10 Cybersecurity-stappen die uw kleine bedrijf nu moet nemen

De National Small Business Week is onderweg en de festiviteiten duurden niet lang om een ​​van de meest opvallende en altijd aanwezige problemen voor kleine tot middelgrote bedrijven (MKB's) aan te pakken: cybersecurity. De Small Business Administration (SBA) is de Amerikaanse overheidsinstantie die zich toelegt op het bieden van concrete hulp, training en aanbevelingen die kleine bedrijven meteen in de praktijk kunnen brengen in hun dagelijkse activiteiten. Daartoe gaf het huidige SBA-cybersecurity-panel in plaats van alleen pie-in-the-sky-beveiligingstrends aan te bieden, MKB's concrete tips, middelen en stappen die ze kunnen nemen om beveiligingskwetsbaarheden te verminderen en een uitgebreide beveiligingsstrategie op te zetten.

SBA-adjunct-beheerder Doug Kramer modereerde het panel van beveiligingsexperts terwijl ze de grootste beveiligingsrisico's bespraken waarmee kleine bedrijven worden geconfronteerd, en de belangrijkste stappen die ze kunnen nemen om hun infrastructuur en gegevens te beschermen, cloudgebaseerd of fysiek. Het panel omvatte Bill O'Connell, vice-president van Global Trust Assurance bij ADP; Stephen Cobb, Senior Security Researcher bij ESET North America; Matt Littleton, East Regional Director of Cybersecurity and Azure Infrastructure Services bij Microsoft; en Patricia (Pat) Toth, computerwetenschapper bij de Computer Security Division van het National Institute of Standards and Technology (NIST).

De panelleden spraken over cybersecurity-problemen variërend van phishing, ransomware en hoe om te gaan met een inbreuk op hoe kleine bedrijven multifactor-authenticatie (MFA), training van werknemersveiligheid en beleid moeten benaderen, wat te zoeken in een managed service provider (MSP) -contract, en wanneer een IT-beveiligingsadviseur moet worden ingeschakeld.

Volgens Kramer gaat het niet alleen om de creditcard- en bankgegevens van medewerkers en klanten, maar ook om de gegevensbedrijven over intellectuele eigendom, van e-mail tot cloudopslag, en de aanvalsoppervlakken die een klein bedrijf tot een zwakke schakel en een gemakkelijk doelwit kunnen maken. de toeleveringsketen. Volgens de SBA, zei Kramer, is bijna de helft van alle kleine bedrijven tot op zekere hoogte het slachtoffer van cybercriminaliteit en zijn de gemiddelde kosten van aanvallen ongeveer $ 21.000.

"Iedereen die een klein bedrijf start, werkt zo hard als hij kan, zonder extra tijd of geld om een ​​cybersecurity-uitdaging aan te gaan die misschien meer kost dan verwacht en betekent leven of dood voor een klein bedrijf, " merkte SBA's Kramer op als het panel begon. "De dreiging van cyberinbraak en diefstal is zeer reëel. Kleine bedrijven meten activa en inventaris op verschillende manieren, maar ze zitten in een schat aan informatie."

1. Cloudbeveiliging: do's en don'ts

Om kosteneffectieve en gemaksredenen moeten alle MKB's overwegen een overstap naar de cloud te maken, maar de overgang moet zorgvuldig gebeuren. De panelleden bespraken enkele van de belangrijkste overwegingen en hindernissen.

• Doen: incrementele cloudback-up

  "De cloud heeft veel voordelen en risico's, maar een ding dat MKB's allemaal moeten doen, is back-up, " zei Cobb van ESET. "Huidige back-up van alle bestanden is de beste bescherming tegen ransomware en een cruciaal onderdeel van uw cybersecurity-houding en -verdediging. U moet nog steeds een back-up maken op een harde schijf en een kopie opslaan op een veilige plek op een aparte locatie, maar met de cloud kunt u een back-up maken voortdurend."

• Do: Betaal voor Premium Cloud Security

  "Eigenaren van kleine bedrijven zijn prijsbewust, maar andere factoren moeten de juiste hoeveelheid gewicht krijgen", aldus O'Connell van ADP. "Sommige dingen zouden meer geld moeten kosten voor een hoger serviceniveau en beveiliging is een van die dingen. Neem niet alleen een beslissing op basis van prijs."

• Niet doen: teken gewoon het MSP-contract

  "Controleer dat contract, " zei Cobb van ESET. "U kunt opslag of back-up uitbesteden, maar u kunt de verantwoordelijkheid niet uitbesteden. Als de MKB-eigenaar zegt dat de IT-provider alle klant- en werknemersgegevens heeft - uw gegevens - bent u nog steeds verantwoordelijk."

  "Als het gaat om niet alleen het contract, maar ook de gegevens, doe je onderzoek om te zien of er beveiligingsproblemen zijn, " voegde ADP's O'Connell toe. "Voor een MKB is het contract een goed onderdeel van die verdedigingslinie. Bekijk de SLA's en het gegevensbeleidsniveau. Hoe lang bewaren MSP's de gegevens? Wat doen ze ermee?"

• Niet doen: laat ongebruikte MSP-infrastructuurfuncties achter

  "Als u in een cloudomgeving stapt, kunt u een deel van die verantwoordelijkheid verleggen. We bevinden ons niet langer in een platformarena waar u zich zorgen hoeft te maken dat het personeel niet op een probleem reageert of een server patcht", aldus Microsoft Littleton. "Dat is waar de serviceprovider kan ingrijpen en dat namens u kan afhandelen. U moet begrijpen waar u contractueel aan begint en welke services de cloudprovider aanbiedt."

2. Multifactor-authenticatie: gewoon doen

"Zowel vanuit een persoonlijk als een zakelijk perspectief is MFA iets dat je meteen kunt doen. Bedrijven hebben geen excuus om dit niet meteen te doen", aldus Microsoft Littleton. "Het is eenvoudig met de hele Microsoft-productstack; hetzelfde geldt voor Google, Yahoo, u noemt de e-mailprovider. Kijk naar uw beveiligingsinstellingen en eis dat elke medewerker zijn mobiele telefoonnummer als tweede factor invoert. En dan, zelfs als ik een aanvaller en ik steel je wachtwoord, ik kan het niet gebruiken tenzij ik je mobiele telefoon steel en de pincode ken."

3. Wanneer een IT-beveiligingsadviseur inschakelen

" Er zullen dingen zijn die je niet alleen kunt doen als eigenaar van een klein bedrijf, " zei O'Connell van ADP. "Voor zeer belangrijke contracten krijg je juridisch advies. Voor jaar- en kwartaalcijfers heb je een accountant. Hetzelfde geldt voor beveiligingsexpertise. Wanneer je een site moet testen om te controleren of deze webveilig is, of een risicobeoordeling uitvoert, het is goed besteed geld als je niet de expertise hebt om het zelf te doen. Je doet niet zelf de elektriciteit of het sanitair in het gebouw; het gaat erom te weten wanneer je hulp nodig hebt."

4. Beveiliging maakt deel uit van ieders taak

"Je kunt niet alleen vertrouwen op één persoon in een bedrijf met 10 personen; iedereen moet een goed begrip hebben van cybersecurity en wat de risico's zijn voor de organisatie, " zei NIST's Toth. "Als ze dat niet doen, kan hun baan gevaar lopen als er een inbreuk is en het bedrijf niet kan herstellen."

"Maak beveiliging onderdeel van het werk van iedereen", voegde O'Connell van ADP eraan toe. "De persoon die financiële zaken runt - wat moeten ze elke dag doen? Aan de fysieke kant, wie is degene die 's nachts de deur op slot doet? Iedereen moet de componenten kennen en weten hoe hun rol past in de algehele beveiliging van het bedrijf."

5. Wees niet de zwakke schakel in de supply chain

Zoals Kramer van SBA uitlegde, is er geen scheiding meer tussen MKB's en ondernemingen. Kleine bedrijven willen groeien en groeien, of ze worden aangesloten op een enterprise supply chain voor software en services. Het probleem is dat het beveiligingsbeleid van het MKB mogelijk niet in overeenstemming is met een toeleveringsketenbedrijf met wie ze willen samenwerken.

"Wanneer een MKB hun eerste grote contract krijgt met een groot bedrijf en zij vragen om uw beveiligingsbeleid en bewustmakingsprogramma te bekijken, moet u niet alles in het werk stellen om alles van de checklist af te vinken", aldus Cobb van ESET. "Supply chain risico op en neer is een grote zorg. Als een MKB digitaal samenwerkt met een leverancier, bekijk ze dan. U moet beschikken over beveiligingsbeleid en training zodat het geen obstakel wordt."

"Geen enkel bedrijf is te klein om gericht te zijn in de cyberarena, met name vanuit supply chain management", aldus Microsoft Littleton. "Veel inbreuken beginnen niet bovenaan; ze beginnen ergens in de toeleveringsketen en aanvallers werken zich op naar het ultieme doelwit."

NIST's Toth zei in de komende twee jaar dat je zult zien dat overheidsinstanties regels beginnen te publiceren voor toegang tot supply chain-systemen. Ondertussen zei ze dat het MKB een plan nodig had.

"Planning is van onschatbare waarde om te weten wat echt belangrijk is; dat ene ding dat u moet beschermen, en hoe uw bedrijf zou werken als het niet toegankelijk was, " zei NIST's Toth. "MKB-bedrijven moeten over plannen, beleid en procedures beschikken. Geen grote overheidsaanpak; het kan zo eenvoudig zijn als beleid in uw werknemershandboek waarin staat wat ze wel en niet kunnen doen op internet, hoe een phishing-aanval te herkennen, en wanneer koppelingen en bijlagen moeten worden geopend en niet."

6. Behandel e-mail als een briefkaart, geen envelop

"Het eerste wat je als klein bedrijf met e-mail moet doen, is nadenken over wat erin zit. Als ik iemands bedrijfsinformatie ga hacken, heeft hun e-mail vaak al het goede, " zei Cobb van ESET. "Mensen denken vaak niet na over wat ze daar achterlaten. Kijk naar de Sony-hack; mensen zeiden dingen via e-mail die ze niet hadden mogen zijn. E-mail is een briefkaart, geen verzegelde envelop. Houd dat in gedachten."

"Het gaat ook steeds meer over de mogelijkheid om de gegevens te beheren, " zei Littleton van Microsoft. "Het kan het geld waard zijn om een ​​gecodeerde e-mailservice te gebruiken met inkomende filtering die uw aanvalsoppervlak vermindert. Als u uw creditcardnummer in een e-mail achterlaat, vraagt ​​de service of u dat echt wilt verzenden en dan automatisch niet coderen alleen het nummer maar de hele e-mail. Naarmate de branche vordert, worden deze services redelijker en alledaags."

7. Meld incidenten altijd

SBA's Kramer legde uit dat wanneer een klein bedrijf wordt geschonden of getroffen door een phishing-scam of ransomware-aanvraag, ze moeten weten wie ze moeten bellen. Cobb van ESET zei dat als kleine bedrijven dit niet bij de politie melden uit angst voor wetshandhaving die niet over de middelen beschikt om te onderzoeken, de cyclus zal voortduren.

"We hebben een ongelukkige cyclus waarin wetshandhaving financiering krijgt op basis van gerapporteerde misdaden, maar mensen melden geen misdaden omdat ze niet denken dat de politie de middelen heeft", aldus Cobb van ESET. Als niemand meldt, zal de politie nooit het bewijs hebben om zichzelf uit te rusten met de middelen om deze cybercriminaliteitsproblemen aan te pakken."

"De meeste gemeenten hebben cybercriminaliteitseenheden en zullen reageren, " voegde NIST's Toth toe.

8. Zorg voor een incidentresponsplan

"Je probeert je veiligheidsgordel niet om te doen tijdens een ongeluk, " zei Littleton van Microsoft. "Je hebt een plan nodig waarin staat hoe je reageert voordat er een inbreuk plaatsvindt."

"Je zit hier ook niet helemaal alleen", zei Cobb van ESET. "Beveiligingsdiensten die u uit de kast koopt, worden geleverd met verhoogde bescherming in de cloud of bij toegang tot de toeleveringsketen. Mogelijk bieden ze detectie- en preventiediensten op basisniveau. Zorg er bij het samenstellen van uw plan voor dat u geen beveiligingsdiensten verlaat op de tafel die wordt aangeboden door uw MSP of beveiligingsservice."

9. Laat geen losse eindjes achter

"Een probleemgebied dat we zien - als en wanneer een medewerker vertrekt of wordt ontslagen - wordt zijn systeemtoegang niet onmiddellijk beëindigd", aldus Cobb van ESET. "Kleine bedrijven werken met mensen die ze vertrouwen, en veel mensen die komen en gaan. Soms gaan ze niet onder de gelukkigste omstandigheden. Als een voormalige werknemer met wrok nog steeds toegang heeft of zelfs nog steeds hun multifactor-authenticatie ingeschakeld heeft, is dat een groot beveiligingsprobleem van binnenuit dat pijnlijk eenvoudig kan worden aangepakt."

10. Overheidsmiddelen en training

De overheid neemt belangrijke stappen om cybersecurity aan te pakken. Het Witte Huis heeft eerder dit jaar een kader voor cyberbeveiliging uitgebracht en het budgetvoorstel 2017 van president Obama streeft naar een verhoging van de financiering met 35 procent (tot $ 19 miljard) om cyberveiligheidsaanvallen aan te pakken. SBA's Kramer en NIST's Toth wezen op gratis overheidsmiddelen, zoals de volledige pagina met cyberbeveiligingsbronnen voor het MKB, inclusief cyberbeveiligingstips en -hulpmiddelen, een verzameling cursussen, trainingen en webinars.

Enkele van de meest nuttige bronnen zijn:

• Top 10 cyberbeveiligingstips van SBA
• SBA Online Cursus: Cyber ​​Security voor kleine bedrijven
• Cyber ​​Resilience Review (CRR) Assessment Tool
• De kleine Biz Cyber ​​Planner
• SBA, NIST en de FBI's gezamenlijke Small Business Workshops
• Het YouTube-kanaal van de SBA
• NIST's Computer Security Resource Center
• COMPTIA's certificeringen en onderwijsprogramma's om MSP-beveiligingsprotocollen te leren