10 ขั้นตอนการรักษาความปลอดภัยบนโลกไซเบอร์ของธุรกิจขนาดเล็กของคุณควรดำเนินการทันที

สัปดาห์ธุรกิจขนาดเล็กแห่งชาติกำลังดำเนินการอยู่และงานเฉลิมฉลองไม่ได้ใช้เวลานานในการแก้ไขปัญหาที่น่าจับตามองมากที่สุดและปัญหาที่เกิดขึ้นในปัจจุบันสำหรับธุรกิจขนาดเล็กถึงขนาดกลาง (SMBs): ความปลอดภัยทางไซเบอร์ บริหารธุรกิจขนาดเล็ก (SBA) เป็นหน่วยงานรัฐบาลของสหรัฐอเมริกาที่อุทิศตนเพื่อให้ความช่วยเหลือการฝึกอบรมและคำแนะนำที่เป็นรูปธรรมซึ่งธุรกิจขนาดเล็กสามารถนำไปปฏิบัติได้ทันทีในการดำเนินงานประจำวัน ด้วยเหตุนี้แทนที่จะเป็นเพียงแค่เสนอแนวโน้มความปลอดภัยแบบวงกลมต่อวันแผงควบคุมความปลอดภัยทางไซเบอร์ของ SBA ในวันนี้ได้ให้เคล็ดลับทรัพยากรและขั้นตอนที่เป็นรูปธรรมสำหรับ SMB เพื่อลดช่องโหว่ความปลอดภัยและวางกลยุทธ์ความปลอดภัยแบบครอบคลุม

ผู้ดูแลระบบ SBA รองดั๊กเครเมอร์ดูแลคณะผู้เชี่ยวชาญด้านความปลอดภัยเนื่องจากพวกเขาได้พูดถึงความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดที่ธุรกิจขนาดเล็กเผชิญอยู่และขั้นตอนที่สำคัญที่สุดที่พวกเขาสามารถทำได้เพื่อปกป้องโครงสร้างพื้นฐานและข้อมูลของพวกเขา แผงรวมบิลโอคอนเนลรองประธานฝ่ายการประกันความน่าเชื่อถือระดับโลกที่ ADP; Stephen Cobb นักวิจัยอาวุโสด้านความปลอดภัยของ ESET North America; Matt Littleton ผู้อำนวยการภูมิภาค Cybersecurity และ Azure Infrastructure Services Services ของไมโครซอฟท์; และ Patricia (Pat) Toth นักวิทยาศาสตร์คอมพิวเตอร์ควบคุมในแผนกความปลอดภัยคอมพิวเตอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)

ผู้อภิปรายพูดคุยเกี่ยวกับปัญหาความปลอดภัยทางไซเบอร์ตั้งแต่ฟิชชิ่งแรนซัมแวร์และวิธีจัดการกับการละเมิดไปสู่ธุรกิจขนาดเล็กที่ควรใช้การรับรองความถูกต้องหลายปัจจัย (MFA) การฝึกอบรมการรักษาความปลอดภัยของพนักงานและนโยบาย และเมื่อใดควรติดต่อที่ปรึกษาด้านความปลอดภัยด้านไอที

มันไม่ใช่แค่เกี่ยวกับพนักงานและลูกค้าบัตรเครดิตและข้อมูลธนาคารตามข้อมูลของ Kramer แต่ธุรกิจข้อมูลทรัพย์สินทางปัญญามีอยู่ทุกที่ตั้งแต่อีเมลไปจนถึงที่เก็บข้อมูลบนคลาวด์และพื้นที่การโจมตีที่อาจทำให้ธุรกิจขนาดเล็กกลายเป็นจุดอ่อน ห่วงโซ่อุปทาน จากข้อมูลของ SBA นายเครเมอร์กล่าวว่าเกือบครึ่งหนึ่งของธุรกิจขนาดเล็กทั้งหมดตกเป็นเหยื่อของอาชญากรรมไซเบอร์และค่าใช้จ่ายในการโจมตีโดยเฉลี่ยอยู่ที่ประมาณ 21, 000 ดอลลาร์

“ ทุกคนที่เริ่มต้นธุรกิจขนาดเล็กทำงานหนักเท่าที่จะทำได้โดยไม่มีเวลาหรือเงินพิเศษในการรับมือกับความท้าทายด้านความมั่นคงปลอดภัยทางไซเบอร์ที่อาจมีค่าใช้จ่ายมากกว่าที่คาดไว้และหมายถึงชีวิตหรือความตายสำหรับธุรกิจขนาดเล็ก” Kramer SBA กล่าว เริ่ม. "ภัยคุกคามจากการบุกรุกทางไซเบอร์และการโจรกรรมนั้นเป็นเรื่องจริงมากธุรกิจขนาดเล็กทำการวัดสินทรัพย์และสินค้าคงคลังในรูปแบบที่แตกต่างกัน แต่พวกเขานั่งอยู่บนขุมทรัพย์ของข้อมูล"

1. การรักษาความปลอดภัยบนคลาวด์: สิ่งที่ควรทำและสิ่งที่ไม่ควรทำ

ด้วยเหตุผลด้านต้นทุนและความสะดวกสบาย SMB ทุกคนต้องพิจารณาเปลี่ยนผ่านสู่ระบบคลาวด์ แต่การเปลี่ยนแปลงนั้นต้องเกิดขึ้นอย่างรอบคอบ ผู้ร่วมอภิปรายอภิปรายถึงข้อพิจารณาและอุปสรรคที่สำคัญที่สุด

• ทำ: การสำรองข้อมูลบนคลาวด์ที่เพิ่มขึ้น

  “ คลาวด์มีประโยชน์และความเสี่ยงมากมาย แต่สิ่งหนึ่งที่ SMB ควรทำคือการสำรองข้อมูล” Cobb ของ ESET กล่าว "การสำรองข้อมูลปัจจุบันของไฟล์ทั้งหมดคือการป้องกันที่ดีที่สุดสำหรับ ransomware และส่วนสำคัญของท่าการป้องกันและรักษาความปลอดภัยทางไซเบอร์ของคุณคุณควรสำรองข้อมูลไว้ในฮาร์ดไดรฟ์และเก็บสำเนาไว้ที่อื่นในที่ปลอดภัย แต่ในระบบคลาวด์ อย่างต่อเนื่อง."

• ทำ: จ่ายเพื่อความปลอดภัยบนคลาวด์ระดับพรีเมียม

  “ เจ้าของธุรกิจขนาดเล็กนั้นคำนึงถึงเรื่องราคา แต่ปัจจัยอื่น ๆ จำเป็นต้องได้รับน้ำหนักที่เหมาะสม” โอคอนเนลกล่าว "บางสิ่งควรมีค่าใช้จ่ายมากขึ้นสำหรับการบริการที่สูงขึ้นและความปลอดภัยเป็นหนึ่งในสิ่งเหล่านั้นอย่าเพิ่งตัดสินใจตามราคา"

• ไม่: เพียงลงนามในสัญญา MSP

  "ตรวจสอบสัญญานั้น" Cobb ของ ESET กล่าว "คุณสามารถ outsource การจัดเก็บหรือสำรองข้อมูล แต่คุณไม่สามารถ outsource ความรับผิดชอบถ้าเจ้าของ SMB กล่าวว่าผู้ให้บริการไอทีมีข้อมูลลูกค้าและพนักงานทั้งหมด - ข้อมูลของคุณ - คุณยังคงต้องรับผิดชอบ"

  
  “ เมื่อมันมาถึงไม่ใช่แค่สัญญา แต่เป็นข้อมูลให้ทำวิจัยของคุณเพื่อดูว่ามีปัญหาด้านความปลอดภัยหรือไม่” O'Connell ของ ADP กล่าวเสริม "สำหรับ SMB สัญญาเป็นส่วนที่ดีของแนวป้องกันตรวจสอบ SLA และนโยบายการเข้าถึงข้อมูลระดับชั้น MSP เก็บข้อมูลนานเท่าไหร่พวกเขาทำอะไรกับมัน"

• อย่า: ปล่อยคุณสมบัติโครงสร้างพื้นฐาน MSP ที่ไม่ได้ใช้

  "หากคุณก้าวเข้าสู่สภาพแวดล้อมแบบคลาวด์คุณสามารถเปลี่ยนความรับผิดชอบบางอย่างได้เราไม่ได้อยู่ในเวทีที่คุณต้องกังวลว่าจะไม่มีเจ้าหน้าที่ที่จะตอบปัญหาหรือแก้ไขเซิร์ฟเวอร์" Microsoft กล่าว ลิตเทิล "นั่นคือสิ่งที่ผู้ให้บริการสามารถก้าวเข้ามาและจัดการกับมันในนามของคุณคุณต้องเข้าใจสิ่งที่คุณได้รับจากจุดยืนของสัญญาและบริการที่ผู้ให้บริการคลาวด์เสนอ"

2 การตรวจสอบ Multifactor: เพียงแค่ทำมัน

“ จากทั้งมุมมองส่วนบุคคลและมุมมองทางธุรกิจ MFA เป็นสิ่งที่คุณสามารถทำได้ทันทีธุรกิจไม่มีข้อแก้ตัวที่จะไม่ทำสิ่งนี้ในทันที” Littleton จากไมโครซอฟท์กล่าว "ใช้งานง่ายด้วยผลิตภัณฑ์ Microsoft ทั้งหมดเช่นเดียวกับ Google, Yahoo, คุณตั้งชื่อผู้ให้บริการอีเมลดูที่การตั้งค่าความปลอดภัยของคุณและกำหนดให้พนักงานทุกคนป้อนหมายเลขโทรศัพท์มือถือเป็นปัจจัยที่สอง ผู้โจมตีและฉันขโมยรหัสผ่านของคุณฉันไม่สามารถใช้งานได้เว้นแต่ฉันจะขโมยโทรศัพท์มือถือของคุณและรู้รหัส PIN "

3. เมื่อใดควรโทรติดต่อที่ปรึกษาความปลอดภัยด้านไอที

“ จะมีสิ่งที่คุณไม่สามารถทำคนเดียวในฐานะเจ้าของธุรกิจขนาดเล็กได้” โอคอนเนลกล่าว "สำหรับสัญญาที่สำคัญมากคุณจะได้รับคำแนะนำด้านกฎหมายสำหรับการเงินรายปีและรายไตรมาสคุณมีนักบัญชีเหมือนกันสำหรับผู้เชี่ยวชาญด้านความปลอดภัยเมื่อคุณต้องทดสอบไซต์เพื่อให้แน่ใจว่าปลอดภัยสำหรับเว็บหรือทำการประเมินความเสี่ยง เป็นเงินที่ใช้ไปอย่างคุ้มค่าถ้าคุณไม่มีความเชี่ยวชาญในการทำด้วยตัวเองคุณไม่ได้ใช้ไฟฟ้าหรือระบบประปาในอาคารด้วยตัวเอง แต่เป็นการรู้ว่าคุณต้องการความช่วยเหลือเมื่อใด "

4. ความปลอดภัยเป็นส่วนหนึ่งของงานของทุกคน

“ คุณไม่สามารถพึ่งพาคนเพียงคนเดียวใน บริษัท 10 คนทุกคนต้องมีความเข้าใจในเรื่องความปลอดภัยทางไซเบอร์และความเสี่ยงที่มีต่อองค์กร” NIST's Toth กล่าว “ หากพวกเขาไม่ทำหน้าที่ของพวกเขาอาจตกอยู่ในอันตรายหากมีการฝ่าฝืนและธุรกิจไม่สามารถฟื้นตัวได้”

"ทำให้ความปลอดภัยเป็นส่วนหนึ่งของงานของแต่ละคน" เพิ่ม O'Connell ของ ADP "คนที่ทำงานด้านการเงิน - พวกเขาต้องทำอะไรทุกวัน? ในทางกายภาพใครคือคนที่ล็อคประตูตอนกลางคืนทุกคนจำเป็นต้องรู้องค์ประกอบและบทบาทของพวกเขาในการรักษาความปลอดภัยโดยรวมของธุรกิจ"

5. อย่าเชื่อมโยงห่วงโซ่อุปทานที่อ่อนแอ

ดังที่เครเมอร์ของ SBA อธิบายไม่มีการแบ่งอีกต่อไประหว่างธุรกิจขนาดกลางและขนาดย่อม ธุรกิจขนาดเล็กอาจต้องการที่จะเติบโตและขยายขนาดหรือพวกเขาเสียบเข้ากับห่วงโซ่อุปทานขององค์กรสำหรับซอฟต์แวร์และบริการ ปัญหาคือนโยบายความปลอดภัยของ SMB อาจไม่สอดคล้องกับ บริษัท ซัพพลายเชนที่พวกเขากำลังมองหาพันธมิตร

“ เมื่อ SMB ได้รับสัญญาใหญ่ครั้งแรกกับ บริษัท ขนาดใหญ่และพวกเขาขอดูนโยบายความปลอดภัยและโปรแกรมการรับรู้ของคุณคุณไม่ควรตรวจสอบทุกอย่างจากรายการตรวจสอบ” Cobb ของ ESET กล่าว "ความเสี่ยงของห่วงโซ่อุปทานขึ้นและลงเป็นสิ่งที่น่ากังวลอย่างยิ่งหาก SMB มีปฏิสัมพันธ์กับซัพพลายเออร์ดิจิทัลตรวจสอบพวกเขาคุณจำเป็นต้องมีนโยบายความปลอดภัยและการฝึกอบรมเพื่อที่จะไม่กลายเป็นอุปสรรค"

“ ไม่มีธุรกิจใดที่เล็กเกินกว่าที่จะกำหนดเป้าหมายในเวทีไซเบอร์โดยเฉพาะจากการจัดการห่วงโซ่อุปทาน” Littleton ของไมโครซอฟท์กล่าว “ การรั่วไหลจำนวนมากไม่ได้เริ่มต้นที่ด้านบนพวกเขาเริ่มต้นที่ไหนสักแห่งในห่วงโซ่อุปทานและผู้โจมตีทำงานเพื่อบรรลุเป้าหมายสูงสุด”

Tist ของ NIST กล่าวในอีกสองปีข้างหน้าคุณจะเห็นหน่วยงานของรัฐเริ่มเผยแพร่กฎสำหรับการเข้าถึงระบบซัพพลายเชน ในระหว่างนี้เธอกล่าวว่า SMB จำเป็นต้องมีแผนในสถานที่

“ การวางแผนนั้นมีค่ามากหากรู้ว่าสิ่งใดสำคัญจริง ๆ สิ่งหนึ่งที่คุณต้องปกป้องและธุรกิจของคุณจะดำเนินงานอย่างไรหากไม่สามารถเข้าถึงได้” Toth ของ NIST กล่าว "SMB จำเป็นต้องมีแผนนโยบายและขั้นตอนในสถานที่ไม่ใช่วิธีการของรัฐบาลที่ยิ่งใหญ่มันอาจง่ายพอ ๆ กับนโยบายในคู่มือพนักงานของคุณที่บอกว่าพวกเขาทำอะไรได้บ้างและไม่สามารถทำบนอินเทอร์เน็ตได้ และเมื่อใดที่จะเปิดและไม่เปิดลิงก์และไฟล์แนบ "

6. ปฏิบัติต่ออีเมลเช่นไปรษณียบัตรไม่ใช่ซองจดหมาย

“ สิ่งแรกที่ต้องทำในธุรกิจขนาดเล็กที่มีอีเมลคือคิดเกี่ยวกับสิ่งที่อยู่ในนั้นถ้าฉันจะเจาะข้อมูล บริษัท ของใครบางคนอีเมลของพวกเขามักจะมีสิ่งที่ดี” Cobb ของ ESET กล่าว “ ผู้คนมักไม่ได้คิดเกี่ยวกับสิ่งที่พวกเขาออกไปดูที่แฮ็คของ Sony ผู้คนกำลังพูดสิ่งต่าง ๆ ผ่านทางอีเมลที่พวกเขาไม่ควรได้รับอีเมลคือโปสการ์ดไม่ใช่ซองผนึก "

“ มันยังเพิ่มความสามารถในการควบคุมข้อมูลอีกด้วย” Littleton ของ Microsoft กล่าว "อาจคุ้มค่ากับการใช้บริการอีเมลที่เข้ารหัสด้วยการกรองขาเข้าซึ่งจะลดพื้นผิวการโจมตีของคุณหากคุณทิ้งหมายเลขบัตรเครดิตไว้ในอีเมลบริการจะถามว่าคุณต้องการส่งหรือไม่และเข้ารหัสโดยอัตโนมัติไม่ได้ เฉพาะตัวเลข แต่เป็นอีเมลทั้งหมดเนื่องจากอุตสาหกรรมก้าวหน้าบริการเหล่านี้จึงสมเหตุสมผลและเป็นเรื่องธรรมดามากขึ้น "

7. รายงานเหตุการณ์ที่เกิดขึ้นเสมอ

Kramer ของ SBA อธิบายว่าเมื่อธุรกิจขนาดเล็กละเมิดหรือถูกโจมตีด้วยการหลอกลวงแบบฟิชชิ่งหรือคำขอ ransomware พวกเขาจำเป็นต้องรู้ว่าใครโทรมา Cobb ของ ESET กล่าวว่าหากธุรกิจขนาดเล็กไม่รายงานเรื่องนี้ต่อตำรวจเพราะกลัวว่าจะมีการบังคับใช้กฎหมายที่ไม่มีทรัพยากรในการตรวจสอบวงจรจะยืดเยื้อ

“ เรามีวงจรที่โชคร้ายที่หน่วยงานบังคับใช้กฎหมายได้รับเงินทุนตามรายงานอาชญากรรม แต่ผู้คนไม่รายงานอาชญากรรมเพราะพวกเขาไม่คิดว่าตำรวจมีทรัพยากร” Cobb ของ ESET กล่าว หากไม่มีใครรายงานตำรวจจะไม่เคยมีหลักฐานเพียงพอที่จะใช้ทรัพยากรเพื่อแก้ไขปัญหาอาชญากรรมไซเบอร์เหล่านี้ "

"เทศบาลส่วนใหญ่มีหน่วยอาชญากรรมไซเบอร์และจะตอบกลับ" เพิ่ม NIST's Toth

8. มีแผนรับมือเหตุการณ์ที่เกิดขึ้น

“ คุณไม่ได้พยายามคาดเข็มขัดนิรภัยไว้ในที่ที่เกิดอุบัติเหตุ” Littleton จากไมโครซอฟท์กล่าว "คุณต้องการแผนที่วางไว้ว่าคุณจะตอบสนองอย่างไร ก่อนที่จะ เกิดการแตกหัก"

“ คุณไม่ได้อยู่คนเดียวอย่างสมบูรณ์เช่นนี้” Cobb ของ ESET กล่าว "บริการความปลอดภัยที่คุณซื้อจากชั้นวางมาพร้อมกับการป้องกันที่เพิ่มขึ้นในระบบคลาวด์หรือในการเข้าถึงห่วงโซ่อุปทานพวกเขาอาจให้บริการตรวจจับและป้องกันในระดับฐานเมื่อรวบรวมแผนของคุณตรวจสอบให้แน่ใจว่าคุณไม่ได้ออกจากบริการรักษาความปลอดภัย บนตารางที่ MSP หรือบริการรักษาความปลอดภัยให้บริการ "

9. อย่าปล่อยให้จบหลวม

"ปัญหาหนึ่งที่เราเห็น - ถ้าและเมื่อพนักงานลาออกหรือถูกไล่ออก - การเข้าถึงระบบของพวกเขาจะไม่ถูกยกเลิกทันที" Cobb ของ ESET กล่าว "ธุรกิจขนาดเล็กทำงานร่วมกับคนที่พวกเขาไว้วางใจและผู้คนจำนวนมากที่มาและไปบางครั้งพวกเขาไม่ไปภายใต้สถานการณ์ที่มีความสุขที่สุดถ้าอดีตพนักงานที่มีความเสียใจยังคงสามารถเข้าถึงได้หรือแม้กระทั่งยังเปิดใช้งาน เป็นปัญหาด้านความปลอดภัยภายในที่ใหญ่ซึ่งง่ายต่อการแก้ไข "

10. ทรัพยากรภาครัฐและการฝึกอบรม

รัฐบาลกำลังดำเนินการขั้นตอนสำคัญในการแก้ไขปัญหาความปลอดภัยทางไซเบอร์ ทำเนียบขาวเปิดตัวกรอบความปลอดภัยทางไซเบอร์เมื่อต้นปีนี้และข้อเสนอด้านงบประมาณของประธานาธิบดีโอบามาในปี 2017 แสวงหาเงินทุนเพิ่มขึ้น 35% (เป็น 19 พันล้านดอลลาร์) เพื่อจัดการกับการโจมตีทางไซเบอร์ Kramer และ SIST ของ TBA ชี้ให้เห็นแหล่งข้อมูลของรัฐบาลที่ว่างเช่น SBA ทั้งหน้าของแหล่งข้อมูลความปลอดภัยทางไซเบอร์สำหรับธุรกิจขนาดกลางและขนาดย่อมรวมถึงเคล็ดลับและเครื่องมือรักษาความปลอดภัยทางไซเบอร์ชุดหลักสูตรการฝึกอบรมและการสัมมนาผ่านเว็บ

ทรัพยากรที่มีประโยชน์ที่สุดคือ:

• เคล็ดลับ 10 ประการในการรักษาความปลอดภัยบนโลกไซเบอร์ของ SBA
• SBA Online Course: Cyber ​​Security สำหรับธุรกิจขนาดเล็ก
• เครื่องมือประเมินความคิดเห็นทางไซเบอร์ความยืดหยุ่น (CRR)
• Biz Biz Cyber ​​Planner ขนาดเล็ก
• SBA, NIST และการประชุมเชิงปฏิบัติการธุรกิจขนาดเล็กร่วมของ FBI
• ช่อง YouTube ของ SBA
• ศูนย์ทรัพยากรความปลอดภัยคอมพิวเตอร์ของ NIST
• โปรแกรมการรับรองและการศึกษาของ COMPTIA เพื่อเรียนรู้โปรโตคอลความปลอดภัยของ MSP