コンテンツ
出典:Mbolina / Dreamstime.com
取り除く:
小規模から中規模のビジネスでは、セキュリティを必要なほど真剣に受け止めないことがよくあります。
最近のレポートで、McAfeeは2014年を「違反の年」と宣言しましたが、その理由は簡単にわかります。 1月以来、いくつかの有名な企業や企業が、ホームデポの5,000万人以上からJPMorganの7000万人以上に至るまで、データ侵害に苦しんでいます。一方、ステープルズ、PFチャン、グッドウィル、その他多数の人々はすべてサイバー犯罪の餌食になりました。2014年第3四半期のSafeNets侵害レベルインデックスによると、7月から9月の間に320件のデータ侵害が報告されており、そのうち46%が個人情報の盗難に関係しています。
これらの重大な侵害通知の表面下でのバブルは、あなたが耳にする可能性の低い毎週行われる控えめなデータ侵害の突風です。 Home Depotのようなターゲットは、大規模な給料日を提供する機会を提供しますが、リスクも高く、多くの取引計画を伴います。そのため、一部のハッカーが中小企業(SMB)のような低品質の果物を求めているのを見て驚くことではありません。これらは、より少ない給料日をもたらしますが、いくつかが連続して引き落とされると、豊かになる可能性があります。
一方で、サイバー犯罪者は新しいツールを使用してSMBを標的にしていると、ハッカーが企業データを盗むために使用できるキーロガーに関する最新のレポートの1つで、Trend Micro氏は述べています。
マカフィーの主な消費者セキュリティエバンジェリストであるゲイリーデイビスは、次のように述べています。 「セキュリティの脅威は組織の規模によって区別されることはありません。従業員が複数のデバイスを使用するSMBにとって、クラス内のセキュリティソリューションを持つことがますます重要になっています。」
小規模から中規模の侵害の例を見つけるために、あまり深く掘り下げる必要はありません。テキサス州ヒューストンのヒューストンホテルでは、今年初めにセキュリティ侵害が発生し、10,000人の顧客のクレジットカード情報が公開されました。小規模ではありますが、それほど深刻ではありませんが、米国全土に商品を出荷しているオレゴンに本拠を置くアウトドアスポーツ用品店は、2014年7月に顧客データを侵害する可能性のあるマルウェアをシステム上で発見しました。
「問題は、これらの企業の多くがセキュリティを必要なことと見なすのではなく、やらなければならないことだ」とTenable Network Securityの最高セキュリティ責任者であるMarcus Ranumは述べています。 「率直に言って、彼らはよくせいぜい最低限のアプローチをとり、アウトソーシングして責任を繰り延べようとします。」
適切な態度を採用する
SMBセキュリティガイドによれば、セキュリティは「コアビジネスプロセス」として扱われた場合に最適に機能します。SMBセキュリティガイドは、セキュリティのベストプラクティスについて中小企業に助言するサイトです。中小企業がデジタル資産を保護するには、基本的な基礎トレーニングが必要です。従業員は、ユニークで難しいパスワードを使用する訓練を受ける必要があり、Davis氏によると、ビジネスオーナーは、データの内外で、すべてが保存されている場所と、誰が正確にアクセスできるかを知る必要があります。従業員間でデータに関する公開書を持っていると、意図的であろうと偶然であろうと、データ漏洩につながる可能性があります。
他の場所では、ビジネスオーナーはアプリとオペレーティングシステムも確実に更新する必要がありますが、サイバーセキュリティは多面的であり、物理的に存在することもできます。たとえば、ハードドライブが保管されている部屋に誰がアクセスできますか?
「見知らぬ人がホールをさまようことを禁止し、施錠されたドアと管理された入場システムで物理的なアクセスを制限しないでください」とデイビスは言います。 「新入社員を採用する前に、徹底的な経歴と照会を必ず行ってください。」
自分のデバイスを持ち込む...または自分のデータ侵害を持ち込む?
Experianの2014/2015データ侵害対応ガイドとPonemon Instituteは、厳格な侵害対応ポリシーの策定を主張しています。全般的な効果的なポリシーは、特に侵害が発生する手段がますます多くなるBYODを実施している企業の場合、ビジネスがデータ侵害に対処するのに役立ちます。F-SecureセキュリティアドバイザーのSean Sullivan氏によると、オフィスのBYODは避けられなくなっています。
「ユーザーの観点からはBYODは素晴らしいアイデアですが、セキュリティの観点からはひどいアイデアです」と彼は言います。 「あなたは不運な宝くじをしている。オッズは小さいが、一等賞金はかなりの損失である。」
デバイスは個人のものであり、これは責任に関する問題を提起します。そのため、鉄に覆われたポリシーを考案することが重要であり、セキュリティプロトコルで従業員をトレーニングする必要があります。
「組織では、従業員に物理デバイスに関する追加トレーニングを提供することをお勧めします」とサリバンは付け加えます。 「従業員に優れたユーザーエクスペリエンスを提供することにより、セキュリティに関する会社のガイドラインが違反と見なされる可能性が低くなります。」
SMBは取り残される可能性がある
中小企業は、セキュリティに対して積極的なアプローチを取り、大企業の考え方を採用することが推奨されます。「実際には、セキュリティ業界は中小企業を失望させました」と、カリフォルニア州レッドウッドシティに本拠を置くクラウドセキュリティ企業であるiSheriffのCEOであるPaul Lipman氏は言います。中小企業は会話で迷子になる可能性があり、セキュリティに関しては同じ注意を払っていないことが多く、多くの場合、彼らは自分自身をかわすことを余儀なくされています。
SMBは、ホームデポやターゲットほどサイバー犯罪者を提供するほど多くはないかもしれませんが、企業はまだ多くを失う必要があります。
「大企業を標的とするハッカーのような秘密や知的財産を盗むことに興味がない」とリップマンは言いますが、ビジネスがあり、お金があり、サイバー犯罪者は侵入できるとわかっているものをすべて標的にします。
一部の企業はますます技術に精通していますが、重要な部分は中小企業がこれに時間をかけることができないことです。テクノロジーとサイバー脅威は驚くべきペースで進化しています。
バンクオブアメリカのスモールビジネスオーナーレポートでは、スモールビジネスの80%がビジネスに「ある種のデジタル方式」を組み込んでいますが、これにはソーシャルメディアとセキュリティが含まれる場合があります。ソーシャルメディアのリーチを拡大することに加えて、セキュリティの強化にどれだけの注意が払われているのでしょうか。
セキュリティ会社BitSightは、2014年11月に企業のセキュリティ、特に小売業に関する多くの懸念を裏付ける新しい調査を発表し、これらのビジネスのセキュリティの完全性が低下したことを指摘しています。
BitSightのCTOであるStephen Boyer氏は、「侵害された小売業者の大部分がセキュリティの有効性を改善していることを奨励していますが、特にベンダーリスク管理の分野で、やるべきことが多くあります。」
いくつかの質問があります。あなたが中小企業の所有者である場合、会社のセキュリティ慣行を監査し、セキュリティが階層のどこにあるかを評価しましたか?サイバー脅威が進化するにつれて、中小企業も同じことを行う必要があります。