Trang Chủ Bảo vệ Tại sao các doanh nghiệp nhỏ cần học hỏi từ các vi phạm dữ liệu cao cấp

Tại sao các doanh nghiệp nhỏ cần học hỏi từ các vi phạm dữ liệu cao cấp

Mục lục:

Anonim

Trong một báo cáo gần đây, McAfee tuyên bố 2014 là "năm vi phạm" và thật dễ dàng để biết lý do tại sao. Một số công ty và tập đoàn cao cấp đã bị vi phạm dữ liệu làm tê liệt kể từ tháng 1, từ hơn 50 triệu người tại Home Depot đến 70 triệu cộng với tại JPMorgan. Trong khi đó, Staples, PF Chang's, Goodwill và hàng loạt người khác đều trở thành con mồi của tội phạm mạng.


Theo Chỉ số mức độ vi phạm của SafeNet trong quý 3 năm 2014, đã có 320 vụ vi phạm dữ liệu được báo cáo từ tháng 7 đến tháng 9, 46% trong số đó liên quan đến hành vi trộm cắp danh tính.


Bong bóng dưới bề mặt của các thông báo vi phạm chính này là một loạt các vi phạm dữ liệu cấu hình thấp hơn xảy ra mỗi tuần mà bạn ít có khả năng nghe thấy. Một mục tiêu như Home Depot cung cấp cơ hội cho một ngày trả lương lớn, nhưng nó cũng có rủi ro cao hơn và liên quan đến kế hoạch thỏa thuận tuyệt vời. Vì vậy, không có gì đáng ngạc nhiên khi thấy một số tin tặc tìm kiếm trái cây treo thấp như các doanh nghiệp nhỏ (SMB). Những thứ này sẽ mang lại những ngày thanh toán nhỏ hơn, nhưng có thể là tiền thưởng nếu một số được rút ra liên tiếp.


Trong khi đó, bọn tội phạm mạng đang sử dụng các công cụ mới để nhắm mục tiêu vào SMB, Trend Micro cho biết trong một trong những báo cáo mới nhất về keylogger, tin tặc có thể sử dụng để rút dữ liệu của công ty.


"SMB có cảm giác an toàn sai lầm này, nghĩ rằng một cuộc tấn công như vậy sẽ không bao giờ xảy ra với họ", Gary Davis, nhà truyền giáo an ninh tiêu dùng tại McAfee nói. "Các mối đe dọa bảo mật không phân biệt đối xử theo quy mô tổ chức và đối với SMB có nhân viên sử dụng nhiều thiết bị, điều quan trọng hơn là phải có các giải pháp bảo mật trong lớp."


Bạn không cần phải đào quá xa để tìm các ví dụ về các vi phạm cỡ nhỏ đến trung bình. Khách sạn Houstonian ở Houston, Texas, đã thấy 10.000 chi tiết thẻ tín dụng của khách hàng bị lộ trong một vụ vi phạm an ninh hồi đầu năm nay. Ở quy mô nhỏ hơn nhưng không kém phần nghiêm trọng, cửa hàng thiết bị thể thao ngoài trời Backcountry Gear, có trụ sở tại Oregon, chuyên vận chuyển hàng hóa trên khắp Hoa Kỳ, đã phát hiện ra phần mềm độc hại trên hệ thống của họ vào tháng 7 năm 2014 có thể đã xâm phạm dữ liệu khách hàng.


"Vấn đề là rất nhiều trong số các công ty này không coi bảo mật là việc họ cần làm, mà là việc họ phải làm", Marcus Ranum, giám đốc an ninh của Tenable Network Security nói. "Thẳng thắn, họ thường thực hiện một cách tiếp cận tối thiểu ở mức tối đa, và thuê ngoài và cố gắng trì hoãn trách nhiệm pháp lý."

Chấp nhận thái độ đúng đắn

Bảo mật hoạt động tốt nhất khi được coi là "quy trình kinh doanh cốt lõi", theo SMB Security Guide, một trang web tư vấn cho các doanh nghiệp nhỏ về các thực tiễn tốt nhất để bảo mật.


Một số đào tạo cơ bản cơ bản là cần thiết cho bất kỳ doanh nghiệp nhỏ nào trong việc bảo vệ tài sản kỹ thuật số của mình. Nhân viên cần được đào tạo về cách sử dụng mật khẩu độc đáo và khó khăn, Davis nói, và chủ doanh nghiệp cần biết dữ liệu của họ từ trong ra ngoài, nơi mọi thứ được lưu trữ và ai chính xác có quyền truy cập vào nó. Có một cuốn sách mở về dữ liệu giữa các nhân viên có khả năng dẫn đến rò rỉ dữ liệu, cho dù là cố ý hay vô tình.


Ở những nơi khác, chủ doanh nghiệp cần đảm bảo rằng các ứng dụng và hệ điều hành của họ cũng được cập nhật, nhưng an ninh mạng là đa diện và cũng có thể có sự hiện diện thực tế. Ai có quyền truy cập vào các phòng nơi lưu trữ ổ cứng chẳng hạn?


"Đừng để người lạ lang thang trong hội trường và hạn chế truy cập vật lý với cửa bị khóa và hệ thống nhập cảnh được quản lý, " Davis nói. "Hãy chắc chắn tiến hành kiểm tra lý lịch và tham khảo kỹ lưỡng trước khi tuyển nhân viên mới."

Mang theo thiết bị của riêng bạn … hoặc Mang vi phạm dữ liệu của riêng bạn?

Hướng dẫn ứng phó vi phạm dữ liệu 2014/2015 của Experian và Viện Ponemon đưa ra trường hợp phát triển chính sách phản hồi vi phạm cứng nhắc. Các chính sách hiệu quả trên toàn ban sẽ giúp bất kỳ doanh nghiệp nào xử lý tốt hơn các vi phạm dữ liệu của họ, đặc biệt là trong trường hợp các công ty có thông lệ BYOD, điều này tạo ra ngày càng nhiều con đường cho các vi phạm xảy ra.


BYOD trong văn phòng đang trở nên không thể tránh khỏi, cố vấn bảo mật F-Secure Sean Sullivan nói.


"Từ quan điểm của người dùng, BYOD là một ý tưởng tuyệt vời, nhưng từ quan điểm bảo mật, đó là một ý tưởng tồi tệ", ông nói. "Bạn đang chơi xổ số xui xẻo; tỷ lệ cược nhỏ, nhưng giải nhất là mất tiền đáng kể."


Thiết bị thuộc về cá nhân và điều này đặt ra các vấn đề xoay quanh trách nhiệm, đó là lý do tại sao việc đưa ra một chính sách vỏ sắt là quan trọng và phải bổ sung cho việc đào tạo nhân viên của bạn về các giao thức bảo mật.


"Chúng tôi khuyên các tổ chức nên cho nhân viên của mình đào tạo bổ sung xung quanh các thiết bị vật lý", Sullivan nói thêm. "Bằng cách cung cấp cho nhân viên trải nghiệm người dùng tuyệt vời, các hướng dẫn của công ty liên quan đến bảo mật ít có khả năng bị coi thường vi phạm."

SMB có thể bị bỏ lại phía sau

Các doanh nghiệp nhỏ được khuyến khích thực hiện một cách tiếp cận chủ động đối với an ninh và áp dụng tinh thần của các công ty lớn, vì sẽ không có ai khác để ý đến bạn.


Paul Lipman, CEO của iSheriff, một công ty bảo mật đám mây có trụ sở tại Redwood City, California cho biết: "Trên thực tế, ngành công nghiệp bảo mật đã khiến các doanh nghiệp vừa và nhỏ thất vọng". SMB có thể bị lạc trong cuộc trò chuyện và không nhận được sự chú ý tương tự khi nói đến an ninh, đôi khi khiến họ phải tự lo liệu.


SMB có thể không có nhiều thứ để cung cấp một tội phạm mạng như Home Depot hoặc Target, nhưng các công ty vẫn còn nhiều thứ để mất.


"Không quan tâm đến việc đánh cắp bí mật hoặc sở hữu trí tuệ như tin tặc nhắm vào các doanh nghiệp lớn hơn", Lipman nói, nhưng ở đâu có doanh nghiệp, có tiền và tội phạm mạng sẽ nhắm vào bất cứ thứ gì họ biết họ có thể xâm nhập.


Một số doanh nghiệp ngày càng hiểu biết nhiều về công nghệ nhưng điều cốt yếu là SMB không thể dành thời gian cho việc này. Công nghệ - và các mối đe dọa trên mạng - đang phát triển với tốc độ đáng kinh ngạc.


Báo cáo chủ doanh nghiệp nhỏ của Bank of America nói rằng 80% doanh nghiệp nhỏ đã kết hợp "một số loại phương pháp kỹ thuật số" vào doanh nghiệp của họ, nhưng điều này có thể bao gồm phương tiện truyền thông xã hội cũng như bảo mật. Có bao nhiêu sự chú ý đang được trả cho việc củng cố an ninh như đang được trả cho việc mở rộng phạm vi truyền thông xã hội?


Công ty bảo mật BitSight đã công bố nghiên cứu mới vào tháng 11 năm 2014, chứng thực nhiều mối lo ngại về bảo mật của các doanh nghiệp, đặc biệt là bán lẻ và lưu ý rằng tính toàn vẹn bảo mật đã giảm trong các doanh nghiệp này.


"Mặc dù rất đáng khích lệ rằng phần lớn các nhà bán lẻ vi phạm đã cải thiện hiệu quả bảo mật của họ, nhưng vẫn còn nhiều việc phải làm, đặc biệt là trong lĩnh vực quản lý rủi ro của nhà cung cấp", CTO Stephen Boyer của BitSight nói khi công bố nghiên cứu.


Nó đặt ra một số câu hỏi. Nếu bạn là chủ doanh nghiệp nhỏ, bạn đã kiểm tra thực tiễn bảo mật của công ty và đánh giá vị trí bảo mật trên hệ thống phân cấp của bạn chưa? Khi các mối đe dọa mạng phát triển, các doanh nghiệp nhỏ sẽ cần phải làm như vậy.

Tại sao các doanh nghiệp nhỏ cần học hỏi từ các vi phạm dữ liệu cao cấp