Video: 10 consigli di sicurezza informatica! (Settembre 2024)
La settimana nazionale delle piccole imprese è in corso e i festeggiamenti non hanno richiesto molto tempo per affrontare una delle questioni più eclatanti e sempre presenti per le piccole e medie imprese (PMI): la sicurezza informatica. La Small Business Administration (SBA) è l'agenzia governativa degli Stati Uniti dedicata a fornire aiuto concreto, formazione e raccomandazioni che le piccole imprese possono mettere subito in pratica nelle loro operazioni quotidiane. A tal fine, piuttosto che offrire semplicemente le tendenze della sicurezza pie-in-the-sky, il pannello di sicurezza informatica SBA di oggi ha fornito alle PMI suggerimenti, risorse e misure concrete che possono adottare per mitigare le vulnerabilità della sicurezza e mettere in atto una strategia di sicurezza globale.
Il vice amministratore SBA Doug Kramer ha moderato il gruppo di esperti di sicurezza mentre discutevano dei maggiori rischi per la sicurezza delle piccole imprese e dei passi più importanti che possono adottare per proteggere la propria infrastruttura e dati, basati su cloud o fisici. Il panel comprendeva Bill O'Connell, Vice President di Global Trust Assurance presso ADP; Stephen Cobb, Senior Security Researcher presso ESET North America; Matt Littleton, East Region Director di Cybersecurity e Azure Infrastructure Services presso Microsoft; e Patricia (Pat) Toth, Supervisory Computer Scientist nella Divisione Computer Security del National Institute of Standards and Technology (NIST).
I relatori hanno parlato di problemi di cibersicurezza che vanno dal phishing, al ransomware e su come gestire una violazione del modo in cui le piccole imprese dovrebbero avvicinarsi all'autenticazione a più fattori (MFA), alla formazione e alle politiche sulla sicurezza dei dipendenti, cosa cercare in un contratto con un fornitore di servizi gestiti (MSP), e quando chiamare un consulente per la sicurezza IT.
Secondo Kramer, non si tratta solo di carta di credito di dipendenti e clienti e informazioni bancarie, ma le società di dati sulla proprietà intellettuale ospitano ovunque, dall'email al cloud storage, e le superfici di attacco che potrebbero rendere una piccola impresa il collegamento debole e un obiettivo facile in la catena di approvvigionamento. Secondo l'SBA, Kramer ha affermato che quasi la metà di tutte le piccole imprese è stata in qualche modo vittimizzata dal crimine informatico e il costo medio dell'attacco è di circa $ 21.000.
"Chiunque avvii una piccola impresa sta lavorando il più intensamente possibile, senza tempo o denaro extra per affrontare una sfida di sicurezza informatica che potrebbe costare più del previsto e significherebbe la vita o la morte di una piccola impresa", ha osservato Kramer di SBA ha cominciato. "La minaccia di cyber intrusione e furto è molto reale. Le piccole imprese misurano le risorse e l'inventario in diversi modi, ma siedono su un tesoro di informazioni."
1. Cloud Security: cosa fare e cosa non fare
Per motivi di convenienza e convenienza, tutte le PMI devono prendere in considerazione la possibilità di effettuare una transizione verso il cloud, ma la transizione deve avvenire con attenzione. I relatori hanno discusso alcune delle considerazioni e degli ostacoli più importanti.
- Esegui: backup cloud incrementale "Il cloud presenta numerosi vantaggi e rischi, ma una cosa che tutte le PMI dovrebbero fare è il backup", ha affermato Cobb di ESET. "L'attuale backup di tutti i file è la migliore protezione contro il ransomware e una parte critica della posizione e della difesa della cybersecurity. Dovresti comunque eseguire il backup su un disco rigido e archiviarne una copia in un luogo sicuro in una posizione separata, ma il cloud ti consente di eseguire il backup costantemente."
- Fai: paga per Premium Cloud Security "I proprietari di piccole imprese sono attenti ai prezzi, ma altri fattori devono ottenere la giusta quantità di peso", ha dichiarato O'Connell di ADP. "Alcune cose dovrebbero costare di più per un livello di servizio più elevato e la sicurezza è una di quelle cose. Non limitarti a prendere una decisione in base al prezzo."
- Non: basta firmare il contratto MSP
"Controlla quel contratto", ha detto Cobb di ESET. "Puoi esternalizzare l'archiviazione o il backup, ma non puoi esternalizzare la responsabilità. Se il proprietario della PMI afferma che il fornitore IT ha tutti i dati dei clienti e dei dipendenti, i tuoi dati, sei ancora responsabile."
"Quando si tratta non solo del contratto ma dei dati, fai le tue ricerche per vedere se ci sono problemi di sicurezza", ha aggiunto O'Connell di ADP. "Per una PMI, il contratto è una buona parte di quella linea di difesa. Dai un'occhiata agli SLA e accedi alle politiche sui dati di livello. Per quanto tempo gli MSP conservano i dati? Cosa ne fanno?"
- Non: lasciare funzionalità di infrastruttura MSP non utilizzate "Se entri in un ambiente cloud, puoi spostare parte di tale responsabilità. Non siamo più in un'arena di piattaforme in cui devi preoccuparti di non avere lo staff per rispondere a un problema o patchare un server", ha affermato Microsoft Littleton. "È qui che il fornitore di servizi può intervenire e gestirlo per tuo conto. Devi capire cosa stai ottenendo dal punto di vista del contratto e quali servizi offre il fornitore cloud."
2. Autenticazione a più fattori: basta farlo
"Dal punto di vista sia personale che aziendale, l'AMF è qualcosa che puoi fare immediatamente. Le aziende non hanno scuse per non farlo subito", ha dichiarato Littleton di Microsoft. "È semplice con l'intero stack di prodotti Microsoft; lo stesso vale per Google, Yahoo, tu chiami il provider di posta elettronica. Guarda le tue impostazioni di sicurezza e richiedi a ogni dipendente di inserire il proprio numero di cellulare come secondo fattore. Quindi, anche se sto un aggressore e rubo la tua password, non posso usarla se non rubo il tuo cellulare e conosco il PIN ".
3. Quando chiamare un consulente per la sicurezza IT
" Ci saranno cose che non puoi fare da solo come piccolo imprenditore", ha detto O'Connell di ADP. "Per contratti molto importanti, si ottiene una consulenza legale esterna. Per i dati finanziari annuali e trimestrali, si dispone di un contabile. Lo stesso vale per le competenze in materia di sicurezza. Quando è necessario testare un sito per assicurarsi che sia sicuro sul Web o condurre una valutazione del rischio, sono soldi ben spesi se non hai le competenze per farlo da solo. Non stai facendo tu stesso l'elettricità o l'impianto idraulico dell'edificio; si tratta di sapere quando hai bisogno di aiuto."
4. La sicurezza fa parte del lavoro di tutti
"Non puoi fare affidamento solo su una persona in un'azienda di 10 persone; tutti devono avere una buona comprensione della sicurezza informatica e quali sono i rischi per l'organizzazione", ha dichiarato Toth di NIST. "In caso contrario, il loro lavoro potrebbe essere in pericolo se c'è una violazione e l'azienda non può riprendersi."
"Rendi la sicurezza parte del lavoro di ogni persona", ha aggiunto O'Connell di ADP. "La persona che gestisce i dati finanziari: cosa devono fare ogni giorno? Dal punto di vista fisico, chi è quello che chiude la porta di notte? Tutti hanno bisogno di conoscere i componenti e come il loro ruolo si adatta alla sicurezza generale dell'azienda."
5. Non essere l'anello debole della catena di approvvigionamento
Come ha spiegato Kramer di SBA, non c'è più divisione tra PMI e imprese. Le piccole imprese o vogliono crescere e ridimensionarsi, oppure si stanno collegando a una catena di fornitura aziendale per software e servizi. Il problema è che le politiche di sicurezza della PMI potrebbero non essere all'altezza di un'azienda della catena di approvvigionamento con la quale stanno cercando di collaborare.
"Quando un SMB sta ottenendo il suo primo grande contratto con una grande azienda e chiedono di vedere le vostre politiche di sicurezza e il programma di sensibilizzazione, non dovreste cercare di controllare tutto dalla lista di controllo", ha affermato Cobb di ESET. "Il rischio della catena di approvvigionamento su e giù è una grande preoccupazione. Se una PMI interagisce digitalmente con un fornitore, verificalo. È necessario disporre di politiche di sicurezza e formazione in modo che non diventi un ostacolo."
"Nessun business è troppo piccolo per essere preso di mira nell'arena cyber, in particolare dalla gestione della catena di approvvigionamento", ha dichiarato Littleton di Microsoft. "Molte violazioni non iniziano in alto; iniziano da qualche parte nella catena di approvvigionamento e gli attaccanti si fanno strada fino all'obiettivo finale."
Toth del NIST ha affermato che nei prossimi due anni vedrete le agenzie governative iniziare a pubblicare regole per l'accesso ai sistemi della catena di approvvigionamento. Nel frattempo, ha affermato che le PMI devono disporre di un piano.
"La pianificazione ha un valore inestimabile per sapere cosa è veramente importante; quell'unica cosa che devi proteggere e come la tua azienda opererebbe se non fosse accessibile", ha dichiarato Toth di NIST. "Le PMI devono avere piani, politiche e procedure in atto. Non un grande approccio governativo; può essere semplice come le politiche nel manuale del dipendente che dicono cosa possono e non possono fare su Internet, come individuare un attacco di phishing e quando aprire e non aprire collegamenti e allegati."
6. Tratta l'e-mail come una cartolina, non una busta
"La prima cosa da fare come una piccola impresa con la posta elettronica è pensare a cosa c'è dentro. Se vado a hackerare le informazioni sulla società di qualcuno, la sua e-mail ha spesso tutte le cose buone", ha detto Cobb di ESET. "Le persone spesso non pensano a ciò che stanno lasciando lì. Guarda l'hack della Sony; le persone dicevano cose tramite e-mail che non avrebbero dovuto essere. Le e-mail sono una cartolina, non una busta sigillata. Tienilo a mente."
"Sta diventando sempre più incentrato sulla capacità di controllare i dati", ha dichiarato Littleton di Microsoft. "Potrebbe valere la pena utilizzare un servizio di posta elettronica crittografato con filtro in entrata che riduce la superficie di attacco. Se lasci il numero della tua carta di credito in un messaggio di posta elettronica, il servizio ti chiederà se desideri davvero inviarlo e quindi crittografare automaticamente solo il numero ma l'intera e-mail. Man mano che l'industria avanza, questi servizi stanno diventando più ragionevoli e banali ".
7. Segnalare sempre incidenti
Kramer di SBA ha spiegato che, quando una piccola impresa viene violata o colpita da una truffa di phishing o da una richiesta di ransomware, deve sapere chi chiamare. Cobb di ESET ha dichiarato che se le piccole imprese non lo segnalano alla polizia per paura che le forze dell'ordine non possiedano le risorse per indagare, il ciclo si perpetuerà.
"Abbiamo uno sfortunato ciclo in cui le forze dell'ordine ricevono finanziamenti sulla base dei reati denunciati, ma le persone non stanno segnalando crimini perché non pensano che la polizia abbia le risorse", ha affermato Cobb di ESET. Se nessuno denuncia, la polizia non avrà mai le prove per dotarsi delle risorse per affrontare questi problemi di criminalità informatica ".
"La maggior parte dei comuni ha unità di criminalità informatica e risponderà", ha aggiunto Toth del NIST.
8. Predisporre un piano di risposta agli incidenti
"Non cerchi di allacciarti la cintura nel mezzo di un incidente", ha detto Littleton di Microsoft. "Hai bisogno di un piano definito su come risponderai prima che si verifichi una violazione."
"Non sei nemmeno completamente solo in questo", ha detto Cobb di ESET. "I servizi di sicurezza acquistati dagli scaffali vengono forniti con una maggiore protezione nel cloud o nell'accesso alla catena di fornitura. Potrebbero fornire servizi di rilevamento e prevenzione a livello di base. Quando si mette insieme il piano, assicurarsi di non abbandonare i servizi di sicurezza sul tavolo offerto dal tuo MSP o dal servizio di sicurezza."
9. Non lasciare estremità sciolte
"Un'area problematica che vediamo - se e quando un dipendente lascia o viene licenziato - il loro accesso al sistema non viene immediatamente interrotto", ha affermato Cobb di ESET. "Le piccole imprese lavorano con persone di cui si fidano e molte persone che vanno e vengono. A volte non vanno nelle circostanze più felici. Se un ex dipendente con rancore ha ancora accesso o ha ancora la sua autenticazione a più fattori abilitata, questo è un grosso problema di sicurezza interna che è dolorosamente facile da affrontare."
10. Risorse governative e formazione
Il governo sta compiendo passi importanti per affrontare la sicurezza informatica. La Casa Bianca ha rilasciato un quadro per la sicurezza informatica all'inizio di quest'anno e la proposta di bilancio del Presidente Obama per il 2017 prevede un aumento del 35 percento dei finanziamenti (a $ 19 miliardi) per far fronte agli attacchi di sicurezza informatica. Kramer di SBA e Toth del NIST hanno indicato risorse libere del governo come l'intera pagina di risorse di sicurezza informatica per le PMI, inclusi suggerimenti e strumenti di sicurezza informatica, una raccolta di corsi, corsi di formazione e webinar.
Alcune delle risorse più utili sono:
- I 10 migliori consigli di sicurezza informatica di SBA
- Corso online SBA: Cyber Security per le piccole imprese
- Strumento di valutazione della Cyber Resilience Review (CRR)
- The Small Biz Cyber Planner
- SBA, NIST e seminari congiunti per le piccole imprese dell'FBI
- Il canale YouTube dell'SBA
- Centro risorse per la sicurezza informatica del NIST
- Certificazioni e programmi di formazione COMPTIA per l'apprendimento dei protocolli di sicurezza MSP
