10 خطوات للأمن السيبراني يجب أن تتخذها شركتك الصغيرة الآن

يستمر أسبوع الأعمال التجارية الصغيرة الوطني ، ولم تستغرق الاحتفالات وقتًا طويلاً لمعالجة واحدة من أكثر المشكلات وضوحا والأكثر حداثة للشركات الصغيرة والمتوسطة الحجم: الأمن السيبراني. إدارة الأعمال الصغيرة (SBA) هي وكالة حكومية أمريكية مكرسة لتقديم المساعدة الملموسة ، والتدريب ، والتوصيات التي يمكن للشركات الصغيرة أن تضعها موضع التنفيذ على الفور في عملياتها اليومية. ولتحقيق هذه الغاية ، بدلاً من مجرد تقديم اتجاهات الأمان المتميزة ، قدمت لوحة الأمن السيبراني الخاصة بـ SBA اليوم للشركات الصغيرة والمتوسطة نصائح وموارد وخطوات يمكن أن تتخذها للتخفيف من نقاط الضعف الأمنية ووضع استراتيجية أمنية شاملة مطبقة.

أدار نائب مدير SBA ، دوغ كرامر ، لجنة خبراء الأمن حيث ناقشوا أكبر المخاطر الأمنية التي تواجهها الشركات الصغيرة ، وأهم الخطوات التي يمكنهم اتخاذها لحماية البنية التحتية والبيانات ، القائمة على السحابة أو المادية. تضمنت اللجنة بيل أوكونيل ، نائب رئيس Global Trust Assurance في ADP ؛ ستيفن كوب ، باحث أول في مجال الأمن في ESET أمريكا الشمالية ؛ مات ليتلتون ، المدير الإقليمي الإقليمي لخدمات الأمن السيبراني والبنية التحتية أزور في شركة Microsoft ؛ وباتريشيا (بات) توث ، عالم كمبيوتر مشرف في قسم أمن الكمبيوتر بالمعهد الوطني للمعايير والتكنولوجيا (NIST).

تحدث المشاركون في النقاش حول قضايا الأمن السيبراني التي تتراوح بين الخداع ، والفدية ، وكيفية التعامل مع الاختراق إلى الطريقة التي ينبغي أن تتبعها الشركات الصغيرة في المصادقة متعددة العوامل (MFA) ، والتدريب والسياسات المتعلقة بأمن الموظفين ، وما الذي تبحث عنه في عقد مزود الخدمة المدارة (MSP) ، وعندما للاتصال في مستشار أمن تكنولوجيا المعلومات.

لا يتعلق الأمر فقط ببطاقة ائتمان الموظف والعميل والمعلومات المصرفية ، وفقًا لكرامر ، بل يتعلق الأمر ببيانات شركات الملكية الفكرية في كل مكان ، من البريد الإلكتروني إلى التخزين السحابي ، وأسطح الهجوم التي يمكن أن تجعل الأعمال التجارية الصغيرة الرابط الضعيف والهدف السهل في سلسلة التوريد. وفقا ل SBA ، قال كرامر ، ما يقرب من نصف جميع الشركات الصغيرة قد وقع ضحية لجرائم الإنترنت إلى حد ما ، ومتوسط ​​تكلفة الهجوم ما يقرب من 21000 دولار.

"أي شخص يبدأ شركة صغيرة يعمل بجد قدر الإمكان ، مع عدم وجود وقت إضافي أو مال للتعامل مع تحدي الأمن السيبراني الذي قد يكلف أكثر من المتوقع ويعني حياة أو موت شركة صغيرة" ، علق كريمر بصفته اللجنة. بدأت. "خطر التسلل الإلكتروني والسرقة حقيقي للغاية. الشركات الصغيرة تقيس الأصول والمخزون بطرق مختلفة ، لكنهم يجلسون على كنز من المعلومات".

1. سحابة الأمن: ما يفعل وما يترك

لأسباب فعالة من حيث التكلفة والراحة ، تحتاج جميع الشركات الصغيرة والمتوسطة إلى التفكير في الانتقال إلى السحابة ، ولكن يجب أن يحدث الانتقال بعناية. ناقش المشاركون بعض أهم الاعتبارات والعقبات.

• القيام: تزايدي سحابة النسخ الاحتياطي

  وقال Cobb من ESET: "تتمتع السحابة بالكثير من الفوائد والمخاطر ، لكن الشيء الوحيد الذي ينبغي على الشركات الصغيرة والمتوسطة أن تفعله هو النسخ الاحتياطي". "النسخ الاحتياطي الحالي لجميع الملفات هو أفضل حماية ضد برامج الفدية وجزء مهم من وضعية الأمن السيبراني والدفاع. لا يزال عليك الاحتفاظ بنسخة احتياطية على قرص صلب وتخزين نسخة آمنة في مكان ما في مكان منفصل ، لكن السحابة تتيح لك النسخ الاحتياطي باستمرار."

• القيام به: الدفع مقابل Premium Cloud Security

  وقال أوكونيل من ADP: "أصحاب الأعمال التجارية الصغيرة مدركون للسعر ، لكن هناك عوامل أخرى تحتاج إلى الحصول على الكمية المناسبة من الوزن". "بعض الأشياء يجب أن تكلف المزيد من المال لمستوى أعلى من الخدمة والأمن هو واحد من تلك الأشياء. لا تتخذ قرارًا بناءً على السعر".

• لا: فقط قم بتوقيع عقد MSP

  "تحقق من هذا العقد" ، قال كوب من ESET. "يمكنك الاستعانة بمصادر خارجية للتخزين أو النسخ الاحتياطي ، لكن لا يمكنك الاستعانة بمصادر خارجية للمسؤولية. إذا قال مالك SMB أن مزود تكنولوجيا المعلومات لديه جميع بيانات العميل والموظف - بياناتك - فأنت لا تزال مسؤولاً."

  وأضاف أوكونيل من ADP: "عندما يتعلق الأمر ليس بالعقد فقط ، بل بالبيانات ، فقم بإجراء البحث لمعرفة ما إذا كانت هناك أية مشكلات أمنية". "بالنسبة إلى SMB ، يعتبر العقد جزءًا جيدًا من خط الدفاع هذا. تحقق من اتفاقيات مستوى الخدمة والوصول إلى سياسات بيانات الطبقة. إلى متى يحتفظ MSPs بالبيانات؟ ماذا يفعلون بها؟"

• لا: اترك ميزات البنية التحتية MSP غير المستخدمة

  "إذا تخطيت إلى بيئة سحابية ، يمكنك تحويل جزء من هذه المسؤولية. لم نعد في ساحة النظام الأساسي حيث يجب أن تقلق بشأن عدم وجود موظفين للرد على مشكلة أو تصحيح خادم" ، قال Microsoft يتلتون. "هذا هو المكان الذي يمكن لمزود الخدمة التدخل فيه والتعامل معه نيابة عنك. يجب أن تفهم ما تحصل عليه من وجهة نظر العقد وما هي الخدمات التي يقدمها المزود السحابي."

2. المصادقة متعددة العوامل: فقط افعلها

وقال ليتلتون من مايكروسوفت: "من المنظور الشخصي ومن منظور الأعمال ، فإن MFA شيء يمكنك القيام به على الفور. ليس لدى الشركات عذر لعدم القيام بذلك على الفور". "الأمر بسيط مع مجموعة منتجات Microsoft بأكملها ؛ وينطبق نفس الشيء على Google و Yahoo حيث تقوم بتسمية موفر البريد الإلكتروني. انظر إلى إعدادات الأمان واطلب من كل موظف إدخال رقم هاتفه المحمول كعامل ثانٍ. ثم ، حتى لو كنت مهاجم وسرقة كلمة مرورك ، لا يمكنني استخدامها إلا إذا سرقت هاتفك الخلوي وأعرف رقم التعريف الشخصي."

3. عند الاتصال في مستشار أمن تكنولوجيا المعلومات

وقال أوكونيل من ADP: "ستكون هناك أشياء لا يمكنك القيام بها بمفردك كمالك شركة صغيرة". "بالنسبة للعقود المهمة جدًا ، تحصل على مشورة قانونية خارجية. بالنسبة إلى البيانات المالية السنوية والربع سنوية ، لديك محاسب. وينطبق نفس الشيء على الخبرة الأمنية. عندما تحتاج إلى اختبار موقع للتأكد من أمانه على الإنترنت أو إجراء تقييم للمخاطر ، إنها أموال تنفقها بشكل جيد إذا لم تكن لديك الخبرة اللازمة للقيام بذلك بنفسك. فأنت لا تقوم بالكهرباء أو السباكة في المبنى بنفسك ؛ إنها تتعلق بمعرفة متى تحتاج إلى المساعدة."

4. الأمن هو جزء من وظيفة الجميع

"لا يمكنك الاعتماد فقط على شخص واحد في شركة مؤلفة من 10 أشخاص ؛ كل شخص يحتاج إلى فهم جيد للأمن السيبراني وما هي المخاطر بالنسبة للمنظمة" ، قال توث من NIST. "إذا لم يفعلوا ، فقد يتعرض عملهم للخطر إذا كان هناك خرق ولا يمكن للنشاط التجاري التعافي".

وأضاف أوكونيل من ADP: "اجعل الأمن جزءًا من وظيفة كل شخص". "الشخص الذي يدير الشؤون المالية - ماذا يتعين عليهم القيام به كل يوم؟ على الجانب المادي ، من هو الذي يقفل الباب في الليل؟ الجميع بحاجة إلى معرفة المكونات وكيف يتناسب دورهم مع الأمن العام للشركة."

5. لا يكون رابط سلسلة التوريد ضعيف

كما أوضح كرامر SBA ، لم يعد هناك تقسيم بين الشركات الصغيرة والمتوسطة والمؤسسات. ترغب الشركات الصغيرة في النمو والتوسع ، أو أنها تدخل في سلسلة التوريد الخاصة بالمؤسسات للبرامج والخدمات. المشكلة هي أن سياسات الأمان الخاصة بشركة SMB قد لا تكون على مستوى شركة سلسلة التوريد التي تتطلع إلى إقامة شراكة معها.

وقال كوب من ESET: "عندما تحصل SMB على أول عقد كبير لها مع شركة كبيرة ويطلبون الاطلاع على سياسات الأمان وبرنامج التوعية ، يجب ألا تتدافع للتحقق من كل شيء من قائمة المراجعة". "تمثل مخاطر سلسلة الإمداد صعودًا وهبوطًا مصدر قلق كبير. إذا كان SMB يتفاعل رقميًا مع أحد الموردين ، فتأكد من ذلك. يجب أن يكون لديك سياسات أمنية وتدريب في مكانه حتى لا يصبح عقبة".

وقال ليتلتون من مايكروسوفت "لا يوجد عمل صغير للغاية بحيث لا يمكن استهدافه في مجال الإنترنت ، خاصة من إدارة سلسلة التوريد". "العديد من الخروقات لا تبدأ من الأعلى ؛ إنها تبدأ في مكان ما في سلسلة التوريد والمهاجمون يشقون طريقهم للوصول إلى الهدف النهائي."

وقال توث NIST في العامين المقبلين ، سترى الوكالات الحكومية تبدأ في نشر قواعد للوصول إلى أنظمة سلسلة التوريد. في غضون ذلك ، قالت إن الشركات الصغيرة والمتوسطة بحاجة إلى وضع خطة في مكانها الصحيح.

وقال توث من نيست: "التخطيط لا يقدر بثمن لمعرفة ما هو مهم حقًا ؛ هذا الشيء الوحيد الذي تحتاج إلى حمايته ، وكيف سيعمل عملك إذا لم يكن الوصول إليه ممكنًا". "تحتاج الشركات الصغيرة والمتوسطة إلى وضع خطط وسياسات وإجراءات مطبقة. ليس نهجًا حكوميًا كبيرًا ؛ يمكن أن يكون الأمر بسيطًا مثل السياسات الموجودة في كتيب الموظف الخاص بك والتي توضح ما يمكنهم وما لا يمكنهم فعله على الإنترنت ، وكيفية اكتشاف هجوم تصيد معلوماتي ووقت فتح الروابط المفتوحة والمرفقات وليس فتحها."

6. التعامل مع البريد الإلكتروني مثل بطاقة بريدية ، وليس مغلف

وقال كوب من ESET: "أول شيء يجب القيام به كعمل تجاري صغير مع البريد الإلكتروني هو التفكير في ما يوجد فيه. إذا كنت ذاهبًا لاختراق معلومات شركة شخص ما ، فغالبًا ما تحتوي بريده الإلكتروني على كل الأشياء الجيدة". "غالبًا ما لا يفكر الناس في ما سيتركونه هناك. انظروا إلى" الاختراق "من Sony ، فالأشخاص كانوا يقولون أشياء عبر البريد الإلكتروني لم يكن ينبغي أن يكونوا. البريد الإلكتروني هو بطاقة بريدية ، وليس مغلفًا مختومًا. ضع ذلك في الاعتبار."

وقال ليتلتون من مايكروسوفت: "لقد أصبح الأمر كذلك يتعلق بالقدرة على التحكم في البيانات". "قد يكون من المفيد استخدام خدمة بريد إلكتروني مشفرة مع التصفية الداخلية التي تقلل من سطح الهجوم الخاص بك. إذا تركت رقم بطاقة الائتمان الخاصة بك في رسالة بريد إلكتروني ، فسوف تسأل الخدمة عما إذا كنت تريد حقًا إرسال ذلك ، ثم تشفير تلقائيًا فقط الرقم ولكن البريد الإلكتروني بأكمله. مع تقدم الصناعة ، أصبحت هذه الخدمات أكثر منطقية وشائعة ".

7. دائما الإبلاغ عن الحوادث

أوضح Kramer من SBA أنه عند خرق شركة صغيرة أو ضربها باحتيال خداعي أو طلب فدية ، فإنهم يحتاجون إلى معرفة من يجب الاتصال به. وقال كوب من ESET إذا لم تبلغ الشركات الصغيرة عن هذا الأمر للشرطة خوفًا من عدم امتلاك إنفاذ القانون للموارد اللازمة للتحقيق ، فستستمر الدورة.

وقال كوب من ESET: "لدينا دورة مؤسفة حيث يحصل تطبيق القانون على التمويل على أساس الجرائم المبلغ عنها ، لكن الناس لا يبلغون عن جرائم لأنهم لا يعتقدون أن الشرطة لديها الموارد". إذا لم يقم أحد بالإبلاغ ، فلن يكون لدى الشرطة مطلقًا دليل لتزويد نفسها بالموارد اللازمة لمعالجة قضايا الجرائم الإلكترونية ".

وأضاف توث من نيست: "معظم البلديات لديها وحدات للجرائم الإلكترونية وسوف ترد".

8. لديك خطة الاستجابة للحوادث في المكان

وقال ليتلتون من مايكروسوفت "لا تحاول وضع حزام الأمان في منتصف حادث." "أنت بحاجة إلى خطة وضعت لكيفية الرد قبل حدوث خرق".

"لست في هذا بمفردك" ، قال Cobb من ESET. "خدمات الأمن التي تشتريها من الرف تأتي مع حماية متزايدة في السحابة أو في الوصول إلى سلسلة التوريد. ربما توفر خدمات الكشف والوقاية على مستوى أساسي. عند وضع خطتك ، تأكد من أنك لا تترك خدمات الأمن على الطاولة التي تقدمها MSP أو خدمة الأمن."

9. لا تترك نهاية فضفاضة

وقال كوب من ESET: "هناك مشكلة واحدة نراها - إذا ومتى يترك الموظف أو يتم فصله - لا يتم إنهاء الوصول إلى النظام على الفور". "تعمل الشركات الصغيرة مع الأشخاص الذين تثق بهم ، والكثير من الأشخاص الذين يأتون ويذهبون. في بعض الأحيان لا يخضعون لأسوأ الظروف. إذا كان الموظف السابق الذي يعاني من ضغينة لا يزال لديه إمكانية الوصول أو حتى لا يزال قد تم تمكين المصادقة متعددة العوامل الخاصة بهم ، هذا مشكلة أمنية داخلية كبيرة يسهل معالجتها"

10. الموارد الحكومية والتدريب

تتخذ الحكومة خطوات كبيرة لمعالجة الأمن السيبراني. أصدر البيت الأبيض إطارًا للأمن السيبراني في وقت سابق من هذا العام ، ويسعى اقتراح الرئيس أوباما للميزانية لعام 2017 إلى زيادة التمويل بنسبة 35 في المائة (إلى 19 مليار دولار) للتعامل مع هجمات الأمن السيبراني. أشار كل من SBA's Kramer و NIST's Toth إلى الموارد الحكومية المجانية مثل الصفحة الكاملة لموارد الأمن السيبراني للشركات الصغيرة والمتوسطة ، بما في ذلك نصائح وأدوات الأمن السيبراني ومجموعة من الدورات التدريبية والدورات التدريبية والندوات عبر الإنترنت.

بعض الموارد الأكثر فائدة هي:

• أعلى 10 نصائح الأمن السيبراني في SBA
• دورة SBA عبر الإنترنت: الأمن السيبراني للشركات الصغيرة
• أداة تقييم مراجعة السيبرانية (CRR)
• مخطط الأعمال الصغيرة على الإنترنت
• SBA ، NIST ، وورش العمل الصغيرة المشتركة التابعة لمكتب التحقيقات الفيدرالي
• قناة SBA على YouTube
• NIST مركز موارد أمان الكمبيوتر
• شهادات COMPTIA وبرامج التعليم لتعلم بروتوكولات الأمان MSP