Zuhause Sicherheit Warum kleine Unternehmen aus Datenverletzungen mit hohem Bekanntheitsgrad lernen müssen

Warum kleine Unternehmen aus Datenverletzungen mit hohem Bekanntheitsgrad lernen müssen

Inhaltsverzeichnis:

Anonim

In einem kürzlich veröffentlichten Bericht erklärte McAfee 2014 zum "Jahr des Verstoßes", und es ist leicht zu erkennen, warum. Mehrere namhafte Unternehmen und Konzerne haben seit Januar schwerwiegende Datenverletzungen erlitten, von mehr als 50 Millionen Mitarbeitern bei Home Depot bis zu über 70 Millionen bei JPMorgan. Inzwischen sind Staples, PF Chang's, Goodwill und viele andere Opfer von Internetkriminalität geworden.


Laut dem SafeNet Breach Level Index für das dritte Quartal 2014 wurden zwischen Juli und September 320 Datenverstöße gemeldet, von denen 46% Identitätsdiebstahl betrafen.


Unter der Oberfläche dieser Benachrichtigungen über schwerwiegende Sicherheitsverletzungen sprudelt eine Flut von Sicherheitsverletzungen mit geringerem Profil, die jede Woche auftreten und von denen Sie mit geringerer Wahrscheinlichkeit etwas hören. Ein Ziel wie Home Depot bietet die Möglichkeit für einen massiven Zahltag, birgt aber auch ein höheres Risiko und ist mit viel Planung verbunden. So ist es nicht verwunderlich, dass einige Hacker wie kleine Unternehmen (SMBs) auf niedrig hängende Früchte setzen. Diese werden kleinere Zahltage ergeben, können aber reichlich sein, wenn mehrere nacheinander abgezogen werden.


Cyber-Kriminelle setzen immer wieder neue Tools ein, um KMUs anzugreifen, so Trend Micro in einem seiner neuesten Berichte zu Keyloggern, mit denen Hacker Unternehmensdaten löschen können.


"KMUs haben dieses falsche Sicherheitsgefühl, weil sie glauben, dass ihnen ein solcher Angriff niemals zustoßen wird", sagt Gary Davis, Chief Consumer Security Evangelist bei McAfee. "Sicherheitsbedrohungen unterscheiden sich nicht nach der Unternehmensgröße. Für KMU, deren Mitarbeiter mehrere Geräte verwenden, wird es immer wichtiger, über erstklassige Sicherheitslösungen zu verfügen."


Sie müssen nicht zu weit graben, um Beispiele für kleine bis mittlere Sicherheitslücken zu finden. Im Houstonian Hotel in Houston, Texas, wurden Anfang des Jahres bei einer Sicherheitsverletzung 10.000 Kreditkartendaten von Kunden aufgedeckt. In kleinerem Maßstab, aber nicht weniger ernst, entdeckte das in Oregon ansässige Outdoor-Sportgeschäft Backcountry Gear, das Waren in die USA versendet, im Juli 2014 Malware auf seinem System, die möglicherweise die Kundendaten gefährdet hat.


"Das Problem ist, dass so viele dieser Unternehmen Sicherheit nicht als etwas ansehen, das sie tun müssen, sondern als etwas, das sie tun müssen", sagt Marcus Ranum, Chief Security Officer bei Tenable Network Security. "Da sie offen sind, gehen sie oft bestenfalls auf das Nötigste ein und versuchen, die Haftung auszulagern und aufzuschieben."

Die richtigen Einstellungen annehmen

Sicherheit funktioniert am besten, wenn sie als "Kerngeschäftsprozess" behandelt wird, so der SMB Security Guide, eine Website, die kleine Unternehmen zu Best Practices für Sicherheit berät.


Für jedes kleine Unternehmen ist eine grundlegende Grundausbildung erforderlich, um seine digitalen Vermögenswerte zu schützen. Laut Davis müssen die Mitarbeiter im Umgang mit eindeutigen und schwierigen Passwörtern geschult werden, und die Geschäftsinhaber müssen ihre Daten in- und auswendig kennen, wo alles gespeichert ist und wer genau Zugriff darauf hat. Ein offenes Buch über Daten unter Mitarbeitern kann zu vorsätzlichen oder versehentlichen Datenlecks führen.


An anderer Stelle müssen Geschäftsinhaber sicherstellen, dass ihre Apps und Betriebssysteme ebenfalls aktualisiert werden. Die Cybersicherheit ist jedoch vielfältig und kann auch physisch präsent sein. Wer hat beispielsweise Zugang zu Räumen, in denen Festplatten gespeichert sind?


"Lassen Sie sich nicht von Fremden durch die Hallen führen und beschränken Sie den physischen Zugang mit verschlossenen Türen und verwalteten Zugangssystemen", sagt Davis. "Stellen Sie sicher, dass Sie gründliche Hintergrund- und Referenzprüfungen durchführen, bevor Sie neue Mitarbeiter einstellen."

Bringen Sie Ihr eigenes Gerät mit … oder bringen Sie Ihre eigene Datenverletzung mit?

Der Data Breach Response Guide 2014/2015 von Experian und das Ponemon Institute sprechen sich für die Entwicklung einer rigiden Richtlinie zur Reaktion auf Verstöße aus. Durchgängig wirksame Richtlinien helfen jedem Unternehmen, besser mit Datenverletzungen umzugehen, insbesondere bei Unternehmen mit BYOD-Praktiken, die immer mehr Möglichkeiten für Verstöße schaffen.


Laut Sean Sullivan, dem Sicherheitsberater von F-Secure, wird BYOD im Büro unvermeidlich.


"Vom Standpunkt des Benutzers aus ist BYOD eine großartige Idee, aber vom Standpunkt der Sicherheit aus ist es eine schreckliche Idee", sagt er. "Sie spielen die Pechlotterie; die Gewinnchancen sind gering, aber der erste Preis ist ein erheblicher Geldverlust."


Das Gerät gehört dem Einzelnen, und dies wirft Fragen im Zusammenhang mit der Verantwortung auf. Aus diesem Grund ist die Ausarbeitung einer eisernen Richtlinie von entscheidender Bedeutung und muss die Schulung Ihrer Mitarbeiter in Sicherheitsprotokollen ergänzen.


"Wir empfehlen, dass Unternehmen ihren Mitarbeitern zusätzliche Schulungen in Bezug auf die physischen Geräte selbst anbieten", fügt Sullivan hinzu. "Indem den Mitarbeitern eine großartige Benutzererfahrung geboten wird, wird die Wahrscheinlichkeit geringer, dass Unternehmensrichtlinien in Bezug auf Sicherheit missachtet werden."

KMUs können zurückgelassen werden

Kleine Unternehmen werden aufgefordert, einen proaktiven Sicherheitsansatz zu verfolgen und die Mentalitäten großer Unternehmen zu übernehmen, da sonst niemand auf Sie aufpasst.


"In Wirklichkeit hat die Sicherheitsbranche kleine und mittlere Unternehmen im Stich gelassen", sagt Paul Lipman, CEO von iSheriff, einem Cloud-Sicherheitsunternehmen mit Sitz in Redwood City, Kalifornien. KMUs können sich in der Unterhaltung verirren und erhalten nicht die gleiche Aufmerksamkeit, wenn es um Sicherheit geht. Oftmals lassen sie sie sich selbst überlassen.


KMUs haben vielleicht nicht so viel zu bieten wie ein Home Depot oder ein Target, aber Unternehmen haben immer noch viel zu verlieren.


"Sind nicht daran interessiert, Geheimnisse oder geistiges Eigentum zu stehlen, wie die Hacker, die auf größere Unternehmen abzielen", sagt Lipman. Aber wo es ein Geschäft gibt, gibt es Geld, und Cyberkriminelle werden alles angreifen, von dem sie wissen, dass sie es durchdringen können.


Einige Unternehmen werden immer technisch versierter, aber der entscheidende Punkt ist, dass KMUs sich keine Zeit dafür nehmen können. Technologie - und Cyber-Bedrohungen - entwickeln sich rasant weiter.


Aus dem Small Business Owner Report der Bank of America geht hervor, dass 80% der kleinen Unternehmen "irgendeine Art von digitaler Methode" in ihr Geschäft integriert haben, dies kann jedoch auch soziale Medien und Sicherheit einschließen. Wie viel Aufmerksamkeit wird der Stärkung der Sicherheit und der Ausweitung der Reichweite sozialer Medien gewidmet?


Das Sicherheitsunternehmen BitSight veröffentlichte im November 2014 eine neue Studie, die viele Bedenken hinsichtlich der Sicherheit von Unternehmen, insbesondere des Einzelhandels, untermauert, und stellt fest, dass die Sicherheitsintegrität in diesen Unternehmen gesunken ist.


"Während es ermutigend ist, dass die Mehrheit der betroffenen Einzelhändler ihre Sicherheitseffizienz verbessert hat, gibt es mehr zu tun, insbesondere im Bereich des Anbieterrisikomanagements", sagte Stephen Boyer, CTO von BitSight, bei der Ankündigung der Studie.


Es wirft mehrere Fragen auf. Haben Sie als Inhaber eines Kleinunternehmens die Sicherheitspraktiken Ihres Unternehmens überprüft und bewertet, wo die Sicherheit in Ihrer Hierarchie steht? Während sich Cyber-Bedrohungen weiterentwickeln, müssen kleine Unternehmen dasselbe tun.

Warum kleine Unternehmen aus Datenverletzungen mit hohem Bekanntheitsgrad lernen müssen