あなたのスモールビジネスが今取るべき10のサイバーセキュリティのステップ

ナショナルスモールビジネスウィークが進行中であり、中小企業（SMB）にとって最も目立たず、常に存在する問題の1つであるサイバーセキュリティに取り組むのに、お祭りはそれほど長くかかりませんでした。 Small Business Administration（SBA）は、中小企業が日常業務ですぐに実践できる具体的なヘルプ、トレーニング、および推奨事項を提供することに専念する米国政府機関です。 そのために、今日のSBAサイバーセキュリティパネルは、単なる空のセキュリティトレンドを提供するのではなく、セキュリティの脆弱性を軽減し、包括的なセキュリティ戦略を実施するために具体的なヒント、リソース、および手順をSMBに提供しました。

SBA副管理者Doug Kramerは、小規模企業が直面する最大のセキュリティリスクと、インフラストラクチャとデータをクラウドベースまたは物理的に保護するために行うことができる最も重要な手順について議論し、セキュリティ専門家のパネルをモデレートしました。 パネルには、ADPのグローバルトラストアシュアランス担当副社長、ビルオコネルが含まれています。 ESET North Americaの上級セキュリティ研究員、Stephen Cobb。 マイクロソフトのサイバーセキュリティおよびAzureインフラストラクチャサービスの東地域ディレクター、マットリトルトン。 パトリシア（パット）トス、国立標準技術研究所（NIST）のコンピュータセキュリティ部門の監視コンピュータ科学者。

パネリストは、フィッシング、ランサムウェア、中小企業が多要素認証（MFA）に取り組む方法、従業員のセキュリティトレーニングとポリシー、マネージドサービスプロバイダー（MSP）契約で何を探すべきかなど、サイバーセキュリティの問題について話しました。また、ITセキュリティコンサルタントをいつ呼び出すか。

Kramerによると、従業員と顧客のクレジットカードと銀行情報だけではなく、知的財産データビジネスは、メールからクラウドストレージまで、あらゆる場所に潜んでいます。サプライチェーン。 SBAによると、すべての小規模企業のほぼ半数がサイバー犯罪によってある程度被害を受けており、攻撃の平均コストは約21, 000ドルです。

「中小企業を始めようとする人は、予想以上の費用がかかり、中小企業の生死を意味するサイバーセキュリティの課題に対処するための余分な時間やお金をかけずに、できる限り一生懸命働いています」始めた。 「サイバー侵入と盗難の脅威は非常に現実的です。中小企業はさまざまな方法で資産と在庫を測定しますが、情報の宝庫に座っています。」

1.クラウドセキュリティ：すべきこととすべきでないこと

費用対効果と利便性の理由から、すべてのSMBはクラウドへの移行を検討する必要がありますが、移行は慎重に行う必要があります。 パネリストは、最も重要な考慮事項とハードルのいくつかを議論しました。

• 実行：増分クラウドバックアップ

  「クラウドには多くの利点とリスクがありますが、SMBがすべきことの1つはバックアップです」とESETのCobb氏は述べています。 「すべてのファイルの現在のバックアップは、ランサムウェアに対する最高の保護であり、サイバーセキュリティの姿勢と防御の重要な部分です。ハードドライブにバックアップし、別の場所の安全な場所にコピーを保存する必要がありますが、クラウドはバックアップを可能にします絶えず。」

• 実施：プレミアムクラウドセキュリティの支払い

  ADPのO'Connellは、「小規模事業主は価格を意識しているが、他の要因が適切な重量を得る必要がある」と述べた。 「より高いレベルのサービスのために、より多くの費用が必要なものもあります。セキュリティはそれらの1つです。価格に基づいて決定するだけではありません。」

• 禁止事項：MSP契約に署名するだけ

  「その契約を確認してください」とESETのコブは言いました。 「ストレージまたはバックアップを外部委託することはできますが、責任を外部委託することはできません。SMBの所有者がITプロバイダーにすべての顧客データと従業員データ（データ）があると言った場合は、引き続き責任があります。」

  ADPのO'Connell氏は、「契約だけでなくデータに関しても、セキュリティの問題があるかどうかを調べるために調査を行います」と付け加えました。 「SMBにとって、契約はその防衛線の優れた部分です。SLAを確認し、ティアデータポリシーにアクセスしてください。MSPはデータをどのくらいの期間保持しますか。それで何をしますか？」

• 禁止事項：未使用のMSPインフラストラクチャ機能を残す

  「クラウド環境に足を踏み入れると、その責任の一部を変えることができます。問題に対応したり、サーバーにパッチを適用したりするスタッフがいないことを心配する必要はありません」リトルトン。 「そこでサービスプロバイダーが介入し、あなたに代わってそれを処理できます。契約の観点から何を取り入れているのか、クラウドプロバイダーが提供しているサービスを理解する必要があります。」

2.多要素認証：ただやる

「個人とビジネスの両方の観点から、MFAはすぐにできることです。企業は、すぐにこれを行わない言い訳はできません」とMicrosoftのリトルトンは言います。 「Microsoft製品スタック全体で簡単です。Google、Yahooでも同じです。メールプロバイダーに名前を付けます。セキュリティ設定を見て、すべての従業員に2番目の要素として携帯電話番号の入力を求めます。攻撃者がパスワードを盗みます。携帯電話を盗んでPINを知らない限り、使用できません。」

3. ITセキュリティコンサルタントをいつ呼び出すか

ADPのO'Connell氏は次のように述べています。 「非常に重要な契約については、外部の法律相談を受けます。年次および四半期の財務については、会計士がいます。セキュリティの専門知識についても同様です。サイトをテストしてWebセーフであることを確認したり、リスク評価を実施したりする場合、自分でそれを行うための専門知識を持っていなければ、それは十分にお金を費やしています。建物で電気や配管を自分でやっているのではなく、いつ助けが必要かを知ることです。」

4.セキュリティは全員の仕事の一部です

「10人の会社の1人だけに頼ることはできません。誰もがサイバーセキュリティと組織にとってのリスクについて十分に理解する必要があります」とNISTのTothは述べています。 「そうでなければ、違反があり、ビジネスが回復できない場合、彼らの仕事は危険にさらされる可能性があります。」

ADPのO'Connell氏は、「セキュリティを各人の仕事の一部にする」と付け加えました。 「財務担当者は、毎日何をする必要がありますか。物理的な面では、夜間にドアをロックするのは誰ですか。誰もがコンポーネントとその役割がビジネス全体のセキュリティにどのように適合するかを知る必要があります。」

5.弱いサプライチェーンリンクにならない

SBAのKramerが説明したように、SMBと企業の間にはもはや区分はありません。 中小企業は成長と拡張を望んでいるか、ソフトウェアとサービスのエンタープライズサプライチェーンにプラグインしています。 問題は、SMBのセキュリティポリシーが、パートナーを探しているサプライチェーン企業と同等ではない可能性があることです。

「SMBが大企業との最初の大きな契約を締結していて、彼らがセキュリティポリシーと認識プログラムの確認を求めているとき、チェックリストからすべてをチェックすることを急いで行うべきではありません」とESETのコブは言いました。 「サプライチェーンリスクの上下は大きな懸念です。SMBがサプライヤとデジタルでやり取りしている場合は、チェックしてください。障害にならないように、セキュリティポリシーとトレーニングを実施する必要があります。」

MicrosoftのLittleton氏は、「特に、サプライチェーンマネジメントの分野では、サイバーアリーナの対象となるには小さすぎるビジネスはありません」と述べています。 「多くの侵害は、先頭から開始するのではなく、サプライチェーンのどこかで開始し、攻撃者は最終的な標的に到達します。」

NISTのToth氏は、今後2年間で、政府機関がサプライチェーンシステムにアクセスするためのルールを公開し始めると述べています。 その間、彼女は中小企業が計画を立てる必要があると述べた。

「何が本当に重要なのかを知るために計画を立てることは非常に貴重です。保護する必要があること、そしてアクセスできない場合のビジネスの運営方法」とNISTのToth氏は述べています。 「SMBは、計画、ポリシー、および手順を整備する必要があります。政府の大きなアプローチではありません。従業員ハンドブックのポリシーのように、インターネット上でできることとできないこと、フィッシング攻撃を見つける方法と同じくらい簡単です。 、リンクと添付ファイルを開くときと開かないとき。」

6.電子メールを封筒ではなくはがきのように扱う

「電子メールで小規模ビジネスとして最初に行うことは、その中身を考えることです。誰かの会社情報をハックしようとすると、彼らの電子メールには多くの良いものが含まれていることがよくあります」とESETのコブは言いました。 「人々はしばしば彼らがそこに何を残しているかについて考えていない。ソニーのハックを見てください。人々は本来あるべきではないメールで物事を言っていました。メールは封筒ではなくハガキです。それを覚えておいてください。 」

「データを制御する機能についても重要になっています」とマイクロソフトのリトルトン氏は述べています。 「攻撃の危険性を減らすインバウンドフィルタリングを備えた暗号化された電子メールサービスを使用する価値はあります。クレジットカード番号を電子メールに残した場合、サービスは本当にそれを送信するかどうかを尋ね、数だけで、メール全体です。業界が進歩するにつれて、これらのサービスはより合理的で一般的になっています。」

7.インシデントを常に報告する

SBAのKramer氏は、中小企業がフィッシング詐欺やランサムウェアのリクエストに違反したり攻撃されたりした場合、誰に電話すればよいかを知る必要があると説明しました。 ESETのコブ氏は、法執行機関が調査するためのリソースを持っていないことを恐れて中小企業が警察にこれを報告しなければ、サイクルは永続するだろうと述べた。

「残念ながら、報告された犯罪に基づいて法執行機関が資金を調達するサイクルがありますが、警察は資源を持っているとは思わないため、人々は犯罪を報告していません」とESETのコブは述べました。 誰も報告しない場合、警察はこれらのサイバー犯罪の問題に対処するためのリソースを身に付ける証拠を決して持てません。」

「ほとんどの自治体にはサイバー犯罪ユニットがあり、対応します」とNISTのTothは付け加えました。

8.インシデントレスポンスプランを実施する

「事故の最中にシートベルトを装着しようとしないでください」とマイクロソフトのリトルトンは語った。 「違反が発生する 前 にどのように対応するかを計画した計画が必要です。」

「あなたもこれだけで完全に一人ではない」とESETのコブは言った。 「購入したセキュリティサービスには、クラウドまたはサプライチェーンへのアクセスにおける保護が強化されています。基本レベルで検出および防止サービスを提供している可能性があります。計画をまとめるときは、セキュリティサービスを離れないようにしてくださいMSPまたはセキュリティサービスが提供するテーブルに。」

9.緩い端を残さないでください

「従業員が退職したり解雇されたりした場合に見られる問題の1つは、システムアクセスがすぐに終了しないことです」とESETのCobbは述べています。 「中小企業は、信頼する人々や、行き交う多くの人々と協力します。時には幸福な状況下に行かないこともあります。grみを持つ元従業員がまだアクセスできる、または多要素認証を有効にしている場合、それは痛々しいほど簡単に対処できる大きな内部関係者のセキュリティ問題。」

10.政府のリソースとトレーニング

政府は、サイバーセキュリティに対処するための主要な措置を講じています。 ホワイトハウスは今年初めにサイバーセキュリティの枠組みを発表し、オバマ大統領の2017年の予算案では、サイバーセキュリティ攻撃に対処するための資金調達を35パーセント（190億ドルまで）増やすことを目指しています。 SBAのKramerとNISTのTothは、サイバーセキュリティのヒントとツール、一連のコース、トレーニング、およびウェビナーを含む、SMB向けのSBAのサイバーセキュリティリソースの全ページなど、政府の無料リソースを指摘しました。

最も有用なリソースは次のとおりです。

• SBAのトップ10サイバーセキュリティのヒント
• SBAオンラインコース：中小企業向けサイバーセキュリティ
• サイバーレジリエンスレビュー（CRR）評価ツール
• Small Bizサイバープランナー
• SBA、NIST、およびFBIの共同スモールビジネスワークショップ
• SBAのYouTubeチャンネル
• NISTのコンピューターセキュリティリソースセンター
• COMPTIAの認定およびMSPセキュリティプロトコルを学習するための教育プログラム