המדריך השלם לאבטחת סייבר לעסקים קטנים ובינוניים

איומי אבטחת סייבר גדלים מיום ליום, ולא עובר יום מבלי שמתפרסם סיפור חדשותי על איזושהי הפרה או גניבת נתונים. אלו מאיתנו שהם בעליהם או מנהליהם של עסקים קטנים ובינוניים יודעים שאבטת סייבר היא קריטית, ושאנחנו צריכים לשים לב במיוחד לנושאים הללו. הבעיה היא להבין מאיפה להתחיל.

אבטחת סייבר יכולה להרגיש מדהים ולהיות מורכבת מאוד. לא לכל מנהל או בעל עסק קטן יש רקע טכני, כך שפילוס הדרך בתוך הז'רגון הטכני והמידע הסותר יכול להרתיע אפילו את האנשים הזהירים ביותר והאנשים בעלי האוריינטציה לאבטחה.

חיברנו והרכבנו את המדריך הזה בדיוק עבור סוג האנשים האמור. אם אתה מנהל עסוק, ואם היום שלך מלא בריצה היומיומית של ענייני העסק שלך, אין לך זמן להפוך להיות מומחה טכני מתקדם בכל ההיבטים של אבטחת סייבר. עם זאת, אם אתה קורא את המדריך הזה, ועובד עם הצוות שלך (כולל האנשים שאתה מעסיק או מקבל מהם שירותים כמיקור חוץ כדי להגדיר את חומרת המחשב שלך, התוכנה והרשתות) בכדי ליישם את אמצעי האבטחה שמצוינים במדריך, תוכל לישון טוב יותר בלילה. אבטחת העסק שלך היא לא באמת קשה כמו שמומחים רבים גורמים לה להיראות. עם קצת סבלנות והדרכה, אתה יכול ליישם אמצעי אבטחה ברמה עולמית אפילו עבור החברות הקטנות ביותר.

1. קבע מהן נקודות התורפה שלך

הצעד הראשון בהגנה מפני איומי אבטחת סייבר הוא לקבוע מהן נקודות התורפה שלך. אם אתה לא יודע מהן החולשות שלך, איך תוכל לתקן אותן? אם אתה לא יודע איזה סוג של נתונים החברה שלך שומרת, איך תוכל להגן עליהם?

התחל בזיהוי מהם "תכשיטי הכתר" של הנתונים של החברה שלך. מהם החלקים החשובים ביותר של הנתונים שהחברה שלך מחזיקה?

זה יכול להיות כל דבר, החל מקניין רוחני ועד לפרטי הלקוח שלך, מלאי, מידע פיננסי וכו'. איפה אתה מאחסן את כל הנתונים? ברגע שיהיה לך את התשובות לשאלות הללו, תוכל להתחיל לחשוב על הסיכונים שהנתונים שלך חשופים אליהם.

עליך למפות בזהירות את כל התהליכים שאתה ואנשי הצוות שלך עוברים דרך האיסוף, האחסון וההיפטרות מהנתונים האלה. חשוב על כל נקודות המעבר לאורך הדרך שבה הנתונים האלו עלולים לדלוף החוצה או להיגנב. עליך לשקול מה יהיו תוצאות הפרת אבטחת הסייבר עבורך, עבור העובדים שלך, הלקוחות שלך והשותפים שלך. לאחר מכן, אתה יכול להתחיל ליישם אמצעי זהירות במקום.

2. הגן על המחשבים וההתקנים שלך

המחשבים וההתקנים האחרים שלך הם פורטלים שדרכם מתבצעת כמעט כל העבודה שהופכת את העסק שלך לעסק מתוקתק. אולם, בגלל שההתקנים הללו מחוברים לאינטרנט ולרשת המקומית, הם חשופים להתקפה. אלו הן ההנחיות שלנו להגברת האבטחה בנוגע למגוון מערכות המחשב של החברה שלך.

א. עדכן את התוכנה שלך

הצעד הראשון (וכנראה הקל ביותר) כדי להבטיח שהמערכות שלך אינן חשופות להתקפה הוא לוודא שאתה תמיד משתמש בגרסה העדכנית ביותר של התוכנה שהעסק שלך מסתמך עליה. האקרים פליליים מבלים את זמנם בחיפוש אחר באגים בתוכנות פופולאריות ומנצלים פרצות כדי להיכנס למערכת. הם עושים זאת מכל מיני סיבות: כדי להרוויח כסף, כדי לעשות הצהרה פוליטית או פשוט כי הם יכולים. סוג כזה של חדירה יכול לגרום נזק עצום לעסק שלך. האקרים יכולים לגנוב את מספרי כרטיסי האשראי של הלקוחות מהאתר שלך או לגנוב סיסמאות מהמחשב שלך. העסק שלך יכול להיות בצרה אמיתית אם זה קורה.

Microsoft וחברות תוכנה אחרות תמיד עומדות על המשמר בנוגע לנקודות תורפה בתוכנות שלהם. כאשר הם מוצאים נקודת תורפה, הם משחררים עדכון שהמשתמשים יכולים להוריד. כל כך קל לוודא שאתה מוריד את העדכונים הללו ברגע שהן משחוררים, שאתה עלול לתהות למה עסקים רבים אינם זהירים בעניין הזה.

בשנת 2017, התקפה בילאומית בשם "WannaCry" של תוכנות שמצפינות קבצים ודורשות עבורם כופר פגעה באלפי קורבנות, לרבות ארגונים ענקיים כמו FedEx ושירות הבריאות הלאומי של אנגליה (עוד מידע על התוכנות הללו בהמשך). לפני המתקפה, Microsoft שיחררה תיקון, עדכון תוכנה שמתקן את הבעיה, אבל מנהלי מערכות רבים לא הצליחו להתקין אותו, מה שהוביל למתקפה מסיבית. למרבה המזל, המתקפה הופסקה, אבל זה לא תמיד ככה. הדרך הקלה ביותר להימנע מלהיות הקורבן הבא של האקרים היא לעדכן את התוכנה שלך בקפידה.

איך מתחילים?

  1. אם המערכת שלך מנוהלת על ידי מנהל מערכת, וודא שהוא מודע לעדכוני תוכנה ברגע שהם יוצאים ומעדכן את המערכת בהתאם.
  2. אם יש לך עסק קטן שבו אתה מנהל את המחשבים שלך בעצמך, פשוט הפעל את העדכון של Windows. אחרי שאתה מעדכן את המערכת, הפעל מחדש את המחשבים.

ב. הגנה מפני וירוסים

וירוסים הם תוכנות זדוניות שמדביקות את המחשב שלך ללא אזהרה. וירוסים יכולים לעשות הרבה דברים, אבל בדרך כלל, הם מקבלים גישה לקבצים שלך ומשנים או מוחקים אותם. וירוסים מתפשטים במהירות על ידי זה שהם משתכפלים ושולחים את עצמם לאנשים ברשימת אנשי הקשר שלך. אם מחשב אחד ברשת שלך מקבל וירוס, הוא יכול להתפשט במהירות על פני החברה שלך, ולגרום לאובדן נתונים משמעותי. אם אתה מתקשר עם הלקוחות שלך באמצעות הדוא"ל (דבר שכמעט כל אחד עושה), אתה מסתכן גם בהדבקתם בוירוס.

תוכנות זדוניות ותוכנות שמצפינות קבצים ודורשות עבורם כופר (ransomware) הן שני סוגים מסוכנים במיוחד של וירוסים כיום. יש מספר הבדלים בין תוכנות זדוניות לתוכנות שמצפינות קבצים ודורשות כופר עבורם. תוכנה זדונית עובדת על ידי פיתוי הקורבן להוריד למחשב תוכנות מסוימות, וכך היא מקבלת גישה למחשב של הקורבן. היא יכולה לעקוב אחר כל מה שיש גישה אליו מהמחשב, לגנוב מיד רגיש או להפיץ דואר זבל באמצעות הדוא"ל.

תוכנה שמצפינה קבצים ודורשת עבורם כופר היא סוג ספציפי של תוכנה זדונית. היא נועלת את המחשב שלך וחוסמת את האפשרות שלך לגשת לקבצים חשובים, עד שאתה משלם את הכופר. התוכנה עובדת על ידי הצפנת הקבצים שלך באמצעות מפתח פרטי הזמין רק ליוצרי התוכנה. התקפת WannaCry שהזכרנו קודם לכן הייתה סוג של תוכנה שמצפינה קבצים ודורשת תמורתם כופר. נציין שתשלום הכופר לא בהכרח יעזור: אין ערובה שההאקרים באמת יפתחו את הקבצים שלך.

יש מספר צעדים בסיסיים שאתה יכול לנקוט כדי למנוע את הדבקת המחשב שלך באמצעות וירוסים. ראשית, התקן תוכנת אנטי וירוס על כל המחשבים במשרד. תוכנת אנטי וירוס סורקת הודעות דוא"ל נכנסות, כמו גם קבצים הנמצאים כעת על המחשב שלך ולאחר מכן מוחקת או מסירה את כל הוירוסים שהיא מוצאת. האקרים תמיד מכניסים וירוסים חדשים, לכן עליך לעדכן את תוכנת האנטי וירוס באופן קבוע. ספקי התוכנה הטובים ביותר יכללו תוכנה שנותנת למחשב שלך פקודה להוריד את העדכונים באופן אוטומטי. אתה צריך לוודא שהצוות שלך יודע לא לפתוח קבצים חשודים ולמחוק קבצים שמצורפים לדוא"ל שהגיעו מכל מקור שהם לא מזהים כאמין.

שימוש ב-VPN כדי לגשת לאינטרנט יכול להגביר את האבטחה שלך. בגלל ש-VPN מאפשר לך לגשת לאינטרנט באופן אנונימי, ובגלל שהוא יכול להצפין את הנתונים שלך, הוא הופך את המעקב אחרי המחשב שלך על ידי האקרים לקשה במיוחד. ספקי VPN טובים שולחים לך אזהרת אבטחה כאשר אתה מנסה לגשת לכתובות אינטרנט חשודות.

אם אתה כבר קורבן של התקפת תוכנה שמצפינה קבצים ודורשת כופר, זה עדיין לא מאוחר מדי. המדריך המפורט הזה יסייע לך שלב אחר שלב איך לנצח את המתקפה.

איך מתחילים?

  1. עדכן את תוכנת האנטי וירוס שלך, או אם אין לך כזו, התקן אותה כעת.
  2. חנך את הצוות שלך שלא לפתוח קבצים מצורפים חשודים.
  3. גלוש באינטרנט באמצעות VPN.
  4. קרא כיצד ניתן לסכל התקפה של תוכנה שמצפינה קבצים ודורשת כופר במידה שאתה צריך הפנייה לכך.

ג. התקן חומת אש (firewall)

כמו רוב העסקים כיום, כל ההתקנים במשרד שלך כנראה מחוברים לחיבור אינטרנט רחב פס שתמיד מחובר. אם זה המצב, יש סבירות גבוהה שהאקרים פליליים חקרו את רשת המחשבים שלך לפחות פעם אחת. האקרים עושים זאת באופן אקראי, אבל כאשר הם מוצאים כתובת מחשב תקפה, הם ינצלו את החולשות שלה כדי לקבל גישה לרשת ולמחשבים בודדים ברשת.

התקנת חומת אש היא הדרך הטובה ביותר למנוע התקפות מהסוג הזה. חומת אש פועלת על ידי הפרדת חלקים שונים של הרשת זה מזה, ומאפשרת רק לתנועה מאושרת לעבור דרך החלק המוגן של הרשת. אם אתה מפעיל עסק קטן, חומת האש שלך תגדר את הרשת הפרטית המקומית מתוך האינטרנט הרחב. חומת אש טובה בודקת כל חבילת נתונים שזורמת לרשת שלך כדי לוודא שהיא לגיטימית, ומסננת את החבילות שהיא סבורה שהן חשודות. כדי למנוע מהאקרים להתמקד במחשבים בודדים ברשת שלך, חומת האש מטשטשת את הזהות האישית של כל מחשב.

התקנת חומת אש היא דבר מסובך ועדיף שיעשה על ידי איש מקצוע מיומן. זה יהפוך את העבודה שלך לקלה יותר: כל שיהיה עליך לעשות זה לדבר עם מנהל המערכת שלך ולוודא שהרשת שלך מוגנת.

איך מתחילים?

  • התקשר למנהל המערכת שלך, ושאל אם יש לרשת המקומית שלך חומת אש, אם לא, בקש ממנו להתקין אחת.

ד. אמצעי זהירות מיוחדים עבור מחשבים ניידים והתקנים ניידים אחרים

מאחר שהם ניידים, ויכולים, כתוצאה מכך, לעזוב את המשרד, מחשבים ניידים נמצאים בסיכון מסוים עבור הפרות אבטחה. הם מטרה לגנבים מפני שקל לגנוב ולמכור אותם. עובדים גם עלולים להיות רשלנים לגבי העבודה שלהם על המחשב הנייד מאחר שרוב החברות פשוט יחליפו את המחשב הנייד אם הוא אבד או נגנב. עם זאת, החלפת מחשב נייד היא הוצאה כספית משמעותית, במיוחד עבור עסק קטן. אבל זו אפילו לא הבעיה הכי הגדולה. סביר שמחשבים ניידים של עובדים, במיוחד של צוות בכיר, יכילו מידע רגיש שעלול להזיק לעסק שלך אם הוא יגיע לידיים הלא נכונות.

האקרים גם יכולים לגשת בקלות לנתונים במחשב נייד או בהתקן נייד אם החיבור אינו לרשת מאובטחת. ישנם מספר צעדים שאנו ממליצים לנקוט כדי להגן על הנתונים שלך, כגון שימוש בסיסמא חזקה, גיבוי כל העבודה שעשית במחשב הנייד לפני נסיעה והצפנת הנתונים שלך. הנחיות אלו רלוונטיות במיוחד עבור מחשבים ניידים. אנו מרחיבים לגביהן בסעיף 3, "הגן על הנתונים שלך".

משתלם להתכונן מראש ולצפות שאחד מהתקני העבודה שלך ייגנב. אם אתה משתמש בפתרון ענן עבור צרכי התוכנה שלך, בדוק את תוכנות ניהול ההתקן הנייד של ספק השירות שלך. ספקי מחשוב הענן הגדולים מאפשרים לך למחוק חשבון מכל מכשיר שחסר.

העצה הזו חלה באופן שווה על טלפונים חכמים של החברה. ישנם מספר צעדים שתוכל לנקוט כדי לאבטח את הטלפונים החכמים של החברה, והמדריך הזה עבור מכשירי iPhone יסייע לך בהליך הזה. יש מספר אפליקציות אבטחה שאנו ממליצים להשתמש בהן וכן דרכים לשנות את הגדרות הטלפון שלך כך שהן יהיו מאובטחות יותר.

אחת מהדרכים הכי טובות להגן על התקנים – בין אם מדובר על מחשבים ניידים, טלפונים חכמים, מכשיר Alexa של Amazon או אפילו ה- PS4שלך במשרד (אם אתם מסוג המשרדים הכיפיים שיש להם מכשיר משחקים!) – היא להתקין VPN להצפנת כל הנתונים שנעים דרך ההתקנים. אתה לא בהכרח צריך להתקין VPN על כל מכשיר; במקום זאת, אתה יכול להתקין אותו ישירות על הנתב במשרד שלך. בדרך הזו, כל המכשירים שמשתמשים בחיבור לאינטרנט במשרד יהיו מוגנים.

חשוב גם לגבש מדיניות לגבי מכשירים שאתה מאפשר לחברי הצוות להביא איתם לעבודה. חברות רבות מעודדות את העובדים שלהם להביא את המחשבים הניידים שלהם וההתקנים האחרים למשרד בגלל שזה הרבה יותר זול מאשר לספק לכל עובד ציוד של החברה. אנחנו ממליצים שתדרוש שבכל ההתקנים האישיים שמשמשים למטרות עבודה יותקנו תוכנת אנטי וירוס ושהם יקבלו עדכונים שוטפים.

איך מתחילים?

  1. עדכן בכל המחשבים הניידים והטלפונים החכמים של החברה את העדכונים האחרונים של תוכנת האנטי וירוס ואת עדכוני מערכת ההפעלה.
  2. גבש מדיניות באילו התקנים ניתן להשתמש בעבודה ומהן תוכנות האבטחה שעליהם להכיל.
  3. צור קשר עם ספקי מחשוב ענק ושאל אותם כיצד הם יכולים לסייע לך בנוגע להתקנים ניידים.

3. הגן על הנתונים שלך

לא משנה איזה סוג של עסק אתה מפעיל, הנתונים שלך הם הליבה של מה שאתה עושה. ללא פרטי הקשר של הלקוח, המלאי שלך, הנתונים הקנייניים שלך, וכל מה שביניהם, אתה פשוט לא תוכל לתפקד כעסק. הנתונים שלך עלולים ללכת לאיבוד בכל מיני דרכים. החומרה שלך עלולה להינזק או להישבר, האקרים יכולים להיכנס למערכת שלך ולקחת אותה, או שאתה עלול להיפגע מאסון טבע. המטרה שלך, לפיכך, צריכה להיות לבטח את עצמך מפני אובדן נתונים על ידי נקיטת אמצעי זהירות כנגד התוצאות החמורות ביותר שיכולות להיגרם.

א. יישם הליך גיבוי של נתונים קריטיים

ישנם שני סוגים שונים של גיבויים. כאשר אתה מבצע גיבוי מלא, אתה יוצר עותק של מכלול הנתונים שבחרת ומכניס אותו למכשיר אחר או מעביר אותו למדיום אחר. עם גיבוי מצטבר, לעומת זאת, אתה פשוט מוסיף את הנתונים שנוצרו מאז הפעם האחרונה שגיבית את המערכת. שלך.

השיטה הקלה והיעילה ביותר היא לשלב בין השניים. לבצע גיבוי מלא מעת לעת וגיבוי מצטבר בכל יום. לחלופין, ניתן לבצע גיבוי מלא בכל לילה לאחר שעות העבודה. זה חיוני לבדוק בפועל שהגיבויים שלך פועלים: אם תאבד את כל הנתונים שלך ותגלה שמערכת הגיבוי שלך לא עבדה, זו תהיה טרגדיה. תוכל לעשות זאת על ידי שחזור כבדיקה חלק מהנתונים שלך במיקום חדש. הפעולה הזו תבטיח שמערכות הגיבוי שלך פועלות ועוזרות לך לזהות בעיות בתהליך הגיבוי.

ישנן דרכים רבות ושונות לגיבוי הנתונים שלך. אתה יכול לשים אותם על התקן פיזי, כמו USB או כונן קשיח נוסף, או למקם אותם בתיקיה משותפת ברשת שלך. אתה יכול גם לשמור גיבויים במיקום בטוח מחוץ לפעילות המרכזית. עם זאת, גיבוי הנתונים שלך למיקום פיזי ספציפי לא יסייע לך במקרה של אסון טבע או גניבות. אנחנו ממליצים בחום שכל החברות ישקיעו בגיבוי המבוסס על ענן – ראה פרטים נוספים בסעיף הבא.

איך מתחילים?

  1. הערך את מדיניות שמירת הנתונים שלך החברה שלך. האם כל הנתונים החשובים מגובים? אם כן, היכן הנתונים נשמרים?
  2. עבוד עם מנהל המערכת או עם צוות ה-IT כדי ליישם תוכנית גיבוי שבועית.
  3. בדוק את מערכת הגיבוי שלך כדי לוודא שהיא אכן עובדת.

ב. הצפנת נתונים רגישים של החברה בענן

כיום, רוב החברות שומרות על רוב הנתונים – אם לא על כולם – על גבי פלטפורמה מבוססת ענן. זו יכולה להיות מערכת אחסון מבוססת ענן, כמו Dropbox או פלטפורמת SaaS (software as a service) כמו Salesforce. מאחר שאנו נוטים להתייחס למערכות הללו כ"ענן", אנו נוטים לדמיין שהנתונים שלנו נשמרים במרחב וירטואלי מופשט. למעשה, כל זה אומר שהנתונים שלנו לא מאובטחים בכונן קשיח או ברשת המקומית, אלא במתקני מחשב מרוחקים המסופקים על ידי שירות מבוסס ענן. לכן, חשוב לבדוק בקפידה אילו סוגי אמצעי אבטחה יש לספק הענק שלך והאם הנתונים שלך מגובים ברמה המתאימה.

ישנן מספר גישות שניתן לנקוט כדי לוודא שהקבצים שלך בענן מאובטחים. הגישה הפשוטה והמאובטחת ביותר היא להצפין את הקבצים שלך באופן ידני, ויש מספר תוכנות שיכולות לעזור לך לעשות זאת. משמעות הדבר היא שאתה לא צריך להסתמך על האבטחה של ספק הענק שלך, ואתה יכול להשתמש בו ללא חשש. הקפד לא להעלות את מפתחות ההצפנה ששלך.

יחד עם זאת, עליך לבדוק את אפשרויות האחסון בענן שלך בזהירות. יש יותר ויותר ספקים בשוק, לחלק מהספקים הקטנים יותר והפחות יידועים יש תוכנות אבטחה חזקות יותר מאשר אצל השמות הגדולים. חלק מהשירותים הללו באופן אוטומטי יצפינו את הקבצים שלך לפני שהם נטענים לענן.

אפשרות אחרת היא להשתמש בסכנון BitTorrent, שהוא שירות חינמי לחלוטין. BitTorrent תוכנן כתחליף למערכות מבוססות ענן, אך למעשה הוא אינו מאחסן קבצים בענן. במקום זאת, הוא מאפשר לך לשתף פעולה במסמכים דרך פלטפורמת שיתוף קבצים peer-to-peer (P2P). השירותים האלו נוטים להשתמש בהצפנה ברמה הגבוהה ביותר AES-256 ומאפשרים אימות של שני גורמים, דבר שמוסיף שכבה נוספת של אבטחה.

המדריך האולטימטיבי הזה לפרטיות מקוונת מסביר זאת אפילו יותר.

איך מתחילים?

  1. הערך את נתוני החברה החשובים לך. כמה מהם מאוחסנים או מגובים על פלטפורמת ענן, והאם מדובר בפלטפורמה מאובטחת?
  2. בצע בדיקה לגבי פלטפורמות ענן וחפש רמת אבטחה שמתאימה לצרכי החברה שלך.

ג. הגן על הסיסמאות שלך

הדרך הנפוצה ביותר לאימות זהותו של מי שניגש לרשת שלך או לנתונים החשובים שלך היא באמצעות סיסמא. שלא כמו מערכות אימות מתקדמות אחרת, כמו כרטיסים חכמים, טביעת אצבע וסריקת קשתית, סיסמאות הן כלי שמיש מאחר שאין להן עלות והן קלות לשימוש. עם זאת, סיסמאות גם חשופות להתקפה. האקרים פיתחו כלים מתוחכמים ואוטומטיים שמאפשרים להם לפצח סיסמאות פשוטות בתוך מספר דקות. הם יכולים גם להשתמש בשיטות הונאה שונות כדי לגשת אל הסיסמאות של החברה שלך, כמו התקפת דיוג (השגת מידע בעל ערך בדרך של רמייה), בה הם מסווים את עצמם כרשות רשמית (כמו Google) וגורמים לאנשים לספק את הסיסמאות שלהם.

סיסמאות עלולות להפוך להיות לא אפקטיביות מסיביות שונות. לעיתים קרובות, אנחנו מתרשלים ולא שמים סיסמא על המסמכים הרגישים שלנו, כשהמשמעות היא שכל מי שיושב באחד המחשבים במשרד שלך יכול לקבל גישה למסמכים הללו. כדי לא לשכוח את הסיסמאות, עובדים רבים כותבים אותם במקום הנראה לעין. והכי קריטי, אנשים נוטים להשתמש בסיסמאות חלשות שקל לזכור, להשתמש באותה סיסמא שוב ושוב ולעולם לא לשנות את הסיסמאות שלהם. כל הטעויות הללו משאירות את הדלת פתוחה עבור האקרים.

שבעת השלבים הבאים ליצירת סיסמא חזקה יסייעו לך למנוע התקפות :

  1. צור סיסמאות שונות עבור שירותים שונים.
  2. שנה את הסיסמא שלך באופן קבוע.
  3. בחר סיסמא חזקה.
  4. בחר באימות דו שלבי.
  5. השבת את ההשלמה האוטומטית עבור שמות משתמש וסיסמאות.
  6. השתמש במנהל סיסמאות – אפליקציה או תוכנית המאחסנת באופן מאובטח את כל סיסמאות המשתמש.
  7. אל תשלח את הסיסמא שלך באמצעות דוא"ל או דרך הטלפון.

יצירת סיסמא חזקה היא לא דבר כל כך קשה. השתמש בכלי סיסמה, כמו זה, שיאמר לך כמה טובה הסיסמא שלך וכמה זמן יקח להאקר לפצח אותה. תוכל להשתמש גם ב-גנרטור סיסמא אקראית מאובטח שייצור לך סיסמא אקראית לחלוטין.

חינוך הצוות שלך לחשיבותן של סיסמאות חזקות הוא דבר חיוני אם אתה רוצה להפוך את הסיסמאות לכלי מפתח בארסנל אבטחת הסייבר שלך, ולא לדלת אחורית שהאקרים יכולים להיכנס דרכה.

איך מתחילים?

  1. בקש מכל העובדים לבדוק את הסיסמאות שלהם באמצעות כלי מדידת הסיסמא- Password Meter. אם הסיסמאות שלהם ניתנות לפיצוח בתוך כמה דקות או אפילו שעות, דרוש מהם לשנות את הסיסמא שלהם למשהו מאובטח יותר.
  2. הפעל אימות דו-שלבי עבור כל חשבונות העובדים בכל מקום אפשרי.

ד. קבע הרשאות

אם אתה מנסה לחשוב למי יש גישה למידע רגיש בחברה שלך, התשובה היא כנראה ליותר מדי אנשים. בצע פעולות כדי להגביל את הגישה למערכת שלך. רק אנשי צוות שמורשים לנהל את המערכת שלך ולהתקין את התוכנה צריכים לקבל חשבונות מנהל.

חברות יכולות להיות מתירניות גם באמצעות מתן אפשרות למספר אנשי צוות לחלוק בכניסה אחת ובאותה סיסמא. זה לא מאפשר לקבוע כיצד או מתי בוצעה הפרה במערכת שלך. תן לכל משתמש את החשבון שלו או שלה, ואפשר הרשאות ספציפיות לתפקידים. אם אתה משתמש ב- Windows, תוכל להקצות למשתמשים רמות שונות של הרשאה על סמך תפקידיהם בחברה. אם חבר צוות נעדר לתקופה ארוכה, או עזב את החברה, יש לבטל את הגישה שלו וההרשאות שלו בהקדם האפשרי.

איך מתחילים?

  1. עבוד מול מנהל המערכת שלך כדי להעריך את רמת הגישה שיש לכל חבר צוות.
  2. שנה את ההרשאות שלך, כך שלכל חבר תהיה גישה רק לתוכנה ולהגדרות הנדרשות לתפקיד שלו או שלה.

ה. הגן על רשת האינטרנט האלחוטית שלך

עוד דרך שבה האקרים יכולים להיכנס למערכת שלך היא דרך רשת האינטרנט האלחוטית של המשרד שלך. מאחר שרשתות Wi-Fi משתמשות בקישור רדיו ולא בכבלים, כדי לחבר מחשבים לאינטרנט, כל מה שנדרש כדי לפרוץ פנימה זה לנוע בתוך טווח הרדיו של הרשת שלך, בנוסף למספר כלי תוכנה חינמיים. פולשים שיכולים לגשת לרשת שלך יכולים לגנוב את הקבצים שלך ולהזיק למערכת שלך. בעוד שהתקני Wi-Fi מופעלים עם תוכנות אבטחה כדי למנוע מצב כזה, רוב התוכנות הללו כבויות כברירת מחדל על מנת להקל על תהליך ההתקנה.

אם אתה משתמש ברשת Wi-Fi, וודא שתוכנות האבטחה האלו מופעלות. אתה יכול גם להגביל את הגישה אלחוטית לשעות העבודה במשרד כדי שהאקרים לא יוכלו להיכנס לרשת שלך במהלך הלילה. בנוסף אתה יכול למנוע מעוברי אורח לגשת לחיבור שלך על ידי הגבלת הגישה ל-Wi-Fi למחשבים ספציפיים באמצעות הגדרת נקודות גישה.

איך מתחילים?

  1. בקש מאיש ה-IT שלך לוודא שה- Wi-Fiשלך כולל את תוכנות האבטחה ברמה הגבוהה ביותר ושהגישה ל- Wi-Fi מוגבלת לשעות העבודה.

ו. גלוש באינטרנט בבטחה

כאשר אתה וחברי הצוות שלך גולשים באינטרנט, הפעילויות שלכם נמצאות תחת מעקב בדרכים שונות, אך באופן מצומצם, מתוחכם ובלתי מורגש. הפעילויות האלו יכולות להיאסף על ידי סוכן צד ג' ללא הסכמתך. העובדים שלך יכולים לגלוש באתרים מסוכנים שיגבנו את הנתונים שלך החברה. והמידע האישי או העסקי שלך עלול להיות בסכנה אם הוא נכנס לתוך אתרי אינטרנט על גבי חיבור לא מוצפן.

הדרך הטובה ביותר להצפין את החיבור שלך ולהבטיח את הפרטיות של העסק שלך והפרטיות האישית של העובדים שלך היא להתקין VPN. VPN, או רשתות וירטואליות פרטיות, מסווה את כתובת ה-IP של החברה שלך ומצפין את נתוני הגלישה שלך. הוא גם מעלים את הגלישה שלך, מה שעשוי להיות חשוב אם העסק שלך לעיתים קרובות מבצע מחקר על המתחרים או אם היסטוריית הגלישה המצטברת שלך עלולה לחשוף מידע קנייני למתחרים שלך.

החיסרון בשימוש ב-VPN הוא ששירותי VPN אמינים ובעלי מאפיינים עשירים עולים כסף ודורשים מנוי חודשי. אנשים רבים וחברות רבות בוחרים להשתמש בייצוג (proxy) כאלטרנטיבה. הבעיה היא שאנחנו לא בדיוק יודעים מי פועל כמייצג חינמי שזמין באינטרנט; בהחלט ייתכן שמדובר בהאקרים עצמם, או שהייצוג משמש לאיסוף מודיעין על ידי גורמים ציבוריים או פרטיים שונים. בעוד שהייצוג מסתיר את הזהות שלך והפעילות שלך מהאתרים בהם אתה מבקר, הוא בעצמו באופן פוטנציאלי יכול לראות את כל מה שאתה עושה באינטרנט. זו אחת הסיבות שאנו ממליצים להשקיע ב- VPN ולא בייצוג, עבור גלישה מאובטחת באמת.

תוכל גם לחזק את האבטחה על ידי הוספת תכונות אבטחה לדפדפן שלך. מכיוון שדפדפן Firefox הוא קוד פתוח, נוצרה עבורו קבוצה חזקה של תוספות אבטחה לאורך הזמן. אלה כוללים חוסמי מודעות רב תכליתיים, תוספי הצפנה, הגנת נתוני דפדפן, קבצי cookie, מנהלי מחבוא ועוד. לקבלת מידע נוסף, עיין ברשימה המלאה של 20 הרחבות האבטחה שלFirefox .

איך מתחילים?

  1. שקול להירשם לשירות VPN המציע פתרונות עסקיים.
  2. התחל להשתמש בדפדפן Firefox עם הרחבות אבטחה בהתאם לחברה שלך.

ז. הגן על נתונים רגישים שנוצרו על ידי עובדים מרחוק ועובדים בדרכים

עסקים קטנים רבים מעסיקים עובדים מרחוק כדי לבצע מגוון רחב של משימות. בעזרת האינטרנט, קל לבצע עבודה מול אחרים ברחבי העולם. שכירת עובדים מרוחקים כוללת יתרונות רבים: אין צורך לשכור עובדים כדי לטפל במשימה ספציפית טכנית או מונוטונית וכן, המשמעות היא שאתה גם פותח את מאגר המועמדים המתאימים. עם זאת, עבודה מרחוק כוללת כמה מכשולים מבחינת אבטחת הסייבר. ייתכן שביצעת את ההגנות שתיארנו לעיל, אבל רבות מהן אינן יעילות אם הנתונים הרגישים שלך נגישים לעובדים מרוחקים הפועלים מחוץ לרשת החברה המוגנת שלך, במיוחד אם הם משתמשים בנקודה חמה ציבורית של WiFi.

פיתרון לניהול מכשירים ניידים, כפי שתיארנו בסעיף ד.2, יכול לסייע לך לנהל את העובדים המרוחקים שלך, כמו גם את הובדים שנוסעים למטרות עסקים. חשוב מכל, עליך לוודא שככל שיש לעובדים המרוחקים גישה לנתונים הרגישים של החברה, הם ניגשים אליהם דרך הרשת המוגנת של החברה עם חיבור מאובטח.

Windows מציע תוכנה לחיבור מרחוק של שולחן העבודה, אבל זה לא מספיק כשלעצמו כדי לאבטח את הנתונים. אם אתה מסתמך על עובדים מרוחקים, ואתה לא יכול להרשות לעצמך שהנתונים ידלפו או ייגנבו, יהיה חכם להשתמש ב-VPN ספציפי שיאפשר למשתמשים מרחוק ראשית להיכנס לתוך הרשת המשרדית, ולאחר מכן להתחבר עם המכשירים שלהם באמצעות תוכנת חיבור שולחן העבודה מרחוק. זה עלול להיות מסובך, לכן כדאי שתיצור קשר עם איש ה-IT שלך כדי לבדוק אם הוא יכול להגדיר VPN במיוחד עבור רשת המשרד שלך.

איך מתחילים?

  1. בדוק את מדיניות העובדים המרוחקים שלך. איך העובדים המרוחקים ניגשים לנתוני החברה, והאם מדובר בנתונים הרגישים של החברה?
  2. דבר עם מנהל ה-IT שלך כדי להגדיר דרך בטוחה ומאובטחת לעובדים מרוחקים להתחבר לרשת הפרטית של המשרד שלך.

ח. הגן על נתוני הלקוחות שלך

זה דבר אחד אם הנתונים הרגישים של החברה שלך נאבדים או נגנבים. אבל זה עניין אחר לגמרי אם מדובר על נתוני הלקוחות שלך או שהלקוחות שלך נפגעים. כרוכות בדבר השלכות משפטיות חמורות, ולכן זה משתלם להעניק טיפול מירבי במידע הרגיש של הלקוחות שלך.

בדרך כלל, נתוני הלקוחות נמצאים במעבר דרך נקודות מרובות. אם אתה מפעיל אתר מסחר אלקטרוני או מעבד תשלומים דרך האתר שלך, המעבר הראשון של המידע הרגיש (הכולל שמות ופרטי כרטיס האשראי) הוא מדפדפן האינטרנט של הלקוח אל שרת האינטרנט של המסחר האלקטרוני. הדרך הטובה ביותר להגן על הנתונים האלו היא לוודא שהאתר שלך משתמש באישור SSL ובפרוטוקול HTTPS, לפחות בדפים שאוספים נתונים רגישים. זה יבטיח שהנתונים של הלקוח שלך יהיו מוצפנים כשהם עובדים מהשרת שלך לשלהם. אם אתה מעביר נתוני לקוח בתוך החברה, עליך להחיל את כל תוכנות האבטחה שתיארנו למעלה, במיוחד אלו שקשורות לענק לגבי אחסון והעברה.

איך מתחילים?

  1. צור קשר עם ספק המסחר האלקטרוני שלך או עם המפתחים בחברה כדי לוודא שפרטי כרטיס האשראי ויתר הפרטים הרגישים נאספים בצורה המאובטת ככל הניתן.

4. הטמע תרבות אבטחת סייבר במקום העבודה שלך

האמצעים שתוארו במדריך הזה הם מקיפים, ואם אתה עוקב אחרי הצעדים וההוראות שרלוונטיים לעסק שלך, אתה תפחית באופן משמעותי את הסיכון שלך להתקפת סייבר. כמובן, זה רק אם העסק שלך כולל רק אותך.

כל מה שנדרש הוא שעובד אחד ישלח נתוני לקוח על גבי חיבור לא מאובטח או ילחץ על קישור לא בטוח ויוריד תוכנות זדוניות, ובכך יגרום לכל מערכות האבטחה שלך ולכל המאמצים החיוביים שהשקעת לרדת לטימיון. זו הסיבה שהצעד החשוב ביותר שאתה יכול לעשות הוא לחנך את הצוות שלך לגבי חשיבותה של אבטחת הסייבר.

מהצד השני של המטבע, אם יכול להחדיר תרבות של אבטחת סייבר במקום העבודה שלך, אם אתה מסביר את מדיניות אבטחת הסייבר שלך ואת הנימוקים לה, ואם אתה מאמן את הצוות שלך לנהל את החומרה של החברה ואת הנתונים בבטחה, העובדים שלך יהפכו לקו ההגנה הראשון (והאפקטיבי ביותר) מפני התקפות סייבר.

הדרך הטובה ביותר לגרום לעובדים שלך להתחייב לתוכנית אבטחת הסייבר היא לעצב אותה בשיתוף פעולה עימם. שילובם בתוכנית יגביר את המוטיבציה שלהם ביישומה. אנשי הצוות שלך הם גם המומחים בעסק שלך, בחולשות שלו, כמו גם בנקודות החוזקה שלו. הם אלו שעובדים עם הנתונים הרגישים של החברה כל היום ולכן הם נמצאים בדיוק במקום המתאים כדי להגיד לך איפה נמצאות נקודות התורפה ואילו מערכות יש לחזק או לשפר.

התחל לקיים ישיבות קבועות עם הצוות שלך בנושאי אבטחת סייבר. זה המקום לעבוד באופן שיטתי באמצעות טכניקות אבטחה חשובות, כמו אלו שציינו לעיל. ודא שהסיסמאות וההרשאות שלהם מעודכנות ושהם משתמשים בסיסמאות שלא ניתן לפצח. ודא שהם לא משאירים סיסמאות פיזית על גבי פתקים דביקים או על גבי שולחן העבודה שלהם. הראה להם כיצד להימנע מליפול בהתקפות דיוג באמצעות דוא"ל ומהם הסיכונים של תוכנות זדוניות מאתרים מסוכנים. למד את העובדים שלך על הדרכים הרבות והמרושעות שבהן האקרים עלולים לנסות להוציא מהם מידע. עודד אותם שלא לדון במידע סודי של החברה בפומבי- אתה אף פעם לא יודע עם מי אתה עלול לדבר, ומי עלול להקשיב. הפוך את ההנחיות האלו לקלות להבנה והתמד בהם. יצרנו תדפיס שכולל שלבים פשוטים שהעובדים שלך יכולים לנקוט כדי להישאר בטוחים. אתה יכול לתלות אותו על לוח המודעות במשרד או על המקרר, או להתאים אותו באופן אישי לצרכים שלך.

עגן את עקרונות אבטחת הסייבר במדיניות כתובה, והחתם את העובדים שלך על עותק של המדיניות הזו, כדי לוודא שהם מבינים עד כמה בעיית אבטחת סייבר עלולה להיות רצינית. אתה יכול אפילו לשלב אלמנטים של אבטחת סייבר בחוזי העבודה של צוות העובדים.

מעל לכל, זכור כי איומים של אבטחת סייבר משתנים כל הזמן. האקרים כל הזמן מגיעים לדרכים יצירתיות ומתוחכמות יותר לפרוץ למערכות המחשב שלך ולגנוב את המידע שלך. התעדכן בהתפתחויות אבטחת הסייבר וכן וודא שאתה מחנך את הצוות שלך גם לגבי ההתפתחויות האלו.

איך מתחילים?

  1. תלה את תדפיס הנחיות אבטחת הסייבר שלנו על גבי לוח המודעות במשרד, ושלח אותו כ תבנית הדוא"ל הזו לכל העובדים.
  2. התחל לגבש תוכנית ישיבות בעניין אבטחת הסייבר לכל העובדים שלך.

בנימה אישית, אנחנו באמת מאמינים שהמדריך הזה יכול לעזור לך ולאנשים שאיכפת להם מהם להגן על עצמם מפני איומי סייבר. אם זה חשוב לך כמו זה חשוב לנו שהחברים שלך והקולוגות שלך לא יותקפו על ידי האקרים, עשה לנו טובה קטנה ושתף את המאמר הזה איתם בפייסבוק ובטוויטר.

 

האם זה היה מועיל? שתף את זה!
שתף בפייסבוק
0
צייץ לטוויטר
0
שתף בגוגל+ אם אתה חושב שגוגל לא יודעת מספיק עליך, גם כך
0