Casa Seguretat Per què les petites empreses han d’aprendre dels incompliments de dades d’alt perfil

Per què les petites empreses han d’aprendre dels incompliments de dades d’alt perfil

Taula de continguts:

Anonim

En un informe recent, McAfee va declarar el 2014 "l'any de la violació" i és fàcil veure per què. Des del mes de gener, diverses empreses i corporacions de gran perfil han patit incompliments de dades paral·leles, passant de més de 50 milions de persones a Home Depot a 70 milions més a JPMorgan. Mentrestant, Staples, PF Chang, Goodwill i una multitud d’altres han caigut en presa de ciberdelinqüència.


Segons l’índex de nivells d’incompliment de SafeNet per al tercer trimestre de 2014, es van registrar 320 incompliments de dades entre juliol i setembre, el 46% dels quals van suposar robatori d’identitat.


La publicació sota la superfície d’aquestes notificacions d’incompliment principal és un gran nombre d’incompliments de dades de perfil inferior que es produeixen cada setmana sobre els quals és menys probable que en tingueu coneixement. Un objectiu com el Home Depot proporciona una oportunitat per a un sou enorme, però també suposa un risc més elevat i comporta una gran planificació de l’acord. Per tant, no és sorprenent veure alguns hackers que busquen fruites amb poca producció com les petites empreses (SMB). Es produirà jornades més petites, però poden ser abundants si se’n treuen diverses successivament.


Al mateix temps, els ciberdelinqüents utilitzen noves eines per orientar-se a les PIME, afirma Trend Micro en un dels seus darrers informes sobre keyloggers, que els pirates informàtics poden fer servir per esborrar les dades de la companyia.


"Les pimes tenen aquest fals sentit de la seguretat, pensant que un atac així no els passarà mai", afirma Gary Davis, evangelista en cap de seguretat del consumidor de McAfee. "Les amenaces de seguretat no discriminen per la mida organitzativa i per a les PIME que els empleats utilitzin diversos dispositius és cada cop més crucial tenir solucions de seguretat específiques".


No cal cavar gaire per trobar exemples d’incompliments de petita o mitjana mida. El Houstonian Hotel de Houston, Texas, va veure exposats els detalls de la targeta de crèdit de 10.000 clients durant un incompliment de seguretat a principis d'aquest any. A una escala menor, però no menys greu, la botiga d’equips d’esport a l’aire lliure Backcountry Gear, amb seu a Oregon, que envia mercaderies a tot el territori nord-americà, va descobrir programari maliciós al seu sistema el juliol del 2014 que pot haver compromès les dades dels clients.


"El problema és que moltes d'aquestes empreses no consideren la seguretat com una cosa que han de fer, sinó una cosa que han de fer", afirma Marcus Ranum, cap de seguretat de Tenable Network Security. "Per ser candidats, sovint adopten un enfocament mínim més baix, i subcontracten i intenten diferir la responsabilitat."

Adoptar les actituds adequades

La seguretat funciona millor quan es tracta com un "procés de negoci principal", segons SMB Security Guide, un lloc que aconsella a les empreses petites sobre bones pràctiques de seguretat.


Es necessita una formació bàsica bàsica per a qualsevol petita empresa per protegir els seus actius digitals. Va dir que els empleats han d’estar formats per l’ús de contrasenyes úniques i difícils, va dir Davis, i els propietaris d’empreses han de conèixer les seves dades dins i fora, on s’emmagatzema tot, i qui té exactament accés. Tenir un llibre obert sobre dades entre els empleats és probable que suposi una fuga de dades, ja sigui deliberada o accidental.


En qualsevol altre lloc, els propietaris d’empreses s’han de vetllar per que també s’actualitzin les seves aplicacions i sistemes operatius, però la ciberseguretat és polifacètica i també pot tenir una presència física. Qui té accés, per exemple, a habitacions on es guarden discs durs?


"No deixeu que els estranys vagin per les sales i limiteu l'accés físic amb portes tancades i sistemes d'entrada gestionats", diu Davis. "Assegureu-vos de realitzar controls de fons i de referència abans de contractar nous empleats."

Poseu el vostre propi dispositiu … o traieu el vostre incompliment de dades?

La Guia de resposta a les incomplències de dades 2014/2015 d'Experian i l'Institut Ponemon donen el cas per desenvolupar una política de resposta rígida per incompliments. Les polítiques efectives a nivell general ajudaran qualsevol empresa a afrontar millor els incompliments de les seves dades, especialment en el cas de les empreses amb pràctiques BYOD, que creen cada vegada més vies perquè es produeixin incompliments.


BYOD a l'oficina s'està convertint en inevitable, afirma el conseller de seguretat F-Secure, Sean Sullivan.


"Des del punt de vista d'un usuari, BYOD és una idea fantàstica, però des del punt de vista de la seguretat, és una idea terrible", afirma. "Estàs jugant a la loteria de la mala sort; les probabilitats són petites, però el primer premi és una pèrdua substancial de diners".


El dispositiu pertany a la persona i això planteja problemes al voltant de la responsabilitat, és per això que l’elaboració d’una política revestida de ferro és vital i ha de complementar la formació dels seus empleats en protocols de seguretat.


"Recomanem que les organitzacions proporcionin als seus empleats una formació addicional sobre els mateixos dispositius físics", afegeix Sullivan. "En oferir als empleats una gran experiència d'usuari, és menys probable que es incompleixin les directrius de la companyia relacionades amb la seguretat".

Les pimes es poden deixar al darrere

Les petites empreses se’ls convida a adoptar un enfocament proactiu de la seguretat i a adoptar les mentalitats de les grans empreses, ja que ningú més us atendrà.


"En realitat, la indústria de la seguretat ha reduït les petites i mitjanes empreses", afirma Paul Lipman, director general de iSheriff, una empresa de seguretat al núvol amb seu a Redwood City, Califòrnia. Les PIME es poden perdre en la conversa i no es criden la mateixa atenció en matèria de seguretat, sovint deixant-se que s’apoderen per si mateixes.


Pot ser que les pimes no tinguin tant per oferir un cibercriminal com un Home Depot o un objectiu, però les empreses encara tenen molt a perdre.


"No els interessa robar secrets o propietat intel·lectual, com els pirates informàtics dirigits a empreses més grans", diu Lipman, però allà on hi hagi un negoci hi ha diners i ciberdelinqüents s'adreçaran a tot allò que sàpiguen.


Algunes empreses estan cada cop més experimentades en la tecnologia, però la part crucial és que les PIME no poden prendre el seu temps amb això. La tecnologia i les amenaces cibernètiques evolucionen a un ritme sorprenent.


L'informe del propietari de petites empreses del Bank of America afirma que el 80% de les petites empreses han incorporat "algun tipus de mètode digital" al seu negoci, però això pot incloure les xarxes socials i la seguretat. Quina quantitat es presta a la consolidació de la seguretat que es presta a l'ampliació de l'abast de les xarxes socials?


La firma de seguretat BitSight va publicar una nova investigació el novembre de 2014 que corrobora moltes preocupacions sobre la seguretat de les empreses, sobretot al detall, i que la integritat de la seguretat ha disminuït en aquestes empreses.


"Si bé és encoratjador que la majoria dels minoristes incomplits hagin millorat l'eficàcia de la seva seguretat, hi ha més treball que cal fer, especialment en l'àmbit de la gestió del risc dels venedors", va dir Stephen Boyer, del CTO de BitSight, quan va anunciar la investigació.


Es planteja diverses preguntes. Si sou propietari d'una petita empresa, heu verificat les pràctiques de seguretat de la vostra empresa i heu avaluat on es troba la seguretat de la vostra jerarquia? A mesura que les amenaces cibernètiques evolucionin, les petites empreses hauran de fer el mateix.

Per què les petites empreses han d’aprendre dels incompliments de dades d’alt perfil