Содержание
вынос:
Даже если вы думаете, что данные ваших клиентов в безопасности, вы никогда не будете слишком осторожны. Вот некоторые рекомендации по обеспечению безопасности ваших данных.
Предприятия не могут позволить себе самоуспокоиться с безопасностью данных, поскольку сегодня на них влияют более жесткие правила и более высокие ожидания клиентов.
Даже если вы приняли меры, предназначенные для обеспечения защиты и обеспечения безопасного хранения информации, как вы можете быть уверены, что она действительно защищена от нежелательного воздействия?
Вот некоторые из тактик, используемых киберпреступниками для извлечения данных из бизнеса, и шаги, которые могут быть предприняты для предотвращения нарушений.
Общие угрозы
Риски, с которыми сталкиваются данные клиентов в современной бизнес-среде, являются многогранными и изначально сложными, а удобство и гибкость хранения информации в цифровом виде компенсируются множеством потенциальных уязвимостей.
Даже если данные зашифрованы и хранятся за брандмауэром, злоумышленники могут получить к ним доступ, просто воспользовавшись отсутствием знаний о кибербезопасности и обучением среди сотрудников.
Фишинговые кампании и мошеннические действия особенно эффективны как средство кражи данных, поскольку они полагаются на ошибочность человеческих сотрудников, а не на попытки подорвать хитрые системы безопасности.
Другие связанные с работником проблемы возникают в результате потери устройства, кражи и общих ошибок, которые могут привести к нежелательным утечкам. Хотя преднамеренные акты саботажа данных со стороны сотрудников с чипом на плече не редкость, наиболее вероятная причина пропажи критически важной информации будет случайной.
Когда личный смартфон сотрудника используется для доступа к данным клиента или их хранения, это становится точкой крайней уязвимости. Это не только потому, что он может быть потерян или украден, но и потому, что он может содержать вредоносные приложения, которые не проверяются и не утверждаются самим бизнесом.
Первая линия защиты - это брандмауэр, предназначенный для предотвращения прохождения легитимного трафика в вашу бизнес-сеть и из нее при блокировании попыток подрывной деятельности, совершаемых злонамеренными третьими лицами.
Брандмауэра должно быть достаточно, чтобы защитить данные, хранящиеся внутри компании, от опасности. Но если вы решите использовать облачные решения для хранения данных, вы можете эффективно передать защиту данных выделенному провайдеру. В частности, для малых предприятий это может быть экономически эффективным вариантом, компенсирующим недостаток внутренних аппаратных ресурсов и опыта.
Преднамеренные или непреднамеренные, ваши сотрудники представляют значительную угрозу. Сотрудники могут пытаться загрузить данные клиента на съемный носитель или в личный кабинет. Кроме того, они могут загружать фишинговые программы на рабочий компьютер. Крайне важно, чтобы вы учитывали такие внутренние угрозы и использовали программное обеспечение или систему для защиты от этого. Безопасный Интернет и использование являются ключевыми, и рекомендуется составить и внедрить список авторизованных программ, которые сотрудники могут установить на свои рабочие терминалы.
Но даже после того, как вы приняли решения, разработанные для обеспечения безопасности данных ваших клиентов, как вы можете быть уверены, что они действительно будут работать так, как объявлено, когда происходит атака или утеряно устройство?
Это где тестирование на проникновение вступает в игру. Это форма этического взлома, осуществляемого опытными аккредитованными экспертами, которые смогут проверить пределы любых систем и стратегий безопасности, чтобы определить, насколько они жестки, как ожидалось.
Например, одна из целей ручного тестирования состоит в том, чтобы спросить «Можете ли вы получить информацию о наших клиентах?», А затем найти ответ с помощью различных реальных способов взлома.
Тестирование на проникновение может учитывать все: от контролируемого проникновения в сетевую инфраструктуру вашего бизнеса до исследования уровней физической безопасности, присутствующих на месте.
Предприятия могут быть оценены на основе того, насколько хорошо они реагируют в случае потери данных в результате кражи устройства, насколько хорошо укомплектованы сотрудники для выявления и предотвращения фишинговых атак, а также от того, насколько ключевые приложения программного обеспечения надежно защищены. (Подробнее о тестировании на проникновение см. Тестирование на проникновение и Тонкий баланс между безопасностью и риском.)
Делать предположения о безопасности и сохранности данных клиентов просто не вариант в нынешних условиях; предприятия должны иметь высокую степень уверенности в том, что имеющиеся у них решения соответствуют задаче обеспечения защиты.
Недостаточно просто поверить на слово поставщику об устойчивости его платформы или признать, что сотрудники, вероятно, хорошо разбираются в киберугрозах без какого-либо обучения по этому вопросу. Регулярные обновления и тщательное тестирование - единственные способы добиться значительного улучшения.