Come proteggere la tua piccola impresa da attacchi informatici dannosi

Proteggere la tua piccola impresa

Ottobre è stato designato mese nazionale di sensibilizzazione sulla sicurezza informatica dal Dipartimento per la sicurezza interna. E anche se potresti pensare che la tua azienda sia troppo piccola per preoccuparti della sicurezza informatica, ti sbagli.

Di recente ho parlato con Stephanie Benoit-Kurtz, Lead Cybersecurity Faculty presso l'Università di Phoenix e Principal Security Consultant presso Trace3, su come i proprietari di piccole imprese possono proteggere al meglio le loro aziende dagli attacchi informatici.

Molti proprietari di piccole imprese e startup pensano che le loro attività siano troppo piccole perché i criminali informatici si prendano la briga di hackerare. So che è sbagliato. Quale pericolo corrono le piccole imprese?

Stephanie Benoit-Kurtz: Le piccole imprese sono un obiettivo per diversi motivi. I malintenzionati sono consapevoli che potrebbero non disporre di grandi team o sistemi IT per rispondere o prevenire un incidente. Secondo l'FBI, la criminalità informatica è costata alle aziende più di 2,7 miliardi di dollari nel 2020. Con oltre 791.000 denunce, i malintenzionati stanno andando dove possono monetizzare lo sforzo.

A quali rischi per la sicurezza informatica dovrebbero prestare attenzione le piccole imprese?

Benoit-Kurtz: Man mano che le organizzazioni grandi e piccole vengono attaccate, gli attacchi delle PMI stanno aumentando di frequenza, colmando ora il divario con le organizzazioni più grandi. Secondo Verizon, nel rapporto DBIR , le violazioni delle organizzazioni più piccole sono aumentate di frequenza anno dopo anno. L'intrusione nel sistema è ancora una delle principali cause di incidenti. Questo è quando i cattivi attori ottengono l'accesso a dati e sistemi.

Quali sono le minacce informatiche più comuni per le piccole imprese? Differiscono se gestisci un'attività virtuale/remota?

Benoit-Kurtz: le truffe via e-mail e di ingegneria sociale continuano a devastare tutte le aziende. PWC ha eseguito una simulazione di phishing su diversi istituti finanziari e il 70% delle e-mail è stato recapitato con una percentuale di clic dell'utente finale del 7%. Basta un clic per esporre la tua organizzazione a un cattivo attore. Un gran numero di payload arriva ancora tramite e-mail. La CISA ha alcuni ottimi consigli su come evitare di diventare vittime di phishing e ingegneria sociale.

Questi problemi non differiscono in modo significativo tra le attività virtuali o remote rispetto alle attività in loco. Le organizzazioni devono fornire formazione regolare su phishing e ingegneria sociale per ridurre gli incidenti. Diversi esperti condividono che circa il 70% del rischio può essere ridotto da organizzazioni che addestrano i dipendenti a identificare situazioni di phishing e ingegneria sociale. Questo problema è aumentato esponenzialmente solo durante la pandemia di COVID-19. Nel 2020 Phishing and Fraud Report , F5 riporta che gli attacchi di phishing sono cresciuti del 220% durante la pandemia.

La migliore difesa è un buon attacco e le piccole imprese dovrebbero investire nel phishing dei dipendenti e nella formazione di ingegneria sociale. I servizi sono relativamente economici e possono fornire un ulteriore livello di protezione per una piccola impresa.

C'è una politica per la password che consiglia?

Benoit-Kurtz: L'altra minaccia principale è il furto di credenziali. Gli accessi e le password vengono esposti a causa di una connessione non sicura o perché sono stati utilizzati in un'organizzazione precedente che è stata violata. Supponiamo che tutti i tuoi social media, e-mail personali e altri accessi e password siano stati divulgati in una violazione da qualche parte. Per i tuoi account di lavoro, non riutilizzare login o password.

Spesso, quando un'organizzazione viene violata, gli accessi e le password vengono messi in vendita sul Darkweb, dove gli hacker acquistano le liste e poi cercano le vittime con un approccio di tipo spearphishing. La seconda raccomandazione è rendere la tua password un po' più complessa. Ad esempio, non utilizzare il nome di tuo figlio o del tuo animale domestico ma una passphrase che contiene caratteri e numeri speciali. A volte i dipendenti soffrono di affaticamento della password. Un deposito di password potrebbe essere una soluzione migliore. Questo crea password univoche e offre ai dipendenti uno strumento per aiutarli a gestire i propri account. PC Magazine ha pubblicato un ottimo articolo sui "Migliori gestori di password per il 2021", in cui analizzano i vantaggi di diverse soluzioni.

Benoit-Kurtz: Come mantieni i dati al sicuro se i dipendenti lavorano in bar, aeroporti, camere d'albergo, ecc.?

Le reti gratuite nei bar, negli hotel, nei ristoranti e negli aeroporti non sono sicure. Questi servizi convenienti e facili da collegare non sono gestiti e attaccano gli hacker che depredano utenti ignari. Anche se devi inserire il numero della tua camera d'albergo o un qualche tipo di passcode, è probabile che si tratti di una rete non protetta in cui i tuoi dati personali e aziendali potrebbero essere a rischio. Cerca di fornire ai dipendenti piani dati sui loro telefoni cellulari o hotspot che consentano un accesso sicuro alla rete. Qui è dove colleghi il tuo computer a una connessione di rete sicura a un telefono cellulare o altro dispositivo LTE. Questo tipo di connettività funziona anche per i team che hanno bisogno di collaborare. ComputerWorld, nell'articolo "Come utilizzare lo smartphone come hotspot mobile", fornisce dettagli su come questa semplice pratica può migliorare la posizione di sicurezza delle piccole imprese.

Che cos'è una VPN e come ne crea una una piccola impresa?

Benoit-Kurtz: se è necessario utilizzare l'accesso pubblico a Internet durante il telelavoro o il lavoro in remoto, una rete privata virtuale (VPN) è un'ottima soluzione per creare un ulteriore livello di sicurezza. Pensa a una VPN come a un involucro attorno a una caramella. L'involucro tiene dentro le caramelle e altri contaminanti. Il software VPN fornisce protezione crittografica sulla tua connessione a Internet, rendendo molto più difficile per gli hacker intercettare la comunicazione. Inoltre, il software/servizio è relativamente poco costoso e le piccole imprese non hanno bisogno di creare la propria VPN. Invece, possono reperire un prodotto sul mercato che fornisce sicurezza senza costi enormi.

Come convincere i dipendenti a seguire queste linee guida?

Benoit-Kurtz: parte di un solido programma di sicurezza include formazione sulla sensibilizzazione, strumenti e metriche sull'uso. Le piccole imprese devono essere vigili. La gestione della configurazione può essere implementata per forzare le macchine dei dipendenti a disporre della protezione degli endpoint. I client VPN devono essere utilizzati quando sei in remoto e non consentono connessioni a reti casuali. Puoi anche renderlo divertente, come premiare i dipendenti con buoni regalo e gadget aziendali per essere conformi. Riconosci gli utenti che fanno uno sforzo.

Qual è il costo di una violazione?

Benoit-Kurtz: In poche parole, le violazioni sono costose. Come piccola impresa, la tua reputazione e la fiducia dei tuoi clienti potrebbero essere a rischio. Small Business Trends stima che il costo medio di una violazione di una piccola impresa sia di $ 25.000. E IBM, nel suo rapporto annuale sul costo di una violazione dei dati , afferma che negli ultimi due anni questi costi sono aumentati di oltre il 10%. Tuttavia, tale costo non include la perdita di fiducia dei clienti e la conseguente perdita di affari quando i clienti partono per la competizione.

È costoso rendere la tua piccola impresa sicura informatica?

Benoit-Kurtz: No, avere una forte protezione della sicurezza informatica non deve essere costoso. Pensaci come le coperte su un letto. La sicurezza informatica fornisce livelli di diverse tecnologie e processi che proteggono gli utenti. Formazione, software VPN, protezione degli endpoint e hotspot riducono notevolmente i rischi e possono essere implementati senza un grande personale IT. Come piccola impresa, cerca un partner per la sicurezza che ti assista con soluzioni e scalabilità che soddisfino il tuo budget.

Ci sono molte grandi risorse per assistere le piccole imprese nel loro viaggio verso la sicurezza. L'SBA pubblica numerosi ottimi materiali e ci sono organizzazioni di sicurezza specializzate nell'aiutare le aziende nel loro viaggio verso la sicurezza. Un ottimo modo per iniziare è invitare un partner per la sicurezza a fornire una valutazione del rischio per la sicurezza e aiutarti a iniziare. Un ottimo partner per la sicurezza non solo ti aiuterà a trovare i tuoi punti deboli, ma farà crescere il tuo programma di sicurezza man mano che il panorama delle minacce cambia. Se non hai un partner per la sicurezza, fai i compiti e intervista diverse organizzazioni per trovare una buona soluzione.

Naturalmente, il tuo mentore SCORE può aiutarti a fare la scelta giusta. Trovane uno oggi.