Video: 10 idei de afaceri sub 1.000 euro | antreprenor 2019 (Noiembrie 2024)
Săptămâna Națională a Întreprinderilor Mici este în desfășurare, iar festivitățile nu au durat mult timp pentru a aborda una dintre cele mai strălucitoare și mereu prezente pentru întreprinderile mici și mijlocii (IMM-uri): cibersecuritatea. Administrația pentru Întreprinderi Mici (SBA) este agenția guvernamentală din SUA dedicată să ofere ajutor concret, instruire și recomandări pe care întreprinderile mici le pot pune în practică imediat în operațiunile lor de zi cu zi. În acest scop, mai degrabă decât să ofere tendințe de securitate perfecționate, panoul de cibersecuritate SBA de astăzi a oferit IMM-urilor sfaturi concrete, resurse și pași pe care îi pot lua pentru atenuarea vulnerabilităților de securitate și punerea în aplicare a unei strategii de securitate cuprinzătoare.
Administratorul adjunct al SBA, Doug Kramer, a moderat grupul de experți în securitate, în timp ce au discutat despre cele mai mari riscuri de securitate cu care se confruntă întreprinderile mici și despre cele mai importante măsuri pe care le pot face pentru a-și proteja infrastructura și datele, bazate pe cloud sau fizice. Panoul a inclus Bill O'Connell, vicepreședinte al Global Trust Assurance la ADP; Stephen Cobb, cercetător de securitate senior la ESET America de Nord; Matt Littleton, director regional de cibersecuritate și servicii de infrastructură Azure la Microsoft; și Patricia (Pat) Toth, om de știință de supraveghere în cadrul departamentului de securitate informatică al Institutului Național de Standarde și Tehnologie (NIST).
Componenții au vorbit despre probleme de securitate cibernetică care variază de la phishing, ransomware și cum să rezolve o încălcare a modului în care întreprinderile mici ar trebui să abordeze autentificarea multifactorilor (MFA), instruirea și politicile de securitate a angajaților, ce să caute într-un contract de furnizor de servicii gestionat (MSP), și când să apelați la un consultant de securitate IT.
Nu este vorba doar despre informațiile bancare și despre cardurile de credit ale angajaților și ale clienților, ci companiile de date privind proprietatea intelectuală sunt peste tot, de la e-mail până la stocarea în cloud și de suprafețele de atac care ar putea face o întreprindere mică să fie o legătură slabă și o țintă ușoară în lanțul de aprovizionare. Potrivit SBA, Kramer a spus, aproape jumătate din întreprinderile mici au fost victimizate într-un anumit grad de infracțiuni informatice, iar costul mediu al atacului este de aproximativ 21.000 USD.
"Oricine începe o afacere mică lucrează cât se poate de mult, fără timp sau bani în plus pentru a face față unei provocări de securitate cibernetică care ar putea costa mai mult decât era de așteptat și ar însemna viață sau moarte pentru o afacere mică", a remarcat Kramer, SBA, în cadrul comisiei. a început. "Amenințarea de intruziune și furtul cibernetic este foarte reală. Întreprinderile mici măsoară activele și inventarierea în moduri diferite, dar stau pe un tezaur de informații."
1. Securitatea norului: fapte și lucruri
Din motive rentabile și convenabile, toate IMM-urile trebuie să ia în considerare efectuarea unei tranziții către cloud, dar tranziția trebuie să se întâmple cu atenție. Grupii de discuții au discutat unele dintre cele mai importante considerente și obstacole.
- Faceți: Backup Cloud Incremental "Cloud-ul are o mulțime de beneficii și riscuri, dar un singur lucru ar trebui să facă IMM-urile este backup-ul", a spus Cobb al ESET. "Copia de rezervă actuală a tuturor fișierelor este cea mai bună protecție împotriva ransomware-ului și o parte critică a posturii și apărării cibersecurității dvs.. Ar trebui să faceți încă o copie de siguranță pe un hard disk și să stocați o copie undeva în siguranță într-o locație separată, dar cloud vă permite să faceți backup în mod constant.“
- Efectuați: Plătiți pentru securitatea premium în cloud "Proprietarii de întreprinderi mici sunt conștienți de preț, dar alți factori trebuie să obțină cantitatea corectă de greutate", a spus ADP O'Connell. "Unele lucruri ar trebui să coste mai mulți bani pentru un nivel mai mare al serviciilor și securitatea este unul dintre aceste lucruri. Nu luați doar o decizie bazată pe preț."
- Nu: Doar semnați contractul MSP
„Verificați contractul”, a spus Cobb al ESET. "Puteți externaliza stocarea sau backup-ul, dar nu puteți externaliza responsabilitatea. Dacă proprietarul SMB spune că furnizorul IT are toate datele despre clienți și angajați - datele dvs. - sunteți încă responsabil."
„Când vine vorba de contract, dar și de date, faceți-vă cercetările pentru a vedea dacă există probleme de securitate”, a adăugat ADP O'Connell. "Pentru o IMM, contractul este o parte bună a acelei linii de apărare. Verificați SLA-urile și accesați politicile de nivel de date. Cât timp păstrează datele MSP-urile? Ce fac cu acestea?"
- Nu: Lăsați funcțiile de infrastructură MSP neutilizate "Dacă pășești într-un mediu cloud, poți schimba o parte din această responsabilitate. Nu mai suntem într-o arenă de platformă, unde trebuie să fii îngrijorat de a nu avea personalul care să răspundă la o problemă sau să pui un server", a spus Microsoft Littleton. "Acolo prestatorul de servicii poate interveni și gestiona asta în numele dvs.. Trebuie să înțelegeți ce anume vă confruntați din punct de vedere al contractului și în ce servicii oferă furnizorul de cloud".
2. Autentificare multifactor: Do it do it
"Din perspectiva personală și a afacerii, MFA este un lucru pe care îl puteți face imediat. Întreprinderile nu au nicio scuză pentru a nu face acest lucru imediat", a spus Littleton Microsoft. "Este simplu cu întreaga stivă de produse Microsoft; același lucru este valabil și pentru Google, Yahoo, numiți furnizorul de e-mail. Uitați-vă la setările de securitate și cereți ca fiecare angajat să introducă numărul de telefon mobil ca al doilea factor. Atunci, chiar dacă sunt un atacator și îți fur parola, nu o pot folosi decât dacă îți fure telefonul mobil și știu codul PIN."
3. Când să apelați la un consultant de securitate IT
„ Vor fi lucruri pe care nu le poți face singur ca proprietar de afaceri mici”, a spus O'Connell al ADP. "Pentru contracte foarte importante, beneficiați de consultanță juridică în afară. Pentru financiar anual și trimestrial, aveți un contabil. Același lucru este valabil și pentru expertizele de securitate. Când trebuie să testați un site pentru a vă asigura că este sigur pe web sau pentru a efectua o evaluare a riscurilor, banii i-au cheltuit bine dacă nu aveți expertiza pentru a face asta singur. Nu faceți singuri electricitatea sau instalațiile sanitare din clădire; este vorba despre a ști când aveți nevoie de ajutor."
4. Securitatea face parte din jobul tuturor
"Nu te poți baza doar pe o singură persoană dintr-o companie de 10 persoane; toată lumea trebuie să aibă o bună înțelegere a cibersecurității și care sunt riscurile pentru organizație", a declarat Toth NIST. „Dacă nu, munca lor ar putea fi în pericol dacă există o încălcare și afacerea nu se poate recupera.”
„Faceți din securitate o parte a muncii fiecărei persoane”, a adăugat ADP-ul lui O'Connell. "Persoana care conduce financiar - ce trebuie să facă în fiecare zi? Pe partea fizică, cine este cel care încuie ușa noaptea? Toată lumea trebuie să cunoască componentele și cum se potrivește rolul lor în securitatea generală a afacerii."
5. Nu fiți legătura slabă a lanțului de aprovizionare
După cum a explicat Kramer al SBA, nu mai există nicio diviziune între IMM-uri și întreprinderi. Întreprinderile mici fie doresc să crească și să se extindă, fie se conectează la un lanț de furnizare a întreprinderilor pentru software și servicii. Problema este că politicile de securitate ale IMM-urilor pot să nu fie în concordanță cu o companie din lanțul de aprovizionare cu care încearcă să partenere.
"Atunci când un SMM își primește primul contract mare cu o companie mare și vă roagă să vă vadă politicile de securitate și programul de conștientizare, nu ar trebui să vă lăsați să verificați totul din lista de verificare", a spus Cobb. "Riscul în lanțul de aprovizionare este o preocupare mare. Dacă o SMB interacționează digital cu un furnizor, verificați-le. Trebuie să aveți politici de securitate și instruire în loc, astfel încât să nu devină un obstacol."
"Nicio afacere nu este prea mică pentru a fi vizată în arena cibernetică, în special din managementul lanțului de aprovizionare", a declarat Littleton, Microsoft. "Multe încălcări nu încep de la vârf; încep de undeva în lanțul de aprovizionare, iar atacatorii își duc drumul până la ținta finală."
NIST's Toth a spus în următorii doi ani, veți vedea că agențiile guvernamentale încep să publice reguli pentru accesarea sistemelor de lanțuri de aprovizionare. Între timp, ea a spus că IMM-urile trebuie să aibă un plan în vigoare.
„Planificarea este de neprețuit pentru a ști ce este cu adevărat important; acel lucru pe care trebuie să-l protejezi și cum ar funcționa afacerea dvs. dacă nu ar fi accesibil”, a spus Toth NIST. "IMM-urile trebuie să aibă planuri, politici și proceduri în vigoare. Nu este o abordare guvernamentală mare; poate fi la fel de simplă ca politicile din manualul dvs. de angajați să spună ce pot și nu pot face pe internet, cum să detectați un atac de phishing și când să deschideți și să nu deschideți linkuri și atașamente."
6. Tratați e-mailul ca o carte poștală, nu un plic
"Primul lucru care trebuie făcut ca o afacere mică cu e-mail este să mă gândesc la ce se află. Dacă mă duc să hack informațiile companiei cuiva, e-mailul lor are adesea toate lucrurile bune", a spus Cobb. „De multe ori oamenii nu se gândesc la ce lasă acolo. Uitați-vă la hack-ul Sony; oamenii spuneau lucruri prin e-mail, nu ar fi trebuit. E-mailul este o carte poștală, nu un plic sigilat."
„De asemenea, devine din ce în ce mai mult despre capacitatea de a controla datele”, a spus Littleton de la Microsoft. "S-ar putea să merite banii pentru a utiliza un serviciu de e-mail criptat cu filtrare de intrare care reduce suprafața de atac. Dacă ați lăsat numărul dvs. de card de credit într-un e-mail, serviciul vă va întreba dacă doriți cu adevărat să trimiteți asta, apoi criptați automat nu doar numărul, dar întregul e-mail. Pe măsură ce industria avansează, aceste servicii sunt din ce în ce mai rezonabile și obișnuite."
7. Semnificați întotdeauna incidente
Kramer de la SBA a explicat că, atunci când o întreprindere mică este încălcată sau lovită de o înșelătorie phishing sau o cerere de ransomware, trebuie să știe la cine să apeleze. Cobb de la ESET a spus că, în cazul în care întreprinderile mici nu raportează acest lucru la poliție, de teama ca forțele de ordine să nu dețină resurse pentru a investiga, ciclul se va perpetua.
"Avem un ciclu nefericit în care forțele de ordine obțin finanțare pe baza infracțiunilor raportate, dar oamenii nu raportează infracțiuni pentru că nu cred că poliția are resursele", a spus Cobb. Dacă nimeni nu raportează, poliția nu va avea niciodată dovezi pentru a se echipa cu resursele pentru a rezolva aceste probleme informatice."
„Majoritatea municipalităților au unități informatice și vor răspunde”, a adăugat NIST’s Toth.
8. Aveți un plan de răspuns la incidente
„Nu încercați să vă puneți centura de siguranță în mijlocul unui accident”, a spus Littleton Microsoft. "Aveți nevoie de un plan prevăzut pentru a răspunde înainte de a se întâmpla o încălcare."
„De asemenea, nu sunteți complet în acest sens”, a spus Cobb de la ESET. "Serviciile de securitate pe care le cumpărați de pe raft vin cu o protecție sporită în cloud sau în accesarea lanțului de aprovizionare. Pot furniza servicii de detecție și prevenire la un nivel de bază. Atunci când vă pregătiți planul, asigurați-vă că nu părăsiți serviciile de securitate pe masa oferită de MSP sau serviciul de securitate."
9. Nu lăsați capetele libere
„O zonă problematică pe care o vedem - dacă și când un angajat pleacă sau este concediat - accesul lor la sistem nu este încetat imediat”, a declarat Cobb. "Întreprinderile mici lucrează cu oameni în care au încredere și cu o mulțime de oameni care vin și pleacă. Uneori nu trec în cele mai fericite circumstanțe. Dacă un fost angajat cu cârma are încă acces sau chiar are autentificarea multifactorului activat, asta este o mare problemă de securitate privilegiată care este ușor de abordat."
10. Resurse și instruire guvernamentală
Guvernul ia măsuri majore pentru a aborda cibersecuritatea. Casa Albă a lansat un cadru de securitate cibernetică la începutul acestui an, iar propunerea bugetară a președintelui Obama pentru 2017 urmărește o creștere cu 35% a finanțării (până la 19 miliarde de dolari) pentru a face față atacurilor de cibersecuritate. SBA Kramer și NIST's Toth au indicat resurse guvernamentale gratuite, cum ar fi întreaga pagină a SBA a resurselor de securitate cibernetică pentru IMM-uri, inclusiv sfaturi și instrumente pentru cibersecuritate, o colecție de cursuri, traininguri și webinarii.
Unele dintre cele mai utile resurse sunt:
- Top 10 sfaturi pentru securitate cibernetică SBA
- Curs online SBA: securitate cibernetică pentru întreprinderile mici
- Instrumentul de evaluare a reexaminării cibernetice (CRR)
- Micul Cyber Planner
- SBA, NIST și Atelierele de afaceri mici pentru FBI
- Canalul YouTube al SBA
- Centrul de resurse pentru securitatea computerului NIST
- Certificările COMPTIA și programele de educație pentru a învăța protocoalele de securitate MSP
