Компьютерная безопасность — важная проблема для малого бизнеса — нарушения происходят с тревожной регулярностью в компаниях любого размера. Хотя наибольшее внимание средств массовой информации уделяется ситуациям, которые происходят в крупных компаниях, где могут быть затронуты миллионы людей, например, нарушениям в магазинах Target и Michael’s, владельцы и менеджеры малого бизнеса не должны поддаваться ложному мнению о том, что компьютерная безопасность проблемы не могут на них повлиять.
Три основные угрозы
Билл Кэри, вице-президент по маркетингу и развитию бизнеса компании Siber Systems Inc., заявляет: «Важно знать о киберугрозах и искать способы защиты вашей компании. Одним из первых шагов является понимание типов угроз, которые ваша компания может сталкиваться.» Он заявляет: «Три основных угрозы безопасности, с которыми малый бизнес столкнется в 2014 году, включают Что такое облачные вычисления? , пароли и уязвимости« принеси свое собственное устройство »(BYOD) / мобильных устройств». Он рекомендует: «Эти угрозы следует учитывать в политике компании».
1. Облачные вычисления
По словам Кэри, «более мелкие компании все чаще используют облачные вычисления, которые могут помочь им быстро масштабироваться и сэкономить на затратах на инфраструктуру». Он отмечает: «Облачные вычисления по своей сути не опасны — на самом деле, некоторые эксперты говорят, что большинство малых предприятий становятся более безопасными, когда они переносят операции в облако, поскольку у поставщиков облачных услуг есть стимул и обязанность использовать надежные методы обеспечения безопасности. Однако, как и в случае с любой тектонический сдвиг в технологическом ландшафте, переход в облако открывает новые уязвимости ».
Соображения безопасности
Выступая на панели на конференции RSA 2014 года, профессионалы по безопасности высокого уровня из Google и Microsoft согласились с тем, что облачные сервисы безопасны для использования в бизнесе. Согласно статье на Microsoft.com, «облачные вычисления могут быть более безопасными, чем традиционная ИТ-инфраструктура», поскольку провайдеры создают «несколько уровней безопасности и избыточности в своих центрах обработки данных».
Однако исследование, проведенное в Университете Джона Хопкинса, показало, что существует некоторая степень уязвимости даже у поставщиков облачных услуг, которые рекламируют себя как поставщиков с нулевым уровнем знаний, утверждая, что они хранят данные в зашифрованном виде, которые не могут быть просмотрены их сотрудниками или кем-либо, кто вы не хочу это видеть. Хотя исследователи не нашли доказательств фактического взлома, они выявили возможность того, что «конфиденциальность данных может быть нарушена». Их исследование показало, что у провайдера есть возможность видеть сохраненную информацию, когда она передается получателям, просматривающим ее через облако, а не фактическую загрузку.
Проверить безопасность провайдера
Кэри советует: «Важно убедиться, что ваш партнер по облачным вычислениям заслуживает доверия, а приложения — в безопасности». Кэри заявляет: «Существует множество доступных отчетов и сертификатов, которые клиенты облачных сервисов могут использовать для проверки соответствия передовым методам безопасности, включая отраслевые стандарты, такие как Стандартный отчет по безопасности данных индустрии платежных карт (PCI DSS ROC), ISO / IEC 27001 или отчет SSAE 16 SOC2 «.
Inc. Magazine призывает тех, кто покупает облачного поставщика, запрашивать документацию, разъясняющую, как любой поставщик, которого вы рассматриваете, будет защищать вашу критически важную бизнес-информацию, а также данные клиентов. Согласно статье на theguardian.com , рекламирующей преимущества облачных вычислений для малого бизнеса, поставщики качественных облачных услуг «объяснят свои методологии безопасности» клиентам, ссылаясь на Центр управления безопасностью Office 365 в качестве примера.
Принимайте мудрые решения
Национальная федерация независимого бизнеса (NFIB) призывает компанию к «выбрать услуги с устоявшейся репутацией,» списком компаний , как Salesforce и Amazon EC2 в качестве примеров , установленных поставщиков. Это снижает вероятность того, что ваш облачный провайдер может неожиданно выйти из бизнеса, в результате чего вы останетесь без доступа к важной бизнес-информации. Они также рекомендуют выполнять резервное копирование ваших данных либо через стороннюю службу, либо — если вы используете только одну службу облачного хранилища — платить поставщику за периодическую «отправку вам жесткого диска или DVD с данными».
2. Пароли
Кэри предупреждает: «Пароли остаются первой линией защиты от хакеров, и они, вероятно, останутся излюбленным способом получения доступа к данным компании в будущем». он указывает: «Слабые пароли, содержащие слова из словаря и все строчные буквы, можно взломать за считанные минуты. Чтобы противостоять угрозе, владельцам малого бизнеса следует подумать об обучении сотрудников созданию надежных паролей и поощрить их часто менять пароли».
Лучшие практики для паролей
В статье о Microsoft Business не рекомендуется самоуспокоиться с паролями, где говорится: «Хакеры — хитрые люди, которые ни перед чем не остановятся, чтобы проникнуть в вашу сеть и файлы». В усилиях хакеров, направленных на взлом паролей, используется все: от грубой силы (попытка всевозможных комбинаций цифр, букв и специальных символов) до социальной инженерии (попытка обманом заставить вас раскрыть пароль) до словарных атак (с использованием специальных словарей, в которых слова сочетаются с цифрами и т. Д.). специальные символы).
По словам Кэри, лучшие методы защиты паролей включают:
- «Обычно рекомендуется создавать новый пароль каждые 30 дней».
- «Лучше использовать пароли, содержащие как прописные, так и строчные буквы, а также цифры и символы».
- «Люди никогда не должны использовать слово, которое появляется в словаре, в качестве пароля».
- «Ошибочно использовать личную информацию, такую как ваше имя, имя ребенка или домашнего животного, название вашей любимой спортивной команды или номер телефона. Эту информацию легко получить в Интернете, поэтому хакеры могут использовать ее для проникновения в личные учетные записи и совершения мошенничества»
Технологическое решение
Кэри заявляет: «Люди знают, что им следует создавать надежные пароли, которые трудно взломать, и большинство из них знает, что им следует использовать разные пароли для каждого сайта, который они посещают, но проблема заключается в запоминании всех требуемых паролей, поэтому слишком многие игнорируют эти передовые методы. . » Технологические инструменты, такие как решение RoboForm Password Manager от компании Siber Systems, могут помочь противодействовать этой тенденции.
Кэри объясняет: «С RoboForm вам нужно запомнить только один пароль; после того, как вы выберете мастер-пароль, вы сможете получить доступ ко всем сайтам, которые вы посещаете. RoboForm сгенерирует безопасные уникальные пароли для каждого сайта и позволит вам часто менять их для добавления безопасность, и все это без необходимости запоминать их. RoboForm также обеспечивает безопасный доступ к паролям, где бы вы ни находились, на любом устройстве ».
Вам не нужно тратить целое состояние, чтобы получить хороший инструмент для управления паролями. В качестве примера Кэри указывает, что «лицензии на RoboForm 7 Enterprise Workstation начинаются с 39,95 долларов США для компаний с девятью или менее сотрудниками». Он объясняет: «Цена снижается для предприятий, которые лицензируют 10 или более сотрудников, при этом более крупные группы платят меньше за индивидуальные лицензии».
3. Уязвимости BYOD / мобильных устройств
Кэри заявляет: «Тенденция« принеси свое собственное устройство »(BYOD) и распространение смартфонов и планшетов может сделать сотрудников более продуктивными, но эти устройства также могут подорвать безопасность компании». Он объясняет: «Это связано с тем, что с BYOD сотрудники несут ответственность за обновление программного обеспечения и использование эффективных методов безопасности. Если ваши сотрудники используют личные смартфоны и планшеты для доступа к системам компании, важно убедиться, что они делают это в безопасным способом «.
BYOD здесь, чтобы остаться
По словам Кэри, «BYOD во многих отношениях является свершившимся фактом — есть компании, которые все еще сопротивляются этому, но большинство склоняются перед неизбежным и даже принимают его, поскольку есть преимущества для компании, такие как увеличение доступности персонала. Отраслевой аналитик. Gartner называет BYOD самым радикальным сдвигом в корпоративных вычислениях с момента появления ПК.
Кэри объясняет: «Компании подходят к BYOD по-разному. Многие позволяют сотрудникам использовать любой тип устройства, который они хотят». Другие требуют, чтобы сотрудники выбирали устройства из утвержденного списка.
Соображения безопасности
Кэри указывает: «Компании должны требовать от сотрудников использовать хорошее приложение безопасности и регулярно его обновлять. В противном случае они без нужды оставляют ценные бизнес-данные уязвимыми для хакеров». Как указывает ZDNet.com , без надлежащего приложения безопасности мобильные приложения, которые сотрудники загружают для личного использования, могут «разрешить нерегулируемый доступ третьих лиц к другой конфиденциальной корпоративной информации, хранящейся на их устройствах». TrendMicro — это пример приложения безопасности, разработанного с учетом BYOD.
Хотя приложение безопасности важно, это не единственное соображение безопасности, связанное с BYOD. Veracode подчеркивает важность требования от сотрудников «поддерживать в актуальном состоянии ОС, микропрограммное обеспечение, программное обеспечение и приложения». Veracode также рекомендует подписаться на «службу поиска устройств» для всех устройств BYOD. Этот тип службы позволяет отслеживать устройство, если оно потеряно или украдено, а также удаленно стереть данные с него.
Согласно TechRepublic, требование к сотрудникам регистрировать свои мобильные устройства также является важной мерой безопасности . Подробности, которые они рекомендуют использовать, включают «тип устройства, оператора связи (если применимо), MAC-адрес и пользователя». Это позволит вам лучше идентифицировать пользователей, которые не соблюдают политику BYOD компании, и «заблокировать нарушающих правила пользователей от использования вашей сети».
Лучшие практики
Из-за возможности очистки устройства BYOD важно поддерживать резервные копии данных устройства — как личных, так и связанных с бизнесом. Сотрудники должны точно знать, что компания поддерживает, чтобы они могли принимать обоснованные решения о защите своих личных данных.
По словам Кэри, три дополнительных ключевых передовых метода для BYOD:
- «Убедитесь, что сотрудники используют надежные пароли на любых личных устройствах, которые они будут использовать для доступа к системам или данным компании».
- «Обеспечьте сотрудников обучением и поддержкой, которые им необходимы для безопасной работы со своими устройствами».
- «Установите формальную политику BYOD и попросите сотрудников подписать подтверждение, чтобы привлечь их к ответственности».
Дополнительные угрозы
Хотя Кэри считает, что это три самые большие угрозы компьютерной безопасности, с которыми малый бизнес сталкивается по состоянию на 2014 год, они, безусловно, не единственные — и в будущем, вероятно, появятся новые угрозы компьютерной безопасности.
Кэри напоминает пользователям компьютеров и мобильных устройств быть осторожными при загрузке. Он советует: «Для загрузки приложений антивирусное и вредоносное приложение является хорошей первой линией защиты, но также разумно знать, что вы загружаете и с какого типа сайта». Кэри предупреждает: «Будьте особенно осторожны при загрузке исполняемых файлов (с суффиксами, такими как .exe, .bat, .pif и т. Д.) И убедитесь, что вы загружаете приложения только из надежных источников».