Cybersecurity: Ein Leitfaden für kleine Unternehmen


Cybersecurity: Ein Leitfaden für kleine Unternehmen

Online-Bedrohungen sind nach der Lücke in dieser Woche bei OneLogin in aller Munde. Das Identitäts- und Zugangsmanagementunternehmen mit über 2.000 Unternehmenskunden wurde gehackt, und die Auswirkungen sind noch nicht ausgestanden. Während der Sicherheitsverletzung konnten private Informationen über Benutzer, Apps und verschiedene Schlüssel von den noch unbekannten Hackern erhalten werden. Alles, was wir derzeit wissen, ist, was OneLogin auf seinem Firmen-Blog angekündigt hat: Daten wurden möglicherweise gesammelt und der Hacker oder Hacker haben vielleicht einen Weg gefunden, Daten zu entschlüsseln.

Wenn Sie nicht sicher sind, was das alles bedeutet Viele Unternehmer wissen nicht allein, dass kleine Unternehmen für Cyberangriffe genauso gefährdet sind wie größere Unternehmen, aber sie sind es auch. Laut einem Bericht von Keeper Security und dem Ponemon Institute wurden 50 Prozent der Kleinunternehmen in den letzten 12 Monaten durchbrochen.

Hier finden Sie einen Überblick über alles, was Sie zum Schutz Ihres Unternehmens wissen müssen.

In diesem Artikel ...

  1. Warum zielen Hacker auf kleine Unternehmen ab?
  2. Arten von Cyberattacken
  3. Sicherheitslösungen und worauf Sie achten sollten
  4. Cybersecurity Insurance
  5. Best Practices für Ihr Unternehmen

Während Verstöße bei großen Konzernen wie Target und Home Depot Schlagzeilen machen, sind kleine Unternehmen immer noch sehr Ziele für Hacker. Stephen Cobb, Senior Security Researcher beim Antiviren-Software-Unternehmen ESET, sagte, dass kleine Unternehmen in die Cybersicherheit der Cyberkriminellen fallen: Sie haben mehr digitale Ressourcen als ein einzelner Verbraucher, aber weniger Sicherheit als ein größeres Unternehmen.

Der andere Grund, warum kleine Unternehmen solch ansprechende Ziele setzen, ist, dass Hacker wissen, dass diese Unternehmen weniger auf die Sicherheit achten. Eine Infografik von Towergate Insurance zeigte, dass Kleinunternehmen ihr Risiko oft unterschätzen, 82 Prozent der Kleinunternehmer sagen, dass sie keine Angriffsziele sind, weil sie nichts zu stehlen haben.

In fast jedem Fall besteht das Endziel eines Cyberangriffs darin, vertrauliche Daten zu stehlen und zu verwerten, seien es Kunden-Kreditkarteninformationen oder die Anmeldeinformationen einer Person, mit denen die Identität der Person online missbraucht werden würde.

Das ist keineswegs so eine erschöpfende Liste potentieller Cyberbedrohungen, vor allem, da sich Hackertechniken weiterentwickeln, aber Unternehmen sollten zumindest die am häufigsten verwendeten Attacken kennen.

APT: Advanced Persistent Threats, oder APTs, sind langfristig ausgerichtet Angriffe, die in mehreren Phasen in ein Netzwerk einbrechen, um eine Erkennung zu vermeiden. Diese Symantec-Infografik umreißt die fünf Phasen eines APT .

DDoS: DDoS-Angriffe treten auf, wenn ein Server absichtlich mit Anfragen überlastet ist, mit dem Ziel, das Ziel herunterzufahren Website- oder Netzwerksystem

Inside attack: Dies ist der Fall, wenn jemand mit Administratorrechten, normalerweise innerhalb der Organisation, seine Anmeldeinformationen absichtlich missbraucht, um Zugang zu vertraulichen Unternehmensinformationen zu erhalten. Vor allem ehemalige Mitarbeiter stellen eine Gefahr dar, wenn sie das Unternehmen zu schlechten Bedingungen verlassen. Daher sollte Ihr Unternehmen über ein Protokoll verfügen, um sofort nach der Kündigung eines Mitarbeiters den Zugriff auf Unternehmensdaten zu sperren.

Malware: Dieser Regenschirm term ist die Abkürzung für "bösartige Software" und umfasst alle Programme, die in den Computer des Ziels mit der Absicht eingeführt werden, Schaden zu verursachen oder unautorisierten Zugriff zu erlangen. Mehr über die verschiedenen Arten von Malware finden Sie auf How to Geek. Auf der Schwesterseite Tom's Guide von Mobby Business werden auch die Mythen und Fakten von Malware analysiert.

Passwortangriffe: Es gibt drei Haupttypen von Passwortangriffen: ein Brute-Force-Angriff, der das Erraten von Passwörtern erfordert im; ein Wörterbuchangriff, der ein Programm verwendet, um verschiedene Kombinationen von Wörterbuchwörtern auszuprobieren; und Keylogging, das alle Tastatureingaben eines Benutzers verfolgt, einschließlich Login-IDs und Passwörter. Mehr über jede Art von Angriff (und wie man sie vermeidet) finden Sie in diesem Scorpion Software Blogbeitrag.

Phishing: Phishing ist vielleicht die am häufigsten eingesetzte Form des Cyberschutzes und beinhaltet das Sammeln sensibler Informationen wie Anmeldedaten und Kreditkarteninformationen über eine seriös wirkende (aber letztlich betrügerische) Website, die häufig an ahnungslose Personen in einer E-Mail gesendet wird. Laut Keeper Security und dem Ponemon Institute handelt es sich bei den häufigsten Angriffen gegen SMBs um Web-basierte und Phishing / Social-Engineering-Angriffe. TechRepublic hat 10 Zeichen geteilt, die Ihnen helfen, eine Phishing-E-Mail zu finden.

Ransomware: Ransomware ist eine Art von Malware, die Ihren Computer infiziert und, wie der Name schon sagt, eine Ransomware erfordert. In der Regel wird Ransomware Sie entweder sperren von Ihrem Computer und verlangen Geld für den Zugriff oder drohen, private Informationen zu veröffentlichen, wenn Sie nicht einen bestimmten Betrag bezahlen. Ransomware ist eine der am schnellsten wachsenden Arten von Sicherheitsverletzungen.

Es gibt einige verschiedene grundlegende Arten von Sicherheitssoftware auf dem Markt, die unterschiedliche Schutzstufen bieten. Antivirus Software ist am häufigsten und wird sich gegen die meisten Arten von Malware verteidigen. Für einen direkten Vergleich der besten Antivirus-Software-Programme für kleine Unternehmen, besuchen Sie unsere Schwesterseite Top Ten Reviews.

Firewalls , die mit Hardware oder Software implementiert werden können, bieten eine zusätzliche Schutzebene durch Verhindern, dass ein nicht autorisierter Benutzer auf einen Computer oder ein Netzwerk zugreift. In einem eHow.com-Artikel hat der Autor Sam N. Austin festgestellt, dass einige Computer-Betriebssysteme wie Microsoft Windows mit integrierten Firewalls ausgestattet sind. Diese Schutzfunktionen können auch Routern und Servern separat hinzugefügt werden.

Cobb, von ESET, sagte, Unternehmen sollten auch in eine Datensicherungslösung investieren, damit jede während einer Sicherheitsverletzung kompromittierte oder verlorene Information leicht wiederhergestellt werden kann von einem anderen Standort; Verschlüsselungssoftware zum Schutz sensibler Daten wie Mitarbeiterdaten, Kunden- / Kundeninformationen und Finanzausweisen; und Zwei-Schritt-Authentifizierung oder Passwort-Sicherheits-Software für ihre internen Programme, um die Wahrscheinlichkeit von Passwort-Cracking zu reduzieren.

Es ist wichtig zu erinnern, dass es keine One-Size-All-All-Security-Lösung gibt, so Charles Henderson, globaler Leiter für Sicherheitsbedrohungen und -tests bei IBM, riet dazu, eine Risikobewertung durchzuführen, vorzugsweise durch eine externe Firma.

Eine wichtige Lösung, die keine Software beinhaltet und von vielen kleinen Unternehmen übersehen wird, ist die Cybersicherheit. Wie oben erwähnt, wird Ihre allgemeine Haftungspolitik Ihnen nicht helfen, Verluste oder Anwaltskosten im Zusammenhang mit einer Datenverletzung auszugleichen, so dass eine separate Richtlinie, die diese Art von Schäden abdeckt, im Falle eines Angriffs sehr hilfreich sein kann.

Tim Francis, Enterprise Cyber Wie Lead bei Travelers, einem Anbieter von Cyberversicherungen, sagte, nehmen kleine Unternehmen häufig an, dass Cyberversicherungsrichtlinien nur für große Unternehmen konzipiert sind, da diese Unternehmen die häufigsten Ziele von Hackern sind. Aber viele Versicherungsgesellschaften fangen an, maßgeschneiderte Deckung für kleinere Firmen anzubieten, um ihre Budgets und Risikobelastungsniveaus zu treffen, sagte er.

Francis riet Geschäftseigentümern, nach einer Kombination der ersten und dritten Abdeckung zu suchen. Die Haftpflichtversicherung umfasst alle allgemeinen Kosten, die aufgrund einer Verletzung entstehen, wie z. B. Rechtsgutachten, Öffentlichkeitsarbeit, Kundenbenachrichtigung und Betriebsunterbrechung. Die Abdeckung durch Dritte schützt Sie, wenn Ihr Unternehmen im Mittelpunkt eines Verstoßes steht, bei dem sensible Daten offengelegt wurden. Diese Art von Schutz deckt Verteidigungskosten ab, wenn die betroffenen Parteien Ihre Firma verklagen.

"Abdeckung ist mehr als Worte auf einer Seite", sagte Francis. "Stellen Sie sicher, dass Ihr Anbieter finanziell gut bewertet wird und einen guten Ruf in der Branche hat. Die Richtlinien sind sehr vielfältig. [...] Sie brauchen einen Agenten, der die Unterschiede versteht."

Bereit, Ihr Unternehmen und seine Daten zu schützen? Diese Best Practices werden Ihr Unternehmen so sicher wie möglich halten.

Halten Sie Ihre Software auf dem neuesten Stand. Wie in diesem Artikel von Tom's Guide erwähnt, "ist ein veralteter Computer anfälliger für Abstürze, Sicherheitslücken und Cyberangriffe als einer, der vollständig gepatcht wurde." Hacker suchen ständig nach Sicherheitsschwachstellen, sagte Cobb von ESET, und wenn Sie diese Schwachstellen zu lange auf sich beruhen lassen, erhöhen Sie Ihre Chancen, gezielt angesprochen zu werden.

Informieren Sie Ihre Mitarbeiter. Machen Sie Ihre Mitarbeiter auf das Thema aufmerksam Auf diese Weise können Cyberkriminelle Ihre Systeme infiltrieren, ihnen beibringen, Anzeichen einer Sicherheitslücke zu erkennen und sie darüber aufklären, wie sie das Netzwerk des Unternehmens nutzen können.

Implementieren Sie formale Sicherheitsrichtlinien. Bill Carey, Vice President Marketing und Business Die Entwicklung bei Siber Systems hat festgestellt, dass unternehmensweite Sicherheitsrichtlinien dazu beitragen können, die Wahrscheinlichkeit eines Angriffs zu verringern. Er riet dazu, starke Passwörter zu verlangen - mit Groß- und Kleinbuchstaben, Zahlen und Symbolen -, die alle 60 bis 90 Tage geändert werden sollten . 65% der SMBs, die eine Passwortrichtlinie haben, setzen sie nicht streng durch , gemäß der Keeper Security und dem Ponemon Institute Bericht.

Üben Sie Ihren Reaktionsplan für Vorfälle. IBMs Henderson hat empfohlen, einen Drill Ihres Reaktionsplans durchzuführen (und gegebenenfalls zu verfeinern), damit Ihre Mitarbeiter den Verstoß erkennen und eingrenzen können schnell sollte ein Vorfall auftreten.

Schließlich, das beste, was Sie für Ihr Unternehmen tun können, ist eine Sicherheit-erste Mentalität, sagte Henderson. Er erinnerte Kleinunternehmen daran, dass sie aufgrund ihrer Größe nicht davon ausgehen sollten, Opfer einer Verletzung zu werden.
Weitere Informationen zur Behandlung einer Datenverletzung finden Sie in diesem Mobby Business.

Einige Quelleninterviews wurden für eine vorherige Version dieses Artikels durchgeführt.


4 Geschäftsideen, die bald beginnen

4 Geschäftsideen, die bald beginnen

Einführung Immer auf der Suche nach der nächsten großen Geschäftsidee? Wir haben uns die neuesten Trends angesehen und denken, dass diese vier Geschäftsideen sich durchsetzen werden. Das Beste von allem ist, dass die meisten ohne Mitarbeiter erledigt werden können und die Startup-Kosten extrem niedrig sind.

(Geschäft)

Open Enrollment: Was kleine Unternehmen über das Affordable Care Act wissen müssen

Open Enrollment: Was kleine Unternehmen über das Affordable Care Act wissen müssen

Kleinunternehmer und Angestellte bereiten sich auf eine große Entscheidung am Wahltag vor, aber das ist nicht die einzige entscheidende Entscheidung, die der Monat November für sie bereithält. Nov. 1 startet die Open-Enrollment-Periode 2017, das Zeitfenster, in dem sich jeder im nächsten Jahr auf dem Krankenversicherungs-Marktplatz für die Gesundheitsversorgung anmelden kann.

(Geschäft)