Нарушения правил безопасности вредны для любого бизнеса. В дополнение к финансовым включенным затратам запятнанную репутацию трудно преодолеть — и потребительское доверие, несомненно, жесткое, чтобы возвратить, как только личная информация поставилась под угрозу.
Чтобы предотвратить нарушения, меры безопасности должны встретить все виды инструкций, такие как сформулированные федеральными и государственными законами и промышленными организациями. Например, все компании должны выполнить стандарты Payment Card Industry (PCI), чтобы надежно принять платежи по кредитной карте и сохранить информацию их клиентов безопасной. Рекомендации по частной жизни также управляют электронными письмами, личными данными и другими типами информации, которая должна остаться безопасной.
Тем не менее, никакой малый бизнес не прекрасный. Из-за отсутствия времени и ресурсов, кажется невозможным не отставать от всех последних угроз, и промышленные инструкции, уже не говоря об управляют крупными объемами данных, которые производит малый бизнес. От создания маленьких грубых ошибок к вызову политике компании владельцы малого бизнеса и сотрудники ставят под угрозу свою компанию и информацию своих клиентов каждый день.
[3 новых киберугрозы ты не знаешь о все же]
Чтобы помочь предприятиям малого бизнеса признавать проблемные области, Сара Исаакс, генеральный директор в Conventus, информационной консалтинговой фирме безопасности и ее команде обрисовывала в общих чертах ошибки полной безопасности, которые оставляют предприятия малого бизнеса уязвимыми для аудитов соблюдения и нарушений. Включенный ниже несколько подсказок, чтобы помочь сохранять предприятия малого бизнеса и информацию их клиентов безопасными.
1. Игнорирование мертвых точек
В предприятиях малого бизнеса технические экспертные знания обычно не глубоко. Скорее люди, отвечающие за защиту данных, часто выполняют другие функции работы в компании. Если твой штат испытывает недостаток в экспертных знаниях в данной области, важно вложить капитал в регулярные медицинский осмотры безопасности с экспертами в предметной области, чтобы гарантировать каждое решение, которое ты имеешь в распоряжении, продолжает оставаться оптимально формируемым и работающий при пиковой производительности.
2. Думая твой размер делает тебя неуязвимым
Много небольших компаний верят своим средствам размера, они неуязвимы для взломов, IP воровства или других проблем; они могут чувствовать, что только более крупные организации будут предназначены. Это приводит к постепенному портфелю безопасности, соединенному с дешевыми решениями для пункта, бесплатным программным обеспечением и никаким способом объединить информацию. Не думай, что это не произойдет с тобой; всегда делай меры предосторожности и относись к угрозам серьезно.
3. Не проверка твоей работы
Так же, как работа писателя рассмотрена редактором, твоя работа может извлечь выгоду из второй перспективы. В одном случае администратор в нефтегазовой компании вручную вводил политику, которая включала опечатку. Это оставило огромное отверстие, которое было открыто и восприимчиво к нападению. Рассмотрение твоей работы второй парой глаз, быть им от коллеги или консультанта, может помочь избегать, чтобы простые ошибки и помощь защитили твой бизнес.
4. Просмотр соблюдения как "флажок"
PCI, закон о Мобильности и Ответственности Медицинского страхования (HIPAA), Federal Information Security Management Act (FISMA) и другие инструкции не являются просто пунктами, чтобы вычеркнуть твой список. Чтобы выйти перед контрольными результатами, осуществи промышленные методы наиболее успешной практики, такие как сформулированные Центром интернет-безопасности (СНГ), Институт SANS или даже Microsoft Hardening Guidelines. Ничто не разрушает твою неделю как разыскивание потерянных данных или первопричины, так охвати мышление безопасности и рассмотри его как ответственность, не тяжелую работу.
5. Не предписание политики безопасности сотрудника
Немного предприятий малого бизнеса проводят в жизнь политику безопасности на своих сотрудниках. В любом бизнесе сотрудники, вероятно, хранят данные о клиентах, знают ли они о нем или нет. Украденный ноутбук, потерянный смартфон или даже любопытный глаз может привести к неправильным людям, получающим твои IP или данные о клиентах без твоего ведома. Создай политику, если ты в настоящее время не имеешь того и проводишь в жизнь его на всех сотрудниках.
6. Игнорирование образования штата
Приезжает ли твой штат к тебе с сильным фоном безопасности или вынужден "учиться на лету", отсутствие обучения может привести к преодолимым инцидентам. Независимо от того их предварительные знания, удостоверься, что твой штат IT получает обучение о продуктах, они работают с и уверены обеспечить время и финансовые ресурсы, чтобы помочь совершенствовать их. Обучение персонала может обеспечить большой возврат инвестиций (ROI), и помощь избегают инцидентов, которые могли повредить твой бизнес и репутацию.
7. Используя те же самые пароли снова и снова
Каждая компания, маленькая или большая, должна стремиться иметь некоторые рекомендации и стандартные режимы работы вокруг использования — и повторного использования — паролей. Чтобы снизить риск успешного предположения пароля и взламывания в их среде, сотрудники должны знать о проблемах, которые могут произойти от использования и повторного использования слабых паролей. Помести менеджер паролей, такой как Последний Проход, Keepass или Roboform в месте, чтобы произвести случайные пароли для каждого нового счета, который создан и отслеживать каждый пароль. Пароли изменения для критических ресурсов каждые 90-180 дней, и проводят в жизнь правила сложности, такие как минимальное число знаков и алфавитно-цифровых требований.
8. Разрешение просто любому в сети
Клиенты, продавцы и другие посетители могут запросить доступ, но разрешение необеспеченных личных или сторонних компьютеров соединиться с твоей локальной сетью (LAN) может быть большой ошибкой. Удостоверься, что любой и каждый компьютер в твоей сети безопасные; ты никогда не знаешь, несет ли ноутбук клиента вирус.
