Småföretag: 8 sätt att implementera IT-säkerhet utan att riskera konkurs

Blogg av Andy | (engelska) Publicerad på fredag 12 april 2024

I takt med att det brittiska valet 2015 blir allt hetare har kampanjcheferna och spinnarna för varje parti - särskilt de större partierna - gått på högvarv. Deras uppdrag är komplext: de måste hitta sätt att få det egna partiet och dess politik och kandidater att framstå i god dager (vilket i de flesta fall kräver att de är rena trollkarlar), samtidigt som de måste hitta sätt att smutskasta alla de andra (vilket borde vara enkelt, men det kan gå riktigt illa). Försvarsminister Michael Fallon gick till personangrepp mot Ed Miliband).

Samtidigt måste de försöka ligga steget före de andra partiernas strateger och spela ett schackspel där tomter kan vara flera drag från utförande. De måste se vad som händer just nu, samtidigt som de försöker förutse och överlista sina motståndare. De jonglerar hela tiden - samtidigt som de spelar schack. Jag sa att de var magiker.

Vad pratar du om?

Varför tjatar jag om val, säger du? Rubriken lyder ‘8 sätt att genomföra IT-säkerhet utan att riskera konkurs’ - kom till saken.

Ja, okej, okej - jag gör en analogi samtidigt som jag försöker vara aktuell. Det sätt på vilket politiska kampanjledare rör sig på sina mystiska sätt liknar det arbete som du och dina system måste göra för att hålla ditt företags IT säkert. Du måste gå på en hårfin linje och jonglera med de fördelar som din teknik ger ditt företag samtidigt som du minskar de hot som du står inför från hackare och andra otrevliga typer. Du måste öppna upp ditt nätverk och din information för att göra det enkelt för dina legitima användare att arbeta på det sätt de behöver - med flera enheter på plats, på resande fot, hemifrån, samtidigt som du ser till att samma åtkomst inte är tillgänglig för alla och envar.

Det är svårt nog för stora företag att skydda sig själva - många anställer ett dedikerat team av IT-proffs eller outsourcar till en tredje part för stora summor pengar för att hålla sina system smidiga och säkra. Och det är inte alltid de lyckas.

Hänsynslös effektivitet

Fråga vem som helst som måste ta hand om en webbserver eller annan server som är ansluten till internet, och de kommer att berätta att obehöriga åtkomstförsök inte är ovanliga - i själva verket är bombardemanget av servrarna som är värd för webbplatserna på webben nästan konstant. En del av dessa attacker är manuella, men de flesta är automatiserade och utförs av robotar som kryper runt och identifierar maskiner med hjälp av deras IP-adresser och försöker komma åt dem genom brute force-attacker på webbaserade formulär eller kommandoradsgränssnitt. En del av dessa robotar loggar också information om varje server och/eller webbplats som de besöker och identifierar den information som kan urskiljas om varje server. Varför gör de detta? När en sårbarhet upptäcks har den specifik hårdvara och programvara som den påverkar. Illasinnade personer kan använda en lista över alla IP-adresser eller domäner som loggas som sårbara och snabbt utnyttja dem.

Ett exempel på detta var en sårbarhet som upptäcktes i webbplatser som byggts med det populära och utbredda Drupal CMS. I oktober 2014 upptäckte teamet som utvecklar Drupal en exploatering som var möjlig i en version av CMS:et. De förstod allvaret i hotet och publicerade snabbt information till webbplatsägare om sårbarheten och stegen för att försvara sig mot dess exponering. De råd som de gav, och det ligger i webbens natur, var att om korrigeringen till Drupal inte tillämpades inom 7 timmar efter deras uttalande, skulle webbplatsägarna anta att de hade blivit hackade och vidta lämpliga åtgärder. För många visade sig detta antagande vara sant. Det fanns verkligen lömska individer som satt med en enorm databas med webbplatser som de hade identifierat som Drupal-baserade, och de släppte ut sina metaforiska hundar inom några timmar efter att sårbarheten upptäcktes.

Bra, så faran lurar runt varje hörn. Vilken chans har småföretag?

Ja, det är den mörka undersidan av den glänsande, roliga världsomspännande webben. Ditt till synes omöjliga uppdrag, om du väljer att acceptera det, är:

  • Ge dina anställda så mycket tillgång till din infrastruktur som möjligt samtidigt som den hålls skyddad
  • Göra företaget känt för världen samtidigt som man skyddar sig mot oönskad uppmärksamhet från hackare
  • Flytta ut din digitala information i molnet samtidigt som du behåller kontrollen över den

Som småföretagare är det inte realistiskt att ha en IT-avdelning som tar hand om tekniken, men det finns sätt att skydda verksamheten:

  1. Håll dina användare informerade, kunniga och alerta.
    Din första åtgärd bör vara utbildning: dina system och servrar kan vara brandväggar till gälarna och ogenomträngliga för oärliga typer, men om dina användare är slarviga med sina lösenord eller oinformerade om hur man använder webben eller anslutna enheter på ett klokt sätt, kan du lämnas vidöppen för angrepp av ovannämnda typer som använder legitima medel för sina oärliga syften. Implementera en policy för lösenordsstyrka med minimikrav och se till att lösenord som fler än en person kan ha tillgång till (om det är absolut nödvändigt) ändras regelbundet och endast är kända av dessa personer. Upprätta protokoll och råd om bästa praxis för alla användare, t.ex. att låsa skärmar på bärbara datorer även när man går ifrån dem under korta perioder.
  2. Ansluter användare från andra kontor eller platser?
    Använd en tålig VPN-lösning (Virtual Private Network) för säker anslutning av filialkontor. Peplink är specialiserade på dessa lösningar och kan göra det enkelt att konfigurera dem. De erbjuder lösningar som Peplink Balance 210 router med dubbla WAN som ansluter 2 WAN och gör det möjligt för upp till 50 användare att vara anslutna samtidigt. Den kan installeras i ett befintligt nätverk utan att brandväggar eller routrar behöver konfigureras om, så installationen är snabb och enkel.
  3. Säkra ditt WiFi för att förhindra obehörig åtkomst
    Tillverkare av trådlösa enheter som Aerohive har trådlösa lösningar som ger stark säkerhet eftersom kontrollen sker precis vid kanten av nätverket - där de trådlösa användarna först får åtkomst. Aerohives accesspunkter är utformade med säkerhet i åtanke och kommer att ge utmärkt prestanda samtidigt som de hjälper dig att upprätthålla en stark nätverkssäkerhet.
  4. Håll virus och skadlig kod borta!
    Oavsett hur försiktiga dina användare är (se punkt 1), hittar virus och skadlig kod ändå en väg in. Skydda användarnas datorer med hjälp av ett starkt och effektivt antivirus- och malware-försvar. Vi rekommenderar ThreatTracks Vipre som är deras mest robusta lösning för företag och organisationer och som kombinerar antivirus, integrerad patchhantering, Mobile Device Management (MDM) och mycket mer för att centralt hantera och skydda PC, Mac, iPhone, iPad och Android-enheter. Det är en lättviktslösning som inte stör det dagliga arbetet. (Den hjälper dig till och med att ta bort din gamla antivirusprogramvara ...)
  5. Håll kontroll över dina delade dokument
    För att driva ett företag effektivt behöver du delad tillgång till information, men ofta behöver du inte informationen längre än så. Detta kan vara omöjligt att kontrollera när du lagrar filer på en delad enhet eller via e-post, eller till och med med nya molnbaserade lösningar som Dropbox. Ett alternativ finns i form av WatchDox - en Dropbox-liknande tjänst med extra säkerhet. Du kan dela dokument men behålla kontrollen och till och med avsäga dig åtkomst när du vill, så att ägaren av ett dokument kan vara säker på att det inte hamnar i fel händer.
  6. Förenkla kontrollen av nätverksåtkomst
    Tjänster som Macmon kan dramatiskt minska den tid och de ansträngningar som krävs för att hantera användaråtkomst och behörigheter. Det är enkelt att använda, implementera och etablera.
  7. Användare som mejlar eller skickar meddelanden om affärer via mobila enheter?
    Telefoner och surfplattor är inte immuna mot attacker från virus och skadlig kod, som kan skicka känslig information till illasinnade tredje parter utan din vetskap. Programvara som Lacoon kommer att skydda dina användares enheter och stoppa sådana lömska invasioner.
  8. Tillträdeskontroll och tidshantering
    Det kan vara svårt att hålla reda på vem som befinner sig var i byggnaderna och när personalen och besökarna rör sig - den fysiska sidan av IT-säkerheten. Ledande tillverkare av biometrisk teknik Anviz och ZKTeco erbjuder avancerade säkerhets- och tidshanteringslösningar med multibiometriska och RFID-baserade lösningar för tids- och passerkontroll.

Alla dessa lösningar finns tillgängliga och, ännu viktigare, prisvärd för småföretag (särskilt jämfört med kostnaden för dedikerad personal eller outsourcing från tredje part), och väl värd investeringen när man betänker kostnaderna för att inte använda dem. Du kan förlora tid eller effektivitet för hela personalen och förlora pengar på att betala för att åtgärda effekterna av ett säkerhetsbrott. Störst av allt är dock den förlust av förtroende eller anseende som kan bli följden av att känslig information hamnar i fel händer. Att förebygga är bättre än att bota.

Kontakta oss gärna om du vill diskutera enkla sätt att skydda ditt företag.
Ring för att fråga

Sök artiklar

  • Populära kategorier