Inhoudsopgave:
- De juiste houding aannemen
- Uw eigen apparaat meenemen ... of uw eigen gegevensinbreuk meenemen?
- KMO's kunnen achterblijven
In een recent rapport verklaarde McAfee 2014 "het jaar van de inbreuk" en het is gemakkelijk in te zien waarom. Verschillende spraakmakende bedrijven en bedrijven hebben sinds januari verlammende datalekken gehad, van meer dan 50 miljoen mensen bij Home Depot tot 70 miljoen mensen bij JPMorgan. Ondertussen zijn Staples, PF Chang's, Goodwill en een hele reeks andere allemaal ten prooi gevallen aan cybercriminaliteit.
Volgens de Breach Level Index van SafeNet voor het derde kwartaal van 2014 waren er 320 datalekken tussen juli en september, waarvan 46% betrekking had op identiteitsdiefstal.
Borrelen onder het oppervlak van deze belangrijke meldingen van inbreuken is een vlaag van gegevenslekken met een lager profiel die elke week plaatsvinden waarover u minder snel zult horen. Een doelwit zoals Home Depot biedt een mogelijkheid voor een enorme betaaldag, maar het is ook een hoger risico en brengt veel planning met zich mee. Het is dus niet zo verwonderlijk om sommige hackers te zien gaan voor laaghangend fruit zoals kleine bedrijven (MKB's). Deze zullen kleinere betaaldagen opleveren, maar kunnen overvloedig zijn als meerdere achter elkaar worden afgetrokken.
Al die tijd gebruiken cybercriminelen nieuwe tools om zich te richten op het MKB, zegt Trend Micro in een van zijn nieuwste rapporten over keyloggers, die hackers kunnen gebruiken om bedrijfsgegevens af te tappen.
"Kleine en middelgrote ondernemingen hebben dit valse gevoel van veiligheid en denken dat een dergelijke aanval hen nooit zal overkomen", zegt Gary Davis, hoofdevangelist voor consumentenveiligheid bij McAfee. "Beveiligingsbedreigingen maken geen onderscheid naar organisatiegrootte en voor MKB's wiens werknemers meerdere apparaten gebruiken, wordt het belangrijker om beveiligingsoplossingen in hun klasse te hebben."
U hoeft niet te ver te graven om voorbeelden van kleine tot middelgrote inbreuken te vinden. Het Houstonian Hotel in Houston, Texas, zag eerder dit jaar de creditcardgegevens van 10.000 klanten tijdens een beveiligingslek. Op kleinere schaal, maar daarom niet minder serieus, ontdekte de outdoor sportartikelenwinkel Backcountry Gear, gevestigd in Oregon, die goederen door de VS verzendt, in juli 2014 malware op zijn systeem die mogelijk klantgegevens heeft aangetast.
"Het probleem is dat zoveel van deze bedrijven beveiliging niet beschouwen als iets dat ze moeten doen, maar eerder als iets dat ze moeten doen", zegt Marcus Ranum, chief security officer bij Tenable Network Security. "Omdat ze openhartig zijn, nemen ze vaak op zijn best een minimale aanpak, en proberen ze de aansprakelijkheid uit te stellen en uit te stellen."
De juiste houding aannemen
Beveiliging werkt het beste wanneer het wordt behandeld als een "kernbedrijfsproces", volgens SMB Security Guide, een site die kleine bedrijven adviseert over best practices voor beveiliging.
Een basisopleiding is nodig voor elk klein bedrijf bij het beschermen van zijn digitale activa. Werknemers moeten getraind zijn in het gebruik van unieke en moeilijke wachtwoorden, zei Davis, en bedrijfseigenaren moeten hun gegevens van binnen en van buiten kennen, waar alles is opgeslagen en wie er precies toegang toe heeft. Het hebben van een open boek over gegevens bij werknemers zal waarschijnlijk leiden tot een gegevenslek, hetzij opzettelijk of per ongeluk.
Elders moeten bedrijfseigenaren ervoor zorgen dat hun apps en besturingssystemen ook worden bijgewerkt, maar cybersecurity is veelzijdig en kan ook fysiek aanwezig zijn. Wie heeft er bijvoorbeeld toegang tot ruimtes waar harde schijven zijn opgeslagen?
"Laat vreemden niet door de gangen dwalen en fysieke toegang beperken met gesloten deuren en beheerde toegangssystemen", zegt Davis. "Zorg ervoor dat u grondige achtergrond- en referentiecontroles uitvoert voordat u nieuwe medewerkers aanneemt."
Uw eigen apparaat meenemen … of uw eigen gegevensinbreuk meenemen?
Experian's 2014/2015 Data Breach Response Guide en het Ponemon Institute pleiten voor het ontwikkelen van een rigide inbreukresponsbeleid. Effectief beleid over de hele linie zal elk bedrijf helpen om beter om te gaan met hun datalekken, vooral in het geval van bedrijven met BYOD-praktijken, die steeds meer mogelijkheden bieden voor inbreuken.
BYOD op kantoor wordt onvermijdelijk, zegt F-Secure beveiligingsadviseur Sean Sullivan.
"Vanuit het oogpunt van een gebruiker is BYOD een geweldig idee, maar vanuit veiligheidsoogpunt is het een vreselijk idee, " zegt hij. "Je speelt de pechloterij; de kansen zijn klein, maar de eerste prijs is een aanzienlijk verlies van geld."
Het apparaat is van het individu en dit roept problemen op rond verantwoordelijkheid, daarom is het opstellen van een ijzeren beleid van cruciaal belang en moet het een aanvulling vormen op het trainen van uw werknemers in beveiligingsprotocollen.
"We raden organisaties aan hun werknemers extra training te geven rond de fysieke apparaten zelf, " voegt Sullivan toe. "Door werknemers een geweldige gebruikerservaring te bieden, wordt de kans kleiner dat bedrijfsrichtlijnen met betrekking tot beveiliging worden genegeerd."
KMO's kunnen achterblijven
Kleine bedrijven worden aangemoedigd om een proactieve benadering van beveiliging te hanteren en de mentaliteit van grote bedrijven over te nemen, omdat niemand anders voor u zal zorgen.
"In werkelijkheid heeft de beveiligingsindustrie kleine en middelgrote bedrijven in de steek gelaten", zegt Paul Lipman, CEO van iSheriff, een cloudbeveiligingsbedrijf gevestigd in Redwood City, Californië. KMO's kunnen verdwalen in het gesprek en krijgen niet dezelfde aandacht als het gaat om beveiliging, waardoor ze vaak voor zichzelf kunnen zorgen.
KMO's hebben een cybercrimineel misschien niet zoveel te bieden als een Home Depot of een Target, maar bedrijven hebben nog steeds veel te verliezen.
"zijn niet geïnteresseerd in het stelen van geheimen of intellectueel eigendom, zoals de hackers die zich richten op grotere ondernemingen, " zegt Lipman, maar waar een bedrijf is, is er geld en cybercriminelen zullen zich richten op alles waarvan ze weten dat ze het kunnen binnendringen.
Sommige bedrijven worden steeds technischer, maar het cruciale deel is dat MKB-bedrijven hier geen tijd voor kunnen nemen. Technologie - en cyberdreigingen - evolueren razendsnel.
Het Small Business Owner Report van Bank of America stelt dat 80% van de kleine bedrijven "een soort digitale methode" in hun bedrijf hebben opgenomen, maar dit kan zowel sociale media als beveiliging omvatten. Hoeveel aandacht wordt er besteed aan het versterken van de veiligheid, net zoals aan het vergroten van het bereik van sociale media?
Beveiligingsbedrijf BitSight publiceerde in november 2014 nieuw onderzoek dat veel zorgen over de beveiliging van bedrijven, met name retail, bevestigt en merkt op dat de beveiligingsintegriteit in deze bedrijven is afgenomen.
"Hoewel het bemoedigend is dat een meerderheid van de overtreden detailhandelaren hun beveiligingseffectiviteit hebben verbeterd, is er meer werk te doen, vooral op het gebied van leveranciersrisicobeheer, " zei CTO Stephen Boyer van BitSight bij het aankondigen van het onderzoek.
Het roept verschillende vragen op. Als u een eigenaar van een klein bedrijf bent, heeft u de beveiligingspraktijken van uw bedrijf gecontroleerd en geëvalueerd waar beveiliging op uw hiërarchie staat? Naarmate cyberdreigingen evolueren, moeten kleine bedrijven hetzelfde doen.