中小企業がセキュリティを気にする必要があるのはなぜですか?
口実
私はセキュリティの専門家ではなく、「セキュリティ」に関心を持つWeb開発者です。私は雇用主から、セキュリティ(具体的にはWebアプリケーションのセキュリティ)と、SMBにとってなぜそれが重要なのかについて社内で話すように命じられました。
私の動機を振り返って、この特定の主題が私に興味を持っていることに気づきました。
- 技術的な面は魅力的だと思います
- それは正しいことです
- 私は悪質になりたくない(専門家としての尊厳)
それはすべて上手くてダンディですが、ボードがひどく印象づけられるものではありません。したがって、この講演では、SMBのセキュリティがビジネスに与える影響に焦点を当てる必要があります。
私はよく聞かれるいくつかの議論を組み込むことを考えてきました:
- 「セキュリティは金融/医療/保険セクターのみに適用されます」
- 「私たちはハッカーに気づかれるには小さすぎます」
- 「私たちから得るものは何もありません。私たちのデータは興味深いものではありません。」
- 「私たちはクレジットカードのデータや賢明なものを保存しません」
- 「アカウントがハッキングされたとしても、それを使ってできることは何もない」
- 「ユーザーXが私たちのプラットフォームで行っていることに誰も興味がないと思います」
- 「セキュリティにはビジネス上の価値はない」
- 「代わりにユーザーのために新機能の実装に集中する必要がある」
- 「無駄がなく、お金にならないコードは無駄です」
- 「これを複雑にしすぎると、ユーザーは代わりに競合他社に行きます」
- 「アドビはハッキングされており、人々は今でもそれを愛している」
- 「これが発生する可能性は非常に低いので、それにリソースを費やすことは正当化できません。」
これらのいくつかはばかげているかもしれませんが、セキュリティのビジネス価値の問題を提起する他のものは完全に有効です。正直なところ、私は答えがわからないので、残念ながら、これらは私にとって答えるのが難しいものです。私は牛が家に帰るまでこれをググることができ、それでも「あなたのウェブサイトはあなたの仮想名刺であり、あなたは良い印象を作りたいと思っています」のような売り込みと平凡以外は何も得ません。
私がこれまでに作成したいくつかのメモ:
- 中小企業は実際にかなりターゲットにされています。
- 攻撃者はあなたのビジネスさえ知らないかもしれません。マルウェアが依存関係マネージャーと共にインストールされている場合
- 目的があれば、すべてのデータが興味深い
- 攻撃者はプラットフォームを気にせず、ユーザーがそのプラットフォームで何をしているかを気にしません。保存されているユーザーデータ(PII、プレーンテキストまたはハッシュ化された資格情報、e-maiアドレスなど)に関心がある
- 攻撃ベクトルには複数のターゲットが含まれている可能性があり、プラットフォームは大規模な計画のほんの一部にすぎない可能性があります
- 議員および潜在的なビジネスパートナーの遵守
- セキュリティのビジネス価値は、侵害が発生した後に定量化できます(例:失われた顧客の数)
- 「リーン」は自動車業界に由来し、従うべき多くの規制があります
- 差別化要因としてのセキュリティ(目立ち、顧客との信頼を築く)
TL; DR –実際の質問
誰もがこれらすべての質問に対処することを期待していません。ちょうどいくつかの入力、そしておそらく正しい方向へのいくつかのポインタを探しています。講演は2019年の第3四半期までは行われないため、調査を行う時間はまだあります。
- 答えを必要とする大きな質問は、「SMBが(アプリケーション)セキュリティを気にする必要があるのはなぜですか?」です。
- 結局のところ、セキュリティは単にリスク管理ですか?
- すべてのビジネスは、その事業内容や規模に関係なく、情報に基づいて運営されています
- 情報はビジネスにとって価値があるため、ビジネスはその情報の可用性と整合性を保護する必要があります
- 情報は他の人にとって価値があります。顧客、従業員、ビジネスパートナー、および自分の利益のためにそれを悪用できる他の人に価値があるため、人々が情報を使用して害を及ぼすことができないように情報を保護する必要があります
- すべてのビジネスは、顧客、従業員、パートナーが必要な利益を享受できるように、情報が適切な方法で適切なタイミングで使用されるようにする必要があります。
これらの4つのポイントは、情報から最大の利益を引き出し、問題が発生したときに最小限の影響しか受けないようにするためのプロセスとトレーニングが必要であることを意味します。これを「情報セキュリティ」と呼んでいます。情報セキュリティはテクノロジーではなく、「ハッカー」ではありません。それは、情報とビジネスの生涯にわたる情報の適切な処理についてです。
情報セキュリティプロセスは新しいものではありません。あらゆる規模の企業は、すべての資産を同じ方法で処理する必要があります。実際、上記の4つの点で「情報」という単語を「資産」に置き換えることができ、ビジネスは驚かないでしょう。情報は最も重要な資産であるため、情報はビジネスにとって資産と同じくらい重要です。
質問が広すぎると思うので、主な側面であると私が思うことだけを取り上げます。
結局のところ、セキュリティは単にリスク管理ですか?
それはそれです。 SMB=に関連するいくつかのリスクがあり、これらは情報セキュリティによって対処されます。例えば:
- ランサムウェアは、ビジネスにとって重要なデータやシステムにアクセスできなくなる可能性があります。バックアップの欠落または不正確は、同様の問題を引き起こす可能性があります。
- 競合他社は秘密データにアクセスし、これらを自社の利益のために使用する可能性があります。たとえば、企業の申し出を過小入札したり、アイデアを盗んだり、これらを使ってより早く市場に出すことができます。スパイ行為や妨害行為を行うハッカーを雇うことができるので、この種のアクセスを取得するために、競争はセキュリティの専門家である必要はありません。
- 誤ってスパムを送信するボットネットの一部であると、会社から送信されたメールが顧客またはパートナーのメールサーバーによってブロックされ、適切に通信する機能が失われる可能性があります。
- 顧客データがセキュリティの問題の影響を受ける場合、顧客を失い、罰金を科され、許容できる条件で支払いプロバイダーを取得する際に問題が発生する可能性があります。
- そしておそらくもっと...
したがって、リスクに対処しないと、ビジネスの損失とお金の損失につながる可能性があります。一方、リスクへの対処にはお金と時間も必要となるため、これらのバランスを取り、どのリスクを許容できるかを判断する方法を見つける必要があります。しかし、これを行うには、最初に会社の特定のリスクが実際に何であるかを評価する必要があります。
ITは単なるツールであり、多かれ少なかれ、他のツールと見なす必要があります。オフィスのドアは夜に施錠されていると思いますが、おそらく背後に武装した部隊はいないでしょう。しかし、最も重要な文書や価値観のために、オフィスに金庫があるかもしれません。つまり、物理的なセキュリティは、コストと価値のバランスが取れたリスクレベルに適合させる必要があります。
ITセキュリティに関しては何も違いはありません。無視するだけで、夜間にオフィスのドアを開けたままにするのと同じです。だれでも入って、物を盗んだり破壊したりできます。一方、オフィスをフォートノックスのコピーにするのと同じように、コストに見合わないため、高すぎるレベルを設定しても意味がありません。
これの悪いニュースは、最小限のリスク分析を回避できないことです。情報システムで何が重要であり、どのようなリスクから保護したいのか、そしてお金と使用の面で関連するコストは何ですか。
いくつかの考え:
- セキュリティはQualityの1つの側面です。いい要約は here です。
- セキュリティはプライバシーと結びついています(否認、コンプライアンス、顧客の主張などを考えてください)
- セキュリティはテクノロジーだけではなく、主にProcessesとPeopleです。したがって、仕事/ビジネスプロセス(たとえば、セキュリティをチェックする頻度、パスワードをリセットする頻度、ログを見ることができる人など)とユーザー(セキュリティの認識、トレーニングなど)に焦点を当てる必要があります。