Video: 10 quốc gia có số TÍN HỮU CÔNG GIÁO đông đảo nhất thế giới (Tháng Chín 2024)
Tuần lễ doanh nghiệp nhỏ quốc gia đang diễn ra và các lễ hội đã không mất nhiều thời gian để giải quyết một trong những vấn đề nhức nhối và hiện tại nhất đối với các doanh nghiệp vừa và nhỏ (SMB): an ninh mạng. Cơ quan quản lý doanh nghiệp nhỏ (SBA) là cơ quan chính phủ Hoa Kỳ chuyên cung cấp trợ giúp, đào tạo và khuyến nghị cụ thể mà các doanh nghiệp nhỏ có thể áp dụng ngay vào hoạt động hàng ngày. Cuối cùng, thay vì chỉ đưa ra các xu hướng bảo mật trên trời, hội đồng an ninh mạng SBA ngày nay đã đưa ra các mẹo, tài nguyên và các bước cụ thể mà SMB có thể thực hiện để giảm thiểu các lỗ hổng bảo mật và đưa ra chiến lược bảo mật toàn diện.
Phó quản trị viên SBA Doug Kramer kiểm duyệt hội đồng chuyên gia bảo mật khi họ thảo luận về những rủi ro bảo mật lớn nhất mà các doanh nghiệp nhỏ gặp phải và các bước quan trọng nhất họ có thể thực hiện để bảo vệ cơ sở hạ tầng và dữ liệu, dựa trên đám mây hoặc vật lý. Hội thảo bao gồm Bill O'Connell, Phó Chủ tịch Đảm bảo Ủy thác Toàn cầu tại ADP; Stephen Cobb, Nhà nghiên cứu bảo mật cao cấp tại ESET Bắc Mỹ; Matt Littleton, Giám đốc dịch vụ cơ sở hạ tầng không gian mạng và dịch vụ cơ sở hạ tầng Azure tại Microsoft; và Patricia (Pat) Toth, Nhà khoa học máy tính giám sát trong Bộ phận An ninh máy tính của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST).
Các thành viên tham gia hội thảo đã nói về các vấn đề an ninh mạng, từ lừa đảo, ransomware và cách xử lý vi phạm đến cách các doanh nghiệp nhỏ nên tiếp cận xác thực đa yếu tố (MFA), đào tạo và chính sách bảo mật nhân viên, những gì cần tìm kiếm trong hợp đồng cung cấp dịch vụ được quản lý (MSP), và khi nào cần gọi một chuyên gia tư vấn bảo mật CNTT.
Theo Kramer, không chỉ về thẻ tín dụng nhân viên và khách hàng và thông tin ngân hàng, mà các doanh nghiệp dữ liệu sở hữu trí tuệ có ở khắp mọi nơi, từ email đến lưu trữ đám mây và các bề mặt tấn công có thể khiến một doanh nghiệp nhỏ trở thành liên kết yếu và dễ dàng trở thành mục tiêu. chuỗi cung ứng. Theo SBA, Kramer cho biết, gần một nửa trong số tất cả các doanh nghiệp nhỏ đã bị nạn nhân ở một mức độ nào đó bởi tội phạm mạng và chi phí tấn công trung bình là khoảng 21.000 đô la.
"Bất cứ ai bắt đầu một doanh nghiệp nhỏ đều làm việc hết sức có thể, không có thêm thời gian hay tiền bạc để đối phó với thách thức an ninh mạng có thể tốn kém hơn dự kiến và có nghĩa là sống hay chết cho một doanh nghiệp nhỏ", Kramer nhận xét. đã bắt đầu. "Nguy cơ xâm nhập và trộm cắp trên mạng là rất thật. Các doanh nghiệp nhỏ đo lường tài sản và hàng tồn kho theo nhiều cách khác nhau, nhưng họ ngồi trên một kho thông tin quý giá."
1. Bảo mật đám mây: Do và Don'ts
Vì lý do hiệu quả về chi phí và thuận tiện, tất cả các SMB cần xem xét thực hiện chuyển đổi sang đám mây, nhưng quá trình chuyển đổi cần phải diễn ra cẩn thận. Các tham luận viên đã thảo luận về một số cân nhắc và rào cản quan trọng nhất.
- Nên: Sao lưu đám mây tăng dần "Đám mây có rất nhiều lợi ích và rủi ro, nhưng một điều SMB nên làm tất cả là sao lưu", Cobb của ESET nói. "Sao lưu hiện tại của tất cả các tệp là sự bảo vệ tốt nhất chống lại ransomware và là một phần quan trọng trong tư thế và phòng thủ an ninh mạng của bạn. Bạn vẫn nên sao lưu vào ổ cứng và lưu trữ một bản sao ở một nơi an toàn ở một vị trí riêng biệt, nhưng đám mây cho phép bạn sao lưu liên tục. "
- Nên: Trả tiền cho Bảo mật đám mây cao cấp "Các chủ doanh nghiệp nhỏ có ý thức về giá, nhưng các yếu tố khác cần phải có được trọng lượng phù hợp", O'Connell của ADP nói. "Một số thứ nên tốn nhiều tiền hơn cho mức độ dịch vụ cao hơn và bảo mật là một trong những điều đó. Đừng chỉ đưa ra quyết định dựa trên giá cả."
- Đừng: Chỉ cần ký hợp đồng MSP
"Kiểm tra hợp đồng đó, " Cobb của ESET nói. "Bạn có thể thuê ngoài lưu trữ hoặc sao lưu, nhưng bạn không thể thuê ngoài trách nhiệm. Nếu chủ sở hữu SMB nói rằng nhà cung cấp CNTT có tất cả dữ liệu về khách hàng và nhân viên, dữ liệu của bạn, bạn vẫn chịu trách nhiệm."
"Khi nói đến không chỉ hợp đồng mà cả dữ liệu, hãy thực hiện nghiên cứu của bạn để xem liệu có bất kỳ vấn đề bảo mật nào không", O'Connell của ADP nói thêm. "Đối với một SMB, hợp đồng là một phần tốt của tuyến phòng thủ đó. Kiểm tra SLA và truy cập các chính sách dữ liệu cấp. MSPs giữ dữ liệu trong bao lâu? Họ làm gì với nó?"
- Đừng: Bỏ các tính năng cơ sở hạ tầng MSP không sử dụng "Nếu bạn bước vào một môi trường đám mây, bạn có thể chuyển một phần trách nhiệm đó. Chúng tôi không còn ở trong một nền tảng nền tảng mà bạn phải lo lắng về việc không có nhân viên phản hồi vấn đề hoặc vá máy chủ", Microsoft cho biết Littleton. "Đó là nơi mà nhà cung cấp dịch vụ có thể bước vào và xử lý việc đó thay cho bạn. Bạn cần hiểu những gì bạn nhận được từ quan điểm hợp đồng và những dịch vụ mà nhà cung cấp đám mây đang cung cấp."
2. Xác thực đa yếu tố: Chỉ cần làm điều đó
"Từ quan điểm cá nhân và kinh doanh, MFA là điều bạn có thể làm ngay lập tức. Các doanh nghiệp không có lý do gì để không làm điều này ngay lập tức", Littleton của Microsoft nói. "Thật đơn giản với toàn bộ ngăn xếp sản phẩm của Microsoft, tương tự với Google, Yahoo, bạn đặt tên cho nhà cung cấp email. Hãy xem cài đặt bảo mật của bạn và yêu cầu mọi nhân viên nhập số điện thoại di động của họ làm yếu tố thứ hai. Kẻ tấn công và tôi đánh cắp mật khẩu của bạn, tôi không thể sử dụng nó trừ khi tôi đánh cắp điện thoại di động của bạn và biết mã PIN. "
3. Khi nào cần gọi trong Tư vấn bảo mật CNTT
" Sẽ có những điều bạn không thể làm một mình với tư cách là chủ doanh nghiệp nhỏ", O'Connell của ADP nói. "Đối với các hợp đồng rất quan trọng, bạn có được tư vấn pháp lý bên ngoài. Đối với tài chính hàng năm và hàng quý, bạn có một kế toán viên. Cũng giống như chuyên môn bảo mật. Khi bạn cần kiểm tra một trang web để đảm bảo an toàn trên web, hoặc tiến hành đánh giá rủi ro, Đó là tiền chi tiêu tốt nếu bạn không có chuyên môn để tự làm. Bạn không tự mình làm điện hay hệ thống ống nước trong tòa nhà; đó là về việc biết khi nào bạn cần giúp đỡ. "
4. Bảo mật là một phần công việc của mọi người
"Bạn không thể chỉ dựa vào một người trong công ty 10 người; mọi người cần có hiểu biết tốt về an ninh mạng và những rủi ro đối với tổ chức", Toth của NIST nói. "Nếu họ không làm, công việc của họ có thể gặp nguy hiểm nếu có vi phạm và doanh nghiệp không thể phục hồi."
"Hãy bảo mật là một phần công việc của mỗi người", O'Connell của ADP nói thêm. "Người điều hành tài chính, họ cần làm gì mỗi ngày? Về mặt vật chất, ai là người khóa cửa vào ban đêm? Mọi người cần biết các thành phần và vai trò của chúng phù hợp với an ninh chung của doanh nghiệp."
5. Đừng là liên kết chuỗi cung ứng yếu
Như Kramer của SBA đã giải thích, không còn sự phân chia giữa SMB và doanh nghiệp. Các doanh nghiệp nhỏ muốn phát triển và mở rộng quy mô, hoặc họ đang cắm vào chuỗi cung ứng doanh nghiệp cho phần mềm và dịch vụ. Vấn đề là, các chính sách bảo mật của SMB có thể không ngang tầm với một công ty chuỗi cung ứng mà họ đang tìm cách hợp tác.
"Khi SMB nhận được hợp đồng lớn đầu tiên của họ với một công ty lớn và họ yêu cầu được xem chương trình nhận thức và chính sách bảo mật của bạn, bạn không nên tranh giành để kiểm tra mọi thứ trong danh sách kiểm tra", Cobb của ESET nói. "Rủi ro chuỗi cung ứng lên xuống là mối quan tâm lớn. Nếu SMB tương tác kỹ thuật số với nhà cung cấp, hãy kiểm tra chúng. Bạn cần có chính sách bảo mật và đào tạo để không trở thành trở ngại."
"Không có doanh nghiệp nào là quá nhỏ để được nhắm mục tiêu trong lĩnh vực mạng, đặc biệt là từ quản lý chuỗi cung ứng, " Littleton của Microsoft cho biết. "Nhiều hành vi vi phạm không bắt đầu từ đầu; chúng bắt đầu ở đâu đó trong chuỗi cung ứng và những kẻ tấn công tìm đường đến mục tiêu cuối cùng."
Toth của NIST cho biết trong hai năm tới, bạn sẽ thấy các cơ quan chính phủ bắt đầu công bố các quy tắc để truy cập hệ thống chuỗi cung ứng. Trong khi đó, cô ấy nói SMB cần phải có kế hoạch.
"Lập kế hoạch là vô giá để biết điều gì thực sự quan trọng; đó là một điều bạn cần bảo vệ và cách thức hoạt động của doanh nghiệp nếu không thể truy cập được", Toth của NIST nói. "SMB cần phải có kế hoạch, chính sách và thủ tục. Không phải là một cách tiếp cận chính phủ lớn, nó có thể đơn giản như các chính sách trong sổ tay nhân viên của bạn nói những gì họ có thể và không thể làm trên internet, làm thế nào để phát hiện một cuộc tấn công lừa đảo và khi nào nên mở và không mở các liên kết và tệp đính kèm. "
6. Đối xử với Email như một tấm bưu thiếp, không phải là một phong bì
"Điều đầu tiên để làm một doanh nghiệp nhỏ với email là suy nghĩ về những gì trong đó. Nếu tôi định hack thông tin công ty của ai đó, email của họ thường có tất cả những thứ hay ho", Cobb của ESET nói. "Mọi người thường không nghĩ về những gì họ sẽ rời khỏi đó. Hãy nhìn vào vụ hack Sony, mọi người đang nói những điều mà họ không nên có. Email là một tấm bưu thiếp, không phải là một phong bì dán kín. Hãy ghi nhớ điều đó. "
"Nó cũng đang trở nên nhiều hơn về khả năng kiểm soát dữ liệu", Littleton của Microsoft cho biết. "Có thể đáng tiền để sử dụng dịch vụ email được mã hóa với tính năng lọc trong nước làm giảm bề mặt tấn công của bạn. Nếu bạn để lại số thẻ tín dụng của mình trong email, dịch vụ sẽ hỏi bạn có thực sự muốn gửi không, và sau đó tự động mã hóa Chỉ có số lượng nhưng toàn bộ email. Khi ngành công nghiệp tiến bộ, các dịch vụ này đang trở nên hợp lý và phổ biến hơn. "
7. Luôn báo cáo sự cố
Kramer của SBA giải thích rằng, khi một doanh nghiệp nhỏ bị vi phạm hoặc gặp phải một yêu cầu lừa đảo hoặc ransomware, họ cần biết phải gọi ai. Cobb của ESET cho biết nếu các doanh nghiệp nhỏ không báo cáo điều này với cảnh sát vì sợ cơ quan thực thi pháp luật không sở hữu tài nguyên để điều tra, chu kỳ sẽ kéo dài.
"Chúng tôi có một chu kỳ đáng tiếc khi các cơ quan thực thi pháp luật nhận được tài trợ dựa trên các tội phạm được báo cáo, nhưng mọi người không báo cáo tội phạm vì họ không nghĩ cảnh sát có tài nguyên", Cobb của ESET nói. Nếu không ai báo cáo, cảnh sát sẽ không bao giờ có bằng chứng để trang bị cho mình các tài nguyên để giải quyết các vấn đề tội phạm mạng này. "
"Hầu hết các đô thị đều có các đơn vị tội phạm mạng và sẽ phản hồi", Toth của NIST nói thêm.
8. Có kế hoạch ứng phó sự cố tại chỗ
"Bạn không cố gắng thắt dây an toàn vào giữa một vụ tai nạn", Littleton của Microsoft nói. "Bạn cần một kế hoạch được đặt ra về cách bạn sẽ trả lời trước khi vi phạm xảy ra."
"Bạn cũng không hoàn toàn đơn độc, " Cobb của ESET nói. "Các dịch vụ bảo mật bạn mua ngoài giá đi kèm với sự bảo vệ tăng cường trong đám mây hoặc truy cập chuỗi cung ứng. Họ có thể cung cấp dịch vụ phát hiện và phòng ngừa ở cấp cơ sở. Khi kết hợp kế hoạch của bạn, hãy đảm bảo bạn không rời khỏi dịch vụ bảo mật trên bàn được cung cấp bởi MSP hoặc dịch vụ bảo mật của bạn. "
9. Đừng để kết thúc lỏng lẻo
"Một khu vực có vấn đề mà chúng tôi thấy là nếu và khi một nhân viên rời khỏi hoặc bị sa thải thì quyền truy cập hệ thống của họ không bị chấm dứt ngay lập tức", Cobb của ESET nói. "Các doanh nghiệp nhỏ làm việc với những người mà họ tin tưởng và rất nhiều người đến và đi. Đôi khi, họ không gặp phải trường hợp hạnh phúc nhất. Nếu một nhân viên cũ có ác cảm vẫn có quyền truy cập hoặc thậm chí vẫn kích hoạt xác thực đa yếu tố của họ, đó là một vấn đề an ninh nội bộ lớn rất dễ giải quyết. "
10. Tài nguyên và đào tạo của chính phủ
Chính phủ đang thực hiện các bước chính để giải quyết an ninh mạng. Nhà Trắng đã công bố khuôn khổ an ninh mạng vào đầu năm nay và đề xuất ngân sách năm 2017 của Tổng thống Obama tìm cách tăng 35% kinh phí (lên 19 tỷ USD) để đối phó với các cuộc tấn công an ninh mạng. Kramer và NIST's Toth của SBA đã chỉ ra các tài nguyên của chính phủ miễn phí như toàn bộ trang tài nguyên an ninh mạng của SBA cho SMB, bao gồm các mẹo và công cụ an ninh mạng, một bộ sưu tập các khóa học, đào tạo và hội thảo trên web.
Một số tài nguyên hữu ích nhất là:
- 10 mẹo hàng đầu về an ninh mạng của SBA
- Khóa học trực tuyến SBA: An ninh mạng cho doanh nghiệp nhỏ
- Công cụ đánh giá khả năng phục hồi mạng (CRR)
- Công cụ lập kế hoạch Biz nhỏ
- SBA, NIST và Hội thảo doanh nghiệp nhỏ chung của FBI
- Kênh YouTube của SBA
- Trung tâm tài nguyên bảo mật máy tính của NIST
- Các chứng chỉ và chương trình giáo dục của COMPTIA để tìm hiểu các giao thức bảo mật MSP
