Kazalo:
- Sprejem pravilnih stališč
- Prinesite svojo napravo ... ali prinesite svojo kršitev podatkov?
- SMB lahko ostanejo zadaj
V nedavnem poročilu je McAfee razglasil leto 2014 za "leto kršitve" in preprosto je razbrati, zakaj. Od januarja je več odmevnih podjetij in korporacij utrpelo ostudne kršitve podatkov, od več kot 50 milijonov ljudi v Home Depot do 70 milijonov plus v JPMorgan. Medtem so Staples, PF Chang's, Goodwill in pobirali druge postali plen za kibernetsko kriminaliteto.
Po indeksu varnostnih bremenov SafeNet za tretje četrtletje 2014 je bilo med julijem in septembrom prijavljenih 320 kršitev podatkov, od tega 46% v kraji identitete.
Nestrinjanje pod površino teh večjih obvestil o kršitvah je vihranje kršitev podatkov nižjega profila, ki se dogajajo vsak teden, o katerih manj verjetno slišite. Cilj, kot je Home Depot, ponuja priložnost za velik dan plačila, vendar je tudi večje tveganje in vključuje veliko načrtovanja poslov. Torej, ni presenetljivo, če nekateri hekerji iščejo nizko viseče sadje, kot so mala podjetja (SMB). To bo prineslo manjše plače, vendar je lahko veliko, če se več zaporedoma odpelje.
Medtem ko kibernetski kriminalci uporabljajo nova orodja za ciljanje na mala in srednja podjetja, pravi Trend Micro v svojem zadnjem poročilu o keyloggerjih, ki ga lahko hekerji uporabijo za odvzem podatkov podjetja.
"Majhni in srednji podjetji imajo ta lažni občutek varnosti, saj mislijo, da se jim tak napad ne bo nikoli zgodil, " pravi Gary Davis, glavni evangelist potrošniške varnosti pri McAfeeju. "Varnostne grožnje ne razlikujejo glede na organizacijsko velikost, zato je za mala in srednja podjetja, katerih zaposleni uporabljajo več naprav, vse pomembnejše, če imajo varnostne rešitve drugega razreda."
Za iskanje primerov majhnih do srednje velikih kršitev vam ni treba kopati predaleč. Hotel Houstonian v Houstonu v Teksasu je v začetku letošnjega leta videl podatke o kreditnih karticah 10.000 strank. Manjša, a nič manj resna, je zunanja trgovina športne opreme Backcountry Gear s sedežem v Oregonu, ki dobavlja blago po ZDA, julija 2014 v svojem sistemu odkrila zlonamerno programsko opremo, ki je morda ogrozila podatke o strankah.
"Težava je v tem, da toliko teh podjetij varnost ne obravnava kot nekaj, kar morajo storiti, temveč nekaj, kar morajo storiti, " pravi Marcus Ranum, glavni varnostni direktor Tenable Network Security. "Odkrito se pogosto poslužujejo minimalnega pristopa v najboljšem primeru in oddajajo zunanje ponudbe ter poskušajo odložiti odgovornost."
Sprejem pravilnih stališč
Varnost najbolje deluje, kadar se obravnava kot "glavni poslovni proces", po SMB Security Guide, spletnem mestu, ki malim podjetjem svetuje glede najboljših praks za varnost.
Vsako majhno podjetje potrebuje nekaj osnovnega temeljnega usposabljanja za zaščito svojih digitalnih sredstev. Zaposleni morajo biti usposobljeni za uporabo edinstvenih in zahtevnih gesel, je dejal Davis, lastniki podjetij pa morajo poznati svoje podatke znotraj in zunaj, kje je vse shranjeno in kdo točno ima dostop do njih. Ob odprti knjigi podatkov med zaposlenimi bo verjetno prišlo do namernega ali naključnega uhajanja podatkov.
Drugod morajo lastniki podjetij poskrbeti tudi za posodobitev svojih aplikacij in operacijskih sistemov, vendar je kibernetska varnost večplastna in lahko prevzame tudi fizično prisotnost. Kdo ima na primer dostop do prostorov, kjer so shranjeni trdi diski?
"Ne dovolite, da se neznanci sprehajajo po hodnikih in omejujejo fizični dostop z zaklenjenimi vrati in upravljanimi vhodnimi sistemi, " pravi Davis. "Preden zaposlite nove zaposlene, se prepričajte, da temeljito preverite preteklost in referenčne preglede."
Prinesite svojo napravo … ali prinesite svojo kršitev podatkov?
Experian's 2014/2015 Vodič za odzivanje na kršitev podatkov in Inštitut Ponemon pripravljata odločitev za togo politiko odzivanja na kršitve. Učinkovite politike na vseh ravneh bodo pomagale vsem podjetjem, da se bolje spopadejo s kršitvami svojih podatkov, zlasti v primeru podjetij, ki imajo prakse BYOD, ki ustvarjajo vse več možnosti za pojav kršitev.
BYOD v pisarni postaja neizogiben, pravi varnostni svetovalec F-Secure Sean Sullivan.
"Z vidika uporabnika je BYOD odlična ideja, a z vidika varnosti je grozna ideja, " pravi. "Igrate na loteriji slabe sreče; kvote so majhne, toda prva nagrada je velika izguba denarja."
Naprava pripada posamezniku in to sproža vprašanja glede odgovornosti, zato je osmišljanje politike, oblečene z železom, ključnega pomena in mora dopolnjevati usposabljanje vaših zaposlenih v varnostnih protokolih.
"Priporočamo, da organizacije svojim zaposlenim omogočijo dodatno usposabljanje glede fizičnih naprav, " dodaja Sullivan. "S tem, ko zaposlenim ponujajo odlično uporabniško izkušnjo, se manj verjetno kršijo smernice podjetja v zvezi z varnostjo."
SMB lahko ostanejo zadaj
Majhna podjetja se spodbujajo k proaktivnemu pristopu k varnosti in prevzemanju miselnosti velikih podjetij, saj vas nihče več ne bo skrbel.
"V resnici je varnostna industrija malo in srednje velika podjetja pustila na cedilu, " pravi Paul Lipman, izvršni direktor iSheriff, varnostnega podjetja v oblaku s sedežem v Redwood Cityju v Kaliforniji. SMB-ji se lahko izgubijo v pogovoru in niso deležni enake pozornosti, ko gre za varnost, pogosto pa jih pustijo, da se same brigajo.
MSP morda nimajo toliko ponuditi kibernetskega kriminala kot Home Depot ali Target, vendar podjetja še vedno lahko veliko izgubijo.
"ne zanimajo kraje skrivnosti ali intelektualne lastnine, kot so hekerji, namenjeni večjim podjetjem, " pravi Lipman, toda tam, kjer je podjetje, je denar, kibernetski kriminalci pa bodo ciljali na vse, za kar vedo, da lahko prodrejo.
Nekatera podjetja postajajo čedalje bolj tehnološko sposobna, vendar je ključni del tega, da se mala in srednja podjetja ne morejo spopasti s tem. Tehnologija - in kibernetske grožnje - se razvijajo z osupljivo hitrostjo.
Poročilo lastnika malih podjetij Bank of America navaja, da je 80% malih podjetij v svoje poslovanje vključilo "neko vrsto digitalne metode", vendar lahko to vključuje socialne medije in tudi varnost. Koliko pozornosti namenjamo krepitvi varnosti, kot se namenja širjenju dosega na družbenih medijih?
Varnostno podjetje BitSight je novembra 2014 objavilo novo raziskavo, ki potrjuje številne pomisleke glede varnosti podjetij, zlasti maloprodaje, in ugotavlja, da se je v teh podjetjih varnost integritete zmanjšala.
"Čeprav je spodbudno, da je večina prodajalcev na drobno izboljšala svojo varnostno učinkovitost, je treba opraviti še več, zlasti na področju upravljanja tveganj prodajalcev, " je ob napovedi raziskave dejal CTO BitSight.
Odpira se več vprašanj. Če ste lastnik majhnega podjetja, ste revidirali varnostne prakse vašega podjetja in ocenili, kje na vaši hierarhiji stoji varnost? Ko se kibernetske grožnje razvijajo, bodo morala to storiti tudi mala podjetja.