7 Tietoturvavaiheet, jotka yrityksesi tulisi suorittaa nyt

Tietojen järjestäminen ja turvallisuus tulee olemaan mielessä tänä vuonna, ei pelkästään päivitettyjen asetusten, kuten yleisen tietosuojamääräyksen (GDPR), vaan myös siksi, että yleinen tietoturvakuva näyttää edelleen synkeä. Vain viime vuonna tutkimusyrityksen Statista suorittamassa tutkimuksessa yhdysvaltalaiset yritykset arvioivat kyberuhat sidottuina suurimpaan riskiuhkaansa aivan keskeisen liiketoimintaprosessin, kuten toimitusketjun, häiriön vieressä. Pienemmät yritykset ovat erityisen haavoittuvia, ei vain siksi, että niillä on rajalliset resurssit ongelman ratkaisemiseksi, vaan myös siitä syystä, että hakkerit alkavat kohdistaa tätä segmenttiä erityisesti ja kokonaisuutena.

Joten pidämme kansallisen pienyritysviikon (NSBW) kunniaksi puhumme uuden yrittäjäyrityksen perustamisesta ja keskitymme sen sijaan auttamaan sinua paremmin suojaamaan jo olemassa olevaa yritystä. Onneksi yrityksesi ja sen tietovarastojen suojaaminen voidaan jakaa toistettavaksi prosessiksi, kuten useimmat IT-asiat. Jotta pääset alkuun, olemme laatineet luettelon seitsemästä avainkysymyksestä, jotka sinun tulisi kysyä, ja varmista, että saat vastauksen, mieluiten organisaation IT-henkilöstöltä.

1. Käytämmekö tietoturvaohjelmistoja?

Päätepisteiden suojausohjelmisto tarkkailee ja puolustaa yritysverkkoasi ulkoisilta laitteilta, jotka yrittävät luoda hyökkäyspisteitä. Nämä työkalut sisältävät tyypillisesti virustentorjunta-, palomuuri- ja mobiililaitehallinnan (MDM) ominaisuudet (lisää tästä myöhemmin). Käyttämällä yhtä näistä työkaluista, omistettu teknologiatiimisi (olettaen, että sinulla on sellainen) varoitetaan uhista, jos ja kun ne ilmenevät.

"Vaikka olet pieni yritys, jokaiselle päätepisteelle on turvattava tietoturvaohjelmisto, koska siellä on runsaasti uhkia, jotka voivat pilata yrityksesi ja asiakkaasi tiedot", sanoi Adrian Liviu Arsene, Senior E-Threat Analyst -yritys. Bitdefender. "Ransomware-ohjelmista haittaohjelmien avainsanoihin ja edistyneisiin uhkiin, joiden tarkoituksena on käyttää yritystäsi yhdyskäytäväksi asiakkaisiisi, jos olet palveluntarjoaja, tietoturvaohjelmistojen pitäminen ei ole vain suositeltavaa, vaan pakollista."

2. Varmuuskopioimmeko tietojamme?

Jos yritykseesi on koskaan hakkeroitu tai jos toimistosi törmäyttää hirmumyrsky, viimeisimpien tietojen varmuuskopiointi auttaa sinua varmuuskopioinnissa ja toiminnassa minimaalisilla tietopohjaisilla ongelmilla. Pilvivarmuuskopio tiedoistasi varmistaa, että lyhyen fyysisen uudelleenrakennuksen jälkeen yrityksesi voi toimia uudelleen. Jos et ole koskaan varmuuskopioinut tietojasi, aloitat yrityksesi käytännössä tyhjästä. Tietojen varmuuskopioiden avulla yhdessä päätepisteiden suojausohjelmistojen kanssa voit havaita uhkia niiden esiintyessä, karkottaa ne verkosta ja palauttaa sitten verkon takaisin viimeisimpaan, turvallisimpaan tilaan.

Tietojen varmuuskopiointi on yksinkertaista, mukaan lukien automaattisten varmuuskopioiden asettaminen katastrofipalautusohjelmalla (DR) ja järjestelmätiedostojen kopioiminen muille alueille (maantieteellisen ongelman tapauksessa). Riippumatta siitä, minkä valitset, on välttämätöntä aloittaa varmuuskopiointi heti.

"Varmuuskopiointi ja irtisanominen ovat elintärkeitä liiketoiminnan jatkuvuudelle, koska mahdolliset tappiot tai häiriöt voivat tarkoittaa toiminnan lopettamista tai pitkään vakavasti rappeutumista", sanoi Arsene. "Ransomware on täydellinen esimerkki siitä, mitä voi tapahtua, jos sinulla ei ole varmuuskopioita. Mutta myös se, että laitteisto epäonnistuu, ja yhden kopion omistaminen kriittisistä resursseistasi on huono."

3. Salammeko tietojamme?

Suurin osa päätelaitteiden suojausohjelmistojen toimittajista auttaa myös salaamaan tietosi, kun ne liikkuvat verkon sisällä, kun ne poistuvat verkosta ja kun ne ovat koskemattomia palvelimillesi. Salaus muuttaa käytännössä selkeästi muotoillut tiedot salakirjoitustekstimuodossa - tietojen todellisen selvän tekstisekvenssin purkautumaton hyppy. Antamalla salausavain tietosi puretaan ja lähetetään takaisin normaaliin muotoon. Joten jos joku koskaan tunkeutuu järjestelmään ja varastaa tietosi, he näkevät salatun version eikä pelkkää tekstiä.

Varo kuitenkin: hyökkäyksiä voi tapahtua tiedonsiirtoprosessin eri vaiheissa. Ne voivat tapahtua, kun tietoja lähetetään palvelimelta määräpaikkaan. Hyökkäyksiä voi tapahtua, kun tietoja on palvelimillasi, ja hakkerointeja voi tapahtua, kun tietoja siirretään yhdestä laitteesta toiseen itse verkossa. Kun puhut päätepisteiden suojauspalveluntarjoajasi kanssa, muista kysyä, auttavatko ne sinua salaamaan tiedot kuljetettaessa ja levossa.

"Molemmat tietotyypit olisi salattava, varsinkin jos työskentelet asiakkaidesi arkaluontoisten ja yksityisten tietojen kanssa", Arsene sanoi. "Verkkorikolliset voivat ansaita rahaa jokaisesta tiedosta. Kaikkien tietojen salaaminen ei vain vaikeuta heidän työtä, vaan myös sinun huoletta."

4. Käytämmekö Smart Cloud Storage -sovellusta?

Suurimmalla osalla yrityksiä, erityisesti pienikokoisia yrityksiä, on nykyään ainakin joitain tietovarastoja pilvessä. Business-luokan pilvitallennuspalvelujen tarjoajia on runsaasti, ja niiden tarjoamaa arvoa suhteessa kokonaisvarastointikustannuksiin ja hallittuihin palveluominaisuuksiin ei yksinkertaisesti voida lyödä useimmissa tapauksissa paikan päällä sijaitsevilla säilytysratkaisuilla, jotka ovat yleensä paitsi kalliimpia myös myös omistusoikeus.

Vaikka palveluiden, kuten Dropbox Business tai jopa Amazon S3, perusasetuksen perustaminen voi kuitenkin olla suhteellisen yksinkertaista, tietoturvaominaisuuksien täysimääräinen hyödyntäminen voi tarjota melko oppimiskäyrän. Mutta se on käyrä, johon haluat ehdottomasti syödä IT-henkilöstöä, koska nämä palveluntarjoajat voivat antaa pienillekin yrityksille pääsyn edistyneisiin tallennusturvallisuusominaisuuksiin, joihin he joutuvat käyttämään paljon enemmän rahaa toteuttaakseen paikan päällä.

Olemme esimerkiksi keskustelleet tietojen salauksesta aiemmin, mutta vaikka suurimmalla osalla pilvipalvelujen tarjoajia on kyky salata palveluihinsa tallennettava tieto, kaikki eivät tee sitä oletuksena. Lisäksi kaikki eivät myöskään salaa tietoja, kun ne ovat kuljetuksessa heidän ja toisen sovelluspalvelimen tai käyttäjien laitteiden välillä. Tällaiset asetukset on tutkittava, otettava käyttöön ja valvottava IT: n toimesta.

On myös edistyneempiä ominaisuuksia, joiden toteuttaminen vaatii jonkin verran työtä, mutta joista voi olla pitkäaikaisia ​​etuja. Yksi on tietojen luokittelu. Tämä on yleinen termi eri tekniikoille, joita tallennuspalveluntarjoajat voivat antaa asiakkailleen käyttää järjestämään tietonsa kategorioihin, jotka liittyvät heidän liiketoimintaansa. Tämä ei vain helpota etsimistä ja käsittelyä, mutta voi myös pitää sen turvallisempana, koska jotkut näistä palveluista voivat määrittää tiedostotason suojaukset tietyille luokituksille. Joissain tapauksissa nämä suojaukset voivat seurata tiedostoa noin senkin jälkeen, kun se poistuu pilvipalveluntarjoajan palvelimilta ja siirtyy asiakkaan organisaation ulkopuolella olevan käyttäjän, kuten asiakkaan tai kumppanin, laitteeseen tai palvelimeen.

Tällä tavalla käytettäessä turvaluokiteltu tieto voi hallita paitsi sitä, kuka voi käyttää tiedostoa, myös sitä, mitä heillä on oikeus tehdä siihen tiedosto - lukea, tulostaa, muokata tai jakaa muiden kanssa. Tämän avulla voit pitää tietyt tiedot paljon turvallisempina samalla kun pystyt jakamaan niitä yrityksen ulkopuolella.

5. Onko meillä palomuuri?

Sinulla ei olisi kotia ilman etuovea. Miksi sitten käyttäisit verkkoa ilman palomuuria? Palomuurisi estää ei-toivotun liikenteen pääsyn yritysverkkoon. Tämä tarkoittaa, että pystyt ylläpitämään yksityistä sisäistä verkkoa paljastamatta kaikkia yritystietojasi julkiselle Web-palvelimelle, jolla yrityksesi toimii.

"Palomuurit ovat loistavat pitämään tunkeilijat, jotka haluavat joko tarkistaa verkon tai löytää avoimia palveluita ja portteja, joita voidaan hyödyntää etäkäyttöä varten", sanoi Arsene. "Palomuurien avulla voit myös asettaa sääntöjä siitä, mitkä IP-osoitteet voivat käyttää erilaisia ​​resursseja tai seurata saapuvaa ja lähtevää liikennettä."

Mutta kuten tutkittaessa pilvipalveluntarjoajan tarjouksia, on myös hyvä idea varmistaa, että ymmärrät palomuurisi täydet ominaisuudet. Nämä laitteet ovat entistä kehittyneempiä, mukaan lukien ne, jotka tulevat osana yleiskäyttöistä pienyritysten Wi-Fi-verkkoa tai VPN (Virtual Private Network) -reititintä. Esimerkiksi, vaikka olet saattanut ottaa käyttöön verkon peruspalomuurin osana reitittimen alkuasetuksia, sinulla on todennäköisesti myös mahdollisuus ottaa käyttöön verkkosovelluksen palomuuri, joka voi tarjota erityisiä suojauksia verkkosovellusten kautta lähetettäville tiedoille.

Toinen vaihtoehto on tutkia hallittua palomuuripalvelua. Kuten nimestä voi päätellä, tämä on yksinkertaisesti palomuuri, jota palveluntarjoaja hallitsee sinulle tilauksen perusteella. Haittapuoli on, että voit helposti ottaa käyttöön edistyneempiä ominaisuuksia, koska asiantuntijat käsittelevät palomuurin hallintaa. Tämä tarkoittaa myös, että olet varma, että palomuurisi on aina asennettu uusimmat suojaukset, korjaukset ja ohjelmistopäivitykset. Mahdollisia haittapuolia ovat esimerkiksi se, että jaat todennäköisesti palomuurisi muiden asiakkaiden kanssa ja että tässä kokoonpanossa kaikki verkkoliikenne ohjataan tämän kolmannen osapuolen kautta ennen Internetin tai käyttäjien tavoittamista. Se voi olla pullonkaula, jos palveluntarjoaja ei ole taitava hallitsemaan liikennevirtoja, joten sinun on testattava, vaatiiko yrityksesi tiettyjen sovellusten Web-suorituskyvyn vähimmäisperustasoa.

6. Mikä on etäkäyttömenettelymme?

Nykyään jokaisella organisaatiolla, riippumatta siitä kuinka pieni, on todennäköisesti matkustavia työntekijöitä, asiakkaita tai muuta henkilöstöä, joka tarvitsee pääsyn yrityksen resursseihin etänä. Istu IT-henkilöstösi kanssa ja selvitä tarkalleen, millainen on tällaisten yhteyksien prosessi. Onko se toistettava prosessi, sama kaikille? vai ovatko eri ihmiset tottuneet käyttämään resurssejasi eri tavoin? Jos jälkimmäinen, se on ongelma.

Etäkäytön tulisi ehdottomasti olla sama kaikille. Tämä tarkoittaa, että IT-henkilöstön tulisi keskittyä paitsi siihen, mitä heidän palomuurinsa puolella tapahtuu kirjautumispyynnön tapahtuessa, myös siihen, mitä on tehtävä palomuurin toisella puolella, jotta tällainen pyyntö saadaan lailliseksi. Etäasiakkaat tulisi skannata varmistaaksesi, että laitteet on päivitetty oikein ja suojattu yritysluokan päätepisteiden suojausohjelmilla. Niiden olisi myös kirjauduttava sisään VPN: llä ja kaikkia näitä pyyntöjä olisi hallittava identiteetin hallintajärjestelmän kautta. Molemmilla näillä toimenpiteillä on saatavana edullisia versioita, jotka tulisi helposti ottaa käyttöön myös pienissä yrityksissä, joilla on vähemmän IT-resursseja.

7. Mikä on yrityksen laajuinen laitekäytäntö?

Tuo oma laite (BYOD) -käytännöt antavat työntekijöille mahdollisuuden valita, mitä laitteistoja ja ohjelmistoja ajaa liiketoimintaprosessien aikana. Vaikka nämä käytännöt tarjoavat joustavuutta työntekijöille (ja kustannussäästöjä yrityksille, joiden ei enää tarvitse ostaa laitteita uusille työntekijöille), BYOD-suunnitelmiin liittyy useita riskejä. Luettelon yläosassa: Kuinka suojaat näihin laitteisiin tallennetut tiedot, jos et ole valinnut ohjelmistoa ja rakentamassa suojauspöytäkirjaa?

"Useimmat pienyritykset luottavat usein BYOD: iin, mutta niillä ei yleensä ole turvallisuuspolitiikkaa", sanoi Arsene. "Tätä varten suositellaan myös rajoittamaan pääsy kriittiseen tietoon, jota työntekijöiden tuomat laitteet pääsevät saamaan joko erillisten verkkojen kautta tai toteuttamalla pääsykäytäntöjä, ja hallitsemaan myös mobiililaitteita. Koska kämmenlaitteita käytetään myös sähköpostien ja sisäisen datan käyttämiseen, on tärkeää joko hallita niitä omalla ratkaisulla tai antaa heille vain pääsy ei-kriittisiin tietoihin."

MDM-ohjelmisto antaa sinulle mahdollisuuden etäpyyhkiä, lukita etälukko, geofence ja räätälöidä jokainen laite omien tarpeidesi mukaan. Jos työntekijät menettävät laitteita, laitteisiin on hakkeroitu tai jos laitteet pääsevät enemmän yritystietoihin kuin haluat. He voivat tehdä säätöjä MDM-ratkaisulla koskettamatta todellisia laitteita.