7 Tips Keamanan Situs Web yang Dapat Menyelamatkan Bisnis Anda Dari Pelanggaran Data
Diterbitkan: 2018-10-16Suatu hari, peretas lain mencuri beberapa juta data pelanggan dari Enormo Bank dalam pelanggaran keamanan siber perusahaan besar-besaran terbaru. Usaha Kecil dan Menengah (UKM) menertawakan diri mereka sendiri dan berterima kasih kepada langit bahwa mereka tidak cukup besar untuk diperhatikan oleh peretas. Jika itu pola pikir Anda, kami ingin menjadi yang pertama memberi tahu Anda bahwa persepsi Anda salah. Sangat salah.
Kenyataannya, menurut Komite Bisnis Kecil Kongres AS, adalah bahwa 71% penuh pelanggaran keamanan online ditargetkan pada perusahaan dengan kurang dari 100 karyawan. Katakan apa? Anda membaca dengan benar, jadi jika pola pikir "kami terlalu kecil untuk diganggu orang jahat" meresapi UKM Anda, sekarang mungkin saat yang tepat untuk meletakkan minuman energi, duduk tegak, dan memperhatikan ini. 7 Tips Keamanan Situs Web yang Dapat Menyelamatkan Bisnis Anda dari Pelanggaran Data.
Anda akan senang melakukannya.
#1 Firewall Bukan Hanya Ide Bagus
Jika Anda tidak memasang firewall di jaringan Anda, sebaiknya Anda masuk ke web gelap sekarang juga dan memposting semua kata sandi Anda agar dapat ditemukan oleh peretas yang lewat. Kenyataannya adalah Anda harus mempertimbangkan firewall sebagai garis pertahanan pertama Anda dalam melindungi data pelanggan. Sebagai tinjauan singkat, firewall adalah sistem keamanan – baik perangkat keras atau perangkat lunak – yang memantau aliran data antara jaringan internal Anda dan internet dan menyaring aktivitas mencurigakan berdasarkan aturan keamanan yang telah ditentukan.
Ada tiga area yang harus dikonsentrasikan saat memasang firewall.
Firewall Eksternal: Jenis firewall ini biasanya ditemukan sebagai bagian dari router atau server. Itu berada di luar jaringan perusahaan Anda dan mencegah semua jenis upaya peretas untuk mencapai sistem Anda sejak awal. Jika Anda tidak yakin apakah Anda memilikinya atau tidak, hubungi host web Anda dan ajukan beberapa pertanyaan.
Firewall Internal: Jenis firewall ini berbentuk perangkat lunak yang diinstal di jaringan Anda. Meskipun melakukan peran yang mirip dengan firewall eksternal, yaitu memindai virus, malware, dan kejahatan dunia maya lainnya, ia juga harus diatur untuk mengelompokkan jaringan sehingga virus, peretasan, dan sejenisnya dapat dengan cepat dikarantina dan menyebar. terbatas sebelum menginfeksi seluruh sistem.
Area ketiga yang harus diperhatikan adalah terkait dengan karyawan yang bekerja dari rumah yang mengakses jaringan perusahaan. Keamanan Anda secara keseluruhan hanya sebagus tautan terlemah. Akan lebih baik jika Anda membayar untuk perlindungan firewall dalam kasus seperti itu.
Firewall secara intrinsik terkait dengan pengaturan hosting situs web/jaringan Anda. Untuk beberapa dolar tambahan biaya per bulan, Anda mungkin mempertimbangkan meninggalkan hari-hari shared hosting dan upgrade ke sesuatu yang lebih kuat, baik dedicated server atau server pribadi virtual yang memungkinkan kontrol lebih besar atas konfigurasi keamanan tertentu.
#2 Amankan Perangkat Pintar itu
Survei Tech Pro pada tahun 2016 menemukan bahwa 59% bisnis mengikuti kebijakan Bring Your Own Device (BYOD). Itu banyak jalan yang berpotensi tidak aman ke dalam jaringan perusahaan yang berkeliaran di sekitar aula dan kantor. Jelas, menyilangkan jari Anda dan berharap tidak ada orang jahat yang memperhatikan kegagalan keamanan besar-besaran ini bukanlah kebijakan yang baik, jadi apa yang akan Anda lakukan? Pada titik di Era Informasi ini, upaya untuk menjauhkan perangkat pribadi seperti ponsel cerdas, tablet, pelacak kebugaran, dan jam tangan pintar dari tempat kerja kemungkinan akan mengakibatkan pemogokan skala penuh dari seluruh tenaga kerja Anda.
Inilah yang harus dilakukan.
Buat kebijakan keamanan yang berlaku khusus untuk perangkat pribadi. Beri tahu karyawan bahwa BYOD boleh saja tetapi mereka harus – ulangi dengan huruf kapital untuk penekanan – HARUS mematuhi aturan yang menjamin keamanan jaringan. Dua langkah khusus yang harus diambil adalah:
- Mengharuskan semua perangkat pribadi diatur untuk secara otomatis memeriksa dan menginstal pembaruan keamanan.
- Mengharuskan semua perangkat pribadi mematuhi kebijakan kata sandi perusahaan. Anda memiliki kebijakan kata sandi, bukan? Ini cukup penting. Kami akan berbicara tentang mengapa dalam sedikit.
Jika Anda mulai merasa seperti Grinch dengan semua persyaratan ini, tanyakan pada diri Anda sendiri. Apakah saya lebih suka mengganggu beberapa karyawan dengan pedoman keamanan dunia maya yang ketat atau membiarkan aset bisnis saya yang paling berharga, data pelanggan, keluar dari pintu? Itu yang kami pikirkan.
#3 Satu Manual Keamanan Untuk Mengatur Mereka Semua
Seperti disebutkan, UKM saat ini sering menganggap data sebagai aset bisnis yang paling berharga. Seorang karyawan yang rentan terhadap kecerobohan dengan kata sandi atau yang mengadopsi sikap serampangan terhadap penyaringan visual semua email untuk upaya phishing benar-benar dapat melumpuhkan bisnis Anda. Sebuah kata untuk orang bijak. Pelanggan bisa sangat tak kenal ampun dan ragu-ragu untuk lebih menggurui perusahaan yang dianggap bermain cepat dan longgar dengan informasi pribadi mereka. Jika perusahaan Anda memerlukan layanan profesional, pengembang perangkat lunak keamanan mungkin merupakan pilihan yang baik.
Sekarang, lebih dari sebelumnya, pelatihan untuk mencegah pelanggaran keamanan online harus ditanggapi dengan serius oleh manajemen dan setiap karyawan mulai dari veteran yang paling beruban hingga pemula yang tidak tahu apa-apa. Anda harus memiliki manual kebijakan tercetak yang merinci protokol yang harus diikuti dan akibat jika tidak mengikutinya hingga dan termasuk pemecatan. Seperti yang mungkin Anda perhatikan, penjahat dunia maya adalah banyak yang cerdas. Mereka selamanya menguji pertahanan Anda dan menciptakan cara baru untuk menembus jaringan Anda baik melalui teknologi, tipu daya, atau kombinasi keduanya.
Manajer dan pemilik UKM berkewajiban untuk memperbarui manual secara teratur sesuai dengan praktik terbaik pada saat itu, serta mencurahkan waktu yang cukup untuk memberikan pendidikan yang sesuai selama proses orientasi karyawan baru. Jika Anda ingin upaya ini dianggap serius, dan memang seharusnya demikian, ANDA harus menganggapnya serius. Paling tidak, setiap karyawan yang mengakses jaringan perusahaan untuk alasan apa pun harus benar-benar memahami cara menjaganya agar tetap aman. Sebagian besar keamanan ini terletak pada topik keamanan kata sandi, yang cukup penting untuk mendapatkan kategorinya sendiri.
#4 Jika Anda Tidak Melakukan Hal Lain, Miliki Kebijakan Kata Sandi yang Kuat
Berikut adalah beberapa statistik yang menjelaskan secara tepat mengapa UKM mungkin memiliki masalah dalam hal keamanan siber.
- Laporan Verizon 2016 menemukan bahwa 63% pelanggaran data disebabkan oleh kata sandi yang lemah, hilang, atau dicuri. Ini adalah sebuah masalah.
- Laporan Ponemon Institute mengklaim bahwa 65% perusahaan dengan kebijakan kata sandi tidak menerapkannya. Ini adalah masalah yang lebih besar.
Di mana kita bahkan mulai dengan ini? Ya, karyawan akan mengeluh ke langit yang tinggi jika Anda meminta mereka untuk membuat kata sandi yang lebih kompleks daripada "1234" dan mengubahnya secara teratur tetapi, dengan risiko terdengar seperti kaset rusak, apakah Anda lebih peduli dengan gangguan kecil pada pekerja atau pengambilalihan jaringan Anda oleh kekuatan musuh? Jika Anda mengatakan yang pertama, kami ingin dengan sopan menyarankan Anda untuk segera menjual bisnis Anda.
Keamanan kata sandi membutuhkan bagiannya sendiri dalam manual keamanan dan praktik terbaik harus diikuti. Ini berarti Anda harus membutuhkan:
- Kata sandi diubah setiap 60-90 hari
- Kata sandi setidaknya terdiri dari 8 karakter tetapi lebih panjang lebih baik
- Kata sandi termasuk huruf besar dan kecil, angka, dan karakter khusus
Untuk meninjau kembali nomor sebelumnya, setelah Anda mengalami kesulitan membuat kebijakan kata sandi yang kuat, jangan menjadi bagian dari 65% yang tidak menerapkannya. Itu hanya konyol.
Pengelola Kata Sandi: Kami tidak ingin meninggalkan bagian ini tanpa menyebutkan pengelola kata sandi. Tersedia sebagai perangkat lunak yang diinstal, layanan cloud, atau bahkan perangkat fisik, program ini membantu Anda membuat dan mengambil kata sandi yang rumit. Itu melakukan apa yang diklaim namanya, yaitu mengelola kata sandi Anda, dan tampaknya sebagian besar dari kita dapat menggunakan bantuan di bidang itu.
Baca lebih lanjut tentang tindakan pencegahan keamanan online teratas (dan murah) ini dari Consumer Reports.
#5 Cadangan? Sekarang lebih dari sebelumnya
Anda telah memutuskan untuk mengikuti setiap saran kami sejauh ini dengan tepat, tepat, dan lengkap, tanpa penyimpangan. Anda sekarang dapat bernapas lega karena jaringan perusahaan Anda tidak dapat diganggu gugat. Mengapa tidak bersandar dan menopang kaki Anda? Inilah mengapa tidak. Terlepas dari niat terbaik Anda dan seluruh staf Anda, setidaknya ada kemungkinan peretas masih akan berhasil menyelinap masuk dan membuat keributan. Seperti yang kami katakan, pria dan wanita ini adalah sekelompok pintar yang berdedikasi untuk kejahatan kriminal. Begitu masuk, mereka dapat melakukan berbagai kerusakan mulai dari merekam penekanan tombol kata sandi hingga menggunakan sumber daya Anda untuk meluncurkan serangan bot habis-habisan hingga membersihkan server Anda.
Pada saat itu, Anda akan berharap dapat memutar kembali sistem ke titik waktu sebelumnya sebelum peretas memasukkan tangannya ke dalam campuran. Anda telah secara teratur mencadangkan semuanya ke cloud dan bahkan menyimpan salinan lain di lokasi yang jauh secara fisik, bukan, karena kebakaran dan banjir sering terjadi? Jika Anda tidak melakukannya sekarang, pikirkan baik-baik untuk mencadangkan dokumen pengolah kata, spreadsheet, database, catatan keuangan, file HR, dan piutang/hutang.
Dengan layanan pencadangan cloud yang semakin terjangkau setiap hari, tidak ada alasan untuk tidak menerapkan strategi pencadangan komprehensif yang memungkinkan Anda mengembalikan sistem ke status operasional dengan cepat jika terjadi penetrasi jaringan. Kecuali jika Anda suka merekonstruksi setiap file yang Anda gunakan dari memori…
#6 Anti-Malware Bukan Opsional
Oke, memilih untuk menginstal anti-malware IS opsional atau tidak. Sebaliknya, kita seharusnya mengatakan bahwa memutuskan secara negatif adalah ide yang buruk. Anti-malware melindungi dari serangan phishing, yang telah menjadi salah satu taktik favorit yang digunakan oleh peretas karena satu alasan – mereka bekerja seperti pesona. Sebagai bukti, kami kembali ke laporan Verizon 2016. Menurut survei ini, 30% karyawan telah membuka email phishing, naik 7% dari tahun sebelumnya!
Untuk ditinjau, phishing adalah teknik yang digunakan peretas untuk mengirim email yang dimaksudkan untuk menarik karyawan agar denting pada tautan di dalamnya. Mengambil umpan memicu instalasi malware di jaringan dan peretas masuk. Itu hal yang buruk. Garis pertahanan pertama melawan phishing adalah melatih karyawan Anda untuk tidak mengklik apa pun di email kecuali mereka sangat yakin itu sah.
Mempertimbangkan bahwa 30% karyawan pada dasarnya mengundang peretas ke dalam jaringan, anti-malware adalah pilihan terbaik Anda untuk mencegat dan mematikan instalasi perangkat lunak jahat sebelum dapat diselesaikan. Berikan perhatian khusus kepada karyawan di posisi yang disukai peretas: CEO, asisten admin, tenaga penjualan, dan SDM. Ini telah terbukti menjadi target yang sangat populer karena mereka sering memiliki akses ke bagian bawah yang lembut dari bagian terbaik dari jaringan.
Tapi jangan membuat kesalahan dengan menganggap semua orang kebal. Setiap karyawan yang memiliki akses ke bagian mana pun dari jaringan adalah target potensial.
Otentikasi Multi-Faktor #7 – Dengan Cepat Menjadi Praktik Terbaik
Dalam beberapa tahun terakhir, otentikasi multi-faktor (MFA) telah muncul sebagai titik terang di radar mereka yang peduli dengan keamanan jaringan mereka. Ya, ini mungkin sedikit merepotkan tetapi ini adalah cara yang hampir gagal-aman untuk mengamankan proses login. Ada banyak permutasi dari proses yang tepat, tetapi inilah cara login satu perusahaan:
- Pengguna memasukkan kata sandi dengan cara tradisional dengan mengetikkannya ke prompt sistem
- Kata sandi satu kali kedua dibuat dan dikirim ke ponsel pengguna
- Pengguna dibawa ke halaman login terakhir di mana dia memasukkan kode dari ponsel mereka
- Masuk ke jaringan diberikan
Cara yang lebih mudah untuk menerapkan MFA adalah dengan membuat nomor ponsel karyawan berfungsi sebagai login kedua. Pemikiran di sini adalah bahwa peretas sangat tidak mungkin memiliki akses ke login pertama dan nomor ponsel. Lapisan perlindungan ekstra ini relatif mudah diaktifkan di sebagian besar sistem dan sangat meningkatkan keamanan kata sandi.
Sebagian besar pekerjaan perintis di bidang ini berasal dari Google, yang baru-baru ini menyelesaikan peregangan selama setahun di mana tidak satu pun dari 85.000 akun Gmail mereka diretas. Mereka melakukannya melalui penggunaan kunci keamanan fisik yang disebut Titan yang dihubungkan ke port USB. Bahkan dengan nama pengguna dan kata sandi, seorang peretas tidak dapat masuk lebih jauh ke dalam akun tanpa memiliki akses fisik ke kuncinya.
Pikiran Akhir
Ide Gambaran Besarnya adalah bahwa mereka yang terlibat dalam SMB harus ingat bahwa keamanan situs web dan jaringan tidak melibatkan perubahan besar dan kemudian tidak perlu khawatir tentang penjahat cyber lagi. Ini adalah proses berulang di mana garis gawang terus bergerak maju setiap kali Anda mengambil langkah ke arah itu. Tidak ada proses mengatur dan melupakan. Orang jahat tidak pernah berhenti menguji dan belajar, menjadi lebih canggih dengan upaya mereka, jadi Anda juga tidak bisa. Saat ini perusahaan harus mematuhi peraturan privasi data, sehingga memiliki sistem tata kelola data juga akan memastikan bahwa semua data yang digunakan dikumpulkan dan dikelola dengan cara yang benar.
Jika Anda belum melakukannya, baik Anda atau seseorang yang Anda tunjuk harus mengawasi denyut nadi industri keamanan siber untuk mencatat metode serangan dan pencegahan baru yang muncul. Di dunia di mana lawan Anda tidak pernah berhenti belajar, Anda juga tidak mampu melakukannya. Jika Anda peduli dengan bisnis Anda, berpuas diri bukanlah pilihan untuk memastikan jaringan dan data pribadi Anda tetap seperti itu, pribadi.
