Cara Melindungi Bisnis Kecil Anda dari Serangan Siber yang Merusak

Melindungi Bisnis Kecil Anda

Oktober telah ditetapkan sebagai Bulan Kesadaran Keamanan Siber Nasional oleh Departemen Keamanan Dalam Negeri. Dan meskipun Anda mungkin berpikir bisnis Anda terlalu kecil untuk mengkhawatirkan keamanan siber, Anda salah.

Baru-baru ini saya berbicara dengan Stephanie Benoit-Kurtz, Kepala Fakultas Keamanan Siber di Universitas Phoenix dan Konsultan Keamanan Utama di Trace3, tentang bagaimana pemilik usaha kecil dapat melindungi perusahaan mereka dari serangan siber.

Banyak pemilik usaha kecil dan pemula berpikir bisnis mereka terlalu kecil untuk penjahat cyber untuk repot-repot meretas. Aku tahu itu salah. Bahaya apa yang dihadapi usaha kecil?

Stephanie Benoit-Kurtz: Usaha kecil menjadi target karena beberapa alasan. Pelaku jahat sadar bahwa mereka mungkin tidak memiliki tim atau sistem TI yang besar untuk merespons atau mencegah insiden. Menurut FBI, kejahatan dunia maya merugikan bisnis lebih dari $2,7 miliar pada tahun 2020. Dengan lebih dari 791.000 keluhan, pelaku kejahatan akan pergi ke tempat mereka dapat memonetisasi upaya tersebut.

Risiko keamanan siber apa yang harus diwaspadai oleh usaha kecil?

Benoit-Kurtz: Ketika organisasi besar dan kecil diserang, serangan SMB semakin meningkat, sekarang menutup kesenjangan dengan organisasi yang lebih besar. Menurut Verizon, dalam Laporan DBIR , pelanggaran organisasi yang lebih kecil telah meningkat frekuensinya dari tahun ke tahun. Intrusi sistem masih menjadi salah satu kontributor utama insiden. Ini adalah saat aktor jahat mendapatkan akses ke data dan sistem.

Apa ancaman dunia maya paling umum untuk usaha kecil? Apakah ini berbeda jika Anda menjalankan bisnis virtual/jarak jauh?

Benoit-Kurtz: Email dan penipuan rekayasa sosial terus mendatangkan malapetaka pada semua bisnis. PWC menjalankan simulasi phishing di beberapa lembaga keuangan, dan 70% email dikirim dengan rasio klik pengguna akhir 7%. Hanya perlu satu klik untuk mengekspos organisasi Anda ke aktor yang buruk. Sejumlah besar muatan masih datang melalui email. CISA memiliki beberapa tips hebat tentang cara menghindari menjadi korban phishing dan rekayasa sosial.

Masalah ini tidak berbeda secara signifikan antara bisnis virtual atau bisnis jarak jauh vs. bisnis di tempat. Organisasi perlu memberikan pelatihan phishing dan rekayasa sosial secara teratur untuk mengurangi insiden. Beberapa ahli berbagi bahwa sekitar 70% risiko dapat dikurangi dengan organisasi yang melatih karyawan untuk mengidentifikasi situasi phishing dan rekayasa sosial. Masalah ini hanya meningkat secara eksponensial selama pandemi COVID-19. Dalam Laporan Phishing dan Penipuan 2020 , F5 melaporkan serangan phishing tumbuh 220% selama pandemi.

Pertahanan terbaik adalah pelanggaran yang baik, dan bisnis kecil harus berinvestasi dalam pelatihan phishing karyawan dan rekayasa sosial. Layanan ini relatif murah dan dapat memberikan lapisan perlindungan ekstra untuk bisnis kecil.

Apakah ada kebijakan kata sandi yang Anda rekomendasikan?

Benoit-Kurtz: Ancaman utama lainnya adalah pencurian kredensial. Login dan kata sandi terungkap melalui koneksi yang tidak aman atau karena digunakan di organisasi sebelumnya yang dilanggar. Asumsikan bahwa semua media sosial Anda, email pribadi, dan login dan kata sandi lainnya telah diungkapkan dalam pelanggaran di suatu tempat. Untuk akun kerja Anda, jangan gunakan kembali login atau kata sandi.

Seringkali ketika sebuah organisasi dilanggar, login dan kata sandi mulai dijual di Darkweb, di mana peretas membeli daftar dan kemudian mencari korban dalam jenis pendekatan spearphishing. Rekomendasi kedua adalah membuat kata sandi Anda sedikit lebih rumit. Misalnya, jangan gunakan nama anak atau hewan peliharaan Anda tetapi frasa sandi yang berisi karakter dan angka khusus. Terkadang karyawan menderita kelelahan kata sandi. Gudang kata sandi mungkin merupakan solusi yang lebih baik. Ini membuat kata sandi unik dan memberi karyawan alat untuk membantu mereka mengelola akun mereka. PC Magazine menerbitkan artikel hebat tentang "Pengelola Kata Sandi Terbaik untuk 2021," di mana mereka merinci manfaat dari berbagai solusi.

Benoit-Kurtz: Bagaimana Anda menjaga keamanan data jika karyawan bekerja di kedai kopi, bandara, kamar hotel, dll.?

Jaringan gratis di kedai kopi, hotel, restoran, dan bandara tidak aman. Layanan yang nyaman dan mudah terhubung ini tidak dikelola dan menyerang peretas yang memangsa pengguna yang tidak curiga. Bahkan jika Anda perlu memasukkan nomor kamar hotel atau beberapa jenis kode sandi, kemungkinan besar jaringan tidak terlindungi di mana data pribadi dan perusahaan Anda dapat berisiko. Pertimbangkan untuk menyediakan paket data kepada karyawan di ponsel atau hotspot mereka yang memungkinkan akses jaringan yang aman. Di sinilah Anda menambatkan komputer Anda ke koneksi jaringan yang aman ke ponsel atau perangkat LTE lainnya. Jenis konektivitas ini juga berfungsi untuk tim yang perlu berkolaborasi. ComputerWorld, dalam artikel “Cara Menggunakan Ponsel Cerdas Anda sebagai Hotspot Seluler”, memberikan secara spesifik tentang bagaimana praktik sederhana ini dapat meningkatkan postur keamanan bisnis kecil.

Apa itu VPN, dan bagaimana bisnis kecil menyiapkannya?

Benoit-Kurtz: Jika Anda harus menggunakan internet akses publik saat telecommuting atau bekerja dari jarak jauh, Virtual Private Network (VPN) adalah solusi yang sangat baik untuk menciptakan lapisan keamanan tambahan. Pikirkan tentang VPN sebagai pembungkus permen. Pembungkusnya membuat permen tetap masuk dan kontaminan lainnya keluar. Perangkat lunak VPN memberikan perlindungan enkripsi di sekitar koneksi Anda ke internet, sehingga jauh lebih sulit bagi peretas untuk mencegat komunikasi. Selain itu, perangkat lunak/layanan relatif murah, dan usaha kecil tidak perlu membangun VPN sendiri. Sebaliknya, mereka dapat memperoleh produk di pasar yang memberikan keamanan tanpa biaya besar.

Bagaimana Anda membuat karyawan mengikuti pedoman ini?

Benoit-Kurtz: Bagian dari program keamanan yang solid mencakup pelatihan kesadaran, alat, dan metrik tentang penggunaan. Usaha kecil harus waspada. Manajemen konfigurasi dapat diterapkan untuk memaksa mesin karyawan memiliki perlindungan titik akhir. Klien VPN harus digunakan saat Anda berada jauh dan tidak mengizinkan koneksi ke jaringan acak. Anda juga dapat membuatnya menyenangkan, seperti memberi penghargaan kepada karyawan dengan kartu hadiah dan barang curian perusahaan karena tetap patuh. Kenali pengguna yang berusaha.

Berapa biaya pelanggaran?

Benoit-Kurtz: Sederhananya, pelanggaran itu mahal. Sebagai bisnis kecil, reputasi dan kepercayaan pelanggan Anda bisa terancam. Tren Bisnis Kecil memperkirakan biaya rata-rata pelanggaran bisnis kecil adalah $25.000. Dan IBM, dalam Laporan Biaya Pelanggaran Data tahunan , mengatakan dalam dua tahun terakhir biaya ini telah meningkat lebih dari 10%. Namun, biaya itu tidak termasuk hilangnya kepercayaan pelanggan dan hilangnya bisnis terkait saat pelanggan pergi ke kompetisi.

Apakah mahal untuk membuat bisnis kecil Anda aman di dunia maya?

Benoit-Kurtz: Tidak, memiliki perlindungan keamanan siber yang kuat tidak harus mahal. Anggap saja seperti selimut di tempat tidur. Keamanan siber menyediakan lapisan teknologi dan proses berbeda yang melindungi pengguna. Pelatihan, perangkat lunak VPN, perlindungan titik akhir, dan hotspot, semuanya sangat mengurangi risiko dan dapat diimplementasikan tanpa staf TI yang besar. Sebagai bisnis kecil, cari mitra keamanan untuk membantu Anda dengan solusi dan skala yang sesuai dengan anggaran Anda.

Ada banyak sumber daya yang bagus untuk membantu usaha kecil dalam perjalanan keamanan mereka. SBA menerbitkan banyak materi hebat, dan ada organisasi keamanan yang berspesialisasi dalam membantu perusahaan dalam perjalanan keamanan mereka. Cara yang bagus untuk memulai adalah dengan mengundang mitra keamanan untuk memberikan penilaian risiko keamanan dan membantu Anda memulai. Mitra keamanan yang hebat tidak hanya akan membantu Anda menemukan titik lemah Anda, tetapi juga mengembangkan program keamanan Anda saat lanskap ancaman berubah. Jika Anda tidak memiliki mitra keamanan, kerjakan pekerjaan rumah Anda dan wawancarai beberapa organisasi untuk menemukan yang cocok.

Tentu saja, mentor SCORE Anda dapat membantu Anda membuat pilihan yang tepat. Temukan satu hari ini.