Con la quantità di copertura mediatica che le recenti violazioni dei dati come quelle subite da artisti del calibro di eBay, Evernote e Domino's Pizza attraggono abbastanza giustamente, potresti essere perdonato se pensi che il crimine informatico sia un problema di grandi imprese.
Anche se non c'è dubbio che con il potenziale per una vincita redditizia, il business più grande è un obiettivo più attraente (e il Target Retail Compromise negli Stati Uniti è un altro buon esempio), sarebbe sciocco pensare che come piccola impresa non sei sulla radar.
La maggior parte degli attacchi informatici è in realtà ignara delle dimensioni aziendali; i malintenzionati e i robot automatizzati che impiegano stanno semplicemente cercando buchi di sicurezza attraverso i quali arrampicarsi.
La maggior parte degli attacchi informatici è in realtà ignara delle dimensioni aziendali; i malintenzionati e i robot automatizzati che impiegano stanno semplicemente cercando buchi di sicurezza attraverso i quali arrampicarsi
Anche se sarebbe corretto affermare che esiste una certa quantità di evoluzione divergente nella metodologia di attacco, con dimensioni maggiori le imprese sono alla fine delle minacce più sofisticate e mirate, ciò non significa che le piccole imprese siano meno a rischio.
Opportunità è il nome del gioco, con gli aggressori che gettano la rete più ampia possibile in cui si troveranno le piccole imprese con una minore comprensione del panorama delle minacce alla sicurezza IT. La combinazione di una scarsa comprensione del rischio e dell'applicazione delle migliori pratiche serve a mettere saldamente la piccola impresa media sul radar degli attacchi. Comprendi le principali minacce alla sicurezza per la tua azienda e potresti diventare un bersaglio meno attraente per il criminale informatico.
Sicurezza delle PMI: ingegneria sociale
L'ingegneria sociale rimane la minaccia numero uno alla sicurezza dei dati per la maggior parte delle piccole imprese. Che si tratti di trojan mirati o di spear-phishing, che mirano a un membro specifico dello staff, più in generale profilazione sui social media della tua attività per apparire come un vero cliente o attacchi misti che combinano tutti questi attacchi metodologie. La buona notizia è che tutti possono essere affrontati più o meno allo stesso modo, e questo attraverso la formazione dei dipendenti.
Affidarsi solo a una combinazione di hardware e software non sarà mai sufficiente; devi assicurarti che il tuo staff non stia semplicemente aprendo la porta ai malintenzionati e lasciando che se ne vadano con i tuoi preziosi dati. Una volta che il personale è consapevole del valore dei dati e dei modi in cui la sicurezza può essere compromessa per accedervi, può mitigare il rischio semplicemente modificando il proprio comportamento.
Più piccola è l'azienda, più facile è raggiungere questo obiettivo per un semplice motivo: hanno meno dipendenti da formare e mantenere tale consapevolezza è meno costoso.
Sicurezza delle PMI: BYOD
Anche se la crescita del malware sul PC è rimasta piuttosto statica nell'ultimo anno, lo stesso non vale per i dispositivi mobili: il grafico del malware per i dispositivi Android sta salendo a dismisura. Il problema principale che ciò comporta per le piccole imprese è il trasferimento della minaccia.
Il malware attivo su un dispositivo mobile troverà rapidamente la sua strada nei sistemi aziendali a meno che non vengano prese misure per impedirlo. Ovviamente, è meglio non essere infettati in primo luogo, quindi assicurati che il personale eviti le app "non ufficiali". memorizza e rende l'installazione del software di sicurezza basato su dispositivo parte di un Bring Your Own Device (BYOD) politica.
E sì, anche la più piccola azienda dovrebbe avere una sorta di politica BYOD. Non averne uno offusca i confini tra dati personali e di lavoro ed è un compromesso sui dati in attesa di verificarsi. Altrettanto importante: assicurati che la tua rete aziendale sia protetta da soluzioni aggiornate di rilevamento delle intrusioni e anti-malware. Infine, crittografa sempre i dati di lavoro archiviati sui dispositivi mobili in caso di smarrimento o furto.
Sicurezza delle PMI: il cloud
Il cloud non è intrinsecamente insicuro, ma devi riflettere attentamente su quali dati stai archiviando e su come tali dati sono protetti.
Soprattutto se utilizzi servizi cloud "pubblici" gratuiti o freemium che rimangono molto popolari nella fascia più piccola dello spettro aziendale, poiché questi cloud pubblici sono apprezzati anche dai cattivi. Se scegli di archiviare i dati in questo modo, assicurati di crittografarli in anticipo in modo da proteggerli durante il transito e successivamente.
Più problematico è quando il personale utilizza servizi basati su cloud per rendere il proprio lavoro più semplice o più conveniente, sia che si tratti di provider di webmail, data store o note-taker.
Qualsiasi cosa al di fuori del radar aziendale presenta un potenziale rischio (cosa succede se la terza parte è compromessa, ad esempio: non lo vedresti come un rischio per i tuoi dati poiché non saresti a conoscenza del personale che li utilizza in questo modo), quindi istruisci i dipendenti sulle implicazioni per la sicurezza dell'utilizzo di tali Servizi.
Sicurezza SMB: password patetiche
Non avrei davvero bisogno di dirti che le password deboli sono un problema, né che anche l'uso di post-it per richiamare quelle più forti è una cattiva idea.
Tuttavia, nonostante la disponibilità di depositi di password gratuiti ea basso costo, che non solo aiutano a creare e gestire password e passphrase, ma previene anche il furto facile: molte piccole imprese continuano a optare per quelle non sicure opzione.
Quindi, usa un deposito password; e ancora meglio, aggiungi un altro livello di protezione utilizzando l'autenticazione a due fattori, che richiede sia un login/password che un token. Questi non devono essere costosi da ottenere e mantenere, anche per le aziende più piccole. Inutile dire che gli accessi dovrebbero sempre essere revocati quando un membro dello staff lascia l'azienda.
Sicurezza delle PMI: la minaccia fisica
Le grandi aziende sono ben consapevoli della minaccia fisica, ma spesso è abbastanza scioccante vedere quante piccole imprese dimenticano questo particolare aspetto della sicurezza dei dati.
I criminali informatici ruberanno altrettanto felicemente i tuoi laptop e PC per accedere ai dati su di essi se l'accesso ai tuoi uffici e l'hardware stesso non sono sicuri. Mantenere porte e finestre chiuse quando i locali sono vuoti, l'hardware bloccato in modo sicuro e l'uso combinato di allarmi e telecamere a circuito chiuso contribuirà a scoraggiare i criminali alla ricerca di un facile recupero di dati.
E non dimenticare nemmeno la tua spazzatura. Come hacker alle prime armi più di vent'anni fa, ho trovato la maggior parte delle informazioni di cui avevo bisogno per "esplorare" le reti immergendomi nei cassonetti. In altre parole, ho saccheggiato cassonetti e cassonetti fuori dagli uffici e scoperto dati di rete, password e informazioni utili per eludere i controlli di accesso. L'immersione nei cassonetti è viva e vegeta oggi, quindi assicurati di distruggere tutti i documenti prima di smaltirli.
Sicurezza delle PMI: conclusione
La verità è che il più semplice dei cambiamenti può avere un effetto drammatico per quanto riguarda il rafforzamento della tua strategia di sicurezza e senza avere alcun impatto significativo sui tuoi profitti. Allora, cosa stai aspettando?
