网络犯罪:保护您的业务

0
主题不支持此视频类型,请尝试使用YouTube或Vimeo视频

中小企业所有者如何保护其公司及其来自黑客,网络犯罪和其他网络攻击的数据?七个商业领袖加入IOD总干事Simon Walker提供了他们的观点

数据可以是公司最有价值的资产之一,但公司是采取足够的步骤,以确保它不会陷入错误的手中?随着报告黑客的小企业数量升高,足以做出教育员工最好的做法?是否有足够的风险管理,以确保避免疏忽的声誉损坏?领导人加入IOD总干事Simon Walker讨论......

小组

主持Simon Walker.
马修韦伯
IOD总干事
技术领导,网络和数据,Hiscox UK& Ireland

莱斯利穆迪
简米歇尔
AES数字解决方案董事总经理
Founder, Jane Plan

达伦下降了
艾莉森豪威尔
行政长官,紧缩会计
创始人和管理导演,脚道

Esther McMorris.
伯纳迪特凯利
创始人,九英尺高
集团总监,Activewin Media

西蒙沃克 欢迎来到董事会,为此圆桌会议讨论网络犯罪。英国在网上商业领先行程 - 23%的零售交易在线进行。我们最接近的竞争对手德国,达到了一半,G20平均值约为六百分。它不仅仅是零售。英国的整个经济的10%在线,世界上是最高的。但有机会,所以威胁。

网络犯罪可以听起来有点好的动作电影。高调的案例,如广泛覆盖的泄漏的那些使用Ashley Madison网站的名字,有时会给留下网络犯罪的印象只是大公司才能发生的东西。

而且,同样的消息称,朝鲜政府将网络战争单位扩展到6000名士兵很有趣,可能对首尔经营的公司来说可能不是一个很大的发展,但它听起来更像是詹姆斯债券电影的开始这将影响世界另一边的小企业。我们可能喜欢这种情况,但不是,因为中小型公司也成为黑客的目标。 2013年,近一半的中小企业表示,他们是网络犯罪的受害者,我怀疑这一数字起来了。

在今天的商业世界而不是数据,没有什么比数据更有价值,而小企业则保持了很多这一点。网络犯罪的结果可能是严重的。信息专员办公室的新规则意味着如果他们的安全性没有划伤,这些公司可以被罚款。

对于我们大多数人来说,语言可能非常令人困惑;恶意软件,赎金软件,黑猫和黑客猫和黑客猫和黑客队听起来更像是视频游戏字符,而不是对我们业务的迫在眉睫的威胁,但我希望在今天早上的活动结束时,我们可以更有了解对面临的机会和威胁的理解。今天英国商务。

考虑到这一点,我将交出技术,网络和数据的主管,用于Hiscox - Matthew Webb。 Hiscox为英国和爱尔兰的35,000家科技公司提供保险,并在网络保险中引导道路。马特,对你来说......

马修韦伯 这不是每一天,人们都会使新的危险新的危险,几乎每个企业都会受到敞口。当我们在我们使用的IT系统方面变得更加依赖时,网络在近年来,网络的风险升级了。

Hiscox于9月发布了一项研究 企业家的DNA。它专注于欧洲的4,500中小企业,英国超过1000多。一项研究的一部分看着网络风险。我从中接受的有趣事情之一是 - 与我们2012年的研究相比 - 网络风险,网络犯罪和黑客围绕网络风险的关切。

如果有人违反和风险管理,我今天早上很想听到你的网络经历。

沃克 谢谢你。我想首先询问您的业务如何在线行为以及如何在数据方面运行......

达伦下降了 作为Freelancer,Microbusinesses和承包商的增长最快的会计师事务所,我们对我们的[近8000人]客户提供了如此多的数据。我们每个公司的每位董事30到50件信息。我们的方法是雇用认为像黑客一样的人。我们可以获得我们所做的所有这些惊人的系统和文件,但最脆弱的点是员工。那是最可怕的事情。我们以简单的措施对此进行处理,例如禁用PC上的USB端口。经典的测试是留下一些USB棒躺在外面,看看谁拿起它们,看看谁实际上把它们插在PC中。黑客可以丢弃[USB]黑客软件,他们在。如果我们丢失数据或我们违反,我们的声誉与上市的数据一起出发。

韦伯 研究表明,如果USB棒有一个公司标志,那么80%的人发现USB棒会插入。如果您将CD与前面写入薪资,开放率最高可达100百分。

伯纳迪特凯利 我们是一个数字收购营销公司,因此我们对正在签署我们的联盟计划的消费者具有大量数据。我们似乎倾向于融资,银行和游戏等高度监管的行业,因此我们必须非常勤奋,法律保护数据保护和ISO要求。

我相信许多中小企业认为他们的生意对某人不够大,因为有人打扰喧嚣,但还有其他网络危险令人担忧。如果您没有对员工施加严格的障碍,他们可能会下载病毒和恶意软件。因为我们在网上茁壮成长 - 我们没有它就没有业务 - 我们必须确保我们保护我们的业务以及
我们正在开车的玩家和收购的数据。

简米歇尔 这不仅仅是员工。有时我们的饮食交付业务的客户在答录机上留下信用卡号或将其发短信给我们。我们在我们结束时兼容并删除数据 - 因为它留下了我们的那一刻,数据变成了我们的责任 - 但我们必须告诉这个人是错误的事情。

莱斯利穆迪 我们开发在线软件系统。我们的客户正在访问我们开发的系统,所以如果他们赠送他们的用户名和密码,或者他们是如何存储它的宽容,这使得生活非常困难。如果我们向客户提供服务作为服务,我们还需要查看我们的服务器,我们的服务器场和员工的条件。它真的是多层的。

以斯帖M.c莫里斯 很多它坐在行为中。我们的组织 - 专门研究项目管理的咨询业务 - 拥有30-40名顾问,他们将笔记本电脑带入他们在其工作的FTSE公司。您可以将规则放在适当的地方,但最终,它归结为行为。我们看到了很多客户数据,所以它是[一个问题]你如何管理这一点,你如何确保没有通过我们泄漏的风险?

沃克 因为大概是,如果有人试图攻击一个大型富时公司,那就做了很好的方式,可能是通过你的?

Mc莫里斯 它可能是。客户以不同的方式工作。我们使用笔记本电脑的一些授权我们使用他们的技术。我们拥有自己的规则和流程,以阻止[数据违规]发生,例如如果笔记本电脑丢失或留在火车上会发生什么。我们需要确保安全性真的很紧张。

fell 我们六年前建立了一项大规模的会计系统,我们已经采取了决定再次重建整个事情的大步。为什么?因为如果您使用最新技术重新开始,您将为安全性构建,您正在填补所有的空白。

例如,银行正在研究可能30岁的系统......他们继续修补的遗留系统,但它们很容易遭受主要的网络犯罪并隐藏它,而不是实际重建整个系统。

沃克 重建系统需要多少钱?

fell 我们在我们的团队中花费了大约1.5米。我们有一个45个开发人员的团队,QA [质量保证]人,产品所有者和一个八方UX [用户体验]设计团队。我们做到了,不是为了安全本身,而是建立更快并添加更多产品。经过多年,您最终会引起他们称之为单片代码块。所以在某个点,如果你勇敢,重建整个东西,而且在你的时候,将系统管理员置于谁,谁像黑客一样 - 在它上,并在你可以的同时插入每一个间隙。

韦伯 当原始系统被设计时,议程上的高度是安全的风险管理,现在议程与议程有多高,你正在重新设计它?

fell 在[电子邮件营销公司Pure360]之前推出了一项启动,它在议程上超级了。它是一个企业Java系统,这是银行的程序,如此超级安全......但现在完全是整数。

凯莉 我是一个人的受害者 - 在几年前,在人们更加意识之前,在美国的银行通过我的银行攻击。我有一个非常官方的电子邮件,并提供了他们要求的信息。在第二天我去现金点之前,我没有想到它,那里没有钱。我记得思考我可以盲目地分享那种信息的愚蠢,但是我变得非常勤奋,学习我对人们可以访问您的财务和身份盗窃的所有不同类型的方式,这是另一个主要问题。

沃克 我真的很震惊,掌握了更复杂的黑客电子邮件。他们曾经充满了拼错,但现在我相信我已经删除了很多我怀疑的东西实际上是真的而不是承担风险。

fell 我的身份被欺诈者使用了从Wonga拿出1,000英镑的贷款。几年前,WONGA宣布他们通过社交媒体价值观进行了信贷评估。这是可怕的,我花了很多时间在警察设立的欺诈热线上。

艾莉森豪威尔 我注意到了我的名字和照片的推特账户,但这不是我的帐户。它后来消失了一两天,但这是一个叫醒的电话,有人可以像我一样发推。我的美发师告诉我他为他工作的公司的局势 - 来自数据库的前员工黑客密码和窃取客户端数据。这的后果相当大。

喜怒无常 我们建议在那方面的公司。它让他们实际上考虑他们所需要的东西。即使是五六年前的大型公司也没有对软件作为服务(SaaS)的兴趣,因为他们希望在内部保持数据。现在,通过使用我们的专家来照顾这一方面,备份或监控系统使用情况,它会释放他们的延长IT团队,以便在业务内进行服务器管理方面。

沃克 在一个阶段,我有23个不同的密码,他们得到的更复杂 - 感叹号,大写和小写 - 我无法应对。我最终写下了他们......

喜怒无常 我们开发了软件中的系统,因此人们可以要求他们的密码或新密码,但他们联系我们的方式以及我们所要求的信息意味着我们可以达到100%,这是那个人是100%询问该密码。它是一个自动化系统,但它是安全和加密的,因为它不仅仅是实际数据[你必须安全],它是在跨互联网上行驶的数据也是必须加密的。

沃克 还有什么让您的企业到位保护自己?

Mc莫里斯 我们训练并教育[我们的员工]了解他们携带的数据的影响。我们收紧了我们的托管。许多中小企业建立了一个新网站,并更多地担心橙色的阴影而不是安全。有时需要一点违约,并在内部掌握正确的进程。如果您使用的是第三方服务器,请查看提供这些服务器的公司 - 在英国或欧洲,他们是27001认证还是美国,是他们安全的港口服务器吗?

豪威尔 我们也试图这种方式保护自己。作为一家步行假期公司,我们为我们的数据使用了许多基于云的软件,因此我们检查以确保他们是欧洲持有的服务器。

喜怒无常 即使在欧洲,也有某些国家我们不愿意托管,纯粹是因为政治局势。它可能更便宜,但这不值得。

Mc莫里斯 我觉得我们大多数人都在这张表中是中小企业,没有大量的IT资源,所以它会落到第三方管理层。谁在管理你的情况,你怎么知道他们有正确的措施?我认为很多都坐在供应商管理。

fell 我有一个大队,但你仍然需要外部意见。它被称为笔测试 - 渗透测试 - 您雇用顾问尽可能讨厌。如果我的内部家伙错过了一些他会踢自己的事情,但这就是这个想法。我们通常每季度进行笔测试,但如果您没有内部团队,笔测试是具有成本效益。让他们击中他们可能的一切。

沃克 我们的会员如何访问钢笔测试?

fell 那里有很多安全公司。它们可以像1,000英镑一样便宜,并达到成千上万的磅。这是一个类似黑客样的思想人士,试图闯入网站并看看漏洞。起初,他们会查看密码。令人惊讶的是,有多少企业不会确保他们的密码集。我曾经读过五个字符的密码需要一分钟的黑客攻击。如果您添加了10分钟的号码。如果使用符号的17个字母数字[字符],它会花18年。

喜怒无常 我们的一些客户坚持,当他们正在寻找与我们结束合同时,我们建立在该合同年度渗透测试中。

韦伯 虽然我们正在进行风险管理的主题,但我可以要求您对政府倡议的思考来协助公司吗? 2011年,我们看到了国家网络安全战略的推出,其中部分是针对中小企业的网络要领 - 一个努力让客户充满信心,让您认真对待网络安全。

豪威尔 今天准备时,我遇到了网络要领。我填写了一个简单,简单的清单。我认为未来的消费者将更加兴趣保护
他们的数据 - 财务信息和个人信息。

韦伯 政府是否已经做到了?有巨大的投资 - 大约850万英镑 - 他们确实在我运作的圈子中宣传了网络概况,但它真的朝着中小企业而设计。消息是出去的吗?

Mc莫里斯 它可能是启动策略的一部分,但即使在运营10年后,我也没有时间做ISO [国际标准化组织]。你必须去整个猪,但我们所有人都想这样做的现实,即将来临:赢得一个新销售,客户问题等。我们轻轻地植根了它,它将坚定地扎根于治理。客户数据对我们很重要,因此我们确保我们有措施到位,但我们不会下降ISO路径只是因为它太繁重而且太勾选了,而且我真的不确定它是否有人进一步到我们现在的位置。

米歇尔 我们有一个顾问进入与我们一起过来的所有这些东西。当我们越来越大而越来越大,我们可能会经历一些我们可以审查的过程(出于所有正确的原因,而不是错误的过程。)我们没有内部资源或专业知识,总有一些东西否则要做,所以我们认为我们会外包。

Mc莫里斯 政府尚未做些什么是您可以调整小型公司的东西。如果您的数据出现,Darren,这是一个至关重要的,因为它是人们的账户,而我们在这里也不是那里的一些数据。

沃克 它变得更糟吗?我们将在五年内结束哪儿?

凯莉 人们太信任了一个不安全的WiFi网络,这是疯狂的,因为通过的信息是如此容易被黑客攻击。所以让我们说有人正在旅行,他们需要访问他们的电子邮件;他们搜索WiFi并查看一个开放式网络。没有思考,他们加入网络并开始检查他们的电子邮件。现在,黑客可以访问他们的电子邮件系统和正在传输的所有机密信息。如果他们登录到他们的手机银行,那就是黑客利用的另一个频道。当人们想到网络犯罪和网络攻击时,他们往往会想到桌面,并不是关于移动设备对网络安全的影响。这是我们非常谨慎地看出的东西,因为我们为客户驾驶的绝大多数收购是移动设备,并且每年都会继续上涨。我们试图教育客户的移动安全性以及他们可以采取的步骤来预防黑客攻击。

Mc莫里斯 许多小企业会同意他们需要改变他们的行为,而是消失,忘记它。奇怪的是,它需要高调的黑客事件,供人们关注。

喜怒无常 我们改变了我们设计软件的方式,以便我们或客户正在收集的数据都没有存储在一个表中,它存储在几个不同的表中。如果有人能够访问,它就会让它变得更难。如果他们破解,他们不只是将进入系统,进入一个区域,然后拿起一切并去。同样,它是加密数据的东西,因为它从服务器到各个设备的行驶。

fell 您想要超级加密所有数据库,但现在HMRC有一个API [应用程序配置文件界面],您需要在您进行退货时删除数据。数据库实际上无法加密。因此,如果您想要非常安全并加密所有这些有价值的数据,那么您必须将其解除,并将其发送到HMRC或公司房屋。所以现在,因为所有这些与所有系统互连,API都是大字,你构建了所谓的生态系统,所以你在那里通过API和你的其他连接的软件连接了你的收据扫描软件。这可能是下一个漏洞,这是这些API。他们在其他可信任提供者之间传递数据。

沃克 对于不会给予这一点的读者来说,读者,你应该采取的第一步是你的建议是什么?

米歇尔 在运营业务时,您不能成为每个区域的专家。这个桌子周围没有很多人设计自己的网站,他们可能无法运行自己的社交媒体。要求专家为您做,因为我认为中小企业认为他们可以在内部管理它是稍微不切实际的。

喜怒无常 在你去的人中有选择,找一个不仅仅是提供你的网络存在,而且有兴趣与您合作并支持您。

豪威尔 从日常基础开始:强密码,定期更改,并在进程中培训您的团队。

凯莉 我们进行定期风险评估,以确保人们更改密码,员工不下载他们不应该的东西。定期风险评估可以提出您之前错过的事情,因此我们非常勤奋。

沃克 当然,保险。让我问马太,如果他能总结我们所在的地方......

点击这里 to read Matthew Webb’S Sumping Up(广告)

关于作者

理查德邓恩特

理查德邓恩特

理查德邓恩特是一家关于企业家,中小企业,FTSE 100公司,技术,制造,媒体和可持续发展的助理编辑器。

No comments

时间限制耗尽。请重新加载CAPTCHA。