7 צעדים לבטיחות נתונים עליהם העסק שלך צריך לנקוט ברגע זה

בראש ובראשונה, שמירת הנתונים שלך מאורגנת ובטוחה, לא רק בגלל תקנות מעודכנות כמו תקנת הגנת המידע הכללית (GDPR), אלא גם מכיוון שתמונת האבטחה הכוללת של ה- IT ממשיכה להיראות עגומה. בסקר שנערך על ידי חברת המחקר Statista רק בשנה שעברה, חברות אמריקאיות דירגו את איומי הסייבר כקשור לאיום הסיכון העיקרי שלהן, ממש ליד שיבוש בתהליך עסקי מרכזי כמו שרשרת אספקה. עסקים קטנים יותר יהיו פגיעים במיוחד, לא רק מכיוון שיש להם משאבים מוגבלים לזרוק את הבעיה אלא גם מכיוון שהאקרים מתחילים למקד לפלח זה באופן ספציפי ומצטבר.

לכן, לכבוד שבוע העסקים הלאומי הלאומי לעסקים קטנים (NSBW), נפסק לדבר על הקמת מיזם יזמי חדש, ובמקום זאת נתמקד בסיועכם להגן טוב יותר על זה שיש לכם כבר. למרבה המזל, ההגנה על החברה שלך ועל חנויות הנתונים שלה יכולה להיות מחולקת לתהליך שניתן יהיה לחזור עליו כמו רוב מטלות ה- IT. כדי לעזור לך להתחיל, ריכזנו רשימה של שבע שאלות עיקריות שעליך לשאול ונוודא שתענה עליהן, רצוי מצוות ה- IT של הארגון שלך.

1. האם אנו משתמשים בתוכנת אבטחה?

תוכנת הגנה על נקודות קצה מנטרת ומגנה על הרשת הארגונית שלך מפני התקנים חיצוניים המנסים ליצור נקודות כניסה להתקפה. בדרך כלל כלים אלה כוללים שילוב של יכולות אנטי-וירוס, חומת אש וניהול התקנים ניידים (MDM) (עוד על כך בהמשך). על ידי שימוש באחד הכלים הללו, צוות הטכנולוגיה הייעודי שלך (בהנחה שיש לך אחד) יקבל התראה לאיומים אם ומתי הם יתעוררו.

אדריאן ליביו ארסן, אנליסט בכיר לאיומי איום, אמר "אפילו אם אתה עסק קטן, כל נקודת קצה צריכה להיות מאובטחת על ידי תוכנת אבטחה מכיוון שיש המון איומים שם שיכולים לפגוע בעסק שלך ובנתוני הלקוח שלך. ביטפנדר. "החל מתוכנות כופר לתוכנות זדוניות keylogging ואיומים מתקדמים שמטרתן להשתמש בחברה שלך כשער ללקוחות שלך. אם אתה נותן שירות, תוכנת אבטחה לא רק מומלצת אלא חובה."

2. האם אנו מגבים את הנתונים שלנו?

אם החברה שלך נפרצת אי פעם או אם המשרד שלך הופל על ידי סופת הוריקן, אז גיבוי של הנתונים העדכניים ביותר שלך יעזור לך להתחיל לעבוד עם מינימום בעיות מבוססות נתונים. גיבוי בענן של המידע שלך יבטיח כי לאחר בנייה פיזית קצרה, החברה שלך תוכל לפעול שוב. אם מעולם לא גיבית את הנתונים שלך, אתה בעצם מתחיל את העסק שלך מאפס. כמו כן, גיבויים של נתונים, בשילוב עם תוכנת הגנת נקודות קצה, מאפשרים לך לאתר איומים בזמן שהם מתרחשים, לגרש אותם מהרשת שלך ואז להחזיר את הרשת למצב האחרון והמאובטח ביותר שלה.

ישנן דרכים פשוטות לגבות את הנתונים שלך, כולל הגדרת גיבויים אוטומטיים עם תוכנת התאוששות מאסון (DR) והעתקת קבצי המערכת שלך לאזורים אחרים (במקרה של בעיה גיאוגרפית). ללא קשר למה שאתה בוחר, חובה שתתחיל לגבות מיד.

"גיבוי ויתירות הם חיוניים להמשכיות העסקית, שכן כל הפסד או שיבוש עשויים להיות יציאה מהעסק או להיות נכה קשה במשך זמן רב, " אמר ארסן. "Ransomware היא דוגמה מושלמת למה שיכול לקרות אם אין לך גיבויים. אך גם גורם לכך שחומרה מסוימת נכשלת ולעיתים קרובות לא מומלץ להעתיק יחיד של הנכסים הקריטיים שלך."

3. האם אנו מצפינים את הנתונים שלנו?

רוב ספקי התוכנה להגנת נקודות הקצה יעזרו לכם להצפין את הנתונים שלכם בזמן שהם עוברים ברשת שלכם, כשהם עוזבים את הרשת שלכם, וכיוון שהם יושבים ללא מגע בשרתים שלכם. ההצפנה הופכת למעשה את הנתונים המעוצבים הפשוטים שלך לפורמט הצופן - טלטול בלתי ניתן לניתוק ברצף הפשוט האמיתי של הנתונים שלך. על ידי הזנת מפתח הצפנה, הנתונים שלך אינם מעורבים ונשלחים חזרה לפורמט הרגיל. לכן, אם מישהו אי פעם יתקל במערכת שלך וגונב את הנתונים שלך, הוא יראה את הגרסה המוצפנת ולא את גרסת הפשט.

עם זאת זהירות: התקפות יכולות להתרחש בשלבים שונים בתהליך העברת הנתונים. הם יכולים לקרות כאשר נתונים נשלחים מהשרת ליעד. התקפות יכולות לקרות כאשר נתונים יושבים בשרתים שלך ופריצות יכולות לקרות כאשר נתונים מועברים ממכשיר למכשיר בתוך הרשת עצמה. כשאתה מדבר עם ספק שירותי ההגנה על נקודות הקצה שלך, וודא שאתה שואל אם הם יכולים לעזור לך להצפין נתונים במעבר ובמנוחה.

"יש להצפין את שני סוגי הנתונים, במיוחד אם אתה עובד עם מידע רגיש ופרטי על הלקוחות שלך, " אמר ארסן. "כל פיסת מידע יכולה להפיק רווחים על ידי פושעי רשת. שמירה על כל המידע המוצפן לא רק מקשה על העבודה שלהם, אלא גם את שלך ללא דאגות."

4. האם אנו משתמשים באחסון ענן חכם?

לרוב החברות בימינו, בעיקר עסקים קטנים עד בינוניים (SMB), יש לפחות חנויות נתונים בענן. ספקי אחסון ענן ברמה עסקית שופעים והערך שהם מציעים מבחינת עלות האחסון הכוללת כמו גם יכולות שירות מנוהלים פשוט לא ניתן לנצח ברוב המקרים על ידי פתרונות אחסון באתר, שנוטים לא רק להיות יקרים יותר, אלא גם קניינית.

עם זאת, תוך הקמת מערך בסיסי בשירותים כמו Dropbox Business או אפילו Amazon S3 יכולה להיות פשוטה יחסית, אך ניצול מלא של תכונות בטיחות הנתונים שלהם יכול להציג עקומת למידה לא קטנה. אבל זה עקום שבהחלט תרצו שצוות ה- IT שלהם יאכל, שכן ספקים אלה יכולים לתת אפילו לעסקים קטנים גישה ליכולות בטיחות אחסון מתקדמות עליהם יהיה עליהם להוציא הרבה יותר כסף על מנת ליישם באתר.

לדוגמה, דנו בהצפנת נתונים מוקדם יותר, אך בעוד שלרוב המכריע של ספקי שירותי הענן יש אפשרות להצפין נתונים המאוחסנים בשירותיהם, אך לא כולם עושים זאת כברירת מחדל. בנוסף, לא כולם מצפינים גם את הנתונים בזמן שהם עוברים בינם לבין שרת האפליקציות האחר או מכשירי המשתמשים שלך. יש לחקור, לאפשר ולעקוב אחר הגדרות כאלה על ידי ה- IT.

יש גם תכונות מתקדמות יותר שלוקחות עבודה מסוימת ליישום, אך יכולות להיות בעלות יתרונות לטווח הארוך. האחת היא סיווג נתונים. זהו מונח שמיכה לטכנולוגיות שונות בהן ספקי שירותי אחסון יכולים לאפשר ללקוחותיהם להשתמש בכדי לארגן את הנתונים שלהם לקטגוריות הרלוונטיות לעסק הספציפי שלהם. זה לא רק מקל על איתור ועיבוד, אלא גם יכול לשמור עליו יותר מאובטח מכיוון שחלק משירותים אלה יכולים להקצות הגנות ברמת הקבצים לסיווגים ספציפיים. במקרים מסוימים, הגנות אלו יכולות לעקוב אחר הקובץ גם לאחר שהוא עוזב את שרתי ספק האחסון בענן ועובר להתקן או לשרת של מישהו מחוץ לארגון הלקוח, כמו לקוח או שותף.

כאשר משתמשים בהן בדרך זו, נתונים מסווגים יכולים להפעיל שליטה לא רק על מי שיכול לגשת לקובץ, אלא גם על מה מותר להם לעשות בו - בין אם ניתן לקרוא, להדפיס, לשנות או לשתף עם אחרים. זה מאפשר לך לשמור על מידע מסוים הרבה יותר בטוח תוך שמירה על היכולת לשתף אותו מחוץ לחברה שלך.

5. האם יש לנו חומת אש?

לא היית הבעלים של בית בלי דלת כניסה, נכון? אז מדוע תנהל רשת ללא חומת אש? חומת האש שלך מאפשרת לך לחסום תנועה לא רצויה לרשת הארגונית שלך. פירוש הדבר שתוכל לתחזק רשת פנימית פרטית מבלי לחשוף את כל נתוני החברה שלך לשרת האינטרנט הציבורי בו העסק שלך מנוהל.

Arsene אמר כי "חומות אש נהדרות להרחיק פורצים שרוצים לסרוק את הרשת שלך או למצוא שירותים ופתוחים פתוחים שניתן לנצל לגישה מרחוק." "בעזרת חומות אש אתה יכול גם לקבוע כללים לגבי כתובות IP שיכולות לגשת למשאבים שונים או לפקח על תנועה נכנסת ויוצאת."

אך בדומה לבדיקת הצעות ספק שירותי אחסון הענן שלך, כדאי גם לוודא שאתה מבין את היכולות המלאות של חומת האש שלך. מכשירים אלה נעשים מתוחכמים יותר, כולל מכשירים המגיעים כחלק מנתב Wi-Fi לעסק כללי או נתב רשת וירטואלית פרטית (VPN). לדוגמה, ייתכן שאולי הפעלת את חומת האש הרשתית הבסיסית שלך כחלק מההגדרה הראשונית של הנתב, סביר להניח שיש לך גם אפשרות להפעיל חומת אש של יישומי אינטרנט, שיכולה לספק הגנות ספציפיות לנתונים הנשלחים באמצעות אפליקציות המותאמות לרשת.

אפשרות נוספת היא לחקור שירות חומת אש מנוהל. כפי שמשתמע מהשם, זו פשוט חומת אש שספק שירות מנהל עבורך על בסיס מנוי. החיסרון הוא שאתה יכול בקלות לאפשר תכונות מתקדמות יותר מכיוון שמומחים מטפלים בניהול חומת אש. פירוש הדבר גם כי תהיו בטוחים שבחומת האש שלכם תמיד יותקנו ההגנות, התיקונים ועדכוני התוכנה האחרונים. חסרונות פוטנציאליים כוללים את העובדה שאתה ככל הנראה משתף את חומת האש שלך עם לקוחות אחרים וגם בתצורה זו, כל תעבורת האינטרנט שלך תועבר דרך צד ג 'זה לפני שתגיע לאינטרנט או למשתמשים שלך. זה יכול להיות צוואר בקבוק אם הספק אינו מיומן בניהול זרימת התנועה, לכן כדאי לבדוק אם העסק שלך דורש קו בסיסי מינימלי של ביצועי אינטרנט עבור אפליקציות מסוימות.

6. מה נוהל הגישה המרחוק שלנו?

בימינו, לכל ארגון, לא משנה כמה הוא קטן, יש עובדים, לקוחות או כוח אדם אחר שנוסעים לגשת מרחוק למשאבי החברה. שב עם צוות ה- IT שלך וגלה בדיוק מה התהליך עבור חיבורים כאלה. האם זהו תהליך שניתן לחזור עליו, זהה לכל אחד; או שאנשים שונים התרגלו לגשת למשאבים שלך בדרכים שונות? אם האחרון, זו בעיה.

גישה מרחוק בהחלט צריכה להיות זהה לכולם. המשמעות היא שאנשי ה- IT שלך צריכים להתמקד לא רק במה שקורה בצד שלהם של חומת האש ברגע שמתרחשת בקשת כניסה, אלא גם במה שצריך לקרות בצד השני של חומת האש בכדי להפוך בקשה כזו לגיטימית. יש לסרוק לקוחות מרוחקים כדי לוודא שהמכשירים מתעדכנים כראוי ומוגנים באמצעות תוכנת הגנה על נקודות קצה עסקיות. עליהם גם להיכנס באמצעות VPN ועל כל אותן בקשות להיות מנוהלות באמצעות מערכת לניהול זהויות. לשני האמצעים הללו יש גרסאות בעלות נמוכה שאמורות להיות מיושמות בקלות אפילו על ידי עסקים קטנים יותר עם פחות משאבי IT.

7. מהי מדיניות המכשירים הרחבים של החברה שלנו?

מדיניות Bring-Your-Own-Device (BYOD) מאפשרת לעובדים לבחור איזה חומרה ותוכנה להריץ תוך כדי ניהול תהליכים עסקיים. למרות שמדיניות זו מספקת גמישות לעובדים (וחיסכון בעלויות עבור חברות שכבר אינן צריכות לרכוש מכשירים לעובדים חדשים), ישנם כמה סיכונים הקשורים לתוכניות BYOD. בראש הרשימה: כיצד תוכלו לאבטח את הנתונים המאוחסנים במכשירים אלה אם אינכם בוחרים בתוכנה ובונים את פרוטוקול הגישה לאבטחה?

"מרבית העסקים הקטנים מסתמכים לעתים קרובות על BYOD, אך בדרך כלל אין מדיניות אבטחה", אמר ארסן. "לשם כך, מומלץ גם להגביל את הגישה למידע קריטי אליו ניגשים מכשירים שהובאו על ידי עובדים, בין באמצעות רשתות הפרדה או על ידי יישום מדיניות גישה, וכן לנהל מכשירים ניידים. מכיוון שמכשירי כף יד משמשים גם לגישה לאימיילים ולנתונים פנימיים, חשוב לנהל אותם באמצעות פיתרון ייעודי או לאפשר להם גישה רק למידע שאינו קריטי."

תוכנת MDM מעניקה לך את הכוח לנגב מרחוק, לנעילה מרחוק, לגאופנס ולהתאים אישית כל מכשיר בהתבסס על הצרכים הספציפיים שלך. אם עובדים מאבדים מכשירים, אם מכשירים נפרצים אליהם, או אם מכשירים מסוגלים לגשת לנתונים ארגוניים רבים יותר ממה שהייתם רוצים, אז תוכלו לבצע התאמות באמצעות פתרון ה- MDM שלכם בלי לגעת במכשירים בפועל.