Video: Die eigene Vision für dein Unternehmen (November 2024)
Die National Small Business Week ist im Gange, und die Feierlichkeiten ließen nicht lange auf sich warten, um eines der eklatantesten und allgegenwärtigsten Themen für kleine bis mittelständische Unternehmen (SMBs) anzusprechen: die Cybersicherheit. Die Small Business Administration (SBA) ist die US-amerikanische Regierungsbehörde, die konkrete Hilfe, Schulungen und Empfehlungen bereitstellt, die kleine Unternehmen im täglichen Betrieb sofort umsetzen können. Zu diesem Zweck gab das heutige SBA-Cybersecurity-Panel den KMU konkrete Tipps, Ressourcen und Schritte, die sie ergreifen können, um Sicherheitslücken zu schließen und eine umfassende Sicherheitsstrategie einzuführen, anstatt nur aktuelle Sicherheitstrends anzubieten.
Doug Kramer, stellvertretender SBA-Administrator, moderierte die Gruppe der Sicherheitsexperten, als sie die größten Sicherheitsrisiken diskutierten, mit denen kleine Unternehmen konfrontiert sind, und die wichtigsten Schritte, die sie unternehmen können, um ihre Infrastruktur und Daten, Cloud-basiert oder physisch, zu schützen. Das Gremium bestand aus Bill O'Connell, Vizepräsident von Global Trust Assurance bei ADP; Stephen Cobb, Senior Security Researcher bei ESET North America; Matt Littleton, Regionaldirektor für Cybersicherheit und Azure Infrastructure Services bei Microsoft; und Patricia (Pat) Toth, Aufsichtsinformatikerin in der Abteilung für Computersicherheit des Nationalen Instituts für Standards und Technologie (NIST).
Die Diskussionsteilnehmer sprachen über Cybersicherheitsprobleme wie Phishing, Ransomware und den Umgang mit Sicherheitsverletzungen sowie darüber, wie kleine Unternehmen mit Multifactor Authentication (MFA), Sicherheitsschulungen für Mitarbeiter und Richtlinien umgehen sollten und worauf bei einem Managed Service Provider (MSP) -Vertrag zu achten ist. und wann Sie einen IT-Sicherheitsberater hinzuziehen müssen.
Laut Kramer geht es nicht nur um Kreditkarten- und Bankdaten von Mitarbeitern und Kunden, sondern die Datenunternehmen für geistiges Eigentum sind von E-Mail bis hin zu Cloud-Speicher und den Angriffsflächen, die ein kleines Unternehmen zum schwachen Glied und leichten Angriffsziel machen könnten, überall präsent die Lieferkette. Laut SBA, so Kramer, sei fast die Hälfte aller kleinen Unternehmen in gewissem Maße Opfer von Cyberkriminalität geworden, und die durchschnittlichen Angriffskosten betrugen rund 21.000 US-Dollar.
"Jeder, der ein kleines Unternehmen gründet, arbeitet so hart wie möglich, ohne zusätzliche Zeit oder Geld für die Bewältigung einer Cybersicherheitsproblematik, die mehr als erwartet kosten und für ein kleines Unternehmen Leben oder Tod bedeuten könnte", bemerkte Kramer von SBA begann. "Die Bedrohung durch Eindringen in das Internet und Diebstahl ist sehr real. Kleinunternehmen messen Vermögenswerte und Bestände auf unterschiedliche Weise, aber sie befinden sich auf einem Schatz an Informationen."
1. Cloud-Sicherheit: Do's and Don'ts
Aus wirtschaftlichen und praktischen Gründen müssen alle KMU einen Übergang in die Cloud in Betracht ziehen, der Übergang muss jedoch sorgfältig erfolgen. Die Diskussionsteilnehmer diskutierten einige der wichtigsten Überlegungen und Hürden.
- Do: Inkrementelles Cloud-Backup "Die Cloud hat viele Vorteile und Risiken, aber eine Sache, die KMU tun sollten, ist die Sicherung", so Cobb von ESET. "Die aktuelle Sicherung aller Dateien bietet den besten Schutz gegen Ransomware und ist ein wichtiger Bestandteil Ihrer Cybersicherheitsstrategie und -verteidigung. Sie sollten immer noch auf einer Festplatte sichern und eine Kopie an einem sicheren Ort aufbewahren, aber die Cloud ermöglicht Ihnen das Sichern ständig."
- Tun: Bezahlen Sie für Premium Cloud Security "Kleinunternehmer sind preisbewusst, aber andere Faktoren müssen das richtige Gewicht erreichen", sagte O'Connell von ADP. "Manche Dinge sollten für ein höheres Serviceniveau mehr Geld kosten, und Sicherheit ist eines dieser Dinge. Treffen Sie eine Entscheidung nicht nur auf der Grundlage des Preises."
- Nicht: Unterzeichnen Sie einfach den MSP-Vertrag
"Überprüfen Sie diesen Vertrag", sagte Cobb von ESET. "Sie können Speicher oder Backup auslagern, aber Sie können die Verantwortung nicht auslagern. Wenn der SMB-Eigentümer angibt, dass der IT-Anbieter alle Kunden- und Mitarbeiterdaten - Ihre Daten - hat, sind Sie immer noch verantwortlich."
"Wenn es nicht nur um den Vertrag, sondern auch um die Daten geht, sollten Sie nachforschen, ob Sicherheitsprobleme vorliegen", fügte O'Connell von ADP hinzu. "Für ein KMU ist der Vertrag ein guter Teil dieser Verteidigungslinie. Sehen Sie sich die SLAs an und greifen Sie auf Tier-Datenrichtlinien zu. Wie lange bewahren MSPs die Daten auf? Was machen sie damit?"
- Nicht: Belassen Sie nicht verwendete MSP-Infrastrukturfunktionen "Wenn Sie in eine Cloud-Umgebung eintreten, können Sie einen Teil dieser Verantwortung verlagern. Wir befinden uns nicht mehr in einer Plattform, in der Sie sich Sorgen machen müssen, dass die Mitarbeiter nicht auf ein Problem reagieren oder einen Server patchen können", sagte Microsoft Littleton. "Hier kann der Service-Provider für Sie einspringen und die Abwicklung übernehmen. Sie müssen verstehen, worauf Sie sich aus vertraglicher Sicht einlassen und welche Services der Cloud-Provider anbietet."
2. Multifaktor-Authentifizierung: Machen Sie es einfach
"Sowohl aus persönlicher als auch aus geschäftlicher Sicht ist MFA etwas, das Sie sofort tun können. Unternehmen haben keine Entschuldigung, dies nicht sofort zu tun", sagte Littleton von Microsoft. "Mit dem gesamten Microsoft-Produktstapel ist das ganz einfach. Gleiches gilt für Google, Yahoo und den E-Mail-Anbieter. Überprüfen Sie Ihre Sicherheitseinstellungen und fordern Sie jeden Mitarbeiter auf, seine Mobiltelefonnummer als zweiten Faktor einzugeben. Dann, auch wenn ich es bin." Ein Angreifer und ich stehlen Ihr Passwort. Ich kann es nur verwenden, wenn ich Ihr Handy stehle und die PIN kenne."
3. Wann sollte ein IT-Sicherheitsberater hinzugezogen werden?
" Es wird Dinge geben, die man als Kleinunternehmer nicht alleine machen kann", sagte O'Connell von ADP. "Bei sehr wichtigen Verträgen erhalten Sie externe Rechtsberatung. Bei jährlichen und vierteljährlichen Finanzdaten verfügen Sie über einen Buchhalter. Gleiches gilt für die Sicherheitskompetenz. Wenn Sie eine Website testen müssen, um sicherzustellen, dass sie web-sicher ist, oder eine Risikobewertung durchführen müssen, Es ist gut angelegtes Geld, wenn Sie nicht über die Fachkenntnisse verfügen, um es selbst zu erledigen. Sie erledigen weder die Elektrik noch die Klempnerarbeiten im Gebäude selbst. Es geht darum zu wissen, wann Sie Hilfe benötigen."
4. Sicherheit ist ein Teil von jedermanns Aufgabe
"Man kann sich nicht nur auf eine Person in einem 10-köpfigen Unternehmen verlassen. Jeder muss ein gutes Verständnis der Cybersicherheit und der Risiken für das Unternehmen haben", sagte Toth von NIST. "Wenn sie dies nicht tun, könnte ihre Arbeit gefährdet sein, wenn ein Verstoß vorliegt und sich das Geschäft nicht erholen kann."
"Machen Sie Sicherheit zu einem Teil der Arbeit jeder Person", fügte O'Connell von ADP hinzu. "Die Person, die die Finanzen verwaltet - was müssen sie jeden Tag tun? Auf der physischen Seite, wer ist derjenige, der nachts die Tür abschließt? Jeder muss die Komponenten kennen und wissen, wie seine Rolle zur allgemeinen Sicherheit des Unternehmens passt."
5. Seien Sie nicht das schwache Supply Chain-Glied
Wie Kramer von SBA erklärte, gibt es keine Trennung mehr zwischen KMUs und Unternehmen. Kleine Unternehmen möchten entweder wachsen und skalieren, oder sie schließen sich einer Unternehmenslieferkette für Software und Dienstleistungen an. Das Problem ist, dass die Sicherheitsrichtlinien des SMB möglicherweise nicht mit denen eines Supply Chain-Unternehmens mithalten können, mit dem es eine Partnerschaft eingehen möchte.
"Wenn ein KMU seinen ersten großen Vertrag mit einem großen Unternehmen abschließt und es nach Ihren Sicherheitsrichtlinien und Ihrem Sensibilisierungsprogramm fragt, sollten Sie sich nicht abmühen, alles von der Checkliste zu streichen", sagte Cobb von ESET. "Das Risiko in der Lieferkette ist hoch und runter ein großes Problem. Wenn ein KMU digital mit einem Lieferanten interagiert, prüfen Sie dies. Sie müssen über Sicherheitsrichtlinien und Schulungen verfügen, damit dies nicht zu einem Hindernis wird."
"Kein Unternehmen ist zu klein, um im Cyberbereich ins Visier genommen zu werden, insbesondere nicht beim Supply Chain Management", sagte Littleton von Microsoft. "Viele Brüche beginnen nicht von oben, sie beginnen irgendwo in der Lieferkette und Angreifer arbeiten sich bis zum endgültigen Ziel vor."
Toth von NIST sagte, in den nächsten zwei Jahren werden Regierungsbehörden beginnen, Regeln für den Zugang zu Lieferkettensystemen zu veröffentlichen. In der Zwischenzeit sagte sie, dass KMUs einen Plan haben müssen.
"Die Planung ist von unschätzbarem Wert, um zu wissen, was wirklich wichtig ist: Was Sie schützen müssen und wie Ihr Unternehmen funktionieren würde, wenn es nicht zugänglich wäre", sagte Toth von NIST. "KMUs müssen über Pläne, Richtlinien und Verfahren verfügen. Dies ist kein großer Ansatz der Regierung. Es kann so einfach sein, wie die Richtlinien in Ihrem Mitarbeiterhandbuch zu beschreiben, was sie im Internet tun können und was nicht, um einen Phishing-Angriff zu erkennen." und wann man Links und Anhänge öffnet und nicht öffnet."
6. Behandeln Sie E-Mails wie eine Postkarte, nicht wie einen Umschlag
"Das erste, was ein kleines Unternehmen mit E-Mails anfangen kann, ist, darüber nachzudenken, was darin enthalten ist. Wenn ich die Unternehmensinformationen von jemandem hacke, enthält die E-Mail häufig alle nützlichen Informationen", so Cobb von ESET. "Die Leute denken oft nicht darüber nach, was sie da drin lassen. Sehen Sie sich den Sony-Hack an. Die Leute sagten Dinge über E-Mails, die sie eigentlich nicht hätten haben sollen. E-Mails sind eine Postkarte, kein versiegelter Umschlag. Denken Sie daran.""
"Es geht immer mehr um die Möglichkeit, die Daten zu kontrollieren", sagte Littleton von Microsoft. "Möglicherweise ist es das Geld wert, einen verschlüsselten E-Mail-Dienst mit Inbound-Filterung zu verwenden, der die Angriffsfläche verringert. Wenn Sie Ihre Kreditkartennummer in einer E-Mail belassen, werden Sie gefragt, ob Sie diese wirklich senden möchten, und werden dann automatisch nicht verschlüsselt Nur die Nummer, aber die gesamte E-Mail. Mit dem Fortschritt der Branche werden diese Dienste immer vernünftiger und alltäglicher."
7. Melden Sie Vorfälle immer
Kramer von der SBA erklärte, dass ein kleines Unternehmen wissen muss, wen es anrufen soll, wenn es einen Verstoß gegen oder eine Phishing- oder Ransomware-Anfrage erleidet. Cobb von ESET sagte, wenn kleine Unternehmen dies nicht der Polizei melden, weil sie befürchten, dass die Strafverfolgungsbehörden nicht über die erforderlichen Ressourcen verfügen, wird sich der Zyklus fortsetzen.
"Wir haben einen unglücklichen Zyklus, in dem Strafverfolgungsbehörden aufgrund gemeldeter Straftaten finanzielle Mittel erhalten, aber die Leute melden keine Straftaten, weil sie der Meinung sind, dass die Polizei nicht über die Ressourcen verfügt", sagte Cobb von ESET. Wenn sich niemand meldet, wird die Polizei niemals die Beweise haben, sich mit den Mitteln auszustatten, um diese Cyberkriminalitätsprobleme anzugehen."
"Die meisten Gemeinden verfügen über Einheiten für Cyberkriminalität und werden reagieren", fügte Toth von NIST hinzu.
8. Haben Sie einen Incident Response Plan
"Sie versuchen nicht, Ihren Sicherheitsgurt mitten in einem Unfall anzulegen", sagte Littleton von Microsoft. "Sie brauchen einen Plan, der festlegt, wie Sie reagieren, bevor ein Verstoß eintritt."
"Sie sind auch nicht ganz alleine dabei", sagte Cobb von ESET. "Sicherheitsdienste, die Sie von der Stange kaufen, bieten einen erhöhten Schutz in der Cloud oder beim Zugriff auf die Lieferkette. Sie bieten möglicherweise Erkennungs- und Präventionsdienste auf einer Basisebene. Stellen Sie bei der Erstellung Ihres Plans sicher, dass Sie die Sicherheitsdienste nicht verlassen." auf dem Tisch, den Ihr MSP oder Sicherheitsdienst anbietet."
9. Lassen Sie keine losen Enden
"Ein Problembereich, den wir sehen - wenn ein Mitarbeiter verlässt oder entlassen wird -, wird sein Systemzugriff nicht sofort beendet", so Cobb von ESET. "Kleine Unternehmen arbeiten mit Menschen, denen sie vertrauen, und mit vielen Menschen, die kommen und gehen. Manchmal gehen sie nicht unter den glücklichsten Umständen. Wenn ein ehemaliger Mitarbeiter mit Groll noch Zugriff hat oder sogar noch die Multifaktor-Authentifizierung aktiviert hat, ist dies der Fall." ein großes Insider-Sicherheitsproblem, das schmerzlich leicht zu lösen ist."
10. Regierungsressourcen und Schulung
Die Regierung unternimmt wichtige Schritte zur Bekämpfung der Cybersicherheit. Das Weiße Haus hat Anfang dieses Jahres einen Rahmen für die Cybersicherheit veröffentlicht. Der Haushaltsvorschlag von Präsident Obama für 2017 sieht eine Aufstockung der Finanzmittel um 35 Prozent (auf 19 Milliarden US-Dollar) für die Bekämpfung von Cybersicherheitsangriffen vor. Kramer von der SBA und Toth von NIST wiesen auf freie Regierungsressourcen hin, wie die gesamte Seite der SBA mit Ressourcen zur Cybersicherheit für KMU, einschließlich Tipps und Tools zur Cybersicherheit, eine Sammlung von Kursen, Schulungen und Webinaren.
Einige der nützlichsten Ressourcen sind:
- SBAs Top 10 Cybersicherheitstipps
- SBA Online-Kurs: Cybersicherheit für kleine Unternehmen
- CRR-Bewertungstool (Cyber Resilience Review)
- Der Small Biz Cyber Planner
- SBA, NIST und die gemeinsamen Small Business Workshops des FBI
- Der YouTube-Kanal der SBA
- Ressourcencenter für Computersicherheit von NIST
- COMPTIAs Zertifizierungs- und Schulungsprogramme zum Erlernen von MSP-Sicherheitsprotokollen
