中小企業向けサイバーセキュリティベストプラクティス

?? Subway Surfers - Official Launch Trailer

正確にサイバー攻撃は何ですか？
自分と私の顧客をどうやって守ることができますか？
あなた自身を教育する
サイバーセキュリティプランを作成する
パスワードを賢明にする
電子メールセキュリティを強化する
ファイアウォールとウイルス対策ソフトウェアを使用する
Wi-Fiネットワークを保護する
支払プロセッサを保護する

Equifaxのデータ漏洩の影響は、1億4,500万人を超える個人データを侵害し、混乱し、不満を持ち、まったく怒っていました。大企業への大規模な攻撃は見出しを出していますが、中小企業はそれほど重要ではないにしても、それほど多くの問題を抱えています。

保険プロバイダーであるHiscoxのレポートで分析されたデータによると、サイバー攻撃は中小企業に大きな財務的影響を与える可能性があります。 2017年のレポートによると、99人の従業員を抱える中小企業は、サイバー攻撃後に平均36,000ドルのコストに直面していました。セキュリティ保護がそれほど進んでいないこと、サイバーセキュリティ専用の予算が小さいこと、IT部門のリソースが少ないことから、中小企業はハッカーにとって理想的なターゲットになります。

正確にサイバー攻撃は何ですか？

サイバー攻撃は、データを公開、破壊、またはアクセスする権限のない試みです。中小企業向けのオンライン市場であるBuyBizSellが700名の事業主を対象に実施した調査によると、中小企業の10％が攻撃を受けている。引用された最も一般的な3つの攻撃は、一般的なマルウェア、Webベースの攻撃、フィッシング詐欺または社会工学でした。

一般的なマルウェア 悪意のあるソフトウェアの略で、マルウェアはユーザーの意図に反して動作し、ウイルス、トロイの木馬、ワームの形になる可能性があります。サイバーセキュリティ会社Dattoの2016年のレポートによると、悪意のある結果を避けるために、データを永久に削除したり、公に公開したりするような、マルウェアの一種であるRansomwareは、年間約750億ドルの費用がかかります。

Webベースの攻撃 Webベースの攻撃とは、マルウェアがインターネット経由でコンピュータにアクセスすることです。正当なものとして現れる悪意のあるWebサイトや正当なWebサイトのコードに悪質なコードを挿入するハッカーなど、これが起こる方法はいくつかあります。

ソーシャルエンジニアリングの詐欺。 ソーシャルエンジニアリング攻撃とは、ハッカーがあなたを欺いて、クレジットカード番号、社会保障番号、銀行情報などの個人情報を放棄することです。フィッシングとも呼ばれます。

自分と私の顧客をどうやって守ることができますか？

あなた自身を教育する

マイクロソフトは、米国サイバーセキュリティ意識向上月間である10月に、米国標準技術研究所（NIST）、米国中小企業局（NIST）の共同スポンサーによる小規模ビジネスオーナー向けの一連の無料サイバーセキュリティワークショップを提供しています。 SBAはまた、サイバーセキュリティの基礎に関する自己ガイドオンラインコースを提供しています。

サイバーセキュリティプランを作成する

サイバーセキュリティ計画には、従業員トレーニングプログラムとインシデント対応計画が含まれている必要があります。ネットワークを保護するための第一歩は、従業員がセキュリティポリシーと手順を理解できるようにすることです。訓練は1対1の取引であってはならない。セキュリティを最優先に保つために、毎年または半年ごとのリフレッシャーコースをスケジュールしてください。従業員がソフトウェアの更新の重要性を理解し、セキュリティのベストプラクティスを採用し、起こりうるセキュリティ違反を特定した場合の対処方法を理解する。

サイバー攻撃に直面したほうが速くなればなるほど、被害を軽減することができます。

アン インシデント対応計画 次のような重要な情報があります。

連絡先
データとデータのバックアップが格納される場所
違反について法執行機関または一般市民に連絡する場合

連邦通信委員会（Federal Communications Commission）は、中小企業のオーナーがビジネスを守るための計画を立てるためのサイバーセキュリティ計画ガイドを提供しています。（カスタマイズしたプランは、作成したページの最後にダウンロードできます）。

パスワードを賢明にする

NISTは、政府機関にパスワードのベストプラクティスについてアドバイスしています。 2017年6月にリリースされた組織のデジタルアイデンティティガイドラインによると、NISTはパスワードを8文字以上にすることを推奨し、長さは複雑さよりも有益であることに注意しています。従業員は、覚えやすい簡単でユニークなパスワードを作成できます。

機密性の高いデータを扱う場合は、システムやプログラムにアクセスする前に、パスワードとコードなどの少なくとも2つの識別要因を提示する必要がある、多因子認証が必要な場合があります。 ATMと同じように考えると、銀行カードとPINを組み合わせて資金にアクセスする必要があります。

電子メールセキュリティを強化する

サイバーセキュリティ企業シマンテック（Symantec）によると、2016年には131件中1件のメールが悪意を持っていました。これは5年間で最高の料金です。

不審な添付ファイルやリンクを開かないような電子メールの基本的な予防措置は、従業員のトレーニング計画でカバーできる最初のステップです。クライアントの個人データを処理する場合は、送信者と受信者の両方がパスコードを開く必要があるように、ドキュメントを暗号化することもできます。

ファイアウォールとウイルス対策ソフトウェアを使用する

ファイアウォールはデジタルシールドとして機能し、悪意のあるソフトウェアやトラフィックがネットワークに届かないようにします。ファイアウォールには多くの種類がありますが、ハードウェアとソフトウェアの2つのカテゴリに分類されます。

一部のファイアウォールにはウイルススキャン機能もあります。もしそうでない場合は、コンピュータをスキャンしてファイアウォールを通過させたマルウェアを特定して削除するウイルス対策ソフトウェアもインストールしてください。何か問題が発生した後で問題を検索する代わりに、問題を警告することで、データ侵害をより効率的に管理するのに役立ちます。

Wi-Fiネットワークを保護する

あなたが最初にそれを購入するときに受け取った任意のタイプのWi - Fi機器は安全ではありません。ハッカーが一般的なルータのモデル番号に基づいてデフォルトパスワードにアクセスするためのオンラインリソースがあるので、ネットワークが独自の一意のパスワードで暗号化されていることを確認してください。あなたのルータはおそらく複数の種類のパスワードの中から選択することができます。最も安全なものの1つはWi-Fi Protected Access II（WPA2）コードです。

また、ネットワークを非表示にすることもできます。つまり、ルーターはネットワーク名をブロードキャストしません。顧客やクライアントがWi-Fiにアクセスする必要がある場合は、パスワードやセキュリティ対策が異なる「ゲスト」アカウントを設定して、メインネットワークにアクセスできないようにすることができます。