระทบต่อธุรกิจที่ถูกกฎหมายในตลาดดิจิทัลของเรา ดังนั้นคว้าเก้าอี้แสนสบายและกาแฟร้อน ๆ แล้วศึกษาคู่มือที่เป็นประโยชน์ มีคุณค่า และน่าอ่านเกี่ยวกับความปลอดภัยในโลกไซเบอร์สำหรับธุรกิจขนาดเล็กและขนาดกลาง

Act-On มุ่งมั่นที่จะปกป้องความเป็นส่วนตัวและข้อมูลของคุณ ดูความพยายามเชิงรุกและการรับรองอุตสาหกรรมของเราที่นี่

ภาพด้านบน: “ความเป็นส่วนตัว” โดย g4114is ใช้โดยได้รับอนุญาตภายใต้ใบอนุญาต Creative Commons 2.0