الأسئلة الشائعة: كيف يمكنني حماية شركتي الصغيرة من الهجمات السيبرانية؟
اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ
جدول المحتويات:
- الحقائق: الشركات الصغيرة تقلل من شأن ضعفها
- القرصنة من خلال الموظفين
- نصائحنا حول الموقع: كيف يجب عليك حماية عملك؟
- آراء الخبراء الأخرى
الحقائق: الشركات الصغيرة تقلل من شأن ضعفها
جلب الأسبوع الماضي هجمات إلكترونية تستهدف العديد من البنوك الأمريكية. على الرغم من أن المتسللين يستهدفون الشركات الكبيرة في كثير من الأحيان ، إلا أن الشركات الصغيرة أصبحت أكثر عرضة للخطر أيضًا.
تميل الشركات الصغيرة إلى التقليل من قدرتها على مواجهة الهجمات السيبرانية لأنها تقلل من شأن قيمتها بالوسائل السيبرانية. ويعتقدون أنهم لا يستحقون الجهد المبذول للاختراق ، ولكن مالكي الشركات الصغيرة لا يدركون في كثير من الأحيان كم هو قليل من الجهد المبذول في اختراق شركة بأدنى قدر من الأمان ، هو اختراق إنترنت مجرب.
أظهر استطلاع التوعية الذي أجرته سيمانتيك أن الشركات الصغيرة تميل إلى أن تفعل القليل لحماية نفسها من الهجمات:
- يعتقد 50٪ من أصحاب الأعمال الصغيرة أنهم أصغر من أن يكونوا هدفا للهجمات السيبرانية
- لا تقوم 61٪ من الشركات الصغيرة بتثبيت برامج مكافحة الفيروسات على جميع أجهزة سطح المكتب
- 47٪ لا يستخدمون الأمان على خوادم البريد
- 67٪ لا يستخدمون أيًا من الأمان المستند إلى الويب
أجرت شركة Verizon Business دراسة موسعة حول انتهاكات الأمن السيبراني في عام 2011 ، مع بعض النتائج المفاجئة على نزعات المتسللين لاستهداف الشركات الصغيرة:
- 72٪ من حالات اختراق المخترقين التي تم الإبلاغ عنها استهدفت نشاطًا تجاريًا به 100 موظف أو أقل
- كان 79٪ من ضحايا الهجمات الإلكترونية لعام 2011 هدفاً للفرصة
على الرغم من أن الشركات الصغيرة قد تعتقد أنها صغيرة بما يكفي لتقع تحت رادار التهديدات الإلكترونية ، إلا أن التدابير الأمنية المتراخية عادة التي تنفذها الشركات الصغيرة تجعلها هدفاً سهلاً للقراصنة. معظم الضحايا لم يكونوا من رجال الأعمال ذوي الأصول أو الأسرار التجارية الكبيرة ، التي حددها اللصوص قبل الهجوم المخطط له بشدة ؛ بدلاً من ذلك ، كان معظم الضحايا يعانون ببساطة من ضعف الأمن السيبراني الذي استغله اللصوص.
القرصنة من خلال الموظفين
استخدم 81٪ من الاختراقات في عام 2011 بعض أشكال الاختراق و 69٪ من البرامج الخبيثة.
إحدى الطرق الشائعة للقتال الإلكتروني هو اختراق البنية التحتية للشركة من خلال الموظفين المتطفلين بدلاً من الإدارة. يمكن أن يرسل Cyberthieves رسائل البريد الإلكتروني التصيدية إلى الموظفين الفرديين ، وعندما يتم فتح هذه الرسائل الإلكترونية على خادم الشركة ، يمكن للبرامج الضارة سرقة معلومات الشركة.
يتعين على الشركات وضع سياسة واضحة للشركة بشأن معلومات الشركة التي يمكن الإفصاح عنها من خلال وسائل التواصل الاجتماعي ، والمواقع التي لا يجب على الموظفين الوصول إليها في العمل ، وكيفية تحديد رسائل البريد الإلكتروني التصيدية ، وكيفية الحفاظ على أمن الأجهزة المحمولة ، خاصة إذا كان بإمكانهم تسجيل الدخول إلى الشركة. الخادم من خلال أجهزتهم الشخصية.
نصائحنا حول الموقع: كيف يجب عليك حماية عملك؟
لدى لجنة الاتصالات الفدرالية (FCC) أداة تخطيطية سهلة في مجال الأمن السيبراني للأعمال الصغيرة تسمح لأصحاب الأعمال الصغيرة بخلق خطة أمان إلكتروني مخصصة تحتوي على مشورة من الخبراء حول اثني عشر موضوعًا ، بما في ذلك أمن الشبكات والأجهزة المحمولة وأمن المرافق وتطوير السياسة.
توصي Investmentmatome بأن تتخذ الشركات أربع خطوات أولية لحماية نفسها:
- تقييم حالة الأمان الخاصة بك. أين كل خروقات البيانات المحتملة والثغرات الأمنية؟
- تطبيق برنامج جدار الحماية ومكافحة الفيروسات
- عقد دورة تدريبية للموظفين ونقلهم إلى سياسات الشركة بشأن الأمن السيبراني
- إنشاء كلمات مرور إدارية يصعب تخمينها ، من الناحية المثالية منها عبارة عن مجموعة من الأرقام والحروف
من خلال تنفيذ خطة شاملة للأمن السيبراني وتثقيف الموظفين حول هذه الخطة ، يمكن للشركات حماية أصولها.
آراء الخبراء الأخرى
- يقدم Robert Siciliano ، خبير أمان McAfee عبر الإنترنت ، خمس نصائح لضمان أمان شركتك على الويب
"1. لا يتم اختراق جميع البيانات. ممارسة الأساسية إلى المقدمة المتقدمة / المادية الأمن مثل التحكم في الوصول ، وكاميرات أمنية وأجهزة الإنذار.
2. الحد من كمية البيانات المطلوبة من العملاء. إذا كنت لا حقا بحاجة إلى رقم تأمين اجتماعي ، فلا تخزنه. إذا بطاقة الائتمان لا يلزم تخزين المعلومات ، ثم لا تخزنها.
3. الاعتراف بأن الأسئلة المصادقة القائمة على المعرفة ككلمة مرور يمكن إعادة تعيين إسقاط المنزل. يمكن العثور على العديد من الإجابات في الاجتماعي مواقع إعلامية.
4. أجهزة الكمبيوتر المحمولة هي واحدة من أكبر نقاط خرق البيانات. يجب أن تكون البيانات المحمولة مشفرة. لا ينبغي أبدا ترك أجهزة الكمبيوتر المحمولة في سيارة بين عشية وضحاها أو اليسار في غرفة الفندق أو المكتب وحده أو على طاولة قهوة في مقهى غير مراقب. برامج تتبع أجهزة الكمبيوتر المحمول التي تحدد البيانات ويمسح من الضروري.
5. القطار ، القطار ، القطار ، القطار. التدريب على أمن البيانات وماذا تفعل ، وما لا يجب فعله هو الأولوية رقم واحد. النقر على الروابط في رسائل البريد الإلكتروني ، تنزيل أي شيء من الويب أو البريد الإلكتروني ، وفتح المرفقات في رسائل البريد الإلكتروني ، جميعًا أحدث الطرق الناجحة لإصابة شبكة ".
- يتحدث ناثان كوربيير ، مؤسس شركة Corbier and Associates ، عن أجهزة الموظفين
"نحن لا نسمح لأي شخص بتوصيل أجهزة غير مصرح بها في محطات عملنا أو أجهزة الكمبيوتر المحمولة الشركة. ويشمل ذلك مشغلات MP3 ، والهواتف المحمولة ، ومفاتيح USB ، لا شيئ. إذا قام شخص بذلك ، فإنه يقوم بإغلاق جهاز الكمبيوتر فورًا باللون الأزرق شاشة الموت ويرسل إنذار SMTP. أجهزة USB المسموح بها الوحيدة التي نسمح بها هي Yubikeys و Iron Keys.
نحن نطلب مزامنة جميع هواتف Android الذكية مع Google Apps تم تمكين مصادقة كلمة المرور وتشفيرها. "
- تتحدث ميشيل شينكر ، التي تعمل في شركة Cover Story Media ، عن أهمية تغيير كلمات المرور بشكل متكرر
"قم بتغيير كلمات المرور بشكل متكرر ودائمًا ما تستخدم كلمات مرور معقدة وفريدة من نوعها لأي شيء تقوم به عبر الإنترنت. يصبح من الصعب فك تشفير كلمات المرور عند احتوائها على مجموعة متنوعة من الأحرف ، وعادةً ما يكون من الأفضل دمج الأرقام والحروف والأحرف الكبيرة والرموز في كلمة المرور الخاصة بك. يجب أن يكون من الصعب تخمين كلمات المرور ومن المهم تغييرها بانتظام. من المقترح أن تقوم بتغيير كلمات المرور الخاصة بك على الإنترنت مرة كل شهر من أجل إبقائها ديناميكية وتقليل احتمال حصول شخص ما على إمكانية الوصول إلى معلوماتك الشخصية. "
- يقول كايل ماركس ، مؤسس Retire-IT ، للتخلص من التكنولوجيا القديمة بشكل آمن
"عندما تتقاعد إحدى المؤسسات عن تقنية غير مرغوب فيها ، فإنها تواجه مخاطر مرتبطة بأمن البيانات والامتثال البيئي. التهديدات من المطلعين الموثوق بهم والباعة المهملين تزيد من التحدي. يجب أن تكون الشركات على دراية بتهديدات أمن البيانات التي تأتي مع تحديث تكنولوجيا المعلومات ".
- يشجع جون إس بيتس ، مؤسس شركة Tekcetera ، Inc. استخدام الجدران النارية والشبكات الإفتراضية الخاصة (VPN)
"مع العدد المتزايد من قراصنة الكمبيوتر وضحايا سرقة الهوية ، لا بد من تزويد شركتك بحماية موثوق بها باستخدام الجدران النارية. يمكن أن تكون هذه البرامج قائمة على البرامج أو الأجهزة ، وتُستخدم للمساعدة في الحفاظ على أمان الشبكة. في نهاية المطاف ، تعمل جُدر الحماية على تحليل حزم البيانات وتحديد المعلومات التي يجب السماح بها من خلال ، استنادًا إلى مجموعة قواعد محددة مسبقًا.
توفر الشبكات الافتراضية الخاصة (VPN) الأمان من خلال بروتوكولات الأنفاق وإجراءات الأمان مثل التشفير. على سبيل المثال ، يمكن استخدام VPN لتوصيل المكاتب الفرعية للمؤسسة بأمان إلى شبكة المكتب الرئيسي عبر الإنترنت العام ".
- يذكّر ألفا برينسيبي ، مدير التسويق العالمي لخدمات إعادة تدوير الإلكترونيات ، أصحاب الشركات الصغيرة بإعادة تدوير أجهزة الكمبيوتر بأمان
"وهناك قضية مشتركة أن القضايا المالية والحكومية ليست على علم بها هي المخاطر المرتبطة بعدم إعادة تدوير أجهزة الكمبيوتر والهواتف المحمولة والطابعات والفاكس الآلات ، وما إلى ذلك بشكل صحيح. إذا لم يتم تفكيك هذه الإلكترونيات بشكل صحيح ووضع في الأيدي الخطأ ، وهذه البيانات الحساسة جدا والسرية (الائتمان البطاقة ، والمعلومات المصرفية ، وأرقام الضمان الاجتماعي ، وما إلى ذلك) يمكن استخراجها. "
- مايكل Becce ، MRB Public Relations ، يحذر من keyloggers
"إن الخطر الحقيقي على الشركات الصغيرة هو keyloggers. كيلوغرز هو شكل من اشكال البرامج الضارة التي تتعقب كل ضغطة تقوم بها على لوحة المفاتيح الخاصة بك ويجعلها متاحة للمتسللين. يفترض معظم الناس أن منتج مكافحة الفيروسات سوف منع keyloggers من الحصول على أنظمتها ، بعد كل شيء ، تقول ذلك الصندوق. والحقيقة هي أن أفضل منتجات مكافحة الفيروسات يمكن اكتشافها أقل من 25 ٪ من كيلوغرز معروفة. العديد من الأنظمة مصابة بالفعل. Keyloggers تتبع كل شيء من تسجيل الدخول ويندوز الخاص بك ، أشكال البنك ، المالية المعلومات والبريد الإلكتروني ووسائل الإعلام الاجتماعية ، وحتى الرسائل الفورية. كل صغير يجب أن تفترض الشركة أن شخصًا واحدًا على الأقل في المؤسسة كان ضرب أو سيكون. لقد تم إغلاق العديد من الشركات الصغيرة بالكامل سابقا. لمنعها من سرقة ضغطات المفاتيح (وبياناتك ، أسرار ، المال ، إلخ) ، استخدم أداة لتشفير المفاتيح لتشفير كل منها ضغطات المفاتيح كما تفعل ذلك حتى يقوم مدونو البيانات بقراءة البيانات المزيفة. "
- ويتحدث سيد هاس ، نائب رئيس تطوير الأعمال في شركة LKCS ، عن تعيين شركة أمنية تابعة لشبكة طرف ثالث وعقد دورات تدريبية
"نحن نقوم بتوظيف شركة أمن شبكة مستقلة تابعة لطرف ثالث لإجراء تقييمات الضعف الخارجية على خوادمنا ومواقع الويب كل 6 أشهر. تحدد هذه التقييمات نقاط الضعف الأمنية المحددة بناءً على مستوى المخاطر. نحن نستخدم المعلومات الواردة في تقارير التقييم هذه للتخفيف من أكبر عدد ممكن من نقاط الضعف - بدءاً من أي مخاطر تم تحديدها على أنها عالية المخاطر ولكن أيضًا التعامل مع العناصر المحددة كمخاطر متوسطة ومنخفضة.
لقد وجدنا أن الأمن السيبراني يتعلق بالتعليم والتدريب بقدر ما يتعلق بكل هذه الخطوات الأخرى. نحن نقيم دورات تدريبية أمنية سنوية مع جميع الموظفين ، ونذكّر جميع موظفينا باستمرار حول مشكلات الأمان ، والحيل ، والتهديدات على مدار العام عبر البريد الإلكتروني والملصقات الصغيرة المعروضة في جميع أنحاء منشأتنا. "
- يشجع دوغ لاندول ، كبير الاستراتيجيين في شركة Lantego LLC ، الشركات على مراجعة أمنها بشكل منتظم
"نحن نراجع الضوابط الإدارية والفعلية والفنية الحالية ، نساعد في ملء الاستبيانات الأمنية ، ونعيد العمل إلى الشركات الصغيرة. هذا ينطوي على الفحص المادي لحماية النظم وتخزين البيانات الحساسة ، وتطوير سياسات الأمن ، و تأمين أنظمتنا.
غالبًا ما يستهدف المتطفلين الأنشطة التجارية الصغيرة نظرًا لأنها تتوقع ضوابط ضعيفة. من المحتمل جدا أن تتعرض فرصة معلوماتك الحساسة للخطر. للحصول على الحد الأدنى من الجهد ، يمكن وضع عناصر التحكم الأساسية ليس فقط لتحقيق الامتثال لك ولكن أيضًا لحماية المعلومات الحساسة لعملائك وزيادة رضاهم عن الخدمة. " "عندما نتحدث عن الأمن السيبراني للشركات الصغيرة ، فإن الهدف الرئيسي هو خلق الوعي الأمني مع صاحب العمل والموظفين. لا يمكنك حماية ما لا تعرفه ، بحيث تصبح على علم بطبيعة الجريمة السيبرانية ، والأساليب التي يستخدمها الأشرار للحصول على المعلومات المحمية أو المال / الأصول هي المفتاح. بمجرد أن يكون لدى الناس فهم أساسي لكيفية استخدام اللصوص للتكنولوجيا لسرقتها ، يمكنهم عندئذٍ النظر إلى الأنظمة والعمليات الخاصة بهم ومعرفة ما إذا كانت هناك ثغرات أو أجزاء مفقودة. أشياء أساسية مثل استخدام كلمات مرور معقدة وتغييرها بشكل منتظم ، مع المحافظة على تحديث الأنظمة وبرامج مكافحة الفيروسات.استخدام تطبيق مسح البرمجيات الخبيثة / برامج التجسس على أنظمتها بشكل منتظم. تثقيف الموظفين حول الاستخدام الملائم للتكنولوجيا وكيفية عمل هجمات التصيد والهندسة الاجتماعية ، وجود سياسات حول الاستخدام الملائم لأجهزة الكمبيوتر التجارية وعدم السماح للمستخدمين بأن يكونوا مسؤولين بالكامل عن أنظمتهم ، يشكلون الفاكهة المعلقة هنا. تعتبر الحقوق الإدارية كبيرة ، إذا تمكن المستخدمون من تثبيت البرامج ، فيمكنهم أن يصبحوا حلقة وصل للهجوم أو السماح لبرنامج مسجل رئيسي وغيره من البرامج الضارة على أنظمتهم ويحتمل أن تكون على جميع الأنظمة في الشركة. في النهاية ، على الرغم من أن الأمر يتعلق بالمعرفة وأن تكون على علم. يكاد يكون من المستحيل تعويض ممارسات الحوسبة السيئة من قبل الموظفين ونتيجة لذلك يصبح التدريب مفتاحًا. "
