Le minacce online sono nella mente di tutti dopo la violazione di questa settimana a OneLogin. La società di gestione delle identità e degli accessi con oltre 2.000 clienti aziendali è stata compromessa e il fallout non è finito. Durante la violazione della sicurezza, gli hacker ancora sconosciuti potrebbero aver ottenuto informazioni private su utenti, app e varie chiavi. Tutto ciò che sappiamo al momento è ciò che OneLogin ha annunciato sul proprio blog aziendale: i dati potrebbero essere stati raccolti e l'hacker o gli hacker potrebbero aver trovato un modo per decrittografare i dati.
Se non sei sicuro di cosa significhi che sei non da soli, molti imprenditori non si rendono conto che le piccole imprese sono a rischio per gli attacchi informatici come le grandi aziende, ma lo sono. Secondo un rapporto di Keeper Security e Ponemon Institute, il 50% delle piccole imprese è stato violato negli ultimi 12 mesi.
Ecco una panoramica di tutto ciò che è necessario sapere per proteggere la tua attività.
In questo articolo ...
Mentre le violazioni nelle grandi aziende come Target e Home Depot fanno notizia, le piccole imprese sono ancora molto obiettivi per gli hacker. Stephen Cobb, ricercatore senior di sicurezza presso la società di software antivirus ESET, ha affermato che le piccole imprese ricadono nella "sicurezza informatica degli hacker": "Hanno più risorse digitali da raggiungere rispetto a un singolo consumatore, ma meno sicurezza rispetto a un'impresa più grande.
L'altro motivo per cui le piccole imprese perseguono obiettivi così attraenti è perché gli hacker sanno che queste società sono meno attente alla sicurezza. Un'infografica di Towergate Insurance ha mostrato che le piccole imprese spesso sottovalutano il loro livello di rischio, con l'82% dei proprietari di piccole imprese che afferma di non essere bersaglio di attacchi, perché non hanno nulla che valga la pena rubare.
In quasi tutti i casi, l'obiettivo finale di un attacco informatico è quello di rubare e sfruttare i dati sensibili, sia che si tratti di informazioni sulle carte di credito dei clienti o di credenziali di una persona, che verrebbero utilizzate in modo improprio sull'identità dell'individuo online.
Questo non è affatto un elenco esauriente di potenziali minacce informatiche, specialmente se le tecniche degli hacker continuano a evolversi, ma le aziende dovrebbero almeno essere a conoscenza degli attacchi più frequentemente utilizzati.
APT: Le minacce persistenti avanzate, o APT, sono mirate a lungo termine attacchi che si interrompono in una rete in più fasi per evitare il rilevamento. Questa infografica di Symantec ha delineato le cinque fasi di un APT .
DDoS: Un acronimo per denial of service distribuito, gli attacchi DDoS si verificano quando un server viene intenzionalmente sovraccaricato di richieste, con l'obiettivo di arrestare il target sito Web o sistema di rete.
Attacco interno: Ciò avviene quando un utente con privilegi amministrativi, di solito all'interno dell'organizzazione, utilizza di proposito le proprie credenziali per ottenere l'accesso alle informazioni aziendali riservate. Gli ex dipendenti, in particolare, rappresentano una minaccia se lasciano l'azienda in cattive condizioni, quindi la tua azienda dovrebbe avere un protocollo in vigore per revocare l'accesso ai dati aziendali immediatamente dopo la cessazione di un dipendente.
Malware: Questo ombrello termine è l'abbreviazione di "software dannoso" e copre qualsiasi programma introdotto nel computer dell'obiettivo con l'intento di causare danni o ottenere accesso non autorizzato. Ulteriori informazioni sulle diverse varietà di malware sono disponibili su How to Geek. Business News Il sito gemello di Daily Tom's Guide abbatte anche i miti e i fatti del malware.
Attacchi password: Esistono tre tipi principali di attacchi password: un attacco a forza bruta, che implica l'indovinare le password finché l'hacker non ottiene in; un attacco dizionario, che usa un programma per provare diverse combinazioni di parole del dizionario; e keylogging, che tiene traccia di tutte le battute di un utente, inclusi gli ID di accesso e le password. Ulteriori informazioni su ciascun tipo di attacco (e su come evitarli) sono disponibili in questo post del blog Scorpion Software.
Phishing: Forse la forma di cybertheft utilizzata più comunemente, il phishing implica la raccolta di informazioni sensibili come le credenziali di accesso e le informazioni delle carte di credito attraverso un sito web dall'aspetto legittimo (ma in ultima analisi fraudolento), spesso inviato a persone ignare in una e-mail. Keeper Security e il Ponemon Institute hanno riferito che gli attacchi più diffusi contro le PMI sono il web-based e il phishing / social engineering. TechRepublic ha condiviso 10 segni per aiutarvi a individuare una e-mail di phishing.
Ransomware: Il ransomware è un tipo di malware che infetta la vostra macchina e, come suggerisce il nome, richiede un riscatto. In genere il ransomware blocca l'accesso al computer e richiede denaro in cambio dell'accesso o minaccia di pubblicare informazioni private se non si paga un importo specifico. Il ransomware è uno dei tipi di violazione della sicurezza in più rapida crescita.
Esistono diversi tipi di software di sicurezza sul mercato che offrono diversi livelli di protezione. Antivirus il software è il più comune e difenderà dalla maggior parte dei tipi di malware. Per un confronto affiancato dei migliori programmi software antivirus per le piccole imprese, visita il nostro sito gemello Top Ten Reviews.
I firewall , che possono essere implementati con hardware o software, forniscono un ulteriore livello di protezione grazie a impedire a un utente non autorizzato di accedere a un computer o una rete. In un articolo di eHow.com, l'autore Sam N. Austin ha notato che alcuni sistemi operativi per computer, come Microsoft Windows, sono dotati di firewall integrati. Queste protezioni possono anche essere aggiunte separatamente a router e server.
Cobb, di ESET, ha detto che le aziende dovrebbero anche investire in una soluzione di backup dei dati , così qualsiasi informazione compromessa o persa durante una violazione può essere facilmente recuperata da una posizione alternativa; software di crittografia per proteggere dati sensibili quali registrazioni dei dipendenti, informazioni sui clienti / clienti e rendiconti finanziari; e autenticazione in due fasi o software di sicurezza della password per i loro programmi interni per ridurre la probabilità di violazione delle password.
È importante ricordare che non esiste una soluzione di sicurezza adatta a tutti, quindi Charles Henderson, responsabile globale delle minacce alla sicurezza e testing presso IBM, ha consigliato di eseguire una valutazione del rischio, preferibilmente attraverso un'azienda esterna.
Una delle soluzioni importanti che non coinvolge il software e che molte piccole aziende trascurano è l'assicurazione della sicurezza informatica. Come accennato in precedenza, la vostra politica di responsabilità generale non vi aiuterà a recuperare perdite o spese legali associate a una violazione dei dati, quindi una politica separata che copre questi tipi di danni può essere estremamente utile in caso di un attacco.
Tim Francis, cyber aziendale lead presso Travelers, un fornitore di cyberin- surance, ha affermato che le piccole imprese spesso presen- tano che le politiche di cyberinsurance siano progettate solo per le grandi aziende, perché quelle aziende sono gli obiettivi più frequenti degli hacker. Ma molte compagnie assicurative stanno iniziando a offrire una copertura su misura per le aziende più piccole per soddisfare i loro budget e livelli di esposizione al rischio, ha detto.
Francis ha consigliato agli imprenditori di cercare una combinazione di copertura di prima e terza parte. La copertura di responsabilità civile comprende tutti i costi generali sostenuti a seguito di una violazione, ad esempio esperienza legale, campagne di pubbliche relazioni, notifica dei clienti e interruzione dell'attività. La copertura di terze parti ti protegge se la tua azienda è al centro di una violazione che ha esposto informazioni sensibili. Questo tipo di protezione copre i costi della difesa se le parti interessate fanno causa alla tua azienda.
"La copertura è più delle parole su una pagina", ha detto Francis. "Assicurati che il tuo operatore telefonico sia ben considerato economicamente e abbia una buona reputazione nel settore. C'è un'enorme varietà di politiche, [e] ... hai bisogno di un agente che capisca le differenze."
Pronto a proteggere la tua azienda e i suoi dati? Queste migliori pratiche manterranno la tua azienda il più sicura possibile.
Mantenimento del software aggiornato. Come affermato in questo articolo della Guida di Tom, "un computer obsoleto è più soggetto a arresti anomali, falle di sicurezza e attacchi informatici rispetto a un altro completamente danneggiato". Gli hacker controllano costantemente le vulnerabilità della sicurezza, ha detto Cobb di ESET, e se lasciate che queste debolezze durino troppo a lungo, aumentate notevolmente le vostre possibilità di essere presi di mira.
Educate i vostri dipendenti. Rendi consapevoli i tuoi dipendenti modi in cui i criminali informatici possono infiltrarsi nei tuoi sistemi, insegnare loro a riconoscere i segni di una violazione e istruirli su come stare al sicuro durante l'utilizzo della rete aziendale.
Implementare politiche di sicurezza formali. Bill Carey, vice presidente marketing e business sviluppo presso Siber Systems, ha osservato che avere politiche di sicurezza a livello aziendale in atto può aiutare a ridurre la probabilità di un attacco. Ha consigliato l'uso di password complesse - quelle con lettere maiuscole e minuscole, numeri e simboli - che dovrebbero essere cambiate ogni 60-90 giorni . Il sessantacinque percento delle PMI che hanno una politica di password non la applicano rigorosamente , secondo il Security di Keeper e il rapporto dell'Istituto Ponemon.
Esercitati nel piano di risposta agli incidenti. Henderson di IBM ha raccomandato di eseguire un drill del tuo piano di risposta (e affinarlo, se necessario) in modo che il personale possa rilevare e contenere la violazione rapidamente dovrebbe verificarsi un incidente.
In definitiva, la cosa migliore che puoi fare per il tuo business è avere una mentalità di sicurezza prima, disse Henderson. Ha ricordato alle piccole imprese che non dovrebbero presumere di essere esenti dal cadere vittima di una violazione a causa delle loro dimensioni.
Per ulteriori informazioni su come gestire una violazione dei dati, consulta la guida quotidiana Business News.
Alcuni interviste fonte sono state condotte per una versione precedente di questo articolo.
La retribuzione basata sui risultati non motiva i dipendenti quanto tu pensi
Invece di motivare i dipendenti, certi tipi di strutture salariali basate sugli incentivi finiscono per avere effetti negativi, secondo una nuova ricerca. Uno studio pubblicato di recente sulla Human Resources Management Journal ha rivelato che i lavoratori che ricevono una retribuzione basata sulla performance, come quelli i cui salari sono legati a prestazioni individuali o aziendali, lavorano più duramente, ma finiscono anche con livelli di stress più elevati e livelli di lavoro inferiori La ricerca ha rilevato che i dipendenti che sanno che quanti soldi portano a casa ogni anno sono legati al loro livello di contribuzione all'organizzazione, o quanto bene il loro datore di lavoro nel suo complesso si comporta finanziariamente, hanno maggiori probabilità di sentirsi sono incoraggiati a lavorare troppo duramente.
Vuoi il ROI sui social media? Concentrati sulla creazione di una community
Due anni fa, uno studio della Duke University ha rilevato che solo il 14% dei chief marketing officers ha visto un ritorno quantitativo sulle spese dei social media. La buona notizia è che le maree stanno iniziando a girare: una nuova indagine condotta dalla piccola comunità imprenditoriale Manta ha rivelato che il 41% delle aziende vede un ritorno sull'investimento (ROI) per i propri sforzi di marketing sociale.