Vanlige spørsmål: Hvordan beskytter jeg min småbedrift mot cyberangrep?

Fakta: små bedrifter undervurderer deres sårbarhet

I forrige uke førte cyberangrep mot flere amerikanske banker. Selv om hackere ofte er rettet mot store selskaper, blir også små bedrifter stadig sårbare.

Små bedrifter har en tendens til å undervurdere deres sårbarhet mot cyberangrep fordi de undervurderer deres verdi for cyberthieves. De tror at de ikke er verdt innsatsen for å hacke, men småbedriftseiere forstår ofte ikke hvor liten innsats hacking et selskap med minimal sikkerhet er til en erfaren cyberthief.

Symantec Threat Awareness Poll viste at små bedrifter har en tendens til å gjøre for lite for å beskytte seg mot angrep:

• 50% av småbedriftseiere tror de er for små til å være et mål for cyberangrep
• 61% av små bedrifter installerer ikke antivirusprogramvare på alle skrivebord
• 47% bruker ikke sikkerhet på postservere
• 67% bruker ikke noen nettbasert sikkerhet

Verizon Business løp en omfattende studie av brudd på cybersikkerhet i 2011, med noen overraskende resultater på hackernes tendens til å målrette små bedrifter:

• 72% av rapporterte hackerbrudd tilsier målrettet virksomhet med 100 eller færre ansatte
• 79% av 2011-angrepsofrene var mål for muligheter

Selv om små bedrifter kan tenke seg små nok til å falle under radaren av cyberthieves, gjør de vanligvis laksesikkerhetsforanstaltninger som er implementert av små bedrifter, et enkelt mål for hackere. De fleste ofre var ikke bedrifter med betydelige eiendeler eller handelshemmeligheter, identifisert av tyver før et sterkt planlagt angrep; De fleste ofre hadde ganske enkelt svak cybersikkerhet som tyver utnyttet.

Hacking gjennom ansatte

81% av bruddene i 2011 brukte noen form for hacking, og 69% brukte skadelig programvare.

En felles måte for cyberthieves å bryte inn i bedriftsinfrastruktur er gjennom hacking ansatte i stedet for ledelse. Cyberthieves kan sende phishing-e-post til enkeltpersoner, og når disse e-postene blir åpnet på bedriftsserveren, kan skadelig programvare stjele bedriftsinformasjon.

Bedrifter bør etablere en klar selskapspolicy om hvilken bedriftsinformasjon som kan offentliggjøres via sosiale medier, nettsteder som ansatte ikke skal få tilgang til på jobben, hvordan man identifiserer phishing-e-post, og hvordan du opprettholder sikkerheten til mobilenheter, spesielt hvis de kan logge seg på et selskap server gjennom sin personlige enhet.

Våre nettstedstips: hvordan skal du beskytte virksomheten din?

FCC har et praktisk, småbedriftsnettverkssikkerhetsplanleggingsverktøy som gjør det mulig for småbedriftseiere å lage en tilpasset plan for cybersikkerhet som inneholder råd fra eksperter på tolv fag, inkludert nettverkssikkerhet, mobile enheter, anleggssikkerhet og policyutvikling.

Investmentmatome anbefaler at bedrifter tar fire første skritt for å beskytte seg selv:

1. Vurder sikkerhetsstatusen din. Hvor er alle dine mulige data brudd og sikkerhetsgap?
2. Implementer en brannmur og antivirusprogramvare
3. Hold en treningsøkt for ansatte og videresend dem til selskapets retningslinjer for cybersikkerhet
4. Opprett administrative passord som er vanskelig å gjette, ideelt sett de består av en kombinasjon av tall og bokstaver

Ved å implementere en omfattende nettbasert sikkerhetsplan og utdanne ansatte på denne planen, kan bedrifter beskytte sine eiendeler.

Andre ekspertuttalelser

• Robert Siciliano, McAfee Online Security Expert, tilbyr fem tips for å sikre bedriftens cybersikkerhet

"1. Ikke alle dataene er hacket. Tren grunnleggende til avansert premiss / fysisk sikkerhet som tilgangskontroll, sikkerhetskameraer og alarmer.

2. Begrens mengden data som kreves fra kundene. Hvis du ikke egentlig trenger et personnummer og ikke lagre det. Hvis kredittkort informasjon trenger ikke lagres og lagres ikke.

3. Kjenne til kunnskapsbaserte autentiseringsspørsmål som passord Tilbakestillinger kan bringe huset ned. Mange av svarene finnes i sosiale media nettsteder.

4. Bærbare datamaskiner er et av de største datautbruddspunktene. Laptop data skal være kryptert. Bærbare datamaskiner bør aldri bli stående i en bil over natten eller igjen i a hotellrom eller kontor alene eller på et salongbord i en kafé uten tilsyn. Laptop sporing programvare som lokaliserer og tørker data er avgjørende.

5. Tog, tog, tog, tog. Trening på datasikkerhet og hva du skal gjøre, og hva du ikke skal gjøre er prioritet nummer én. Klikk på koblinger i e-post, laste ned alt fra nettet eller e-post, åpne vedlegg i e-post, har alle vært nylig vellykkede måter å infisere et nettverk på. "

• Nathan Corbier, grunnlegger av Corbier and Associates, snakker om ansattes enheter

"Vi tillater ikke at noen plugger uautoriserte enheter inn i arbeidsstasjonene våre eller bærbare datamaskiner. Det inkluderer MP3-spillere, mobiltelefoner, USB-nøkler, ingenting. Hvis noen gjør det, låses PCen umiddelbart med en blå skjerm av død og sender en SMTP alarm. De eneste autoriserte USB-enhetene vi tillater, er Yubikeys og Iron Keys.

Vi krever at alle android-smarttelefoner skal synkroniseres med Google Apps Konto, har passordautentisering aktivert, og kryptert. "

• Michelle Schenker, eier av Cover Story Media, snakker om viktigheten av å endre passord ofte

"Endre passord ofte og bruk alltid komplekse og unike passord for alt du gjør online. Passord blir vanskeligere å dekode når de inneholder et stort antall tegn. Generelt er det best å inkludere tall, bokstaver, store bokstaver og symboler i passordet ditt. Passord bør være vanskelig å gjette, og det er viktig at de endres regelmessig. Det foreslås at du endrer dine online passord en gang i måneden for å holde dem dynamiske og redusere sannsynligheten for at noen får tilgang til dine personlige opplysninger. “

• Kyle Marks, grunnlegger Retire-IT, sier at han er i stand til å avhende gammel teknologi sikkert

"Når en organisasjon pensjonerer uønsket teknologi, står det for risiko forbundet med datasikkerhet og miljøoverholdelse. Trusler fra klarerte innsidere og uaktsomme leverandører øker utfordringen. Bedrifter bør være oppmerksomme på datasikkerhetstruslene som kommer med oppdatering av IT. "

• John S. Pitts, grunnlegger av Tekcetera, Inc., oppfordrer bruk av brannmurer og VPN-er

"Med det økende antall datareckere og identitetstyveri ofre er det viktig at du gir din bedrift pålitelig beskyttelse ved å bruke brannmurer. Disse kan enten være programvarebasert eller maskinvarebasert og brukes til å holde et nettverk sikkert. Til slutt analyserer brannmurer datapakker og bestemmer hvilken informasjon som skal tillates gjennom, basert på et forhåndsbestemt regelsett.

Virtual Private Networks (VPN) gir sikkerhet gjennom tunneling protokoller og sikkerhetsprosedyrer som kryptering. For eksempel kan en VPN brukes til å koble en avdelings avdelingskontorer til et hovedkontor-nettverk via det offentlige Internett. "

• Alfea Principe, Global Marketing Director for Electronics Recycling Services, minner småbedriftseiere om å resirkulere datamaskiner på en trygg måte

"Et vanlig problem som økonomi og regjeringsproblemer er uvitende om, er farer forbundet med ikke resirkulering av datamaskiner, mobiltelefoner, skrivere, faks maskiner etc. på riktig måte. Hvis disse elektronikkene ikke demonteres riktig og satt i feil hender, denne svært sensitive og konfidensielle data (kreditt kort, bankinformasjon, personnummer, etc.) kan trekkes ut. "

• Michael Becce, MRB Public Relations, advarer om keyloggers

"Den virkelige trusselen mot små bedrifter er keyloggers. Keyloggers er en form for skadelig programvare som sporer hver tastetrykk du gjør på tastaturet og gjør det tilgjengelig for hackere. De fleste antar at anti-virusproduktet vil hindre keyloggers på å komme seg på sine systemer, det sier jo jo så videre boksen. Virkeligheten er at de aller beste anti-virusprodukter kan oppdage mindre enn 25% av kjente keyloggers. Mange systemer er allerede smittet. Keyloggers sporer alt fra din Windows-innlogging, bankformularer, økonomiske informasjon, e-post, sosiale medier, selv direktemeldinger. Hver liten Virksomheten bør anta at minst en person i organisasjonen har vært hit eller vil være. Mange små bedrifter har blitt helt stengt allerede. For å forhindre at det stjeler tastetrykkene dine (og dataene dine, hemmeligheter, penger, etc.), bruk et tastetrykk krypteringsverktøy for å kryptere hver tastetrykk mens du gjør det slik at keyloggers leser falske data. "

• Sid Haas, direktør for forretningsutvikling ved LKCS, snakker for å ansette et tredjeparts nettverkssikkerhetsfirma og holde opplæring

"Vi ansetter et tredjeparts uavhengig nettverkssikkerhetsfirma for å utføre eksterne sårbarhetsvurderinger på våre servere og nettsider hver 6. måned. Disse vurderingene identifiserer bestemte sikkerhetsproblemer basert på risikonivået. Vi benytter informasjonen i disse vurderingsrapporter for å redusere så mange sårbarheter som mulig - starter med alle identifiserte som høy risiko, men adresserer også elementer identifisert som middels og lav risiko.

Vi har funnet ut at cybersikkerhet er like mye om utdanning og opplæring enn alle disse andre trinnene. Vi holder årlige sikkerhetsopplæringsøkter med alle ansatte og påminner alle ansatte om sikkerhetsproblemer, svindel og trusler gjennom hele året via e-post og små plakater som vises i hele vårt anlegg. "

• Doug Landoll, Chief Strategist hos Lantego LLC, oppfordrer bedrifter til å gjennomgå deres sikkerhet regelmessig

"Vi vurderer nåværende administrative, fysiske og tekniske kontroller, hjelper med å fylle ut sikkerhetsundersøkelsene, og får den lille virksomheten tilbake i samsvar. Dette innebærer fysisk inspeksjon av beskyttelse av systemer og sensitiv datalagring, utvikling av sikkerhetspolitikk og låser ned våre systemer.

Små bedrifter er ofte rettet mot hackere fordi de forventer svake kontroller. Sjansen for at din sensitive informasjon blir kompromittert, kan være svært sannsynlig. For minimal innsats kan det etableres grunnleggende kontroller som ikke bare gir deg overholdelse, men også for å beskytte dine kunders sensitive informasjon og øke deres tilfredshet med tjenesten din. "

• Mark J. Sexton, eier av Nevada Medical Security Technologies, snakker om viktigheten av å trene medarbeidere

"Når du snakker om cybersikkerhet for små bedrifter, er hovedmålet å skape sikkerhetsbevissthet hos bedriftseier og ansatte. Du kan ikke beskytte det du ikke vet om, slik at du blir informert om arten av cyberkriminalitet, metodene som de gutta bruker til å skaffe seg enten beskyttet informasjon eller penger / eiendeler, er nøkkelen. Når folk har en grunnleggende forståelse av hvordan tyver bruker teknologi til å stjele, så kan de se på sine egne systemer og prosesser og se om det er kryss eller mangler.

Grunnleggende ting som å bruke komplekse passord og endre dem regelmessig, holde systemer og antivirusprogram oppdatert.Bruke et program for skadelig programvare / spionprogrammer på systemene regelmessig. Opplæring av personalet på hensiktsmessig bruk av teknologi og hvordan phishing og sosialteknikkangrep virker, å ha retningslinjer for riktig bruk av forretningsdatorer og ikke tillate brukere å være fulladministratorer av deres systemer utgjør den lave hengende frukten her. Administrative rettigheter er store, hvis brukerne kan installere programvare, kan de bli en sammenheng for et angrep eller tillate nøkkelloggerprogramvare og annen slik skadelig programvare på sine systemer og potensielt på alle systemer i virksomheten.

Til slutt handler det om kunnskap og å bli informert. Det er nesten umulig å kompensere for dårlig beregningspraksis av ansatte og som et resultat blir trening nøkkelen. "