Lar Segurança Por que as pequenas empresas precisam aprender com violações de dados de alto perfil

Por que as pequenas empresas precisam aprender com violações de dados de alto perfil

Índice:

Anonim

Em um relatório recente, a McAfee declarou 2014 "o ano da violação" e é fácil entender por que. Várias empresas e corporações de alto perfil sofreram violações violentas de dados desde janeiro, passando de mais de 50 milhões de pessoas na Home Depot para mais de 70 milhões no JPMorgan. Enquanto isso, Staples, PF Chang, Goodwill e muitos outros foram vítimas do crime cibernético.


De acordo com o Índice de Nível de Violação da SafeNet no terceiro trimestre de 2014, houve 320 violações de dados relatadas entre julho e setembro, 46% das quais envolveram roubo de identidade.


Sob a superfície dessas grandes notificações de violação, há uma enxurrada de violações de dados de perfil baixo que acontecem toda semana que você tem menos probabilidade de ouvir. Um destino como a Home Depot oferece uma oportunidade para um pagamento massivo, mas também é um risco maior e envolve muito planejamento de negócios. Portanto, não é tão surpreendente ver alguns hackers apostando em frutas baixas, como pequenas empresas (SMBs). Isso produzirá dias de pagamento menores, mas poderá ser abundante se vários forem retirados em sucessão.


Enquanto isso, os cibercriminosos estão usando novas ferramentas para atingir pequenas e médias empresas, diz a Trend Micro em um de seus últimos relatórios sobre keyloggers, que os hackers podem usar para desviar dados da empresa.


"As pequenas e médias empresas têm esse falso senso de segurança, pensando que esse ataque nunca lhes acontecerá", diz Gary Davis, evangelista chefe de segurança do consumidor da McAfee. "As ameaças à segurança não discriminam o tamanho da organização e, para as PME cujos funcionários usam vários dispositivos, está ficando mais crucial ter soluções de segurança exclusivas".


Você não precisa ir muito longe para encontrar exemplos de violações de pequeno a médio porte. O Houstonian Hotel, em Houston, Texas, viu os detalhes do cartão de crédito de 10.000 clientes expostos durante uma violação de segurança no início deste ano. Em uma escala menor, mas não menos séria, a loja de equipamentos para esportes ao ar livre Backcountry Gear, com sede em Oregon, que envia mercadorias para os EUA, descobriu malware em seu sistema em julho de 2014 que pode ter comprometido os dados do cliente.


"O problema é que muitas dessas empresas simplesmente não consideram a segurança algo que precisam fazer, mas algo que precisam fazer", diz Marcus Ranum, diretor de segurança da Tenable Network Security. "Sendo sinceros, eles geralmente adotam uma abordagem mínima e, na melhor das hipóteses, terceirizam e tentam adiar a responsabilidade".

Adotando as atitudes corretas

A segurança funciona melhor quando é tratada como um "processo comercial principal", de acordo com o SMB Security Guide, um site que aconselha as pequenas empresas sobre as melhores práticas de segurança.


É necessário algum treinamento básico básico para qualquer empresa de pequeno porte na proteção de seus ativos digitais. Os funcionários precisam ser treinados no uso de senhas únicas e difíceis, disse Davis, e os empresários precisam conhecer seus dados por dentro e por fora, onde tudo está armazenado e quem exatamente tem acesso a eles. Ter um livro aberto sobre dados entre os funcionários provavelmente levará a um vazamento de dados, deliberado ou acidental.


Em outros lugares, os proprietários de empresas precisam garantir que seus aplicativos e sistemas operacionais também sejam atualizados, mas a segurança cibernética é multifacetada e também pode assumir uma presença física. Quem tem acesso a salas onde os discos rígidos estão armazenados, por exemplo?


"Não permita que estranhos perambulem pelos corredores e limitem o acesso físico com portas trancadas e sistemas de entrada gerenciados", diz Davis. "Certifique-se de realizar verificações completas de antecedentes e referências antes de contratar novos funcionários."

Traga seu próprio dispositivo … ou traga sua própria violação de dados?

O Guia de Resposta a Violações de Dados da Experian para 2014/2015 e o Instituto Ponemon defendem o desenvolvimento de uma política rígida de resposta a violações. Políticas eficazes em geral ajudarão qualquer empresa a lidar melhor com as violações de dados, especialmente no caso de empresas com práticas de BYOD, que criam cada vez mais caminhos para a ocorrência de violações.


O BYOD no escritório está se tornando inevitável, diz o consultor de segurança da F-Secure Sean Sullivan.


"Do ponto de vista do usuário, o BYOD é uma ótima idéia, mas do ponto de vista da segurança, é uma péssima idéia", diz ele. "Você está jogando na loteria de má sorte; as chances são pequenas, mas o primeiro prêmio é uma perda substancial de dinheiro".


O dispositivo pertence ao indivíduo e isso levanta questões relacionadas à responsabilidade, e é por isso que a elaboração de uma política revestida de ferro é vital e deve complementar o treinamento de seus funcionários em protocolos de segurança.


"Recomendamos que as organizações ofereçam aos funcionários treinamento adicional sobre os dispositivos físicos", acrescenta Sullivan. "Ao oferecer aos funcionários uma ótima experiência do usuário, é menos provável que as diretrizes da empresa relacionadas à segurança sejam desconsideradas."

SMBs podem ser deixadas para trás

As pequenas empresas são incentivadas a adotar uma abordagem proativa à segurança e a adotar as mentalidades das grandes empresas, pois ninguém mais cuidará de você.


"Na realidade, o setor de segurança decepcionou pequenas e médias empresas", diz Paul Lipman, CEO da iSheriff, uma empresa de segurança em nuvem com sede em Redwood City, Califórnia. As pequenas e médias empresas podem se perder na conversa e não recebem a mesma atenção no que diz respeito à segurança, muitas vezes deixando-as a se defender.


As pequenas e médias empresas podem não ter tanto a oferecer a um cibercriminoso quanto a Home Depot ou a Target, mas as empresas ainda têm muito a perder.


"não estão interessados ​​em roubar segredos ou propriedades intelectuais, como os hackers que têm como alvo empresas maiores", diz Lipman, mas onde há um negócio, há dinheiro, e os cibercriminosos têm como alvo tudo o que sabem que podem penetrar.


Algumas empresas estão se tornando cada vez mais conhecedoras de tecnologia, mas a parte crucial é que as PMEs não podem se apressar com isso. A tecnologia - e as ameaças cibernéticas - estão evoluindo em um ritmo surpreendente.


O Relatório para Proprietários de Pequenas Empresas do Bank of America afirma que 80% das pequenas empresas incorporaram "algum tipo de método digital" em seus negócios, mas isso pode incluir mídia social e segurança. Quanta atenção está sendo prestada ao reforço da segurança e à expansão do alcance das mídias sociais?


A empresa de segurança BitSight publicou uma nova pesquisa em novembro de 2014 que corrobora muitas preocupações com a segurança das empresas, especialmente no varejo, e observa que a integridade da segurança diminuiu nessas empresas.


"Embora seja encorajador que a maioria dos varejistas violados tenha melhorado sua eficácia em segurança, há mais trabalho a ser feito, especialmente na área de gerenciamento de riscos de fornecedores", disse Stephen Boyer, CTO da BitSight, ao anunciar a pesquisa.


Isso levanta várias questões. Se você é proprietário de uma pequena empresa, auditou as práticas de segurança da sua empresa e avaliou a segurança em sua hierarquia? À medida que as ameaças cibernéticas evoluem, as pequenas empresas precisarão fazer o mesmo.

Por que as pequenas empresas precisam aprender com violações de dados de alto perfil