เนื้อหา
- การยอมรับทัศนคติที่ถูกต้อง
- นำอุปกรณ์ของคุณเอง ... หรือนำข้อมูลของคุณมาเอง
- SMB สามารถถูกทิ้งไว้ข้างหลัง
ที่มา: Mbolina / Dreamstime.com
Takeaway:
ธุรกิจขนาดเล็กถึงขนาดกลางมักไม่ให้ความปลอดภัยเท่าที่จำเป็น
ในรายงานล่าสุด McAfee ประกาศปี 2014 "ปีแห่งการฝ่าฝืน" และเป็นเรื่องง่ายที่จะดูว่าทำไม บริษัท และ บริษัท ชั้นนำหลายแห่งประสบปัญหาข้อมูลรั่วไหลตั้งแต่เดือนมกราคมจากผู้คนกว่า 50 ล้านคนที่โฮมดีโปถึง 70 ล้านคนที่ JPMorgan ในขณะเดียวกัน Staples, PF Chang's, สันถวไมตรีและอื่น ๆ ต่างก็ตกเป็นเหยื่อของอาชญากรรมไซเบอร์ตามดัชนีระดับ SafeNets Breach สำหรับไตรมาสที่สามของปี 2014 มี 320 รายงานการละเมิดข้อมูลระหว่างเดือนกรกฎาคมและเดือนกันยายน 46% ซึ่งเกี่ยวข้องกับการขโมยข้อมูลประจำตัว
การเดือดดาลภายใต้พื้นผิวของการแจ้งเตือนการละเมิดที่สำคัญเหล่านี้คือความวุ่นวายของการรั่วไหลของข้อมูลโปรไฟล์ที่เกิดขึ้นทุกสัปดาห์ที่คุณมีโอกาสได้ยินน้อยลง เป้าหมายเช่นโฮมดีโปให้โอกาสสำหรับการจ่ายเงินจำนวนมาก แต่ก็มีความเสี่ยงสูงกว่าและเกี่ยวข้องกับการวางแผนการจัดการที่ดี ดังนั้นจึงไม่น่าแปลกใจที่จะเห็นแฮ็กเกอร์บางคนกำลังออกผลไม้ต่ำเช่นธุรกิจขนาดเล็ก (SMB) สิ่งเหล่านี้จะให้ผลตอบแทนที่น้อยลง แต่สามารถได้รับความอุดมสมบูรณ์หากมีหลายคนถูกดึงออกมาอย่างต่อเนื่อง
ในขณะที่อาชญากรไซเบอร์ใช้เครื่องมือใหม่เพื่อกำหนดเป้าหมายธุรกิจขนาดกลางกล่าวว่า Trend Micro เป็นหนึ่งในรายงานล่าสุดเกี่ยวกับ keyloggers ซึ่งแฮกเกอร์สามารถใช้เพื่อดูดข้อมูลของ บริษัท ออก
“ SMB มีความปลอดภัยที่ผิดพลาดโดยคิดว่าการโจมตีดังกล่าวจะไม่เกิดขึ้นกับพวกเขา” Gary Davis หัวหน้าผู้สอนศาสนาด้านความปลอดภัยของผู้บริโภคที่ McAfee กล่าว "ภัยคุกคามความปลอดภัยไม่แบ่งแยกตามขนาดขององค์กรและสำหรับธุรกิจขนาดกลางที่พนักงานใช้อุปกรณ์หลายเครื่องซึ่งมีความสำคัญมากขึ้นในการมีโซลูชั่นรักษาความปลอดภัยในระดับเดียวกัน"
คุณไม่จำเป็นต้องขุดมากเกินไปเพื่อค้นหาตัวอย่างของการรั่วไหลขนาดเล็กถึงขนาดกลาง โรงแรม Houstonian ในเมืองฮุสตันรัฐเท็กซัสเห็นรายละเอียดบัตรเครดิตของลูกค้า 10,000 รายที่ถูกเปิดเผยในช่วงที่มีการละเมิดความปลอดภัยเมื่อต้นปีนี้ ในขนาดที่เล็กลง แต่ไม่รุนแรงนักร้านอุปกรณ์กีฬากลางแจ้ง Backcountry Gear ซึ่งตั้งอยู่ในรัฐโอเรกอนซึ่งจัดส่งสินค้าทั่วสหรัฐอเมริกาได้ค้นพบมัลแวร์ในระบบในเดือนกรกฎาคม 2014 ซึ่งอาจทำให้ข้อมูลลูกค้าเสียหาย
Marcus Ranum หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Tenable Network Security กล่าวว่า "ปัญหาคือ บริษัท เหล่านี้จำนวนมากไม่คำนึงถึงความปลอดภัยเป็นสิ่งที่พวกเขาต้องทำ แต่สิ่งที่พวกเขาต้องทำ" Marcus Ranum หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Tenable Network Security กล่าว "การเป็นคนตรงไปตรงมาพวกเขามักจะใช้วิธีการขั้นต่ำที่ดีที่สุดและให้บริการภายนอกและพยายามที่จะชะลอความรับผิด"
การยอมรับทัศนคติที่ถูกต้อง
ความปลอดภัยทำงานได้ดีที่สุดเมื่อปฏิบัติเป็น "กระบวนการทางธุรกิจหลัก" ตามคำแนะนำด้านความปลอดภัยของ SMB ไซต์ที่แนะนำธุรกิจขนาดเล็กเกี่ยวกับแนวปฏิบัติที่ดีที่สุดเพื่อความปลอดภัยจำเป็นต้องมีการฝึกขั้นพื้นฐานสำหรับธุรกิจขนาดเล็กในการปกป้องทรัพย์สินดิจิทัล พนักงานต้องได้รับการฝึกอบรมในการใช้รหัสผ่านที่ไม่ซ้ำใครและยากเดวิสกล่าวและเจ้าของธุรกิจจำเป็นต้องรู้ข้อมูลของพวกเขาทั้งในและนอกสถานที่ซึ่งทุกอย่างถูกเก็บไว้และผู้ที่สามารถเข้าถึงมันได้อย่างแท้จริง การมีหนังสือเปิดโล่งเกี่ยวกับข้อมูลในหมู่พนักงานน่าจะนำไปสู่การรั่วไหลของข้อมูลไม่ว่าจะโดยเจตนาหรือโดยไม่ตั้งใจ
เจ้าของธุรกิจจำเป็นต้องตรวจสอบให้แน่ใจว่าแอพและระบบปฏิบัติการของพวกเขาได้รับการอัพเดตด้วยเช่นกัน แต่การรักษาความปลอดภัยในโลกไซเบอร์นั้นมีหลายแง่มุมและสามารถแสดงตนได้เช่นกัน ใครบ้างที่เข้าถึงห้องที่จัดเก็บฮาร์ดไดรฟ์
"อย่าปล่อยให้คนแปลกหน้าเดินเข้าไปในห้องโถงและ จำกัด การเข้าถึงทางกายภาพด้วยประตูที่ถูกล็อคและระบบเข้าที่มีการจัดการ" เดวิสกล่าว "ต้องแน่ใจว่าได้ตรวจสอบประวัติและการอ้างอิงอย่างละเอียดก่อนจ้างพนักงานใหม่"
นำอุปกรณ์ของคุณเอง ... หรือนำข้อมูลของคุณมาเอง
คู่มือการตอบสนองการฝ่าฝืนข้อมูล 2014/2015 ของ Experian และสถาบัน Ponemon สร้างกรณีสำหรับการพัฒนานโยบายการตอบสนองการละเมิดที่เข้มงวด นโยบายที่มีประสิทธิภาพทั่วทั้งกระดานจะช่วยให้ธุรกิจใด ๆ จัดการกับการรั่วไหลของข้อมูลได้ดีขึ้นโดยเฉพาะอย่างยิ่งในกรณีของ บริษัท ที่มีการปฏิบัติตาม BYOD ซึ่งจะสร้างช่องทางให้เกิดช่องโหว่มากขึ้นเรื่อย ๆBYOD ในสำนักงานกำลังหลีกเลี่ยงไม่ได้ Sean Sullivan ที่ปรึกษาด้านความปลอดภัยของ F-Secure กล่าว
"จากมุมมองของผู้ใช้ BYOD เป็นความคิดที่ดี แต่จากมุมมองด้านความปลอดภัยมันเป็นความคิดที่แย่มาก" เขากล่าว "คุณกำลังเล่นลอตเตอรีโชคไม่ดีโอกาสน้อย แต่รางวัลแรกคือการสูญเสียเงินจำนวนมาก"
อุปกรณ์เป็นของแต่ละบุคคลและสิ่งนี้ทำให้เกิดปัญหาเกี่ยวกับความรับผิดชอบซึ่งเป็นเหตุผลที่การกำหนดนโยบายการหุ้มเกราะมีความสำคัญและต้องฝึกอบรมพนักงานของคุณในโปรโตคอลความปลอดภัย
"เราแนะนำให้องค์กรให้การฝึกอบรมเพิ่มเติมแก่พนักงานของตนเกี่ยวกับอุปกรณ์ทางกายภาพ" ซัลลิแวนกล่าวเสริม "ด้วยการมอบประสบการณ์ผู้ใช้ที่ยอดเยี่ยมแก่พนักงานแนวทางของ บริษัท ที่เกี่ยวข้องกับความปลอดภัยนั้นมีแนวโน้มที่จะถูกละเมิดน้อยลง"
SMB สามารถถูกทิ้งไว้ข้างหลัง
ธุรกิจขนาดเล็กได้รับการสนับสนุนให้ใช้วิธีการเชิงรุกเพื่อความปลอดภัยและนำจิตสำนึกของ บริษัท ใหญ่ ๆ มาใช้เพราะจะไม่มีใครมองคุณ“ ในความเป็นจริงอุตสาหกรรมการรักษาความปลอดภัยทำให้ธุรกิจขนาดกลางและขนาดเล็กลง” พอลลิปแมนซีอีโอของ iSheriff บริษัท รักษาความปลอดภัยระบบคลาวด์ซึ่งตั้งอยู่ที่เรดวูดซิตี้รัฐแคลิฟอร์เนียกล่าว ธุรกิจขนาดกลางอาจหายไปจากการสนทนาและไม่ได้รับความสนใจเท่าเดิมเมื่อพูดถึงเรื่องความปลอดภัยซึ่งบ่อยครั้งที่พวกเขาปล่อยให้พวกเขาดูแลตนเอง
ธุรกิจขนาดกลางอาจไม่ได้มีมากพอที่จะเสนออาชญากรไซเบอร์ในฐานะ Home Depot หรือ Target แต่ บริษัท ยังคงมีจำนวนมากที่ต้องสูญเสีย
"ไม่สนใจที่จะขโมยความลับหรือทรัพย์สินทางปัญญาเช่นแฮ็กเกอร์ที่กำหนดเป้าหมายไปยังองค์กรขนาดใหญ่" ลิปแมนกล่าว แต่เมื่อมีธุรกิจมีเงินและอาชญากรไซเบอร์จะกำหนดเป้าหมายทุกอย่างที่พวกเขารู้ว่าสามารถเจาะได้
บางธุรกิจเริ่มมีความเชี่ยวชาญด้านเทคโนโลยีมากขึ้นเรื่อย ๆ แต่ส่วนที่สำคัญคือ SMB ไม่สามารถใช้เวลากับสิ่งนี้ได้ เทคโนโลยี - และการคุกคามทางไซเบอร์ - กำลังพัฒนาอย่างก้าวกระโดด
รายงานเจ้าของธุรกิจขนาดเล็กของ Bank of America ระบุว่า 80% ของธุรกิจขนาดเล็กได้รวม "วิธีการทางดิจิทัลบางประเภท" ไว้ในธุรกิจของพวกเขา แต่อาจรวมถึงโซเชียลมีเดียและความปลอดภัย ความสนใจจะได้รับการจ่ายเท่าไหร่เพื่อเสริมสร้างความปลอดภัยเช่นเดียวกับที่จ่ายให้กับการขยายเครือข่ายสังคมออนไลน์?
บริษัท รักษาความปลอดภัย BitSight ตีพิมพ์งานวิจัยใหม่ในเดือนพฤศจิกายน 2557 ซึ่งยืนยันความกังวลมากมายเกี่ยวกับความปลอดภัยของธุรกิจโดยเฉพาะอย่างยิ่งการค้าปลีกและข้อสังเกตว่าความสมบูรณ์ของการรักษาความปลอดภัยได้ลดลงในธุรกิจเหล่านี้
“ ในขณะที่การส่งเสริมให้ผู้ค้าปลีกส่วนใหญ่ที่ละเมิดปรับปรุงประสิทธิภาพความปลอดภัยของพวกเขามีงานที่ต้องทำมากขึ้นโดยเฉพาะในด้านการบริหารความเสี่ยงของผู้ขาย” Stephen Boyer CTS ของ BitSight กล่าวเมื่อประกาศการวิจัย
มันทำให้หลายคำถาม หากคุณเป็นเจ้าของธุรกิจขนาดเล็กคุณได้ตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยของ บริษัท ของคุณแล้วและประเมินว่าตำแหน่งความปลอดภัยนั้นอยู่ในลำดับชั้นของคุณหรือไม่ เมื่อภัยคุกคามในโลกไซเบอร์พัฒนาธุรกิจขนาดเล็กจะต้องทำเช่นเดียวกัน