Violazione dei dati di piccola impresa: mitigazione dei danni


Violazione dei dati di piccola impresa: mitigazione dei danni

Mentre le violazioni dei dati a grandi rivenditori come Target e TJ Maxx catturano i riflettori, è uno scenario altrettanto realistico per le piccole imprese e gli attacchi a quel livello possono rivelarsi molto lontani più devastante. Gli esperti dicono che i proprietari di piccole imprese che non fanno della protezione delle informazioni personali dei clienti una priorità assoluta potrebbero presto ritrovarsi fuori uso.

"Non so come le piccole e medie imprese possano sopravvivere a qualcosa di così grande" Sarà Pelgrin, presidente e CEO del Center for Internet Security, a Mobby Business.

Jefff Kosc, partner dello studio legale Benesch, Friedlander, Coplan & Aronoff LLP, ha dichiarato che le attività commerciali compromettono i dati personali dei clienti, come i numeri di carta di credito e di previdenza sociale devono affrontare una moltitudine di costi, non tutti con un importo esatto in dollari.

Uno dei maggiori costi deriva dalle società di carte di credito e debito, che, secondo Kosc, hanno ampi poteri e diritti in situazioni di violazione dei dati, specialmente se si scopre che l'azienda non si è conformata alle normative del settore delle carte di pagamento (PCI). I regolamenti PCI governano le specifiche misure di sicurezza che devono essere rispettate dalle aziende che accettano carte di credito e di debito.

"Se c'è una violazione del PCI, hanno diritti a livello di ammende sui commercianti", ha detto Kosc di credito e debito società di carte. "Inoltre, in base a tali accordi sono autorizzati a riaddebitare eventuali addebiti fraudolenti che si verificano sulla carta di chiunque a seguito della violazione dei dati."

Oltre a rimborsare le società di carte di credito, le imprese sostengono costi associati all'avviso ai consumatori del violazione, pagando per i loro servizi di monitoraggio del credito, indagando su come si è verificata la violazione e adottando ulteriori misure per garantire che non si ripetano.

Le recenti ricerche dell'Istituto Ponemon e Symantec stimano che le aziende costano 188 $ per record persi.

Kosc ha affermato che molte aziende in queste situazioni subiscono anche una perdita di produttività perché i dipendenti sono più concentrati sulla pulizia del disordine che sulle normali responsabilità quotidiane.

"Stai allontanando tutti dalle normali mansioni lavorative per far fronte a una violazione dei dati ", ha detto.

A seconda della portata della violazione, Kosc ha dichiarato che anche le imprese sono soggette a multe potenziali dalla Federal Trade Commission. Ha citato TJ Maxx come esempio, che è stato costretto a pagare più di $ 9 milioni di multe a più di 40 diversi avvocati generali in seguito alla sua violazione nel 2007.

Oltre ai costi elevati, anche le aziende subiscono danni potenzialmente inestimabili

"C'è una comunità di persone che ha una relazione di fiducia con te e che può essere messa a repentaglio", ha detto Pelgrin. "Come recuperare da tutto ciò può essere molto difficile."

Proteggere il tuo business

Un problema è che molti pensano che, a causa delle loro dimensioni, le piccole imprese non siano un bersaglio dei criminali informatici.

"Noi Tendiamo a pensare che non ci succederà perché siamo troppo piccoli, e che stanno davvero guardando le più grandi (aziende), e non è questo il caso ", ha detto. "Tutti sono sotto costante attacco a questo punto".

Dal momento che i criminali informatici sono diventati così efficaci negli ultimi anni, Pelgrin ha detto che anche con le migliori misure di sicurezza in vigore, non ci sono garanzie che le aziende saranno al sicuro.

"Lì non è un proiettile d'argento là fuori ", ha detto Pelgrin. "Il meglio che puoi fare è essere il più diligente e vigile possibile per assicurarti di aver fatto tutto quanto in tuo potere per essere il più sicuro possibile."

Per proteggere il più possibile i dati dei consumatori, Pelgrin consiglia alle aziende di prendere diversi passaggi:

  • Conoscere il proprio ambiente : Ciò significa fare l'inventario di tutto l'hardware e il software che si possiede e della versione in esecuzione. Per proteggere te stesso, devi sapere esattamente cosa possiedi. "Quali sono le tue risorse, come è la tua infrastruttura, come è la tua rete?" Pelgrin ha detto. "Potrebbe esserci una vulnerabilità nota e potresti anche non pensare che sia all'interno della tua infrastruttura e, a tua insaputa, potrebbe essere totalmente abilitata in tutta la tua infrastruttura e quindi renderti vulnerabile a un attacco."
  • Proteggi il tuo ambiente : porta il tuo hardware, software e rete al massimo livello di sicurezza. Pelgrin ha dichiarato che quando le piccole imprese acquistano nuovi hardware e software, non sempre dispongono delle ultime misure di sicurezza. Ha detto che è fondamentale che le aziende controllino ogni pezzo di equipaggiamento e scarichino tutte le ultime patch di sicurezza. Inoltre, ha detto che tutte le impostazioni di sicurezza devono essere attivate il più possibile senza operazioni di ostacolo.
  • Controlla il tuo ambiente : Pelgrin ha affermato che è imperativo che le aziende non diano a tutti i dipendenti l'accesso totale a la loro rete e dati. Ha detto che i dipendenti non dovrebbero avere accesso a livelli di amministrazione più alti di cui hanno bisogno e che non dovrebbero essere autorizzati a scaricare tutto ciò che vogliono da qualsiasi luogo essi vogliano. "La maggior parte dei tuoi dipendenti non dovrebbe avere un accesso amministrativo completo alle loro macchine", ha detto Pelgrin. "Questo accesso amministrativo dovrebbe essere limitato a pochissimi individui fidati." Inoltre, le aziende vogliono assicurarsi che le aziende e i fornitori con cui lavorano abbiano anche livelli di sicurezza rigorosi. Pelgrin ha affermato che è fondamentale disporre della documentazione delle organizzazioni che esternalizzano parti della propria attività su esattamente quali misure di sicurezza hanno in atto. "Ha bisogno di soddisfare gli standard di ciò che impieghereste internamente", ha detto.
  • Monitorare il proprio ambiente : Ciò comporta una costante auto-diagnosi dei sistemi e della rete per garantire che agiscano e si comportino come dovrebbero. "Non devi essere un cyber-esperto per sapere che qualcosa non va", ha detto Pelgrin. "Il tuo istinto è un ottimo primo segno che qualcosa potrebbe essere sbagliato, e quindi devi raggiungere coloro che hanno esperienza per diagnosticare se in realtà sei stato vittima di un incidente informatico."

Pelgrin incoraggia anche le imprese dedicare del tempo ogni mese per formare i dipendenti sull'importanza della sicurezza informatica e su come possono assicurarsi che non contribuiscano alle perdite.

"Vuoi renderlo reale per i dipendenti e l'unico modo per farlo è parlare di

Kosc crede che un passo fondamentale nel mantenere l'azienda sia un po 'nell'organizzazione la cui responsabilità principale è la sicurezza.

"Deve essere qualcosa che è nella mente di qualcuno ogni giorno, perché quello è il loro lavoro ", ha detto.

Mitigare i danni

Kosc ha detto che le aziende dovrebbero avere una chiara strategia su come affrontare una violazione, dal momento che molti esperti ritengono che non sia questione di se - ma quando - accadrà.

"Vuoi avere un piano in atto prima che succeda qualcosa del genere", ha detto Kosc. "Quindi quando accade un evento, sai cosa fare e come limitare la responsabilità il più possibile."

Parte di quel piano è sapere a chi chiedere aiuto. Pelgrin ha detto in tempi di crisi, non si vuole passare il tempo a capire chi può aiutarvi.

"Volete avere quei rapporti davanti e sul posto", ha detto Pelgrin.

I fornitori di assicurazione sono una fonte relativamente nuova di aiuto per le imprese. Negli ultimi anni molti hanno iniziato a offrire un'assicurazione contro la violazione dei dati.

Lynn LaGram, vicepresidente vicepresidente della piccola azienda commerciale di The Hartford, ha dichiarato di offrire un'assicurazione contro le violazioni dei dati dal 2011 e la loro copertura è suddivisa in due parti.

Il primo copre le spese di risposta e può pagare cose come informare i clienti dopo una violazione, impostare il monitoraggio del credito per i clienti effettivi, assumere una società di pubbliche relazioni per aiutare a riparare il danno reputazionale e assumere esperti legali e forensi per valutare se

LaGram ha detto tramite The Hartford, le aziende possono ottenere tra $ 10.000 e $ 100,00 di copertura di risposta.

La seconda parte copre le spese che le piccole imprese potrebbero dover portare a eventuali azioni legali contro di loro da parte di consumatori che hanno rubato informazioni.

"Questo copre premi civili, insediamenti o sentenze che il piccolo imprenditore sarebbe legalmente obbligato a pagare come risarcimento ultima violazione di dati ", ha affermato LaGram.

Kosc ha detto che molte cause civili intentate contro aziende che hanno perso dati sono state inefficaci a questo punto perché in molte di queste situazioni i consumatori non possono dimostrare che i ladri hanno usato le loro informazioni rubate in alcun modo.

"Non ci sono stati molti finora hanno avuto successo, perché devono essere in grado di mostrare un danno reale ", ha detto Kosc. "Fino a quando non si è in grado di fornire un danno reale, (un tribunale) non può concederti alcun danno."

Mentre le piccole imprese erano inizialmente lente nell'adottare l'assicurazione sulla violazione dei dati, LaGram ne ha dette di più - specialmente alla luce dello scorso I casi di alto profilo dell'anno - sono stati aggiunti al loro arsenale di protezione.

"La violazione dei dati è una delle nostre coperture opzionali più vendute", ha detto.

Riparazione della reputazione

Per le aziende iniziare a riparare la propria reputazione Pelgrin ha affermato che è imperativo che siano in anticipo con i clienti quando succede, indipendentemente da quali siano le leggi statali che possono dettare.

"Sono un grande sostenitore non è che le cose brutte accadano, ma come tu reagire quando accadono cose brutte ", ha detto. "Questo dimostra la qualità dell'azienda e questo dimostra la qualità delle persone che lavorano per quella società."

Pelgrin ha detto che l'ultima cosa che un business vuole che accada è che la breccia di uscire per uscire sei mesi dopo si è verificato e i clienti pensano di non aver fatto nulla a riguardo perché non dovevano farlo.

"Allora sei nella posizione di cercare di giustificare il motivo per cui ti sei aggrappato a queste informazioni", ha detto Pelgrin.

La chiave è avvisare i clienti con la stessa rapidità con cui le informazioni sulla violazione sono concrete.

"Non vuoi mettere la paura nelle persone", ha detto Pelgrin. "Hai davvero bisogno di sapere cos'è successo così quando dai l'informazione, è molto chiaro questo è ciò che sappiamo, questo è quello che è successo e questo è quello che raccomandiamo come mitigarlo."

LaGram dice che le piccole imprese devono capire

"I proprietari di piccole imprese sono presi di mira a un ritmo molto più elevato delle operazioni più grandi, perché sono più facili da penetrare", ha detto. "È molto facile che avvenga in un contesto di piccole imprese."

Originariamente pubblicato su Mobby Business.


Avere troppi lavoratori in remoto cattivi per le aziende?

Avere troppi lavoratori in remoto cattivi per le aziende?

Dare ai dipendenti la possibilità di lavorare da casa potrebbe non essere la proposta vincente che molti credono che sia, una nuova ricerca rileva. Anche se il telelavoro è ampiamente considerato buono sia per i dipendenti che per i datori di lavoro , ha i suoi lati negativi, secondo uno studio recentemente pubblicato sulla rivista Academy of Management Discoveries.

(Attività commerciale)

5 Strumenti che cambieranno il marketing via e-mail

5 Strumenti che cambieranno il marketing via e-mail

L'email marketing dura da due decenni e non mostra segni di morte presto. Nonostante i canali più recenti e più cool come i social media e il mobile marketing, l'email marketing si è dimostrato uno dei modi più efficaci e sostenibili per raggiungere i clienti e far crescere una piccola impresa. Grazie alla tecnologia, l'email marketing è continuamente in evoluzione.

(Attività commerciale)