よくある質問：中小企業をサイバー攻撃から守るにはどうすればいいですか？

事実：中小企業は脆弱性を過小評価する

先週、いくつかのアメリカの銀行を対象としたサイバー攻撃が行われました。ハッカーはしばしば大企業をターゲットにしていますが、中小企業もますます脆弱になっています。

中小企業はサイバー攻撃に対する脆弱性を過小評価する傾向があります。サイバー攻撃に対する彼らの価値を過小評価するからです。彼らは、彼らがハックする努力に値するものではないと信じていますが、中小企業の所有者は、セキュリティを最小限に抑えた会社を経験したサイバーシップにどのくらいの努力を払っているのか分かりません。

シマンテックの脅威に関する調査調査では、小規模企業は攻撃から身を守るにはあまりにも少ない傾向にあることが示されています。

• 中小企業の50％がサイバー攻撃の対象とするには小さすぎると思います
• 中小企業の61％がすべてのデスクトップにウイルス対策ソフトウェアをインストールしない
• 47％がメールサーバーでセキュリティを使用しない
• 67％がウェブベースのセキュリティを使用していない

Verizon Businessは、2011年にサイバーセキュリティ違反の広範な調査を実施しました。中小企業を対象としたハッカーの傾向に関するいくつかの驚くべき結果がありました。

• 報告されたハッカーの侵害の72％が100人以下の従業員を対象とするビジネス
• 2011年のサイバー攻撃の犠牲者の79％が機会のターゲットでした

中小企業はサイバーティッカーのレーダーの下に入るほど小さいと考えているかもしれませんが、通常は中小企業によって実装された安易なセキュリティ対策が、ハッカーの簡単なターゲットにしています。ほとんどの犠牲者は、かなり計画された攻撃の前に泥棒によって特定された、かなりの資産または営業秘密を持つ企業ではありませんでした。むしろ、ほとんどの犠牲者は単に盗人が悪用された弱いサイバーセキュリティしか持っていませんでした。

従業員によるハッキング

2011年の違反の81％が何らかの形のハッキングを使用し、69％がマルウェアを使用していました。

サイバーティエーブが企業のインフラストラクチャに侵入する一般的な方法の1つは、管理者ではなく従業員をハッキングすることです。 Cyber​​thievesはフィッシング詐欺メールを個々の従業員に送信することができ、これらの電子メールが企業サーバ上で開かれると、悪意のあるソフトウェアが企業情報を盗む可能性があります。

企業は、ソーシャルメディアを通じて企業情報を開示したり、従業員が職場に立ち入ってはならないウェブサイト、フィッシング詐欺メールを特定する方法、モバイルデバイスのセキュリティを維持する方法、特に企業にログインできる場合サーバーをパーソナル・デバイスを介して使用します。

私たちのサイトのヒント：あなたのビジネスをどのように保護する必要がありますか？

FCCには、小規模ビジネスオーナーがネットワークセキュリティ、モバイルデバイス、施設セキュリティ、ポリシー開発などの12のテーマに関する専門家のアドバイスを含むカスタムサイバーセキュリティプランを作成できる便利な中小企業サイバーセキュリティプランニングツールがあります。

Investmentmatomeは、企業が自分自身を守るために4つの初期ステップを取ることを推奨しています。

1. あなたのセキュリティステータスを評価してください。すべての可能性のあるデータ侵害とセキュリティギャップはどこですか？
2. ファイアウォールとウイルス対策ソフトウェアを実装する
3. 従業員のためのトレーニングセッションを開催し、サイバーセキュリティに関する企業ポリシー
4. 推測が困難な管理パスワードを作成します。理想的には数字と文字の組み合わせ

包括的なサイバーセキュリティ計画を実施し、この計画を従業員に教育することで、企業は資産を保護することができます。

その他の専門家の意見

• McAfee Online Security ExpertのRobert Sicilianoは、企業のサイバーセキュリティを確保するための5つのヒントを提供しています

"1。すべてのデータがハッキングされるわけではありません。上級/上級 アクセス制御、セキュリティカメラ、アラームなどのセキュリティ。

2.顧客から必要なデータ量を制限する。あなたが本当にしない場合 社会保障番号が必要ですし、保管しないでください。クレジットカードの場合 情報を格納する必要はなく、格納しないでください。

3.知識ベースの認証質問をパスワードとして認識すること。 リセットすると家を倒すことができます。答えの多くは社会的に見られる メディアサイト。

ラップトップは、最大のデータ侵害ポイントの1つです。ノートパソコンのデータは 暗号化されます。ラップトップは一晩中車に放置されたり、 ホテルの部屋やオフィスを単独で、またはカフェのコーヒーテーブルで無人で利用できます。 データを探して拭くラップトップトラッキングソフトウェアは不可欠です。

5.列車、列車、列車、列車。データセキュリティのトレーニングと何をすべきか、 しないことは優先順位1番です。電子メールのリンクをクリックすると、 ウェブや電子メールから何かをダウンロードする、電子メールの添付ファイルを開く、 ネットワークに感染する最近の成功した方法でした」

• Corbier and Associatesの創設者であるNathan Corbierは従業員のデバイスについて語ります

「誰かが許可されていないデバイスをワークステーションに接続することを許可していない または会社のラップトップ。これにはMP3プレーヤー、携帯電話、USBキー、 何もない。誰かがそうした場合、それはすぐにPCを青色でロックします 死の画面を表示し、SMTPアラームを送信します。許可されている唯一許可されているUSBデバイスは、ユビキーズとアイアンキーです。

すべてのアンドロイドスマートフォンをGoogle Appsと同期させる必要があります パスワード認証を有効にして、暗号化してください。

• Cover Story MediaのオーナーであるMichelle Schenker氏は、頻繁にパスワードを変更することの重要性を語っています

"頻繁にパスワードを変更し、オンラインでやっている作業には常に複雑でユニークなパスワードを使用します。 パスワードにさまざまな文字が含まれていると、パスワードのデコードが難しくなります。通常、数字、文字、大文字、記号をパスワードに組み込むことをお勧めします。パスワードは推測が困難であり、定期的に変更することが重要です。オンラインパスワードを毎月1回変更することで、動的パスワードを維持して、誰かがあなたの個人情報にアクセスする可能性を減らすことをお勧めします。 "

• Retail-ITの創業者であるKyle Marks氏は、古い技術を安全に処分すると述べています

組織が不要な技術を廃止すると、データセキュリティと環境コンプライアンスに関連するリスクに直面します。信頼できる内部者や過失のあるベンダーの脅威は、その挑戦を増やします。企業はITのアップデートに伴うデータセキュリティの脅威に気づくべきです。

• Tekcetera、Inc.の創設者であるJohn S. Pittsは、ファイアウォールとVPNの使用を奨励しています

「コンピュータのハッカーやIDの盗難の被害者が増えているため、ファイアウォールを使用して信頼できる保護を企業に提供することが不可欠です。これらは、ソフトウェアベースまたはハードウェアベースのいずれかであり、ネットワークを安全に保つのに役立ちます。最終的に、ファイアウォールは、データパケットを分析し、所定のルールセットに基づいて、どの情報を通過させるべきかを決定する。

バーチャルプライベートネットワーク（VPN）は、トンネリングプロトコルと暗号化などのセキュリティ手順によってセキュリティを提供します。たとえば、VPNを使用して、組織のブランチオフィスを公衆インターネットを通じて本社ネットワークに安全に接続することができます。

• エレクトロニクスリサイクルサービスのグローバルマーケティングディレクター、Alfea Principe氏は、中小企業のオーナーにコンピュータの安全なリサイクルを促す

「財政問題と政府問題には共通していない問題は、 コンピュータ、携帯電話、プリンタ、ファックスのリサイクルに関連する危険性 機械などを正しく認識することができます。これらの電子機器が正しく解体されない場合 間違った手でこの非常に機密性の高い機密データ（クレジット カード、銀行情報、社会保障番号など）を抽出することができます。

• MRB広報担当のMichael Becce氏は、キーロガーに警告しています

「中小企業に対する真の脅威はキーロガーだ。キーロガーは あなたがキーボード上で行うすべてのキーストロークを追跡し、それを行うマルウェア ハッカーに利用可能です。ほとんどの人は、アンチウイルス製品は キーロガーがシステムに侵入するのを防ぐ ボックス。実際のところ、最高のアンチウイルス製品は、 既知のキーロガーの25％未満です。多くのシステムはすでに感染しています。 キーロガーは、Windowsのログイン、銀行のフォーム、財務 情報、電子メール、ソーシャルメディア、インスタントメッセージングなど。すべての小さな ビジネスは、組織の少なくとも1人が ヒットするかどうか。多くの中小企業は完全に停止しています 既に。あなたのキーストローク（とあなたのデータを盗むのを防ぐために、 秘密、金銭など）、キーストローク暗号化ツールを使用してそれぞれを暗号化する キーロガーは偽のデータを読み取るようにします。

• LKCSの事業開発担当副社長であるSid Haasは、第三者のネットワークセキュリティ会社を雇用し、トレーニングを開催することについて語っています

「当社は第三者の独立系ネットワークセキュリティ会社を雇い、6ヶ月ごとに当社のサーバーおよびWebサイトで外部脆弱性評価を実施している。これらの評価は、リスクのレベルに基づいて特定のセキュリティ脆弱性を特定します。これらのアセスメントレポートの情報を利用して、可能な限り多くの脆弱性を緩和します。ハイリスクとして識別されたものから、中リスクおよび低リスクとして識別された項目に対処します。

私たちは、サイバーセキュリティはこれらの他のすべてのステップよりも教育と訓練に関して多くのことを発見しました。私たちは全従業員を対象に毎年行われるセキュリティトレーニングセッションを開催し、従業員全員に、セキュリティ問題、詐欺、脅威について、私たちの施設全体に表示された電子メールと小型ポスターを通して、

• Lantego LLCのChief StrategistであるDoug Landollは、企業が定期的にセキュリティを確認するよう奨励しています

「現時点での管理、物理的、技術的なコントロールを見直し、セキュリティ調査に記入し、中小企業をコンプライアンスに戻します。これは、システムの保護と機密データストレージの物理的検査、セキュリティポリシーの開発、および 私たちのシステムをロックダウンします。

中小企業は、弱いコントロールを予期しているため、多くの場合、ハッカーの標的になります。機密情報が漏洩する可能性は非常に高いです。努力を最小限に抑えるために、コンプライアンスにつなげるだけでなく、顧客の機密情報を保護し、サービスに対する満足度を高めるために、基本的なコントロールを導入することができます。

• Nevada Medical Security TechnologiesのオーナーであるMark J. Sextonは、トレーニングスタッフの重要性について語っています

「中小企業のサイバーセキュリティについて言えば、主な目的はビジネスオーナーとスタッフとのセキュリティ意識を高めることです。あなたが知らないものを保護することはできないので、サイバー犯罪の性質、悪者が保護された情報や金銭/資産を入手するために使用する方法を知ることが重要です。人々が泥棒が技術を盗む方法を基本的に理解すれば、彼らは自分のシステムやプロセスを見て、抜け穴や欠けがあるかどうかを見ることができます。

複雑なパスワードを使用したり、定期的にパスワードを変更したり、システムとウイルス対策ソフトウェアを最新の状態に保つことなどの基本的なこと。システム上でマルウェア/スパイウェアスキャンアプリケーションを定期的に使用する。職員に技術の適切な使用方法やフィッシングやソーシャルエンジニアリング攻撃の仕組み、ビジネスコンピュータの適切な使用に関するポリシー、ユーザーがシステムの完全管理者にならないように教育することは、ここではあまり効果がありません。管理者権限は大きなものです。ユーザーがソフトウェアをインストールすることができれば、攻撃のネクサスになるか、キーロガーソフトウェアなどの悪意のあるソフトウェアがシステム内に潜在的に存在する可能性があります。

結局のところ、それはすべて知識に関するものであり、情報に基づいています。従業員による貧弱なコンピューティングの実践を相殺することはほとんど不可能であり、その結果、トレーニングが重要になります。