Руководство для малого бизнеса по основам сетевой безопасности

Руководство для малого бизнеса по сетевой безопасности


Многие МСП делают ошибку, полагая, что кибербезопасность является проблемой только для крупных организаций. На практике это не может быть дальше от истины. В 2016 году опрос Poneman показал, что в 2016 году кибератака подверглась 55% предприятий с менее чем 1000 сотрудников. Будущее также выглядит безрадостным: ожидается, что к 2021 году ущерб от киберпреступности достигнет 6 трлн долларов в год..

Малые предприятия остаются мишенью для значительного числа злонамеренных атак. Организации, которые не в состоянии осуществить стратегические планы против будущих нападений, обязаны быть затронутыми ими. От вредоносных программ до червей и вирусов необходимо решить 101 проблему безопасности, чтобы избежать простоев.

Тем не менее, в сфере кибербезопасности профилактика лучше лечения. Реализация общеорганизационной стратегии по устранению будущих угроз будет иметь большое значение для поддержания работоспособности. Это также помогает минимизировать любой ущерб, который происходит. В этой статье мы рассмотрим, как малый бизнес может быть защищен от вредоносных атак.

Смотрите также: 30+ бесплатных инструментов для безопасности сайта

Обучите своих сотрудников рекомендациям по безопасности

Перед внедрением каких-либо новых процедур или инструментов необходимо убедиться, что ваши сотрудники имеют базовые знания о потенциальных угрозах. В конце концов, наличие сложных процедур безопасности не защитит вас, если персонал не знает, что он делает. Чтобы не допустить укоренения угрозы безопасности, лучше всего начать с обучения ваших сотрудников передовым методам..

Управление паролями

генератор паролей

Рассмотрите возможность использования Менеджера паролей

Управление паролями - одна из самых важных рекомендаций для персонала. Он предоставляет сотрудникам фундаментальный способ ограничения доступа к ключевым системам, учетным записям и службам..

Хотя большинство компьютерно-грамотных сотрудников будут знать о важности выбора надежных паролей, будет много тех, кто этого не сделает или не сделает. Это означает, что полезно взять на себя инициативу и написать некоторые организационные рекомендации по требованиям к паролю..

Обучите персонал по выбору пароля

При этом первое, что вы хотите прояснить, это то, что персонал должен использовать уникальный пароль, который больше нигде не используется. Сам пароль должен состоять из комбинации заглавных букв, строчных букв, цифр и символов. Это обеспечит вам надежную защиту от попыток взлома..

Также полезно предоставить информацию о хранении пароля. Сложные пароли хороши для кибербезопасности, но их часто очень трудно запомнить. Для облегчения запоминания паролей полезно хранить их в зашифрованном программном решении или приложении для управления паролями..

Регулярно обновляйте пароли

Последний компонент успешного управления паролями - это регулярное обновление паролей. Тем не менее, есть верный и неправильный способ поощрять это. Если вы будете призывать персонал обновляться слишком часто, у вас останутся слабые пароли, поскольку у персонала заканчиваются идеи (или мотивация!), Чтобы продолжать генерировать новые пароли.

Как общее правило, два-три изменения каждый год должны быть минимальными. Тем не менее, пароль всегда следует менять, если вы подозреваете, что он был взломан или вы или один из сотрудников в настоящее время используете слабый пароль.

Смотрите также: Лучшие Менеджеры паролей 2018

Использовать двухфакторную аутентификацию

двухфакторная аутентификация

Несмотря на то, что пароли очень важны, они не защищены от взлома. Выделенный злоумышленник может запустить миллиарды паролей за считанные минуты. Многие организации обратились к двухфакторной аутентификации как к дополнительному барьеру, предотвращающему усиление этих атак.

Двухфакторная аутентификация - это когда вы входите в свою учетную запись, а затем вам предлагается ввести второй фрагмент информации для подтверждения вашей личности. В большинстве случаев это будет код, который отправляется на ваш номер мобильного телефона или другой адрес электронной почты, хотя это также может быть что-то вроде отпечатка пальца.

Многие компании предпочитают использовать физические устройства, такие как брелки, которые недоступны для хакеров. Двухфакторная аутентификация делает работу хакера в десять раз сложнее и является желанным дополнением к безопасности пароля. Онлайн-сервисы, такие как Google, начали использовать двухфакторную аутентификацию, чтобы бороться с неавторизованными пользователями..

Блокировка компьютеров и устройств

блокировка компьютеров и устройств

Один из способов, которым сотрудники могут немедленно сделать бизнес более безопасным, - это заблокировать свои компьютеры, когда они уйдут. Это кажется простым, но есть много случаев, когда конфиденциальная информация была украдена или взломана внутри организации. Например, в прошлом Fellowes обнаружил, что более 250 миллионов записей о бизнесе были потеряны или украдены в течение двухлетнего периода..

Хранение компьютеров заблокированными - один из лучших способов обеспечить физическую безопасность ваших данных. В то время как многие сотрудники знают о важности паролей, угрозы, возникающие при оставлении устройства открытым, могут быть легко пропущены. Чтобы предотвратить потерю, кражу или уничтожение данных, важно, чтобы персонал знал об опасностях.

В вашей политике кибербезопасности указано, что компьютеры и мобильные телефоны должны оставаться заблокированными, когда они не используются. Хотя большинство сотрудников не являются преступниками, есть меньшинство, которое бы не задумывалось о доступе к частным данным дважды. Вы также можете настроить устройства для блокировки пользователей после неактивности в течение определенного периода времени..

Сообщить и очистить потерянные устройства

скраб устройства

Контроль доступа к устройствам невероятно важен, но в случае, если устройство пропадает, вы должны убедиться, что персонал сообщит об этом. Исследования EE показывают, что сотрудники теряют более 10 миллионов устройств каждый год. Это проблематично, учитывая, что эти устройства содержат важную информацию, которую могут использовать злоумышленники.

Идеальным ответом на этот сценарий является то, что сотрудник сообщит, когда устройство пропадает без вести, чтобы его данные могли быть удалены удаленно. Существует множество различных программных продуктов, которые позволяют отслеживать или удаленно удалять данные на потерянных устройствах. Тем не менее, они эффективны только в том случае, если потеря устройства сообщается быстро.

Известно, что сообразительные киберпреступники переводят устройство в режим полета, чтобы предотвратить стирание данных. В результате ваши сотрудники должны немедленно реагировать, чтобы минимизировать ущерб. Ключом к тому, чтобы этот процесс прошел гладко, является информирование персонала о важности оперативного оповещения об утерянных устройствах..

Установив все устройства с программным обеспечением для удаленного уничтожения или отслеживания данных, а также поощряя сотрудников к быстрому составлению отчетов, вы будете менее подвержены будущим атакам. Включение этой информации в вашу политику кибербезопасности также предоставит сотрудникам ресурс, к которому они могут обратиться для дальнейшего использования. Политика кибербезопасности облегчит запоминание шагов, которые необходимо предпринять в будущем..

Используйте VPN

VPN

При работе в сети каждое ваше соединение представляет собой потенциальную угрозу. Использование виртуальной частной сети (VPN) - это проверенный и проверенный метод защиты ваших данных от хакеров. VPN шифрует ваши данные об использовании и скрывает ваш IP-адрес, чтобы вы могли просматривать анонимно. В среде малого бизнеса VPN может обеспечить безопасность ваших данных при передаче между сотрудниками..

Вам не нужно тратить много денег на оплату своего собственного VPN, так как существует множество поставщиков услуг VPN, доступных по конкурентоспособной цене. Поощрение сотрудников использовать VPN значительно сократит возможность киберпреступников получить доступ к конфиденциальной информации и лишит их возможности использовать ее для совершения взлома..

Смотрите также: Лучшие VPN-сервисы на 2018 год

Применить настройки конфиденциальности

За последнее десятилетие многие организации начали использовать социальные сети и другие онлайн-сервисы для улучшения своих повседневных процессов. Это приносит с собой множество уязвимостей. Каждый сотрудник, который ведет деятельность в Интернете, оставляет цифровой след личной информации, которую можно использовать для фишинговых атак и других злонамеренных действий..

Всем сотрудникам, использующим LinkedIn, Facebook, Twitter или Google+, следует рекомендовать сохранять свои настройки конфиденциальности как можно выше. В частности, вы хотите, чтобы они убедились, что только друзья могут просматривать информацию, такую ​​как дата их рождения или местоположение. Ограничение объема информации, доступной для не-друзей, помогает минимизировать объем данных, которые могут быть извлечены злоумышленниками..

Придерживайтесь для безопасной передачи файлов

безопасная передача файлов

Любая организация, которая обрабатывает конфиденциальную информацию, такую ​​как адреса электронной почты и номера кредитных карт, должна использовать безопасную систему передачи файлов. Безопасная система передачи файлов зашифрует конфиденциальную информацию и гарантирует, что неавторизованные пользователи не получат доступ к ней.

Многие организации используют электронную почту в качестве службы передачи файлов. Это далеко от идеала, поскольку они не зашифрованы. Аналогично, протоколы передачи файлов, такие как FTP, также не зашифрованы и уязвимы для внешнего доступа. Есть несколько способов избежать этих угроз, в том числе Протокол безопасной передачи файлов SFTP и шифрование электронной почты, но наиболее популярным является использование управляемая передача файлов (MFT) служба.

На рынке существует множество различных поставщиков решений MFT. Рекомендуется использовать MFT, поскольку он предоставляет вам один из самых эффективных и простых способов безопасной передачи файлов..

Держите ваше программное обеспечение обновленным

Обновление программного обеспечения

Одним из ваших главных активов против киберугроз является ваше программное обеспечение. Постоянное обновление программного обеспечения от внешних угроз жизненно важно для защиты вашего сервиса в долгосрочной перспективе. В 2017 году атака вымогателей WannaCry поразила организации по всему миру, используя уязвимость, которая ранее была исправлена ​​в Windows. Организации могли бы предотвратить атаку, просто имея современное программное обеспечение.

К сожалению, атака WannaCry вряд ли будет последней в своем роде. Многие вредоносные атаки используют уязвимости, оставленные непатентованным программным обеспечением, чтобы получить доступ к системе. Обновления программного обеспечения выступают в качестве барьера против этого, исправляя известные ошибки, проблемы безопасности и общие уязвимости для повышения производительности и предотвращения потери или уничтожения данных..

Крайне важно, чтобы малые предприятия поощряли персонал регулярно обновлять программное обеспечение. Загрузка нового исправления программного обеспечения и перезагрузка компьютера могут стать отличительной чертой между сохранением ваших данных или передачей их злоумышленнику. Персонал должен быть проинформирован о необходимости исправления всего, от веб-браузеров до обновлений ОС..

Большая часть программного обеспечения на вашем компьютере должна быть утверждена вручную, прежде чем его можно будет внедрить, но во многих случаях вы можете установить автоматическое обновление, чтобы держать вас в курсе при появлении нового патча. Важно напомнить сотрудникам, что им также необходимо убедиться, что их мобильные приложения обновлены, поскольку они также могут быть уязвимы для внешних угроз..

Связанный:
Статистика вымогателей 2017-2018
Как предотвратить вымогателей

Выполнить тест на проникновение

тест на проникновение

Хотя наличие мер безопасности - отличная идея, вы никогда не знаете, сможет ли ваша организация противостоять кибератаке, пока она не произойдет. Вот почему все больше и больше предприятий работают с «этическими хакерами», чтобы взломать их ключевые системы. Эти хакеры являются профессионалами в области безопасности, которые моделируют атаки вредоносных программ и вымогателей, чтобы проверить, насколько эффективны меры кибербезопасности в организации..

Тест на проникновение может сказать вам, насколько хорошо вы защищены от атак, и указать пути повышения общей безопасности вашего предприятия. Он проверит вашу текущую защиту и выделит новую уязвимость, о которой вы не знали. Это важно, потому что это могут быть именно те уязвимости, которые кибер-злоумышленник решает нацелить во время реальной атаки.

Один раз тест на проникновение После завершения работы вам будет предоставлено краткое описание всех ваших текущих уязвимостей, а также список рекомендаций, которые вы должны будете реализовать, чтобы защитить их в будущем. Как правило, эти риски являются приоритетными, поэтому вы можете в первую очередь решить самые насущные проблемы..

Тест на проникновение не только скажет вам, какие проблемы необходимо решить, но также предоставит вам лучшие возможности для соответствия нормативным требованиям. Если вы находитесь в организации, на которую влияет Стандарт безопасности данных индустрии платежных карт (PCI DSS) тогда вам нужно будет выполнить тест на проникновение, чтобы соответствовать.

Мы настоятельно рекомендуем вам провести тест на проникновение, поскольку это единственный способ проверить, выдерживает ли ваша кибербезопасность угрозу реальной атаки. Несмотря на то, что затраты могут быть значительными, они могут уменьшаться по сравнению с затратами, возникшими в результате взлома системы безопасности, и любого последующего простоя или потери данных, с которыми вы столкнулись..

Смотрите также: Wireshark учебник

Будьте бдительны!

Может быть легко пропустить этот шаг, но поощрение персонала сохранять бдительность добавляет еще один уровень защиты. Будут времена, когда даже лучших функций кибербезопасности недостаточно для предотвращения атаки. Бдительный персонал будет действовать как последняя линия защиты, чтобы остановить проблемы до того, как они возникнут, или принять этот первоначальный ответ, как только угроза станет очевидной.

Это означает, что если подозрительная активность обнаружена локально или виртуально, об этом следует сообщить соответствующему члену команды или ИТ-отделу. Проактивная работа с потенциальными угрозами может быть разницей между угрозой, которая незаметно проскальзывает в сети, и атакой, наносящей минимальный ущерб..

В конечном итоге эффективность этого шага зависит от выполнения ваших сотрудников. Однако, если вы проведете обучение сотрудников по кибербезопасности и проинформируете их об общих передовых методах работы, у них будут основы для диагностики того, когда возникает проблема..

Самое главное - дать понять сотрудникам, что они несут ответственность за обеспечение кибербезопасности бизнеса. Коллектив сотрудников, следящих за кибербезопасностью офиса, может иметь колоссальное значение, когда дело доходит до реагирования на угрозы.

Смотрите также:
Институты и ассоциации кибербезопасности
Ресурсы кибербезопасности: большой список инструментов и руководств

Ответить на отзывы сотрудников

Наконец, одним из наиболее важных факторов, который следует учитывать, является реагирование на отзывы сотрудников. Насколько эффективны ваши политики в области кибербезопасности, зависит от того, насколько хорошо они выполняются вашим персоналом. Если сотрудники разочарованы тем, что текущее руководство отнимает у них много времени, важно ответить на этот отзыв.

Конечно, вы хотите поддерживать высокий стандарт мер безопасности, но важно быть открытым для предложений о том, как можно улучшить процессы. Это не только поможет повысить удовлетворенность персонала, но и приведет к более тонкой политике кибербезопасности..

Совместная работа с вашими сотрудниками гарантирует, что кибербезопасность воспринимается серьезно, и ваш план не устареет и не будет проигнорирован. Худшее, что вы можете сделать, - это реализовать план кибербезопасности, не реагируя на отзывы сотрудников и не уточняя его с течением времени..

Сетевая безопасность: вопрос политики и реализации

Следование указанным выше рекомендациям и передовым методам поможет сделать ваш бизнес и вашу команду готовыми к реагированию на киберугрозы. Однако важно понимать, что даже при всех этих мерах угрозы все еще могут пройти. Будь то человеческая ошибка или системный сбой, ошибки случаются.

Реализация хорошо продуманной стратегии поможет свести их к минимуму, но вы не можете полностью их предотвратить. Максимум, что вы можете сделать, - это убедиться, что ваши сотрудники осведомлены о передовой практике и политике в области кибербезопасности; таким образом, они будут более осведомлены о том, как предотвратить и отреагировать на кибератаки. В конечном счете, эффективная кибербезопасность - это вопрос политики и реализации.

Прежде всего, не делайте ошибку, упуская из виду любой аспект вашей политики в области кибербезопасности. Вы никогда не знаете, как или когда атака может ударить, поэтому не поддавайтесь искушению пренебрегать какой-либо частью вашей физической или виртуальной безопасности. Ваши данные и ваша репутация опираются на это.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

30 + = 31

Adblock
detector