3 segreti per proteggere i dati della tua piccola impresa
Pubblicato: 2019-09-11Una recente violazione dei dati presso il fornitore di servizi IT tedesco Citycomp ha portato alla pubblicazione online di una marea di dati, comprese informazioni finanziarie e private su tutti i clienti di Citycomp. Devi sapere come rafforzare le tue difese contro le violazioni dei dati.
La violazione dei dati includeva un elenco di clienti che copriva le principali aziende come Oracle, Airbus e Porsche. Inoltre, settantamila servizi e sistemi di storage sono ora disponibili pubblicamente.
I criminali informatici credono che violare un fornitore di servizi IT come Citycomp sia la vittoria definitiva
Violando le difese di una singola azienda, i criminali ottengono le chiavi di dozzine, o addirittura centinaia, di reti aziendali dei clienti del fornitore di servizi. Tuttavia, è molto più probabile che gli hacker dilettanti perseguano un obiettivo più facile come la tua piccola impresa.
Il costo per la criminalità informatica condotta dai criminali ha continuato a diminuire
L'ascesa del malware come servizio sta consentendo agli hacker dilettanti di unirsi ai ranghi dei criminali informatici più esperti. Non sorprende che la ricerca mostri che le piccole imprese ora costituiscono la maggior parte delle vittime di attacchi informatici commerciali.
Mentre quasi il 70% delle piccole imprese dichiara di subire attacchi informatici e solo il 28% afferma che le proprie misure di difesa sono "altamente efficaci".
L'adozione di questi tre passaggi rafforzerà le tue difese contro le violazioni dei dati:
1. Modificare le password regolarmente
Se usi lo stesso nome utente e password da anni, è quasi garantito che quelle credenziali siano là fuori da qualche parte. Queste password sono disponibili sul dark web per pochi centesimi o, sai, gratuitamente.
Cambiare regolarmente le password può essere una seccatura, ma è un'importante pratica di sicurezza. Aiuta a impedire agli hacker di acquistare vecchie informazioni di accesso sul Dark Web e di utilizzarle per entrare nella rete della tua organizzazione.
Mettere in atto sistemi che richiedano ai dipendenti di cambiare le password ogni pochi mesi è un miglioramento della sicurezza poco costoso, generalmente gratuito.
Ma se vuoi evitare un ammutinamento e aumentare le tue possibilità di conformità, spiegalo in anticipo alla tua squadra. Quando i dipendenti sanno cosa c'è in gioco, è più probabile che comprino ciò che altrimenti potrebbe sembrare un fastidio.
Ho lavorato per un'azienda anni fa che ci obbligava a cambiare le password ogni tre settimane con una nuova password a 25 bit e nessuna parte della password poteva essere ripetuta in un periodo di sei mesi.
Il sistema era ancora violato e abbiamo dovuto contattare milioni di clienti per reimpostare le loro password (centinaia di noi lavorano 24 ore su 24 per farlo). Questa azienda non ha consentito un gestore di password. Se ai tuoi dipendenti non piace - peccato - è la tua azienda - ed è tuo dovere proteggerla.
Considera l'idea di investire in un gestore di password per rendere le cose il più semplici possibile, se sei preoccupato per il respingimento dei dipendenti.
Secondo uno studio, i dipendenti devono in media destreggiarsi tra centonovantuno password. I gestori di password sono generalmente poco costosi e la comodità che offrono li rende un investimento utile per aziende di tutte le dimensioni.
2. Implementare l'autenticazione a due fattori
Se gli hacker riescono a ottenere le credenziali di accesso, l'autenticazione a due fattori è un altro gatekeeper. L'autenticazione a due fattori, nota anche come 2FA, richiede una forma aggiuntiva di convalida dell'identità oltre a una password. Questo secondo livello può essere un codice o un numero PIN. Queste richieste vengono comunemente inviate tramite SMS.
Puoi anche impostare questo secondo codice per un token hardware come un portachiavi a cui solo l'utente può accedere.
Nessuna soluzione è sicura al 100%. Alcune aziende con dati particolarmente sensibili si affidano persino all'autenticazione a più fattori, che richiede una verifica utente aggiuntiva oltre all'autenticazione a due fattori. Alcuni dei metodi di verifica più recenti includono la scansione dell'iride o delle impronte digitali e il riconoscimento facciale.
A seconda delle tue esigenze di sicurezza e del budget, ti consigliamo di iniziare con qualsiasi forma di autenticazione a due fattori che puoi permetterti di implementare. Sebbene la verifica tramite SMS sia la più semplice e la meno sicura, i tuoi dipendenti probabilmente la conoscono già ed è un passo avanti nella sicurezza rispetto alle credenziali tradizionali.
3. Prendi la formazione sul serio
Indipendentemente dalle misure di sicurezza implementate: autenticazione a due fattori, firewall per applicazioni Web, criteri di gestione delle password aggressivi e altro, ne vale la pena. Tieni presente che l'errore umano sarà ancora la tua più grande vulnerabilità.
I tuoi dipendenti sono l'anello più debole nella catena di sicurezza informatica della tua organizzazione.
Ecco perché i criminali informatici cercano prima di truffare le persone e poi di hackerare le reti. Il rapporto sulle indagini sulla violazione dei dati del 2017 di Verizon indica che il 90% degli incidenti di sicurezza informatica riguardava un elemento di phishing.
I tentativi di phishing si concentravano su e-mail di spam di massa in cui i mittenti erano in grado di capitalizzare alcuni clic errati. Ora, i criminali informatici stanno acuendo gli attacchi di phishing tradizionali con l'ingegneria sociale di base. Chiamati spear-phishing, gli attacchi utilizzeranno le informazioni ottenibili online per rendere più legittimi i loro tentativi di accesso.
L'hacker potrebbe fingere di essere un CEO e inviare richieste di dati finanziari a un contabile. Potrebbero fingere di essere un dirigente e chiedere aiuto a un assistente per ricordare una password. Se i tuoi dipendenti non sono formati per individuare questi attacchi, perderanno i minimi dettagli che indicano una truffa.