25 советов по кибер безопасности для малого бизнеса

Малые предприятия более подвержены кибер угрозам, в основном из-за человеческих ошибок. Например сотрудники, щелкающие ненадежные ссылки, устанавливающие слабые пароли (такие как name_123), и проявляющие безразличное отношение к конфиденциальным данным.

Малые предприятия часто не обучают своих сотрудников основным методам безопасности из-за неправильного представления о том, что никто не будет атаковать их небольшие сети.

Наоборот, малые предприятия становятся свидетелями кибер атак так же часто, как и любая более крупная организация. Им часто не хватает надежной инфраструктуры кибер безопасности, и они становятся естественными целями для кибер-хищников. Наряду с созданием культуры кибер безопасности, когда сотрудники осознают свои обязанности по обеспечению безопасности конфиденциальных данных, владельцы малого бизнеса также должны принять кибер-гигиенические практики.

Им следует вкладывать средства в такие технологии, как антивирусное программное обеспечение, двухфакторная проверка подлинности и брандмауэры, для предотвращения утечки данных. Если кибер безопасность станет приоритетом, малые предприятия могут оставаться вооруженными против потенциальных угроз.

Самый важный совет по кибер безопасности для малого бизнеса – это защита вашей сети и компьютерного оборудования. Подключение к Интернету является открытой дверью для хакеров, и любые способы нарушения должны быть закрыты соответствующими протоколами безопасности, чтобы избежать атак с применением грубой силы и вторжения.

Частично это можно решить, просто используя для приложений не стандартные порты. Соединения Wi-Fi представляют некоторые серьезные уязвимости, которые можно быстро устранить с помощью надежного шифрования при передаче данных между офисами, компьютерами и другими компаниями.

С выпуском WP3 беспроводная безопасность стала проще и стала намного безопаснее благодаря встроенному шифрованию для любой беспроводной связи. Административное управление сетевыми протоколами и устройствами также значительно улучшено.

Предприятия теряют миллиарды долларов в год из-за утечки данных и мошенничества, и ни одна вертикаль не застрахована от этой проблемы. Новые угрозы разрабатываются каждый день, поэтому вам необходимо использовать многоуровневый подход для рассмотрения как можно большего количества потенциальных источников.

Например, брандмауэры и защищенный Wi-Fi могут предотвратить некоторые атаки, в то время как динамические коды доступа могут быть более эффективными для перехвата других криминальных тактик.

Существует также широкий спектр инструментов для предотвращения преступного мошенничества до совершения транзакции, а также управление возвратными платежами для борьбы с мошенничеством после транзакции. Используя все эти дополнительные инструменты как часть единой стратегии, вы можете остановить себя, чтобы остановить большинство атак.

Примите, что это только вопрос времени, пока ваш бизнес не станет целью

Я бы сказал, что правило номер один для малого бизнеса, когда речь заходит о кибербезопасности, – помнить, что это ситуация «когда, а не если». Как только у компаний появится такое мышление, я думаю, что они смогут быть активными в борьбе с хакерами, и быть активным – это лучший совет, который я могу дать.

Технологический мир, в котором мы живем, полон взломов и взломов, и вместо того, чтобы ожидать, что они прекратятся, предприятиям необходимо начать работу с клиентской частью. Убедитесь, что ваши сотрудники используют то же оборудование, которым управляет один и тот же человек. Обучение кибербезопасности должно стать частью обучения на борту. Самый простой способ выиграть бой – это уже раскачиваться, когда возникают проблемы.

Будьте очень осторожны, на какие ссылки вы нажимаете! Это один из самых простых способов взломать ваш компьютер. Если вы получили подозрительное электронное письмо или подозрительную ссылку от кого-то, кому вы доверяете, обязательно свяжитесь с ним другим способом (если вы получили электронное письмо, позвоните им, если вы получили текстовое сообщение, отправьте им электронное письмо и т. д.), чтобы подтвердить, что они действительно хотели отправить его вам.

Это дополнение к очень распространенному, но важному совету всегда обновлять программное обеспечение и запускать на компьютере обновленное антивирусное программное обеспечение. Эти методы не защитят от субъектов национального государства, но предотвратят непреднамеренный компромисс со стороны хакеров, ищущих людей, которые не знают ничего лучше или совершают глупые ошибки.

Малые предприятия должны знать об угрозах безопасности, создаваемых устройствами IoT, поступающими в корпоративную сеть. Устройства IoT, такие как смартфоны, планшеты, носимые устройства и даже умный кофейник или телевизор в офисе, часто остаются незамеченными и поэтому не защищены.

Ни одно устройство IoT не стоит на пороге для хакеров, учитывая массивный набор DDoS-атак, использующих скомпрометированные IP-камеры наблюдения для создания огромного количества трафика, наносящего вред многим веб-сайтам, угрожая тому, что ваш телевизор Samsung может шпионить за вами.

Малые предприятия могут не иметь структуры безопасности для постоянного мониторинга этих устройств на предмет уязвимости или атак, поэтому им следует внедрить процессы подключения новых устройств, чтобы гарантировать надежность паролей и наличие обновлений.

Как владелец малого бизнеса, вы наверняка будете иметь десятки онлайн-аккаунтов (или больше) для всего – от онлайн-банкинга до заказа расходных материалов на электронную почту. В интересах эффективности вы всегда будете использовать одни и те же имена пользователей и пароли снова и снова.

Поскольку большинство учетных записей в Интернете теперь используют ваш адрес электронной почты для имени пользователя – который для большинства людей легко найти –это оставляет хакеру только пароль, чтобы выяснить. Если они это сделают, то они… не только в одной учетной записи, но потенциально во многих.

Средство? Полностью выделите приложение для управления паролями (например, Keeper, KeePass или любую из сотен других опций) для хранения и управления вашими паролями, а затем используйте длинные буквенно-цифровые бессмысленные пароли, которые вы никогда не сможете запомнить. Многие приложения для паролей теперь устанавливаются в ваш браузер, поэтому вы можете просто автоматически ввести пароль из простого выпадающего меню. Если в этом году вы сделаете только одно, чтобы улучшить свою защиту от кибербезопасности, то это наиболее вероятное предотвращение катастрофы для вашего бизнеса.

8. Мудро выбирайте свое программное обеспечение для кибербезопасности

На сегодняшний день лучшей антивирусной программой на мой взгляд является Zemana AntiMalware. Судя по моим эмпирическим данным, лучшие новички поднимаются на вершину и остаются там от шести месяцев до пары лет. Затем они начинают скользить или стагнировать, а некоторые даже начинают вводить неадекватные возможности, такие как идентификация конкурирующего программного обеспечения безопасности как вирусов.

Проверяйте по крайней мере каждые шесть месяцев, чтобы убедиться, что ваше программное обеспечение безопасности является лучшим из доступных; если это не так, это может быть время для перемен. Устаревшее программное обеспечение не найдет всего, что сможет найти лучший продукт.

9. Обучите своих сотрудников кибербезопасности

Есть много вполне выполнимых и доступных шагов, которые могут предпринять малые предприятия, но, пожалуй, наиболее важным является обучение ваших сотрудников надлежащим методам безопасности и ограничение доступа к конфиденциальным данным только тем сотрудникам, которым необходим такой доступ.

Основной источник утечки данных – как в крупных, так и в небольших компаниях –все еще происходит, когда сотрудники невольно загружают программы регистрации нажатий клавиш, которые могут считывать и красть всю информацию на компьютерах предприятия.

Часто эти программы вредоносных программ нажатия клавиши лесозаготовка невольно загружены сотрудниками серфинга в интернет для порнографии или видеоигр. На самом деле, 40 процентов всей свободной порнографии рассматривается в работе на компьютерах компании; Воры личности знают и используют этот факт. Обучение ваших сотрудников распознаванию и предотвращению фишинг-писем, предназначенных для того, чтобы побудить их нажимать на вредоносные программы, содержащие ссылки, – это самое важное, что может сделать любая небольшая компания.

Установите четкие ожидания в отношении обязанности руководства по разработке комплексной, реалистичной стратегии для каждого уровня организации. С учетом этих ожиданий настройте руководство на успех, предоставив конкретную поддержку в виде соответствующего бюджета и персонала. Обладая широким кругозором, информированная команда старших руководителей находится в лучшем положении, чтобы определить, как реагировать на определенные категории кибер-рисков. Создайте конкретные планы для каждой категории риска.

Cyberattackers теперь регулярно предназначаться малым бизнес с вымогателями, облачными атаками и другими методами социальной инженерии , поскольку такие организации не имеют гарантии безопасности , присущие Fortune1000s – которые в настоящее время тратят до $ 1 млрд в организации на кибер безопасности ежегодно.

К сожалению, атаки на малые и средние предприятия оказались разрушительными. Сегодня 60 процентов малых предприятий, которые становятся жертвами кибератаки, не выздоравливают и постоянно закрываются в течение шести месяцев. Наибольший риск для малого и среднего бизнеса связан с облачными бизнес-приложениями (например, G Suite, MS Office 365, Dropbox и т. Д.), На которые так сильно полагаются многие компании.

Чтобы снизить риски, небольшие компании, не имеющие ИТ-поддержки, могут использовать единую облачную платформу безопасности, которая контролирует доступ пользователей, устройств и сети для обнаружения и уменьшения угроз в режиме реального времени. Идея полной кибер безопасности корпоративного уровня принадлежит не только компаниям высшего уровня, и может быть внедрена и принята малыми и средними предприятиями, если они не предвзято относятся к новой волне новых решений.

Различные технологии могут помочь вам снизить подверженность риску и угрозы для вашей среды, а также помочь вам справиться с огромным объемом данных, которые необходимо проанализировать.

Однако, будьте осторожны , принимая технологии , даже если они призваны сократить время, данные или усилия – которые все хорошие преимущества для небольших, ограниченных ресурсов команд безопасности. Требуйте доказательства того, что это уменьшает воздействие на все ресурсы.

Многие технологии обещают сокращение в одной области, но в действительности требуют уровня знаний, навыков или просто дополнительных людей в другой области, чтобы полностью реализовать это обещание.

SIEM, UEBA и даже более новые технологии, такие как инструменты Security Orchestration, являются фундаментально мощными платформами, но требуют большого ухода и поддержки, чтобы начать работу и поддерживать свою ценность с течением времени.

Ищите технологии, которые снимают с вас это бремя – тогда у вас будет настоящий множитель силы. В целом: убедитесь, что вы понимаете скрытые затраты на использование технологий. Это может принести вам не столько пользы, сколько вы хотите.

13. Получить сертификат SSL для вашего сайта

Одним из наиболее важных советов по кибербезопасности для малого бизнеса является получение сертификата SSL на своем веб-сайте. Сертификат SSL позволяет безопасно шифровать и отправлять и получать конфиденциальную информацию, например номера кредитных карт и пароли. Без этого сертификата любой компьютер между вами и сервером, который получает информацию, может получить доступ к вашей конфиденциальной информации.

Начиная с июля 2018 года, Google будет отмечать любой веб-сайт, содержащий поля ввода пароля и кредитной карты, как незащищенный, если у него нет сертификата SSL. Наличие SSL-сертификата позволяет вашему сайту быть безопасным для его пользователей и бизнеса, в то время как отсутствие такого сертификата может привести к потере трафика (и, возможно, к нарушению безопасности) вашего сайта. Если вы не уверены, есть ли у вашего веб-сайта этот сертификат, обратитесь к веб-разработчику или проверьте URL-адрес, чтобы узнать, имеет ли он «HTTPS» вместо «HTTP».

14. Держите все свои интернет-устройства обновленными с помощью исправлений безопасности

Одним из элементов, который легко упустить из виду, является поддержание беспроводных маршрутизаторов и / или других интернет-устройств в актуальном состоянии для исправлений безопасности. В настоящее время существуют случаи заражения вредоносными программами незащищенных маршрутизаторов, и эта вредоносная программа сохраняется даже после перезагрузки устройства.

Вместо того чтобы восстанавливать заводские настройки устройства по умолчанию, проще установить напоминание календаря, чтобы проверять наличие новых прошивок или других обновлений ежемесячно. Если ваше устройство не предоставляет обновления безопасности на регулярной основе, стоит перейти к тому, что делает

15. Аутсорсинг поставщику услуг управляемой безопасности

Малые предприятия должны передать свои ИТ-функции поставщику услуг управляемой безопасности. Это отличная, экономически эффективная стратегия, обеспечивающая высокий уровень экспертизы в области безопасности без необходимости искать специалистов по безопасности на полный рабочий день.

MSSP обычно входит в ваши серверы и системы, чтобы управлять ими для вас. Один большой риск заключается в том, что если ваш MSSP является фишингом, хакер может украсть учетные данные MSSP, чтобы войти в ваши системы, украсть ваши данные или зашифровать ваши диски для выкупа. Мы настоятельно рекомендуем проводить аудит вашего MSSP, чтобы гарантировать защиту людей, процессов и технологий от потери ценных учетных данных.

Такая система, как Privileged Access Management, гарантирует, что учетные данные остаются безопасными и используются надлежащим образом, что устраняет угрозу того, что злоумышленники получат доступ к вашим системам через ваш MSSP.

16. Убедитесь, что ваши сотрудники знают, как распознать подозрительные электронные письма

Малые предприятия могут играть активную роль в защите своих данных. Первый шаг – понять, откуда идут атаки. Самая распространенная атака – это «фишинг» (вредоносное письмо, которое кажется легитимным). Используя эти электронные письма, хакер пытается получить доступ к личным данным вашего бизнеса (клиент, сотрудник, финансовые и т. Д.). Простое решение состоит в том, чтобы все сотрудники знали, что это уязвимость.

Они должны проверить электронную почту на наличие орфографических ошибок, адрес электронной почты отправителя и навести курсор на URL-адреса, чтобы увидеть, куда они направляют, прежде чем щелкнуть их. Если они все еще не уверены, лучше всего позвонить отправителю и узнать, откуда пришло письмо.

Это может показаться большой работой, но когда вы рассматриваете возможность кражи ваших данных или компрометации вашей информации, лучше быть тщательным, чем потом сожалеть. Благодаря тому, что сотрудники активно участвуют в защите бизнеса, малые предприятия получают больше шансов на навигацию в условиях развивающейся киберугрозы.

17. Ведение облачных резервных копий

Резервное копирование всех пользовательских рабочих станций и серверов компании на облачный сервер в другом географическом регионе. Средняя стоимость облачного хранилища сейчас составляет около 1 доллара за ГБ в месяц.

Это может добавить от 500 до 2000 долларов к ежемесячным расходам, но буквально спасти жизнь компании в случае вымогателей, фишинг-атаки или стихийного бедствия – любое из которых может произойти в любой момент.

18. Защитите доступ своих поставщиков

Большинство малых и средних предприятий должны предоставлять поставщикам и другим внешним группам доступ к сети для проведения технического обслуживания или других вопросов обеспечения непрерывности бизнеса.

В то время как обычная практика, использование виртуальной частной сети для облегчения этого доступа не является подходящим решением. Если поставщик был взломан, киберпреступники могут быстро использовать этот VPN-доступ и перемещаться по сети, избегая дальнейшего обнаружения.

Внедряя современное решение для безопасного удаленного доступа, организации могут отслеживать, кто имеет доступ к сети компании и как они ее используют.

19. Виртуализируйте свои ИТ

Одним из самых простых и эффективных способов решения задач кибербезопасности для малых предприятий является виртуализация ИТ. Это означает, что все критически важные документы и приложения вашей компании на 100% хранятся в облаке и могут безопасно передаваться на настольные компьютеры и другие устройства без каких-либо данных, покидающих сервер.

Это позволяет вам работать практически с любого устройства в любом месте – или определять определенное время доступа и местоположения, если вы предпочитаете – и никогда не беспокоиться о хранении важных данных локально. Таким образом, даже если ноутбук вашего сотрудника будет потерян или украден, вы не потеряете никакой ценной информации.

20. Реализовать HTTP-аутентификацию для панелей веб-администратора

Обычные CMS (WordPress, Joomla !, Drupal и т. Д.) Имеют общие уязвимости. Наличие аутентификации HTTP помогает добавить еще один уровень безопасности, который хакеры должны преодолеть, если они хотят атаковать сам сайт. И это может быть реализовано менее чем за день. Да, это дает администратору вашего сайта еще один набор учетных данных для входа, но безопасность ваших данных того стоит.

Если вы передаете свои ИТ-услуги MSP, убедитесь, что они сфокусированы на безопасности. Многие MSP начинают уделять больше внимания безопасности из-за того внимания, которое они уделяют средствам массовой информации и, в конечном счете, своим существующим клиентам.

Проблема в том, что многие из них не знают, как правильно реализовать безопасность, поскольку это отличная игра в мяч, нежели ИТ. Предполагая, что у вас уже есть брандмауэр, спросите своего MSP, используют ли они больше, чем традиционный, основанный на сигнатурах антивирус – они устарели и оставляют вас уязвимыми для многих атак, но люди все еще используют их. Спросите их, что они делают, чтобы защитить вас от вымогателей.

Ваш MSP должным образом проверяет и тестирует решения безопасности, чтобы гарантировать, что они покрывают то, что требуется вашей организации? Задайте своему MSP эти вопросы; если они не уверены в своих ответах, возможно, пришло время передать эту часть MSSP, которая на самом деле фокусируется на безопасности. Во многих случаях они могут работать бок о бок.

22. Избегайте использования «теневого ИТ» в вашем офисе

Не допускать существования теневых ИТ на рабочем месте; это одна из худших привычек, которые мы видим в организациях сегодня. Например, когда ИТ-отделы не могут обосновать запросы пользователей на облачное хранилище или аналогичные, сотрудники берут на себя обязательство настроить свои собственные облачные учетные записи (например, Dropbox, Box, Egnyte и т. т.).

Затем эти облачные сервисы используются для обмена конфиденциальными данными, и ИТ-специалисты не могут получить доступ для управления будущими рисками безопасности. Слишком часто мы видим, что ИТ-отделы закрывают глаза на использование этих услуг, и все они ставят организацию под угрозу.

Это особенно важно для POS-терминалов и систем, которые хранят конфиденциальную информацию о клиентах (например, платежные карты и адреса электронной почты). В идеале вы хотите уменьшить количество мест, где вы храните конфиденциальную информацию.

Программное обеспечение безопасности может блокировать доступ к вредоносной системе, но в случае взлома хакеры могут перепродать информацию о платежной карте или использовать ее в своих преступных целях. С помощью адресов электронной почты они могут перенаправлять новые атаки прямо на украденные адреса электронной почты, что также подвергает риску ваших сотрудников и клиентов

24. Понять основную терминологию и концепции кибербезопасности

Я думаю, что лучшее, что нужно сделать перед тем, как поговорить с какими-либо консультантами по безопасности или подумать о покупке каких-либо продуктов безопасности (или любых других изменений инфраструктуры), это прочитать и понять базовую терминологию и концепции кибербезопасности.

Безопасность должна быть встроена в ваш бизнес. Есть много хороших статей, официальных документов и других публикаций о кибербезопасности в целом, и есть много полезных советов, но один из моих любимых источников – SANS. На их сайте есть читальный зал с множеством хороших статей и тематических исследований, ориентированных на малый бизнес. Существует также Центр интернет-безопасности, который публикует список из 20 критических элементов управления.

25. Внедрите многоуровневое решение для вашего протокола кибербезопасности

Малым предприятиям необходимо знать, что не существует единого технического решения для кибербезопасности. Они должны применять многоуровневый подход, который включает в себя множество основ, таких как знание того, какие данные им необходимо защищать и где они хранятся, установка брандмауэров на месте, шифрование данных, передача общеорганизационных политик защиты данных, обучение сотрудников тому, на что не нажимать, и разработка и реализация плана реагирования на инциденты.

Существуют доступные оценки и поставщики услуг управляемой безопасности, которые могут обеспечить глубокую кибербезопасность даже для компании с небольшим бюджетом и небольшим опытом.