10 langkah Cybersecurity yang harus dilakukan bisnis kecil Anda saat ini

Pekan Bisnis Kecil Nasional sedang berlangsung, dan perayaan tidak butuh waktu lama untuk membahas salah satu masalah yang paling mencolok dan selalu ada untuk usaha kecil dan menengah (UKM): keamanan siber. Small Business Administration (SBA) adalah badan pemerintah AS yang didedikasikan untuk memberikan bantuan nyata, pelatihan, dan rekomendasi yang dapat dipraktekkan oleh usaha kecil segera dalam operasi sehari-hari mereka. Untuk itu, alih-alih hanya menawarkan tren keamanan di langit, panel cybersecurity SBA hari ini memberikan kiat, sumber daya, dan langkah nyata yang dapat diambil UKM untuk mengurangi kerentanan keamanan dan menerapkan strategi keamanan yang komprehensif.

Wakil Administrator SBA, Doug Kramer, memoderatori panel pakar keamanan ketika mereka membahas risiko keamanan terbesar yang dihadapi usaha kecil, dan langkah paling penting yang dapat mereka ambil untuk melindungi infrastruktur dan data mereka, berbasis cloud atau fisik. Panel tersebut termasuk Bill O'Connell, Wakil Presiden Global Trust Assurance di ADP; Stephen Cobb, Peneliti Keamanan Senior di ESET Amerika Utara; Matt Littleton, Direktur Regional Timur Layanan Cybersecurity dan Azure Infrastruktur di Microsoft; dan Patricia (Pat) Toth, Pengawas Ilmuwan Komputer di Divisi Keamanan Komputer Institut Standar dan Teknologi Nasional (NIST).

Para panelis berbicara tentang masalah keamanan siber mulai dari phishing, ransomware, dan bagaimana menangani pelanggaran hingga bagaimana usaha kecil harus mendekati otentikasi multifaktor (MFA), pelatihan dan kebijakan keamanan karyawan, apa yang harus dicari dalam kontrak penyedia layanan yang dikelola (MSP), dan kapan harus memanggil konsultan keamanan TI.

Ini bukan hanya tentang kartu kredit karyawan dan pelanggan dan info perbankan, menurut Kramer, tetapi bisnis data properti intelektual menyimpan di mana-mana, dari email hingga penyimpanan cloud, dan permukaan serangan yang dapat membuat bisnis kecil menjadi tautan yang lemah dan sasaran yang mudah di rantai pasokan. Menurut SBA, Kramer mengatakan, hampir setengah dari semua usaha kecil telah menjadi korban oleh cybercrime, dan biaya serangan rata-rata sekitar $ 21.000.

"Siapa pun yang memulai bisnis kecil bekerja sekeras yang mereka bisa, tanpa waktu atau uang ekstra untuk menghadapi tantangan keamanan siber yang mungkin lebih mahal dari yang diharapkan dan berarti hidup atau mati untuk bisnis kecil, " kata Kramer SBA sebagai panel. dimulai. "Ancaman intrusi dan pencurian dunia maya sangat nyata. Usaha kecil mengukur aset dan inventaris dengan cara yang berbeda, tetapi mereka duduk di atas harta karun informasi."

1. Cloud Security: Lakukan dan Larangan

Untuk alasan yang hemat biaya dan praktis, semua UKM perlu mempertimbangkan untuk melakukan transisi ke cloud, tetapi transisi tersebut harus terjadi dengan hati-hati. Para panelis mendiskusikan beberapa pertimbangan dan rintangan terpenting.

• Do: Incremental Cloud Backup

  "Cloud memiliki banyak manfaat dan risiko, tetapi satu hal yang harus dilakukan semua UKM adalah cadangan, " kata Cobb ESET. "Pencadangan saat ini dari semua file adalah perlindungan terbaik terhadap ransomware dan bagian penting dari postur dan pertahanan keamanan siber Anda. Anda harus tetap mencadangkan ke hard drive dan menyimpan salinan di tempat yang aman di lokasi yang terpisah, tetapi cloud memungkinkan Anda mencadangkan selalu."

• Lakukan: Membayar untuk Keamanan Cloud Premium

  "Pemilik usaha kecil sadar harga, tetapi faktor-faktor lain perlu mendapatkan jumlah berat yang tepat, " kata O'Connell dari ADP. "Beberapa hal membutuhkan biaya lebih banyak untuk tingkat layanan dan keamanan yang lebih tinggi adalah salah satunya. Jangan hanya membuat keputusan berdasarkan harga."

• Jangan: Cukup Tandatangani Kontrak MSP

  "Periksa kontrak itu, " kata Cobb ESET. "Anda dapat mengalihdayakan penyimpanan atau cadangan, tetapi Anda tidak dapat melakukan outsourcing tanggung jawab. Jika pemilik SMB mengatakan penyedia TI memiliki semua data pelanggan dan karyawan - data Anda - Anda masih bertanggung jawab."

  "Ketika menyangkut bukan hanya kontrak tetapi data, lakukan riset untuk melihat apakah ada masalah keamanan, " tambah O'Connell dari ADP. "Untuk seorang SMB, kontraknya adalah bagian yang baik dari garis pertahanan itu. Lihatlah SLA dan akses kebijakan data tingkat. Berapa lama MSP menyimpan data? Apa yang mereka lakukan dengan itu?"

• Jangan: Tinggalkan Fitur Infrastruktur MSP yang Tidak Digunakan

  "Jika Anda masuk ke lingkungan cloud, Anda dapat mengalihkan sebagian dari tanggung jawab itu. Kami tidak lagi berada di arena platform di mana Anda harus khawatir tidak memiliki staf untuk menanggapi masalah atau menambal server, " kata Microsoft. Littleton. "Di situlah penyedia layanan dapat turun tangan dan mengatasinya atas nama Anda. Anda perlu memahami apa yang Anda maksudkan dari sudut pandang kontrak dan layanan apa yang ditawarkan oleh penyedia cloud."

2. Otentikasi Multifaktor: Lakukan Saja

"Dari sudut pandang pribadi dan bisnis, MFA adalah sesuatu yang dapat Anda lakukan segera. Bisnis tidak punya alasan untuk tidak segera melakukan ini, " kata Littleton dari Microsoft. "Sangat sederhana dengan seluruh tumpukan produk Microsoft; hal yang sama berlaku untuk Google, Yahoo, Anda beri nama penyedia email. Lihatlah pengaturan keamanan Anda dan minta setiap karyawan untuk memasukkan nomor ponsel mereka sebagai faktor kedua. Kemudian, bahkan jika saya seorang penyerang dan saya mencuri kata sandi Anda, saya tidak bisa menggunakannya kecuali saya mencuri ponsel Anda dan tahu PIN."

3. Kapan Menghubungi Konsultan Keamanan TI

" Akan ada hal-hal yang tidak dapat Anda lakukan sendiri sebagai pemilik usaha kecil, " kata O'Connell dari ADP. "Untuk kontrak yang sangat penting, Anda mendapatkan nasihat hukum dari luar. Untuk keuangan tahunan dan triwulanan, Anda memiliki seorang akuntan. Hal yang sama berlaku untuk keahlian keamanan. Ketika Anda perlu menguji situs untuk memastikan situs itu aman dari web, atau melakukan penilaian risiko, itu menghabiskan uang dengan baik jika Anda tidak memiliki keahlian untuk melakukannya sendiri. Anda tidak melakukan sendiri listrik atau pipa ledeng di gedung; ini tentang mengetahui kapan Anda membutuhkan bantuan."

4. Keamanan adalah Bagian dari Pekerjaan Semua Orang

"Anda tidak bisa hanya mengandalkan satu orang di perusahaan 10 orang; setiap orang perlu memiliki pemahaman yang baik tentang keamanan siber dan apa risikonya bagi organisasi, " kata NIST's Toth. "Jika tidak, pekerjaan mereka bisa dalam bahaya jika ada pelanggaran dan bisnis tidak bisa pulih."

"Jadikan keamanan sebagai bagian dari pekerjaan setiap orang, " tambah O'Connell dari ADP. "Orang yang menjalankan keuangan - apa yang harus mereka lakukan setiap hari? Di sisi fisik, siapa yang mengunci pintu di malam hari? Semua orang perlu tahu komponen dan bagaimana peran mereka masuk ke dalam keamanan keseluruhan bisnis."

5. Jangan Menjadi Tautan Rantai Pasokan yang Lemah

Seperti yang dijelaskan Kramer SBA, tidak ada lagi pembagian antara UKM dan perusahaan. Usaha kecil ingin tumbuh dan berkembang, atau mereka terhubung ke rantai pasokan perusahaan untuk perangkat lunak dan layanan. Masalahnya adalah, kebijakan keamanan SMB mungkin tidak sesuai dengan perusahaan rantai pasokan yang dengannya mereka ingin bermitra.

"Ketika seorang SMB mendapatkan kontrak besar pertama mereka dengan sebuah perusahaan besar dan mereka meminta untuk melihat kebijakan keamanan dan program kesadaran Anda, Anda seharusnya tidak terburu-buru untuk memeriksa semuanya dari daftar periksa, " kata Cobb ESET. "Risiko rantai pasokan naik dan turun adalah masalah besar. Jika SMB berinteraksi secara digital dengan pemasok, periksa mereka. Anda perlu memiliki kebijakan keamanan dan pelatihan agar tidak menjadi hambatan."

"Tidak ada bisnis yang terlalu kecil untuk ditargetkan di arena dunia maya, khususnya dari manajemen rantai pasokan, " kata Microsoft Littleton. "Banyak pelanggaran tidak dimulai dari atas; mereka mulai di suatu tempat di rantai pasokan dan penyerang bekerja sampai ke target akhir."

Toth NIST mengatakan dalam dua tahun ke depan, Anda akan melihat lembaga pemerintah mulai menerbitkan aturan untuk mengakses sistem rantai pasokan. Sementara itu, dia mengatakan UKM perlu memiliki rencana di tempat.

"Perencanaan sangat berharga untuk mengetahui apa yang benar-benar penting; satu hal yang perlu Anda lindungi, dan bagaimana bisnis Anda akan beroperasi jika tidak dapat diakses, " kata NIST's Toth. "UKM perlu memiliki rencana, kebijakan, dan prosedur. Bukan pendekatan pemerintah yang besar; itu bisa sesederhana kebijakan dalam buku pegangan karyawan Anda yang mengatakan apa yang bisa dan tidak bisa mereka lakukan di internet, cara menemukan serangan phishing., dan kapan harus membuka dan tidak membuka tautan dan lampiran."

6. Perlakukan Email seperti Kartu Pos, Bukan Amplop

"Hal pertama yang harus dilakukan sebagai bisnis kecil dengan email adalah memikirkan apa yang ada di dalamnya. Jika saya ingin meretas info perusahaan seseorang, email mereka seringkali memiliki semua hal yang baik, " kata Cobb dari ESET. "Orang-orang sering tidak berpikir tentang apa yang mereka tinggalkan di sana. Lihat retas Sony; orang mengatakan hal-hal melalui surel yang seharusnya. Surel adalah kartu pos, bukan amplop tertutup. Ingatlah itu."

"Ini juga menjadi lebih tentang kemampuan untuk mengendalikan data, " kata Microsoft Littleton. "Mungkin bernilai uang untuk menggunakan layanan email terenkripsi dengan penyaringan masuk yang mengurangi permukaan serangan Anda. Jika Anda meninggalkan nomor kartu kredit Anda dalam email, layanan akan bertanya apakah Anda benar-benar ingin mengirim itu, dan kemudian secara otomatis mengenkripsi tidak hanya nomor tetapi seluruh email. Seiring kemajuan industri, layanan ini menjadi lebih masuk akal dan biasa."

7. Selalu Melaporkan Insiden

Sram's Kramer menjelaskan bahwa, ketika sebuah bisnis kecil dilanggar atau dipukul dengan penipuan phishing atau permintaan ransomware, mereka perlu tahu siapa yang harus dihubungi. Cobb ESET mengatakan jika bisnis kecil tidak melaporkan hal ini kepada polisi karena takut penegakan hukum tidak memiliki sumber daya untuk diselidiki, siklus akan berlanjut.

"Kami memiliki siklus yang tidak menguntungkan di mana penegak hukum mendapatkan pendanaan berdasarkan kejahatan yang dilaporkan, tetapi orang tidak melaporkan kejahatan karena mereka tidak berpikir polisi memiliki sumber daya, " kata Cobb ESET. Jika tidak ada yang melaporkan, polisi tidak akan pernah memiliki bukti untuk melengkapi diri mereka dengan sumber daya untuk mengatasi masalah cybercrime ini."

"Sebagian besar kota memiliki unit kejahatan dunia maya dan akan merespons, " tambah NIST's Toth.

8. Memiliki Rencana Respons Insiden

"Anda jangan mencoba mengenakan sabuk pengaman di tengah kecelakaan, " kata Microsoft Littleton. "Kamu perlu rencana yang disusun tentang bagaimana kamu akan merespons sebelum pelanggaran terjadi."

"Kamu juga tidak sendirian, " kata Cobb ESET. "Layanan keamanan yang Anda beli dari rak datang dengan peningkatan perlindungan di cloud atau dalam mengakses rantai pasokan. Mereka mungkin menyediakan layanan deteksi dan pencegahan di tingkat dasar. Saat menyusun rencana Anda, pastikan Anda tidak meninggalkan layanan keamanan di atas meja yang ditawarkan oleh MSP atau layanan keamanan Anda."

9. Jangan Tinggalkan Ujung yang Longgar

"Satu masalah yang kita lihat - jika dan ketika seorang karyawan pergi atau dipecat - akses sistem mereka tidak segera dihentikan, " kata Cobb ESET. "Usaha kecil bekerja dengan orang-orang yang mereka percayai, dan banyak orang yang datang dan pergi. Kadang-kadang mereka tidak pergi dalam keadaan paling bahagia. Jika mantan karyawan dengan dendam masih memiliki akses atau bahkan masih memiliki otentikasi multifaktor mereka diaktifkan, itu masalah keamanan orang dalam besar yang sangat mudah diatasi."

10. Sumber Daya dan Pelatihan Pemerintah

Pemerintah mengambil langkah besar untuk menangani keamanan siber. Gedung Putih merilis kerangka kerja cybersecurity awal tahun ini, dan proposal anggaran Presiden Obama 2017 mencari peningkatan 35 persen dalam pendanaan (menjadi $ 19 miliar) untuk menangani serangan cybersecurity. Sram's Kramer dan NIST's Toth menunjuk pada sumber daya pemerintah yang gratis seperti seluruh halaman SBA tentang sumber daya cybersecurity untuk UKM, termasuk tip dan alat cybersecurity, kumpulan kursus, pelatihan, dan webinar.

Beberapa sumber daya yang paling bermanfaat adalah:

• 10 Tips Cybersecurity SBA Teratas
• Kursus Online SBA: Keamanan Cyber ​​untuk Bisnis Kecil
• Alat Penilaian Cyber ​​Resilience (CRR)
• Perencana Cyber ​​Kecil Biz
• SBA, NIST, dan Bengkel Usaha Kecil bersama FBI
• Saluran YouTube SBA
• Pusat Sumber Daya Keamanan Komputer NIST
• Sertifikasi dan program pendidikan COMPTIA untuk mempelajari protokol keamanan MSP