Perché le piccole e medie imprese dovrebbero preoccuparsi della sicurezza?

Naviga le tue risposte
7

Pretesto

Non sono un esperto di sicurezza, solo un web dev con un interesse per la "sicurezza". Sono stato incaricato dal mio datore di lavoro di tenere un discorso interno sulla sicurezza (in particolare sulla sicurezza delle applicazioni Web) e sul perché è importante per le PMI.

Riflettendo sulla mia motivazione, mi sono reso conto che questo particolare argomento mi interessa perché:

  1. Trovo affascinante l'aspetto tecnico
  2. È la cosa giusta da fare
  3. Non voglio diventare pegno (dignità professionale)

Che è tutto bello e dandy, ma non qualcosa di cui la commissione sarà terribilmente impressionato. Di conseguenza, il discorso dovrebbe concentrarsi sull'impatto commerciale della sicurezza per le PMI.

Ho pensato di incorporare alcuni argomenti spesso ascoltati:

  • "La sicurezza è solo per i settori finanziario / medico / assicurativo"
  • "Siamo troppo piccoli per essere notati dagli hacker"
  • "Non c'è niente da ottenere da noi - i nostri dati non sono interessanti"
  • "Non memorizziamo dati di carte di credito o altri dati sensibili"
  • "Anche se un account viene violato, non c'è davvero niente che puoi fare con esso"
  • "Non penso che nessuno sia interessato a ciò che l'utente X ha fatto sulla nostra piattaforma"
  • "Non c'è valore aziendale in sicurezza"
  • "Dobbiamo concentrarci sull'implementazione di nuove funzionalità per i nostri utenti"
  • "Siamo magri e il codice che non guadagna è spreco"
  • "Se lo rendiamo troppo complicato, gli utenti andranno invece ai nostri concorrenti"
  • "Adobe è stato violato e la gente li ama ancora"
  • "La probabilità che questo accada è così bassa, non possiamo giustificare la spesa di risorse su di esso."

Alcuni di questi possono essere sciocchi, ma altri sollevano la questione del valore aziendale della sicurezza, sono perfettamente validi. Sfortunatamente, questi sono i più difficili per me da rispondere, perché francamente non conosco la risposta. Mi sento come posso google fino a quando le mucche non tornano a casa e non ottengono altro che piazzole di vendita e banalità come "Il tuo sito web è il tuo biglietto da visita virtuale e vuoi fare una buona impressione."

Alcune note che ho fatto finora:

  • Le piccole imprese sono infatti prese di mira molto, perché sono "frutti a basso impatto"
  • Un utente malintenzionato potrebbe non conoscere nemmeno la tua attività, ad es. se il malware è installato con un gestore delle dipendenze
  • Tutti i dati sono interessanti se hai uno scopo
  • Gli hacker non si preoccupano della tua piattaforma e molto probabilmente a loro non importa cosa l'utente stia facendo su quella piattaforma. Sono interessati ai dati dell'utente memorizzati (PII, testo in chiaro o credenziali con hash poveri, indirizzi e-mai, ecc.)
  • I vettori di attacco potrebbero includere diversi obiettivi e la tua piattaforma potrebbe essere solo un piccolo pezzo in un piano più grande
  • Conformità con legislatori e potenziali partner commerciali
  • Il valore aziendale della sicurezza può essere quantificato dopo che è avvenuta una violazione (ad esempio il numero di clienti persi)
  • "Lean" viene dall'industria automobilistica e hanno un sacco di regole da seguire
  • Sicurezza come elemento di differenziazione (distinguersi e creare fiducia con i clienti)

TL; DR - Domande effettive

Non mi aspetto che qualcuno possa rispondere a tutte queste domande. Sto solo cercando qualche input e forse alcuni suggerimenti nella giusta direzione. Il discorso non avverrà prima del terzo trimestre del 2019, quindi c'è ancora del tempo per fare ricerca.

  1. La grande domanda che richiede una risposta è "Perché le PMI dovrebbero preoccuparsi della sicurezza (dell'applicazione)?"
  2. La sicurezza, alla fine della giornata, è semplicemente la gestione dei rischi?
posta jgxvx 16.12.2018 - 16:32
fonte

4 risposte

5
  1. Ogni azienda, indipendentemente da ciò che fa o quanto è grande, viene eseguita su informazioni
  2. Le informazioni hanno un valore per l'azienda, quindi l'azienda deve proteggere la disponibilità e l'integrità di tali informazioni
  3. L'informazione ha valore per gli altri; i tuoi clienti, i tuoi dipendenti, i tuoi partner commerciali e ha valore per gli altri che possono sfruttarli a proprio vantaggio, in modo che le informazioni debbano essere protette in modo che le persone non possano usarle per causare danni
  4. Ogni azienda deve garantire che le informazioni siano utilizzate nel modo giusto e al momento giusto, in modo che i clienti, i dipendenti e i partner ottengano i benefici di cui hanno bisogno

Questi quattro punti indicano che devono esserci processi e formazione per garantire che il massimo beneficio derivino dalle informazioni e l'impatto minimo si verifica quando qualcosa va storto. Chiamiamo questa "sicurezza delle informazioni". La sicurezza delle informazioni non riguarda la tecnologia e non si tratta di "hacker". Si tratta della corretta gestione delle informazioni per la vita delle informazioni e del business.

I processi di sicurezza delle informazioni non sono nuovi. Le aziende di ogni dimensione devono gestire tutte le risorse allo stesso modo. In effetti, puoi sostituire la parola "informazioni" con "risorsa" nei quattro punti sopra, e le imprese non saranno sorprese. Le informazioni sono importanti quanto le attività di un'azienda perché le informazioni sono il bene più importante.

    
risposta data 16.12.2018 - 17:58
fonte
4

Penso che la domanda sia troppo ampia quindi coprirò solo quello che ritengo sia l'aspetto principale:

Is security, at the end of the day, simply risk management?

Questo è quello che è. Esistono diversi rischi rilevanti per le PMI che vengono risolti dalla sicurezza delle informazioni, ad esempio:

  • Il ransomware potrebbe comportare l'impossibilità di accedere a dati o sistemi che sono fondamentali per il business. I backup mancanti o errati potrebbero causare problemi simili.
  • La competizione potrebbe avere accesso a dati segreti e potrebbe usarli a proprio vantaggio, ad esempio offrire un'offerta alle aziende o rubare idee e ottenere più velocemente sul mercato con questi. La competizione non ha bisogno di essere esperti di sicurezza per ottenere questo tipo di accesso dal momento che gli hacker che praticano lo spionaggio o il sabotaggio possono essere assunti.
  • L'inavvertitamente parte di una botnet che invia spam potrebbe causare il blocco della posta proveniente dalla società dai server di posta di clienti o partner, perdendo così la capacità di comunicare correttamente.
  • Se i dati dei clienti sono influenzati da un problema di sicurezza, ciò potrebbe comportare la perdita di clienti, la sanzione e problemi con l'ottenimento di un fornitore di servizi di pagamento per condizioni accettabili.
  • e probabilmente di più ...

Pertanto, non affrontare i rischi risulterà probabilmente in una perdita di attività e una perdita di denaro. D'altro canto, affrontare il rischio richiederà anche tempo e denaro, quindi è necessario trovare un modo per bilanciarli e determinare quale sia il rischio accettabile. Ma per fare questo bisogna prima valutare quali sono i rischi specifici per la società.

    
risposta data 16.12.2018 - 17:44
fonte
1

L'IT è solo uno strumento e dovrebbe essere considerato come qualsiasi altro strumento, né più né meno. Presumo che la porta dell'ufficio sia chiusa di notte, ma probabilmente non ci sono squadre di guardie armate dietro di esso. Ma potresti avere una cassastrong in ufficio per i documenti più importanti o per i valori. Ciò significa che la sicurezza fisica deve essere adattata a un livello di rischio con un rapporto costo / valore.

Nulla è diverso con la sicurezza IT. Solo ignorarlo sarebbe come lasciare la porta dell'ufficio aperta di notte: chiunque potrebbe entrare e rubare o distruggere le cose. D'altra parte, sarebbe inutile impostare un livello troppo alto perché non ne vale la pena, proprio come fare in ufficio una copia di Fort Knox.

La cattiva notizia è che non puoi evitare un'analisi del rischio minima: cosa è importante nel tuo sistema informativo, quali sono i rischi da proteggere e qual è il costo relativo in termini di denaro e utilizzo .

    
risposta data 17.12.2018 - 11:41
fonte
1

Pochi pensieri:

  • La sicurezza è un aspetto della Qualità . Un bel riassunto è qui
  • La sicurezza è associata a Privacy (pensa al ripudio, alla conformità, alle richieste dei clienti ecc.)
  • La sicurezza non riguarda solo le tecnologie, è principalmente Processi e Persone . Quindi è necessario concentrarsi sui propri processi lavorativi / aziendali (ad es controlli la sicurezza, con quale frequenza ripristini le password, chi può vedere i registri ecc.) e le persone (ad es. consapevolezza della sicurezza, formazione ecc.)
risposta data 17.12.2018 - 12:06
fonte

Leggi altre domande sui tag

Controllo della sicurezza mentale Qual è la differenza tra le normali vulnerabilità XSS e Dom XSS? [duplicare]