Violação de dados para pequenas empresas: atenuando os danos

Embora as violações de dados em varejistas gigantes como Target e TJ Maxx ganhem destaque, é um cenário tão realista para as pequenas empresas - e os ataques nesse nível podem ser muito mais devastador. Especialistas dizem que os proprietários de pequenas empresas que não fazem da proteção de informações pessoais dos clientes uma prioridade máxima podem se encontrar fora de operação em breve.

"Não sei como as pequenas e médias empresas podem sobreviver a algo dessa magnitude". Will Pelgrin, presidente e diretor executivo do Center for Internet Security, disse ao Mobby Business

Jefff Kosc, sócio do escritório de advocacia Benesch, Friedlander, Coplan e Aronoff LLP, disse que empresas que comprometem os dados pessoais dos clientes, como Os números de cartão de crédito e da Previdência Social enfrentam uma infinidade de custos, nem todos têm um valor exato em dólares.

Um dos maiores custos vem das empresas de cartões de crédito e débito, que, segundo Kosc, têm amplos poderes e direitos em situações de violação de dados, especialmente se foi descoberto que a empresa não estava cumprindo os regulamentos da indústria de cartões de pagamento (PCI). Os regulamentos do PCI governam as medidas de segurança específicas que devem ser cumpridas pelas empresas que aceitam cartões de crédito e débito.

"Se houver uma violação do PCI, eles terão direito a multas nos comerciantes", disse Kosc sobre o crédito e débito empresas de cartões. "Eles também têm direito, sob esses acordos, de cobrar quaisquer cobranças fraudulentas que ocorram no cartão de alguém como resultado da violação de dados."

Além de reembolsar as empresas de cartão de crédito, as empresas incorrem em custos associados a alertar os consumidores sobre a violação de dados. violação, pagando por seus serviços de monitoramento de crédito, investigando como a violação ocorreu e tomando medidas adicionais para garantir que isso não aconteça novamente.

Pesquisas recentes do Ponemon Institute e da Symantec estimam que as empresas custam US $ 188 por registro perdido. Kosc disse que muitas empresas nessas situações também enfrentam uma perda de produtividade porque os funcionários estão mais focados em limpar a bagunça do que em suas responsabilidades normais no dia-a-dia. Você está afastando todos de suas tarefas normais de trabalho. para lidar com uma violação de dados ", disse ele.

Dependendo do escopo da violação, Kosc disse que as empresas também enfrentam multas potenciais da Comissão Federal de Comércio. Ele apontou para TJ Maxx como um exemplo, que foi forçado a pagar mais de US $ 9 milhões em multas para mais de 40 diferentes procuradores gerais após sua violação em 2007.

Além dos custos difíceis, as empresas também sofrem danos potencialmente inestimáveis à sua reputação e confiança

"Há uma comunidade de pessoas que têm um relacionamento de confiança com você e que pode ser comprometida", disse Pelgrin. "Como você se recupera de tudo isso pode ser muito difícil."

Protegendo o seu negócio

Um problema é que muitos pensam que, devido ao seu tamanho, as pequenas empresas não são alvo de cibercriminosos.

"Nós tendem a pensar que isso não acontecerá conosco porque somos muito pequenos e que eles realmente estão olhando para as maiores (empresas), e esse não é o caso ", disse ele. "Todos estão sob constante ataque neste momento."

Como os cibercriminosos se tornaram tão eficazes nos últimos anos, Pelgrin disse que, mesmo com as melhores medidas de segurança, não há garantias de que as empresas estarão seguras.

" não é uma bala de prata por aí ", disse Pelgrin. "O melhor que você pode fazer é ser o mais diligente e vigilante possível para garantir que você tenha feito tudo ao seu alcance para ser o mais seguro possível."

Para proteger os dados do consumidor o máximo possível, Pelgrin aconselha as empresas a execute várias etapas:

Conheça seu ambiente

: isso significa fazer um inventário de todo o hardware e software que você possui, bem como qual versão cada um está executando. Para se proteger, você precisa saber exatamente o que possui. "Quais são seus ativos, como é sua infraestrutura, como é sua rede?" Pelgrin disse. "Pode haver uma vulnerabilidade conhecida e você pode nem pensar que está dentro da sua infraestrutura e, sem o seu conhecimento, ela pode estar totalmente ativada em toda a sua infraestrutura e, portanto, tornando você muito vulnerável a um ataque."

• Proteja seu ambiente : leve seu hardware, software e rede ao mais alto nível de segurança. Pelgrin disse que quando as pequenas empresas compram hardware e software novos, nem sempre têm as mais recentes medidas de segurança. Ele disse que é fundamental que as empresas verifiquem cada equipamento e baixem os últimos patches de segurança. Além disso, ele disse que todas as configurações de segurança devem ser mostradas o máximo possível sem prejudicar as operações.
• Controle seu ambiente : Pelgrin disse que é imperativo que as empresas não dêem acesso total a todos os seus funcionários. sua rede e dados. Ele disse que os funcionários não devem ter acesso a níveis mais altos de administração, então eles precisam e não devem ter permissão para baixar o que quiserem de onde quiserem. "A maioria de seus funcionários não deve ter acesso administrativo completo às suas máquinas", disse Pelgrin. "Esse acesso administrativo deve ser limitado a poucos indivíduos confiáveis." Além disso, as empresas querem garantir que as empresas e fornecedores com os quais estão trabalhando também tenham altos níveis de segurança. Pelgrin disse que é fundamental ter a documentação das organizações de quem você terceiriza partes da sua empresa para exatamente quais medidas de segurança elas têm em vigor. "Ele precisa atender aos padrões do que você empregaria internamente", disse ele.
• Monitore seu ambiente : Isso envolve um autodiagnóstico constante dos sistemas e da rede para garantir que eles estejam agindo e funcionando como deveriam. "Você não precisa ser um especialista em cibernética para saber que algo está errado", disse Pelgrin. "Seu instinto é um ótimo primeiro sinal de que algo pode estar errado, e então você precisa procurar aqueles que têm experiência para ajudar a diagnosticar se, de fato, você foi vítima de um incidente cibernético."
• Pelgrin também incentiva empresas dedicar tempo todo mês para treinar os funcionários sobre a importância da segurança cibernética e como eles podem se certificar de que não estão contribuindo para vazamentos. "Você quer tornar isso real para os funcionários e a única maneira de fazer isso é falar sobre e pratique-o ", disse ele.

Kosc acredita que um passo fundamental para manter é ter alguém na organização cuja principal responsabilidade é a segurança.

" Precisa ser algo que esteja na mente de alguém todos os dias, porque essa é a sua trabalho ", disse ele.

Mitigando o dano

Kosc disse que as empresas devem ter uma estratégia clara sobre como lidar com uma violação, já que muitos especialistas acreditam que não é uma questão de se - mas quando - acontecer.

"Você quer ter um plano em prática antes que algo assim aconteça", disse Kosc. "Então, quando um evento acontece, você sabe o que fazer e como limitar a responsabilidade, tanto quanto possível."

Parte desse plano é saber a quem pedir ajuda. Pelgrin disse em tempos de crise, que você não quer ter que gastar tempo tentando descobrir quem pode ajudá-lo.

"Você quer ter esses relacionamentos na frente e no lugar", disse Pelgrin. uma fonte relativamente nova de ajuda para empresas. Nos últimos anos, muitos começaram a oferecer seguro de violação de dados.

Lynn LaGram, vice-presidente assistente de subscrição comercial do The Hartford, disse que oferece seguro de violação de dados desde 2011, e sua cobertura vem em duas partes.

O primeiro cobre a despesa de resposta e pode pagar por coisas como notificar clientes após a ocorrência de uma violação, configurar o monitoramento de crédito para clientes afetados, contratar uma empresa de relações públicas para ajudar a reparar danos à reputação e contratar especialistas jurídicos e forenses para avaliar se uma quebra ocorreu e de onde veio.

LaGram disse através do The Hartford, as empresas podem obter entre US $ 10.000 e $ 100,00 em cobertura de resposta.

A segunda parte cobre as despesas que pequenas empresas podem enfrentar em caso de processos judiciais. contra eles por parte de consumidores que tiveram informações roubadas.

"Isso abrange as sentenças civis, acordos ou julgamentos que o pequeno empresário seria legalmente obrigado a pagar em res de uma violação de dados ", disse LaGram.

Kosc disse que a maioria dos processos civis movidos contra empresas que perderam dados foram ineficazes neste ponto, porque em muitas dessas situações os consumidores não podem provar que os ladrões usaram suas informações roubadas de qualquer forma. Até agora, que foram bem sucedidos, porque eles têm que ser capaz de mostrar um dano real ", disse Kosc. "Até que você possa fornecer uma lesão real foi sofrida, (um tribunal) não pode conceder-lhe danos."

Enquanto as pequenas empresas foram inicialmente lento para adotar o seguro de violação de dados, LaGram disse mais deles - especialmente à luz do último casos de alto perfil do ano - foram adicionando-o ao seu arsenal de proteção.

"Violação de dados é uma das nossas coberturas opcionais mais vendidas", disse ela.

Reparando reputação

Para as empresas começarem a reparar sua reputação e reconstruindo a confiança após uma violação de dados, Pelgrin disse que é imperativo que eles sejam sinceros com os clientes quando isso acontecer, independentemente do que as leis estaduais possam ditar. "Eu acredito muito nisso, não é se coisas ruins acontecem, mas como você reagir quando as coisas ruins acontecem ", disse ele. "Isso mostra a qualidade da empresa e isso mostra a qualidade dos indivíduos que trabalham para aquela empresa."

Pelgrin disse que a última coisa que uma empresa quer que aconteça é que a violação seja divulgada seis meses depois. ocorreu e os clientes acham que não fizeram nada a respeito, porque não precisaram.

"Então você está em uma posição de tentar justificar por que você manteve essa informação", disse Pelgrin.

A chave é alertar os clientes tão rapidamente quanto a informação sobre a violação é concreta.

"Você não quer colocar medo nas pessoas", disse Pelgrin. "Você realmente precisa saber o que aconteceu então quando você dá a informação, é muito claro que é isso que sabemos, foi o que aconteceu e é isso que recomendamos para mitigá-la."

LaGram disse que as pequenas empresas precisam entender que isso, sem dúvida, poderia acontecer com eles. “Os donos de pequenos negócios são direcionados a um ritmo muito mais alto do que as operações maiores, porque são mais fáceis de penetrar”, disse ela. "É muito fácil que isso aconteça em um cenário de pequenas empresas."

Originalmente publicado no Mobby Business.

Revisão do Laptop Dell Latitude E7450: É bom para os negócios?

Com um teclado topo de gama, bom desempenho e um design atraente e leve, o novo Latitude E7450 da Dell pode funcionar facilmente com os melhores negócios cadernos por aí. A partir de US $ 1.000, a máquina de 14 polegadas também oferece várias vantagens para os usuários corporativos, incluindo grande segurança e um bastão apontador para navegação precisa pelo mouse.

(O negócio)

4 Maneiras de reclamar sobre o seu trabalho nas mídias sociais vão sair pela culatra

Você viu no Facebook algumas longas horas gastas no escritório, tweets sobre uma discussão recente com um colega de trabalho ou um colega de trabalho trabalhos. Embora possa ser comum, também é pouco profissional postar sobre sua vida profissional em suas contas pessoais de mídia social. "Sua vida profissional e pessoal pode se sobrepor, mas é melhor definir algumas linhas rígidas que você não pode cruzar", disse Courtney.

(O negócio)