目次:
最近のレポートで、McAfeeは2014年を「違反の年」と宣言しましたが、その理由は簡単にわかります。 1月以来、いくつかの有名な企業や企業が、ホームデポの5, 000万人以上からJPMorganの7000万人以上に至るまで、データ侵害に苦しんでいます。 一方、ステープルズ、PFチャンズ、グッドウィル、その他多数は、すべてサイバー犯罪の餌食になっています。
SafeNetの2014年第3四半期の侵害レベルインデックスによると、7月から9月の間に320件のデータ侵害が報告されており、そのうち46%が個人情報の盗難に関係しています。
これらの重大な侵害通知の表面の下でのバブルは、あなたが耳にする可能性の低い毎週行われる控えめなデータ侵害の突風です。 Home Depotのようなターゲットは、大規模な給料日の機会を提供しますが、それはまた、より高いリスクであり、多大な取引計画を伴います。 そのため、一部のハッカーが中小企業(SMB)のような低品質の果物を求めているのを見るのはそれほど驚くことではありません。 これらは、より少ない給料日をもたらしますが、いくつかが連続して引き落とされると、豊かになる可能性があります。
一方で、サイバー犯罪者は新しいツールを使用してSMBを標的にしていると、ハッカーが企業データを盗むために使用できるキーロガーに関する最新のレポートの1つで、Trend Micro氏は述べています。
マカフィーの主な消費者セキュリティエバンジェリストであるゲイリーデイビスは、次のように述べています。 「セキュリティの脅威は組織の規模によって区別されることはありません。従業員が複数のデバイスを使用しているSMBにとって、クラス内のセキュリティソリューションを持つことがますます重要になっています。」
小規模から中規模の侵害の例を見つけるために、あまり深く掘り下げる必要はありません。 テキサス州ヒューストンのヒューストンホテルでは、今年初めにセキュリティ侵害が発生した際に、10, 000人の顧客のクレジットカード情報が公開されました。 小規模ではありますが、それほど深刻ではありませんが、米国全土に商品を出荷するオレゴンに本拠を置くアウトドアスポーツ用品店は、2014年7月に顧客データを侵害する可能性のあるマルウェアをシステム上で発見しました。
「問題は、これらの企業の多くがセキュリティを必要なものと見なすのではなく、やらなければならないことだ」とTenable Network Securityの最高セキュリティ責任者であるMarcus Ranumは述べています。 「率直に言って、彼らはよくせいぜい最低限のアプローチをとり、アウトソーシングして責任を繰り延べようとします。」
適切な態度を採用する
SMBセキュリティガイドによると、セキュリティは「コアビジネスプロセス」として扱われる場合に最適に機能します。SMBセキュリティガイドは、セキュリティのベストプラクティスについて中小企業に助言するサイトです。
中小企業がデジタル資産を保護するには、基本的な基礎トレーニングが必要です。 従業員は、ユニークで難しいパスワードを使用する訓練を受ける必要があり、Davis氏によると、ビジネスオーナーは、データの内外で、すべてが保存されている場所と、誰が正確にアクセスできるかを知る必要があります。 従業員間でデータに関する公開書を持っていると、意図的であろうと偶然であろうと、データ漏洩につながる可能性があります。
他の場所では、ビジネスオーナーはアプリとオペレーティングシステムも確実に更新する必要がありますが、サイバーセキュリティは多面的であり、物理的に存在することもできます。 たとえば、ハードドライブが保管されている部屋に誰がアクセスできますか?
「見知らぬ人がホールをさまようことを禁止し、施錠されたドアと管理された入場システムで物理的なアクセスを制限しないでください」とデイビスは言います。 「新入社員を採用する前に、徹底的な経歴と照会を必ず行ってください。」
自分のデバイスを持ち込む…または自分のデータ侵害を持ち込む?
Experianの2014/2015データ侵害対応ガイドとPonemon Instituteは、厳格な侵害対応ポリシーの策定を主張しています。 全般的な効果的なポリシーは、特に侵害が発生する手段がますます多くなるBYODを実施している企業の場合、ビジネスがデータ侵害に対処するのに役立ちます。
F-SecureセキュリティアドバイザーのSean Sullivan氏によると、オフィスのBYODは避けられなくなっています。
「ユーザーの観点からはBYODは素晴らしいアイデアですが、セキュリティの観点からはひどいアイデアです」と彼は言います。 「あなたは不運な宝くじをしている。オッズは小さいが、一等賞金は相当なお金の損失だ」
デバイスは個人のものであり、これは責任に関する問題を提起します。そのため、鉄に覆われたポリシーを考案することが重要であり、セキュリティプロトコルで従業員をトレーニングする必要があります。
「組織では、従業員に物理デバイスに関する追加トレーニングを提供することをお勧めします」とサリバンは付け加えます。 「従業員に優れたユーザーエクスペリエンスを提供することにより、セキュリティに関する会社のガイドラインが違反と見なされる可能性が低くなります。」
SMBは取り残される可能性がある
中小企業は、セキュリティに対して積極的なアプローチを取り、大企業の考え方を採用することが推奨されます。
「実際には、セキュリティ業界は中小企業を失望させました」と、カリフォルニア州レッドウッドシティに本拠を置くクラウドセキュリティ企業であるiSheriffのCEOであるPaul Lipman氏は言います。 SMBは会話で迷子になる可能性があり、セキュリティに関しては同じ注意を払っていません。
SMBは、ホームデポやターゲットほどサイバー犯罪者を提供するほど多くはないかもしれませんが、企業はまだ多くを失う必要があります。
「大企業を標的とするハッカーのような秘密や知的財産を盗むことに興味はありません」とリップマン氏は言いますが、ビジネスがあり、お金があり、サイバー犯罪者は侵入できるとわかっているものを標的にします。
一部の企業はますます技術に精通していますが、重要な部分は、SMBがこれに時間をかけることができないことです。 テクノロジーとサイバー脅威は驚くべきペースで進化しています。
バンクオブアメリカのスモールビジネスオーナーレポートでは、スモールビジネスの80%がビジネスに「何らかのタイプのデジタル方式」を組み込んでいますが、これにはソーシャルメディアとセキュリティが含まれる場合があります。 ソーシャルメディアのリーチを拡大することに加えて、セキュリティの強化にどれだけの注意が払われているのでしょうか。
セキュリティ会社BitSightは、2014年11月に企業のセキュリティ、特に小売業に関する多くの懸念を裏付ける新しい研究を発表し、これらのビジネスのセキュリティの完全性が低下したことを指摘しています。
「侵害された小売業者の大部分がセキュリティの有効性を改善していることを奨励していますが、特にベンダーのリスク管理の分野では、やるべきことが多くあります」とBitSightのCTO Stephen Boyer氏は調査を発表しました
いくつかの質問があります。 あなたが中小企業の場合、会社のセキュリティ慣行を監査し、セキュリティが階層のどこにあるかを評価しましたか? サイバー脅威が進化するにつれて、中小企業も同じことを行う必要があります。
