Vídeo: Balanç de la reobertura (Setembre 2024)
La Setmana Nacional de les Petites Empreses està en marxa i les festes no van trigar gaire a abordar un dels temes més brillants i sempre presents per a les petites i mitjanes empreses (PIME): la ciberseguretat. L’Administració per a Petites Empreses (SBA) és l’agència governamental nord-americana dedicada a proporcionar ajuda, formació i recomanacions concretes que les petites empreses poden posar en pràctica de seguida en les seves operacions quotidianes. Amb aquesta finalitat, en lloc d’oferir només tendències de seguretat integrades, el panell de ciberseguretat SBA d’avui va oferir a les PIME consells concrets, recursos i mesures que poden adoptar per mitigar les vulnerabilitats de seguretat i posar en marxa una estratègia de seguretat integral.
Doug Kramer, l’administrador adjunt de SBA, va moderar el grup d’experts en seguretat quan van discutir els majors riscos de seguretat a les que s’enfronten les petites empreses i els passos més importants que poden adoptar per protegir les seves infraestructures i dades, basades en núvol o físiques. El grup va incloure Bill O'Connell, vicepresident de Global Trust Assurance a ADP; Stephen Cobb, investigador de seguretat superior a ESET North America; Matt Littleton, director regional de Ciberseguretat i Azure Infrastructure Services de Microsoft; i Patricia (Pat) Toth, científica informàtica supervisora de la divisió de seguretat informàtica de l’Institut Nacional de Normes i Tecnologia (NIST).
Els panelistes van parlar de problemes de ciberseguretat que van des del phishing, el ransomware i com gestionar un incompliment de com les petites empreses han d’abordar l’autenticació multifactorial (MFA), la formació i les polítiques de seguretat dels empleats, què cal buscar en un contracte de proveïdor de serveis gestionat (MSP), i quan podeu trucar a un consultor de seguretat informàtic.
Segons Kramer, no es tracta només de dades de targeta de crèdit d’empleats i clients, sinó que les empreses de dades de propietat intel·lectual alberguen a tot arreu, des del correu electrònic fins a l’emmagatzematge al núvol i les superfícies d’atac que podrien convertir en una petita empresa el vincle feble i un objectiu fàcil a la cadena de subministrament. Segons la SBA, va dir Kramer, gairebé la meitat de les petites empreses han estat víctimes de cert grau de ciberdelinqüència i el cost mitjà de l’atac és d’aproximadament 21.000 dòlars.
"Qualsevol que estigui iniciant una petita empresa treballa el màxim possible, sense temps ni diners addicionals per afrontar un repte de ciberseguretat que pugui costar més del que s'esperava i significar la vida o la mort per a una petita empresa", va remarcar Kramer de SBA com a directiu. va començar. "L'amenaça de intrusos i robatoris cibernètics és molt real. Les petites empreses mesuren els actius i els inventaris de diferents maneres, però es troben en un tresor d'informació".
1. Seguretat al núvol: fets i efectes
Per raons de rendibilitat i comoditat, totes les PIME han de considerar la possibilitat de fer una transició al núvol, però la transició ha de tenir lloc amb cura. Els panelistes van discutir algunes de les consideracions i obstacles més importants.
- Feu: Còpia de seguretat incremental del núvol "El núvol té molts avantatges i riscos, però una cosa que haurien de fer les SMB és fer còpies de seguretat", va dir Cobb d'ESET. "La còpia de seguretat actual de tots els fitxers és la millor protecció contra el ransomware i una part crítica de la postura i defensa de la ciberseguretat. Encara heu de fer una còpia de seguretat a un disc dur i emmagatzemar una còpia en algun lloc segur en un lloc independent, però el núvol us permet fer una còpia de seguretat. constantment ".
- Feu que pagueu per Premium Cloud Security "Els propietaris de petites empreses són conscients del preu, però altres factors necessiten la quantitat adequada de pes", va dir O'Connell de l'ADP. "Algunes coses haurien de costar més diners per obtenir un nivell més alt de servei i la seguretat és una d'aquestes coses. No prengueu la decisió basada en el preu".
- No: només cal signar el contracte MSP
"Comproveu aquest contracte", va dir Cobb d'ESET. "Podeu subcontractar l'emmagatzematge o la còpia de seguretat, però no podeu externalitzar la responsabilitat. Si el propietari de l'SMB diu que el proveïdor de TI té totes les dades del client i dels empleats, les vostres dades, encara sou responsables."
"Quan es tracta no només del contracte, sinó de les dades, feu la vostra investigació per veure si hi ha algun problema de seguretat", va afegir O'Connell d'ADP. "Per a una PIME, el contracte és una bona part d'aquesta línia de defensa. Consulteu els SLAs i accedeixin a les polítiques de dades de nivell. Quant temps conserven els proveïdors d'interès? Què fan amb això?"
- No deixeu les funcions d'infraestructura MSP no utilitzades "Si entreu en un entorn de núvol, podeu canviar part d'aquesta responsabilitat. Ja no estem en una àrea de plataformes on us haureu de preocupar de no tenir el personal per respondre a un problema o pegar un servidor", va dir Microsoft Littleton. "És allà on el proveïdor de serveis pot intervenir i gestionar-ho en nom vostre. Heu d'entendre què us endegueu des del punt de vista del contracte i quins serveis ofereix el proveïdor del núvol".
2. Autenticació multifactor: simplement fes-ho
"Tant des d'una perspectiva personal com empresarial, l'MFA és una cosa que podeu fer immediatament. Les empreses no tenen excusa per no fer-ho immediatament", va dir Littleton de Microsoft. "És senzill amb tota la pila de productes de Microsoft; el mateix passa amb Google, Yahoo, el nom del proveïdor de correu electrònic. Consulteu la vostra configuració de seguretat i exigiu que cada empleat introdueixi el seu número de telèfon mòbil com a segon factor. Aleshores, fins i tot si sóc un atacant i robo la vostra contrasenya, no la puc fer servir tret que robo el mòbil i conec el PIN."
3. Quan podeu trucar a un consultor de seguretat informàtic
" Hi haurà coses que no podeu fer sols com a propietari d'una petita empresa", va dir O'Connell de l'ADP. "Per a contractes molt importants, obté assessorament legal fora de casa. Per a comptes financers anuals i trimestrals, teniu un comptable. El mateix passa amb l'experiència en seguretat. Quan heu de provar un lloc per assegurar-vos que és segur per a la web o fer una avaluació de riscos, es gasten bé els diners si no teniu l’experiència per fer-ho vosaltres mateixos. No esteu fent tu mateix l’electricitat ni la fontaneria a l’edifici; es tracta de saber quan necessiteu ajuda."
4. La seguretat forma part del treball de tots
"No es pot confiar només en una persona d'una empresa de deu persones; tothom ha de comprendre bé la ciberseguretat i quins són els riscos per a l'organització", va dir Toth. "Si no ho fan, la seva feina podria estar en perill si hi ha incompliments i el negoci no es pot recuperar".
"Fes que la seguretat sigui part de la feina de cadascú", va afegir O'Connell d'ADP. "La persona que gestiona els seus recursos financers: què ha de fer cada dia? En el punt físic, qui és qui tanca la porta a la nit? Tothom ha de conèixer els components i el seu paper en la seguretat global del negoci."
5. No siguis el vincle de la cadena de subministrament feble
Tal com va explicar Kramer de SBA, ja no hi ha divisió entre les PIME i les empreses. Les petites empreses volen créixer i escalar, o bé estan connectant-se a una cadena de subministrament empresarial de programari i serveis. El problema és que pot ser que les polítiques de seguretat de l’SMB no estiguin a l’altura d’una empresa de la cadena de subministrament amb qui busquen col·laborar.
"Quan una SMB aconsegueix el seu primer gran contracte amb una gran empresa i demanen veure les vostres polítiques de seguretat i el seu programa de sensibilització, no us haureu de despistar per comprovar-ho tot fora de la llista de control", va dir Cobb d'ESET. "El risc de la cadena de subministrament és una gran preocupació. Si una SMB interactua digitalment amb un proveïdor, comproveu-los. Cal que tingueu en pràctica polítiques de seguretat i formació perquè no esdevingui un obstacle."
"Cap negoci és massa petita per orientar-se en l'àmbit cibernètic, particularment en la gestió de la cadena de subministrament", va dir Littleton de Microsoft. "Moltes infraccions no comencen a la part superior; comencen en algun lloc de la cadena de subministrament i els atacants treballen el camí fins a l'objectiu final".
Noth's Toth va dir que en els pròxims dos anys, veureu que les agències governamentals comencen a publicar normes per accedir als sistemes de la cadena de subministrament. Mentrestant, va dir que les PIME han de tenir un pla.
"La planificació és inestimable per saber què és realment important; una cosa que cal protegir i com funcionaria el seu negoci si no fos accessible", va dir Toth. "Les pimes necessiten tenir plans, polítiques i procediments a la seva disposició. No és un gran enfocament governamental; pot ser tan senzilla com les polítiques del vostre manual d'empleats dir què poden i no poden fer a Internet, com detectar un atac de pesca? i quan s'ha d'obrir i no obrir enllaços i fitxers adjunts."
6. Tracteu el correu electrònic com una targeta postal, no un sobre
"El primer que cal fer com a petita empresa amb correu electrònic és pensar què hi ha. Si vaig a piratejar la informació de l'empresa d'algú, el seu correu electrònic sovint té totes les coses bones", va dir Cobb d'ESET. "La gent sovint no està pensant en què deixen allà. Mireu el hack de Sony; la gent deia coses per correu electrònic que no haurien d'haver estat. El correu electrònic és una postal, no un sobre segellat. Tingueu-ho en compte."
"També s'està convertint en més sobre la capacitat de controlar les dades", va dir Littleton de Microsoft. "Pot ser que valgui la pena guanyar diners per utilitzar un servei de correu electrònic xifrat amb un filtratge entrant que redueix la superfície d'atac. Si deixés el número de la targeta de crèdit en un correu electrònic, el servei us demanarà si voleu enviar-lo i, a continuació, xifrar no automàticament. només el número, però tot el correu electrònic. A mesura que avança la indústria, aquests serveis són cada cop més raonables i habituals."
7. Sempre informeu d’incidents
Kramer de SBA va explicar que, quan una petita empresa és incomplida o afectada amb una estafa de phishing o una sol·licitud de ransomware, han de saber a qui trucar. Cobb d'ESET va dir que si les petites empreses no denuncien això a la policia per por que les forces de l'ordre no tinguin els recursos per investigar, el cicle es perpetuarà.
"Tenim un desgraciat cicle en què l'aplicació de la llei obté finançament en funció dels delictes denunciats, però les persones no denuncien delictes perquè no creuen que la policia tingui recursos", va dir Cobb d'ESET. Si ningú no informa, la policia mai tindrà les proves per dotar-se dels recursos per fer front a aquests problemes de ciberdelinqüència ".
"La majoria de municipis tenen unitats de ciberdelinqüència i respondran", va afegir NIST's Toth.
8. Teniu un pla de resposta a incidents al seu lloc
"No intenteu posar-vos el cinturó de seguretat enmig d'un accident", va dir Littleton de Microsoft. "Necessiteu un pla establert sobre com respondreu abans que es produeixi un incompliment".
"Tampoc no esteu completament sol", va dir Cobb d'ESET. "Els serveis de seguretat que compres a la plataforma presten una protecció més gran al núvol o en l'accés a la cadena de subministrament. Potser proporcionen serveis de detecció i prevenció a un nivell base. Quan elaboreu el vostre pla, assegureu-vos de no deixar serveis de seguretat. a la taula que ofereix el vostre MSP o servei de seguretat."
9. No deixeu extrems solts
"Un àmbit problemàtic que veiem, si i quan un empleat abandona o és acomiadat, el seu accés al sistema no es tanca immediatament", va dir Cobb de ESET. "Les petites empreses treballen amb persones en les quals confien i molta gent que ve i ve. De vegades no passen en les circumstàncies més felices. Si un antic empleat amb escamot encara té accés o fins i tot té activada l'autenticació multifactor, això és un gran problema de seguretat privilegiat que és dolorosament fàcil de solucionar."
10. Recursos i formació governamentals
El govern està fent grans gestions per combatre la ciberseguretat. La Casa Blanca va publicar un marc de ciberseguretat a principis d’aquest any i la proposta pressupostària del president Obama del 2017 busca un augment del finançament del 35 per cent (fins a 19 milions de dòlars) per fer front als atacs de ciberseguretat. Kramer i NIST's de SBA van assenyalar recursos governamentals lliures, com ara la pàgina completa de recursos de ciberseguretat per a les PIME, inclosos consells i eines de ciberseguretat, una col·lecció de cursos, formacions i seminaris.
Alguns dels recursos més útils són:
- Els 10 millors consells sobre ciberseguretat de la SBA
- Curs en línia SBA: ciberseguretat per a petites empreses
- Eina d'avaluació de Cyber Resilience Review (CRR)
- El petit Cyber Planner
- SBA, NIST i els tallers conjunts de petites empreses del FBI
- El canal de YouTube de la SBA
- Centre de recursos de seguretat informàtica de NIST
- Certificacions i programes educatius de COMPTIA per aprendre protocols de seguretat de MSP
