Casa Sicurezza Perché le piccole imprese devono imparare da violazioni dei dati di alto profilo

Perché le piccole imprese devono imparare da violazioni dei dati di alto profilo

Sommario:

Anonim

In un recente rapporto, McAfee ha dichiarato il 2014 "l'anno della violazione" ed è facile capire perché. Diverse aziende e società di alto profilo hanno subito paralizzanti violazioni dei dati da gennaio, da oltre 50 milioni di persone a Home Depot a 70 milioni oltre a JPMorgan. Nel frattempo, Staples, PF Chang's, Goodwill e molti altri sono caduti in preda al crimine informatico.


Secondo il Breach Level Index di SafeNet per il terzo trimestre 2014, tra luglio e settembre sono state segnalate 320 violazioni dei dati, il 46% delle quali ha riguardato il furto di identità.


Gorgogliare sotto la superficie di queste importanti notifiche di violazione è una raffica di violazioni dei dati di profilo inferiore che si verificano ogni settimana di cui è meno probabile che tu abbia notizia. Un obiettivo come Home Depot offre l'opportunità di un giorno di paga enorme, ma è anche un rischio più elevato e comporta una grande pianificazione delle trattative. Quindi, non è così sorprendente vedere alcuni hacker che cercano frutta a bassa quota come le piccole imprese (PMI). Questi produrranno giorni di paga più piccoli, ma possono essere generosi se molti vengono estratti in successione.


Nel frattempo, i criminali informatici utilizzano nuovi strumenti per colpire le PMI, afferma Trend Micro in uno dei suoi ultimi rapporti sui keylogger, che gli hacker possono utilizzare per sottrarre i dati dell'azienda.


"Le PMI hanno questo falso senso di sicurezza, pensando che un simile attacco non accadrà mai a loro", afferma Gary Davis, capo evangelista della sicurezza dei consumatori di McAfee. "Le minacce alla sicurezza non discriminano in base alle dimensioni dell'organizzazione e per le PMI i cui dipendenti utilizzano più dispositivi sta diventando sempre più cruciale disporre di soluzioni di sicurezza di classe."


Non è necessario scavare troppo a fondo per trovare esempi di violazioni di piccole e medie dimensioni. Lo Houstonian Hotel a Houston, in Texas, ha visto esposti 10.000 dettagli della carta di credito dei clienti durante una violazione della sicurezza all'inizio di quest'anno. Su scala più piccola ma non meno grave, il negozio di attrezzature sportive all'aperto Backcountry Gear, con sede in Oregon, che spedisce merci negli Stati Uniti, ha scoperto malware nel suo sistema a luglio 2014 che potrebbero aver compromesso i dati dei clienti.


"Il problema è che molte di queste aziende non considerano la sicurezza solo qualcosa che devono fare, ma piuttosto qualcosa che devono fare", afferma Marcus Ranum, responsabile della sicurezza presso Tenable Network Security. "Essendo sinceri, spesso adottano al meglio un approccio minimo e esternalizzano e cercano di differire la responsabilità".

Adottare i giusti atteggiamenti

La sicurezza funziona meglio quando viene trattata come un "processo aziendale principale", secondo la Guida alla sicurezza delle PMI, un sito che fornisce consulenza alle piccole aziende sulle migliori pratiche di sicurezza.


È necessaria una formazione di base di base per qualsiasi piccola impresa nella protezione dei propri beni digitali. I dipendenti devono essere addestrati a utilizzare password uniche e difficili, ha detto Davis, ei proprietari delle aziende devono conoscere i propri dati dentro e fuori, dove sono archiviati tutti e chi ha esattamente accesso ad essi. Avere un libro aperto sui dati tra i dipendenti può portare a una perdita di dati, sia intenzionale che accidentale.


Altrove, i proprietari delle aziende devono assicurarsi che anche le loro app e i loro sistemi operativi siano aggiornati, ma la sicurezza informatica è multiforme e può assumere anche una presenza fisica. Chi ha accesso alle stanze in cui sono memorizzati i dischi rigidi, ad esempio?


"Non lasciare che estranei vagabondino nei corridoi e limiti l'accesso fisico con porte chiuse e sistemi di accesso gestiti", afferma Davis. "Assicurati di condurre controlli approfonditi di riferimento e di riferimento prima di assumere nuovi dipendenti."

Porta il tuo dispositivo … o porta la tua violazione dei dati?

La Guida alla risposta alle violazioni dei dati 2014/2015 di Experian e l'Istituto Ponemon sostengono lo sviluppo di una rigida politica di risposta alle violazioni. Politiche efficaci su tutta la linea aiuteranno qualsiasi azienda a gestire meglio le proprie violazioni dei dati, in particolare nel caso di aziende con pratiche BYOD, che creano sempre più strade per le violazioni.


BYOD in ufficio sta diventando inevitabile, afferma il consigliere per la sicurezza di F-Secure Sean Sullivan.


"Dal punto di vista dell'utente, BYOD è un'ottima idea, ma dal punto di vista della sicurezza, è un'idea terribile", afferma. "Stai giocando alla lotteria della sfortuna; le probabilità sono piccole, ma il primo premio è una sostanziale perdita di denaro."


Il dispositivo appartiene all'individuo e questo solleva problemi in merito alla responsabilità, motivo per cui elaborare una polizza ironica è di vitale importanza e deve integrare la formazione dei dipendenti nei protocolli di sicurezza.


"Raccomandiamo alle organizzazioni di offrire ai propri dipendenti una formazione aggiuntiva sui dispositivi fisici stessi", aggiunge Sullivan. "Offrendo ai dipendenti una grande esperienza utente, è meno probabile che le linee guida aziendali relative alla sicurezza vengano ignorate."

Le PMI possono essere lasciate indietro

Le piccole imprese sono incoraggiate ad adottare un approccio proattivo alla sicurezza e ad adottare le mentalità delle grandi aziende, poiché nessun altro ti prenderà cura di te.


"In realtà, l'industria della sicurezza ha deluso le piccole e medie imprese", afferma Paul Lipman, CEO di iSheriff, una società di sicurezza cloud con sede a Redwood City, California. Le PMI possono perdersi nella conversazione e non ricevono la stessa attenzione in termini di sicurezza, spesso lasciandole a badare a se stesse.


Le PMI potrebbero non avere tanto da offrire a un criminale informatico come un deposito domestico o un obiettivo, ma le aziende hanno ancora molto da perdere.


"non sono interessati a rubare segreti o proprietà intellettuali come gli hacker che prendono di mira grandi aziende", afferma Lipman, ma dove c'è un'azienda, ci sono soldi e i cyber criminali prenderanno di mira tutto ciò che sanno di poter penetrare.


Alcune aziende stanno diventando sempre più esperte di tecnologia, ma la parte cruciale è che le PMI non possono dedicarsi a questo. La tecnologia e le minacce informatiche si stanno evolvendo a un ritmo sorprendente.


Il Rapporto sui proprietari di piccole imprese della Bank of America afferma che l'80% delle piccole imprese ha incorporato "un qualche tipo di metodo digitale" nella propria attività, ma ciò può includere i social media e la sicurezza. Quanta attenzione viene prestata al rafforzamento della sicurezza così come all'espansione della portata dei social media?


La società di sicurezza BitSight ha pubblicato una nuova ricerca nel novembre 2014 che conferma molte preoccupazioni sulla sicurezza delle aziende, in particolare la vendita al dettaglio, e osserva che l'integrità della sicurezza è diminuita in queste attività.


"Sebbene sia incoraggiante che la maggior parte dei rivenditori violati abbia migliorato la propria efficacia in termini di sicurezza, c'è ancora molto lavoro da fare, specialmente nell'area della gestione dei rischi dei fornitori", ha dichiarato Stephen Boyer, CTO di BitSight, quando ha annunciato la ricerca.


Solleva diverse domande. Se sei un piccolo imprenditore, hai verificato le pratiche di sicurezza della tua azienda e valutato la posizione della sicurezza nella tua gerarchia? Con l'evoluzione delle minacce informatiche, le piccole imprese dovranno fare altrettanto.

Perché le piccole imprese devono imparare da violazioni dei dati di alto profilo