10 cybersecurity-trinn din lille bedrift bør ta akkurat nå

National Small Business Week er i gang, og festlighetene tok ikke lang tid å ta opp en av de mest skarpeste og noensinne nåværende problemene for små til mellomstore bedrifter (SMB): cybersecurity. Small Business Administration (SBA) er det amerikanske myndighetsorganet som er dedikert til å tilby konkret hjelp, opplæring og anbefalinger som små bedrifter kan utføre med en gang i den daglige driften. I stedet for bare å tilby pie-in-the-sky sikkerhetstrender ga dagens SBA cybersecurity-panel SMB-er konkrete tips, ressurser og skritt de kan ta for å dempe sikkerhetssårbarheter og sette en omfattende sikkerhetsstrategi på plass.

SBA-nestleder Doug Kramer modererte panelet med sikkerhetseksperter da de diskuterte den største sikkerhetsrisikoen små bedrifter står overfor, og de viktigste skritt de kan ta for å beskytte infrastrukturen og dataene deres, skybasert eller fysisk. Panelet inkluderte Bill O'Connell, visepresident for Global Trust Assurance i ADP; Stephen Cobb, senior sikkerhetsforsker ved ESET Nord-Amerika; Matt Littleton, East Regional Director for Cybersecurity and Azure Infrastructure Services hos Microsoft; og Patricia (Pat) Toth, tilsynsansvarlig dataforsker i datasikkerhetsavdelingen til National Institute of Standards and Technology (NIST).

Paneldeltakerne snakket om cybersecurity-spørsmål, alt fra phishing, ransomware, og hvordan de skal håndtere et brudd til hvordan små bedrifter skal tilnærme seg multifaktorautentisering (MFA), ansattes sikkerhetstrening og policyer, hva de skal se etter i en administrert tjenesteleverandør (MSP) kontrakt, og når du skal ringe en IT-sikkerhetskonsulent.

Det handler ikke bare om ansattes og kunders kredittkort og bankinformasjon, ifølge Kramer, men de immaterielle eiendomsdata virksomhetene har overalt, fra e-post til skylagring, og angrepsflatene som kan gjøre en liten bedrift til den svake lenken og et enkelt mål i forsyningskjeden. Ifølge SBA, sa Kramer, har nesten halvparten av alle små bedrifter blitt utsatt for en viss grad av nettkriminalitet, og de gjennomsnittlige kostnadene for angrep er omtrent $ 21 000.

"Alle som starter en liten bedrift jobber så hardt de kan, uten ekstra tid eller penger til å takle en cybersecurity-utfordring som kan koste mer enn forventet og bety liv eller død for en liten bedrift, " bemerket SBAs Kramer som panelet begynte. "Trusselen om cyberinntrenging og tyveri er veldig reell. Små bedrifter måler eiendeler og varelager på forskjellige måter, men de sitter på en skattekiste av informasjon."

1. Cloud Security: Do's and Don'ts

Av kostnadseffektive og bekvemmelighetsmessige årsaker må alle SMB vurdere å gjøre en overgang til skyen, men overgangen må skje nøye. Paneldeltakerne diskuterte noen av de viktigste hensynene og hindringene.

• Gjør: Trinnvis sikkerhetskopi av skyen

  "Skyen har mange fordeler og risikoer, men en ting SMB-er bør gjøre, er sikkerhetskopi, " sa ESETs Cobb. "Nåværende sikkerhetskopi av alle filer er den beste beskyttelsen mot ransomware og en kritisk del av din cybersecurity holdning og forsvar. Du bør fortsatt sikkerhetskopiere til en harddisk og lagre en kopi et sted trygt på et eget sted, men skyen lar deg sikkerhetskopiere stadig."

• Gjør: Betal for Premium Cloud Security

  "Eiere av små bedrifter er prisbevisste, men andre faktorer må få riktig vektmengde, " sa ADPs O'Connell. "Noen ting bør koste mer penger for et høyere nivå av service og sikkerhet er en av disse tingene. Ikke bare ta en beslutning basert på pris."

• Ikke: Bare signer MSP-kontrakten

  "Sjekk den kontrakten, " sa ESETs Cobb. "Du kan outsource lagring eller sikkerhetskopi, men du kan ikke outsource ansvar. Hvis SMB-eieren sier at IT-leverandøren har alle kunde- og ansattdataene - dine data - er du fortsatt ansvarlig."

  "Når det gjelder ikke bare kontrakten, men dataene, må du undersøke for å se om det er noen sikkerhetsproblemer, " la ADPs O'Connell til. "For en SMB er kontrakten en god del av den forsvarslinjen. Sjekk SLA-er og tilgangsnivå-datapolitikk. Hvor lenge beholder MSP-er dataene? Hva gjør de med det?"

• Ikke: Legg igjen ubrukte MSP-infrastrukturfunksjoner

  "Hvis du går inn i et skymiljø, kan du flytte noe av det ansvaret. Vi er ikke lenger på en plattformarena hvor du må være bekymret for ikke å ha personalet til å svare på et problem eller lappe en server, " sa Microsofts Littleton. "Det er der tjenesteleverandøren kan trå til og håndtere det på dine vegne. Du må forstå hva du får til fra et kontraktssynspunkt og hvilke tjenester skyleverandøren tilbyr."

2. Godkjenning av multifaktorer: Bare gjør det

"Fra både et personlig og et forretningsmessig perspektiv er MFA noe du kan gjøre med en gang. Bedrifter har ingen unnskyldning for ikke å gjøre dette med en gang, " sa Microsofts Littleton. "Det er enkelt med hele Microsoft-produktstabelen; det samme gjelder Google, Yahoo, du kaller e-postleverandøren. Se på sikkerhetsinnstillingene dine og krever at alle ansatte oppgir mobiltelefonnummeret som en annen faktor. Da, selv om jeg er en angriper, og jeg stjeler passordet ditt, jeg kan ikke bruke det med mindre jeg stjeler mobilen din og kjenner PIN-koden."

3. Når du skal ringe en IT-sikkerhetskonsulent

" Det kommer til å være ting du ikke kan gjøre alene som eier av en liten bedrift, " sa ADPs O'Connell. "For veldig viktige kontrakter, får du juridisk rådgivning utenfor. For årlige og kvartalsvise økonomier, har du en regnskapsfører. Det samme gjelder sikkerhetskompetanse. Når du må teste et nettsted for å sikre at det er websikkert, eller foreta en risikovurdering, Det er godt brukt penger på det hvis du ikke har kompetanse til å gjøre det selv. Du gjør ikke elektrisk eller rørleggerarbeid i bygningen selv; det handler om å vite når du trenger hjelp."

4. Sikkerhet er en del av alles jobb

"Du kan ikke bare stole på en person i et ti-manns selskap; alle trenger å ha en god forståelse av cybersikkerhet og hva risikoen er for organisasjonen, " sa Toth til NIST. "Hvis de ikke gjør det, kan jobben deres være i fare hvis det er et brudd og virksomheten ikke kan komme seg."

"Gjør sikkerhet til en del av hver persons jobb, " la ADPs O'Connell til. "Personen som driver med økonomi - hva trenger de å gjøre hver dag? På den fysiske siden, hvem er den som låser døren om natten? Alle trenger å kjenne til komponentene og hvordan deres rolle passer inn i virksomhetens generelle sikkerhet."

5. Ikke vær den svake forsyningskjeden

Som SBAs Kramer forklarte, er det ingen splittelse mellom SMB og foretak lenger. Små bedrifter ønsker å vokse og skalere, eller de kobler seg til en bedriftsforsyningskjede for programvare og tjenester. Problemet er at SMBs sikkerhetspolitikk ikke kan være i samsvar med et leverandørkjede selskap som de ønsker å samarbeide med.

"Når en SMB får sin første store kontrakt med et stort selskap og ber om å se sikkerhetspolitikkene og bevissthetsprogrammet ditt, bør du ikke krypse for å sjekke alt fra sjekklisten, " sa Cobb fra ESET. "Risiko i forsyningskjeden opp og ned er et stort problem. Hvis en SMB samhandler digitalt med en leverandør, kan du sjekke dem ut. Du må ha sikkerhetspolitikk og opplæring på plass slik at det ikke blir et hinder."

"Ingen virksomhet er for liten til å bli målrettet på cyberarenaen, spesielt fra ledelse av forsyningskjeden, " sa Microsofts Littleton. "Mange brudd starter ikke på toppen; de starter et sted i forsyningskjeden og angripere jobber seg opp til det endelige målet."

NISTs Toth sa at i løpet av de neste to årene vil du se at offentlige etater begynner å publisere regler for tilgang til forsyningskjeden. I mellomtiden sa hun at SMB-er må ha en plan på plass.

"Planlegging er uvurderlig å vite hva som virkelig er viktig; den ene tingen du trenger å beskytte, og hvordan virksomheten din ville fungere hvis den ikke var tilgjengelig, " sa Toth til NIST. "SMBer må ha planer, retningslinjer og prosedyrer på plass. Ikke en stor statlig tilnærming; det kan være så enkelt som retningslinjer i din ansattes håndbok som sier hva de kan og ikke kan gjøre på internett, hvordan du kan oppdage et phishing-angrep, og når du skal åpne og ikke åpne lenker og vedlegg."

6. Behandle e-post som et postkort, ikke en konvolutt

"Den første tingen å gjøre som en liten bedrift med e-post er å tenke på hva som er i det. Hvis jeg skal hacke noens firmainformasjon, har e-posten deres ofte alle de gode tingene, " sa ESETs Cobb. "Folk tenker ofte ikke på hva de legger igjen der. Se på Sony-hacket; folk sa ting via e-post de ikke burde vært. E-post er et postkort, ikke en forseglet konvolutt. Husk det."

"Det handler også mer om muligheten til å kontrollere dataene, " sa Microsofts Littleton. "Det kan være verdt pengene å bruke en kryptert e-posttjeneste med inngående filtrering som reduserer angrepsoverflaten. Hvis du la kredittkortnummeret ditt i en e-post, vil tjenesten spørre om du virkelig vil sende det, og deretter automatisk kryptere ikke bare nummeret, men hele e-posten. Når bransjen går videre, blir disse tjenestene mer fornuftige og vanlige."

7. Rapporter alltid hendelser

SBAs Kramer forklarte at når en liten bedrift blir brutt eller rammet med en phishing-svindel eller ransomware-forespørsel, må de vite hvem de skal ringe. ESETs Cobb sa at hvis små bedrifter ikke rapporterer dette til politiet i frykt for at rettshåndhevelse ikke har ressursene til å etterforske, vil syklusen forevige.

"Vi har en uheldig syklus der lovhåndhevelse får finansiering basert på rapporterte forbrytelser, men folk rapporterer ikke om forbrytelser fordi de ikke tror politiet har ressursene, " sa ESETs Cobb. Hvis ingen melder fra, vil politiet aldri ha bevis for å utstyre seg med ressursene for å løse disse nettkriminalitetsspørsmålene."

"De fleste kommuner har nettkriminalitetsenheter og vil svare, " la Toth til NIST til.

8. Ha en hendelsesplan på plass

"Du prøver ikke å sette på beltet ditt midt i en ulykke, " sa Microsofts Littleton. "Du trenger en plan lagt ut for hvordan du vil svare før et brudd skjer."

"Du er ikke i dette helt alene heller, " sa ESETs Cobb. "Sikkerhetstjenester du kjøper av sokkelen har økt beskyttelse i skyen eller når du får tilgang til forsyningskjeden. De kan tilby deteksjons- og forebyggingstjenester på basisnivå. Når du setter sammen planen din, må du sørge for at du ikke forlater sikkerhetstjenester på bordet som tilbys av din MSP eller sikkerhetstjeneste."

9. Ikke la løse ender

"Ett problemområde vi ser - hvis og når en ansatt forlater eller blir sparket - deres systemtilgang blir ikke umiddelbart avsluttet, " sa ESETs Cobb. "Små bedrifter jobber med mennesker de stoler på, og mange mennesker som kommer og går. Noen ganger går de ikke under de lykkeligste omstendighetene. Hvis en tidligere ansatt med et nag fortsatt har tilgang eller til og med fortsatt har multifaktorautentisering aktivert, er det et stort innside-sikkerhetsproblem som er smertelig enkelt å løse."

10. Offentlige ressurser og opplæring

Regjeringen tar store skritt for å adressere cybersikkerhet. Det hvite hus ga ut et rammeverk for nettsikkerhet tidligere i år, og president Obamas budsjettforslag for 2017 søker om 35 prosent økning i finansieringen (til 19 milliarder dollar) for å håndtere angrep på nettet. SBAs Kramer og NISTs Toth pekte på gratis statlige ressurser som hele SBAs side med nettbaserte sikkerhetsressurser for SMB, inkludert nett og sikkerhetstips og verktøy, en samling kurs, opplæring og webinarer.

Noen av de mest nyttige ressursene er:

• SBAs 10 beste tips om cybersikkerhet
• SBA Online Course: Cyber ​​Security for Small Businesses
• Cyber ​​Resilience Review (CRR) Assessment Tool
• Den lille Biz Cyber ​​Planner
• SBA, NIST og FBIs felles Small Business Workshops
• SBAs YouTube-kanal
• NISTs datasikkerhetsressurssenter
• COMPTIAs sertifiseringer og utdanningsprogrammer for å lære MSP sikkerhetsprotokoller