Новости, что крупное нарушение данных, которое затрагивало Цель в прошлом декабре, возможно, было вызвано подрядчиком HVAC, который был связан с сетью розничного гиганта, могут заставить предприятия малого бизнеса рассмотреть переоценку третьих лиц, у которых есть доступ к их инфраструктуре IT, говорят эксперты.
Меньшие компании, в частности риски лица, навлекая сторонних продавцов и консультантов, сказали Криса Мейдинджера, старшего инженера по продажам в почтовом поставщике безопасности Агари. Одна причина небольшие компании сталкиваются с этими рисками, состоит в том, что они как не оборудованы, чтобы провести в жизнь политику безопасности на тех третьих лицах, сказал он.
"Более крупные компании имеют возможность проводить в жизнь строгую, развитую экспертами политику безопасности на продавцах", сказал Майдингер. "Крупнейшие компании в мире вообще даже выпускают аппаратные средства находившиеся в собственности компании, чтобы расширить их окруженный стеной сад на третьих лиц. Меньшие компании, с другой стороны, обычно во власти универсалов, которые могут не быть столь же опытными в продвинутой практике безопасности. Кроме того, меньшие компании обычно оцениваются из рынка высоких технологий и вынуждаются полагаться на меньшие объединения в местном масштабе доступных продавцов и консультантов".
Много предприятий малого бизнеса полагаются на третьих лиц, чтобы предоставить услуги, с которыми их внутренний штат не может обращаться, такие как IT и безопасность. Однако эти третьи лица вводят элемент неизвестных компании.
"Третьи лица определенно поднимают уровень риска для бизнеса", сказал Джефф Уэбб, старший управляющий стратегии решений с фирмой безопасности IT NetIQ. "Они не известны компании или другим сотрудникам; они могут ввести риски случайно, просто в результате слабых привычек; и они, как правило, вызывают изменения в способе, которым твоя инфраструктура используется и формируется, открывая риски, что ошибки могли привести к нарушению или ввести слабые места, которые не существовали прежде".
Конечно, это не означает сторонних консультантов, и подрядчики - единственные люди компании по демонстрации к угрозам безопасности. Как Уэбб указал, компании изо всех сил пытаются управлять риском от своих собственных сотрудников. Однако компании имеют меньше контроля над сторонними сотрудниками, чем они делают по их собственному штату.
Области риска
Поэтому, нанимая сторонние компании, компании приобретают две области риска, что они могут не иметь возможность справляться.
"В первом случае риск состоит прежде всего в том, что у постороннего теперь есть потенциальный доступ к твоим уязвимым данным и системам — доступ, который мог использоваться, чтобы украсть информацию или, в результате отсутствия знакомства с системами и процедурами, вызвать неумышленное нарушение", сказал Уэбб.
"Во втором случае консультанты неизбежно приносят с ними свое собственное аппаратное и программное обеспечение — ноутбуком, таблеткой, телефоном, и т.д. — весь из которого, вероятно, недавно использовался в другой сети", добавил он. "Это потенциальное отсутствие хорошей гигиены программного обеспечения могло ввести вредоносное программное обеспечение если не обработанный с достаточной осторожностью".
Кроме того, консультанты могут хотеть работать удаленно, и если у твоей компании нет большого количества опыта с отдаленными сотрудниками (и у меньших компаний, менее вероятно, будет тот опыт), новые протоколы безопасности — такие как изменения правил брандмауэра или конфигурации программного обеспечения VPN — возможно, должны были бы быть помещены в место.
Как снизить сторонний риск
Есть несколько компаний методов наиболее успешной практики, может взять, чтобы смягчить угрозы безопасности, введенные третьими лицами.
Например, компании должны нанять сторонние услуги, которые используют строгие меры безопасности, чтобы защитить их данные, сказал Барри Штеимен, директор стратегии безопасности в компании защиты информации Imperva.
Есть несколько других простых владельцев малого бизнеса шагов, может взять, чтобы значительно снизить их риск:
1. Измени пароль на каждом подключенном устройстве, которое ты покупаешь. "Они все отправляют с паролями по умолчанию, и это - первая вещь, которую ищут плохие парни", сказал Таль Кляйн, вице-президент маркетинга в Adallom, программное обеспечение как сервисная фирма безопасности. "Не полагайся на своих подрядчиков, чтобы быть безопасным от Вашего имени; гарантируй, что каждый пароль подключенного устройства изменен от урегулирования, с которым он шел".
2. Используй основанную на риске идентификацию. Принимая контекстные решения доступа, предприятия малого бизнеса могут сделать дополнительный шаг, чтобы гарантировать, что их пользователи безопасные. Например, если пользователь или третье лицо авторизовались от нового местоположения, система может попросить дополнительные формы идентификации.
3. Используй идентификацию мультифактора, которая добавляет другой слой безопасности. Так, даже если хакеры получат потребительские верительные грамоты от стороннего партнера, то они будут неспособны получить доступ к обслуживанию, потому что дополнительные формы идентификации требовались бы, сказал Майк Эллис, генеральный директор ForgeRock.
"Это не легко", сказал Уэбб, "но с хорошим планированием фронт и осторожное следующее процедуры, рисками можно, по крайней мере, управлять”.
Первоначально изданный на Business News Daily.