Schending van kleine bedrijfsgegevens: de schade beperken

Terwijl datalekken bij gigantische retailers als Target en TJ Maxx de aandacht trekken, is het net zo realistisch als een scenario voor kleine bedrijven - en de aanvallen op dat niveau kunnen ver schoppen meer verwoestend. Deskundigen zeggen dat eigenaren van kleine bedrijven die het beschermen van de persoonlijke gegevens van klanten niet als een topprioriteit beschouwen, al snel buiten bedrijf zouden kunnen zijn.

"Ik weet niet hoe kleine en middelgrote bedrijven iets van die omvang kunnen overleven," Zegt Pelgrin, president en CEO van het Center for Internet Security, Mobby Business.

Jefff Kosc, een partner van het advocatenkantoor Benesch, Friedlander, Coplan en Aronoff LLP, zei bedrijven die de persoonlijke gegevens van klanten in gevaar brengen, zoals creditcard- en sofinummers, worden geconfronteerd met een veelheid aan kosten, die niet allemaal gepaard gaan met een exact bedrag in dollars.

Een van de grootste kosten is afkomstig van de krediet- en debetkaartmaatschappijen, die, aldus Kosc, over ruime bevoegdheden beschikken en rechten in situaties met datalekken, vooral als werd ontdekt dat het bedrijf niet voldeed aan de voorschriften van de betaalkaartindustrie (PCI). De PCI-regels bepalen de specifieke beveiligingsmaatregelen waaraan bedrijven moeten voldoen die creditcards en betaalpassen accepteren.

"Als er sprake is van een inbreuk op PCI, hebben ze het recht om boetes op te leggen aan verkopers," zei Kosc over het krediet en de debitering kaartbedrijven. "Ze hebben volgens die overeenkomsten ook het recht op terugboeking van frauduleuze kosten die op de kaart van iemand worden gemaakt als gevolg van de inbreuk op de gegevens."

Naast het terugbetalen van de creditcardmaatschappijen lopen bedrijven kosten op die consumenten waarschuwen voor de inbreuk maken, betalen voor hun kredietmonitoringdiensten, onderzoeken hoe de inbreuk heeft plaatsgevonden en aanvullende stappen ondernemen om ervoor te zorgen dat het niet opnieuw gebeurt.

Recent onderzoek van het Ponemon Institute en Symantec schat dat het bedrijven $ 188 kost per verloren record.

Kosc zei dat veel bedrijven in deze situaties ook een verlies in productiviteit ervaren, omdat werknemers meer zijn gericht op het opruimen van de rommel dan op normale dagelijkse verantwoordelijkheden.

"Je trekt iedereen weg van hun reguliere taken om te gaan met een datalek, "zei hij.

Afhankelijk van de omvang van de overtreding, zei Kosc dat bedrijven ook te maken krijgen met mogelijke boetes van de Federal Trade Commission. Hij wees naar TJ Maxx als een voorbeeld, dat meer dan $ 9 miljoen aan boetes moest betalen aan meer dan 40 verschillende advocaten-generaal na zijn overtreding in 2007.

Naast de zware kosten lijden bedrijven ook potentieel onschatbare schade naar hun reputatie en vertrouwen.

"Er is een gemeenschap van mensen die een vertrouwde relatie met u hebben en die in gevaar kan komen," zei Pelgrin. "Hoe u van dat alles terugkrijgt, kan heel moeilijk zijn."

Uw bedrijf beschermen

Een van de problemen is dat velen denken dat vanwege hun omvang, kleine bedrijven geen doelwit zijn van cybercriminelen.

"We hebben de neiging om te denken dat het ons niet zal overkomen omdat we te klein zijn, en dat ze echt naar de grotere (bedrijven) kijken, en dat is niet het geval, "zei hij. "Iedereen wordt op dit punt voortdurend aangevallen." Sinds cybercriminelen de afgelopen jaren zo effectief zijn geworden, zei Pelgrin dat zelfs met de beste beveiligingsmaatregelen er geen garanties zijn dat bedrijven veilig zijn.

"Daar is geen zilverkogel, "zei Pelgrin. "Het beste wat u kunt doen, is zo ijverig en waakzaam mogelijk zijn om ervoor te zorgen dat u er alles aan hebt gedaan om zo veilig mogelijk te zijn."

Om consumentengegevens zo veel mogelijk te beschermen, adviseert Pelgrin bedrijven om verschillende stappen nemen:

Ken uw omgeving

: dit betekent inventarisatie van alle hardware en software die u heeft, en ook welke versie elk wordt uitgevoerd. Om jezelf te beschermen, moet je precies weten wat je bezit. "Wat zijn uw assets, hoe ziet uw infrastructuur eruit, hoe ziet uw netwerk eruit?" Pelgrin zei. "Er is mogelijk een beveiligingslek bekend en u denkt misschien niet eens dat deze zich binnen uw infrastructuur bevindt en het is buiten medeweten dat deze mogelijk volledig is ingeschakeld in uw gehele infrastructuur en u daardoor erg kwetsbaar maakt voor een aanval."

• Beveilig uw omgeving : breng uw hardware, software en netwerk tot het hoogste niveau van beveiliging. Pelgrin zei dat wanneer kleine bedrijven nieuwe hardware en software kopen, ze niet altijd over de nieuwste beveiligingsmaatregelen beschikken. Hij zei dat het van cruciaal belang is dat bedrijven elk apparaat controleren en de nieuwste beveiligingspatches downloaden. Bovendien zei hij dat alle beveiligingsinstellingen zo ver mogelijk moeten worden opgedraaid zonder de werking te hinderen.
• Controle over uw omgeving : Pelgrin zei dat het absoluut noodzakelijk is dat bedrijven niet al hun werknemers volledige toegang geven tot hun netwerk en gegevens. Hij zei dat werknemers geen toegang zouden moeten hebben tot hogere niveaus van administratie dan dat ze nodig hebben en niet mogen mogen downloaden wat ze maar willen, waar ze maar willen. "De meeste van uw werknemers zouden geen volledige administratieve toegang tot hun machines moeten hebben," zei Pelgrin. "Die administratieve toegang moet worden beperkt tot zeer weinig vertrouwde personen." Bovendien willen bedrijven ervoor zorgen dat de bedrijven en leveranciers waarmee ze werken ook beschikken over strenge beveiligingsniveaus. Pelgrin zei dat het van cruciaal belang is om documentatie te hebben van de organisaties waar u delen van uw bedrijf uitbesteedt aan precies welke beveiligingsmaatregelen zij hebben genomen. "Het moet voldoen aan de normen van wat u intern zou toepassen", zei hij.
• Monitor uw omgeving : dit houdt in dat de systemen en het netwerk voortdurend worden gediagnosticeerd om te zorgen dat ze acteren en presteren zoals ze zouden moeten zijn. "Je hoeft geen cyber-expert te zijn om te weten dat er iets mis is," zei Pelgrin. "Je gevoel is een goed eerste teken dat er iets niet in orde is, en dan moet je contact opnemen met mensen die expertise hebben om te helpen vaststellen of je in feite het slachtoffer bent geworden van een cyberincident."
• Pelgrin moedigt ook bedrijven aan om elke maand tijd te besteden aan het opleiden van medewerkers over het belang van cybersecurity en hoe ze ervoor kunnen zorgen dat ze niet bijdragen aan lekken. "Je wilt het echt maken voor werknemers en de enige manier om dat te doen is praten over en oefen het, "zei hij.

Kosc gelooft dat een belangrijke stap in het behouden is om iets te hebben in de organisatie waarvan de hoofdverantwoordelijkheid de veiligheid is.

" Het moet elke dag iemand zijn hoofd zijn, want dat is hun ", zei hij.

De schade beperken

Kosc zei dat bedrijven een duidelijke strategie moeten hebben over hoe om te gaan met een inbreuk, omdat veel deskundigen denken dat het geen kwestie is van of - maar wanneer - er een zal gebeuren.

"U wilt een plan op zijn plaats voordat zoiets gebeurt," zei Kosc. "Dus als er een gebeurtenis plaatsvindt, weet je wat je moet doen en hoe je de aansprakelijkheid zo veel mogelijk kunt beperken." Een deel van dat plan is weten wie om hulp moet vragen. Pelgrin zei in tijden van crisis, je wilt geen tijd besteden om erachter te komen wie je kan helpen.

"Je wilt die relaties vooraan en op hun plaats hebben," zei Pelgrin.

Verzekeringsaanbieders zijn een relatief nieuwe bron van hulp voor bedrijven. In de afgelopen jaren zijn veel bedrijven begonnen met het aanbieden van datalekken.

Lynn LaGram, assistent-vice-president van de kleine commerciële acceptatie bij The Hartford, zei dat ze sinds 2011 een datalek-verzekering aanbieden, en hun dekking bestaat uit twee delen.

De eerste omvat de responskosten en kan betalen voor zaken als het melden van klanten na een inbreuk, het instellen van kredietbewaking voor getroffen klanten, het inhuren van een PR-bedrijf om reputatieschade te herstellen en het inhuren van juridische en forensische experts om te beoordelen of er is een breuk opgetreden en waar deze vandaan kwam.

LaGram zei via The Hartford dat bedrijven tussen de $ 10.000 en $ 100,00 aan responsdekking kunnen krijgen. <> Het tweede deel dekt de uitgaven die kleine bedrijven kunnen doen als er rechtszaken worden aangespannen tegen hen door consumenten die informatie hadden gestolen.

"Dit heeft betrekking op civiele beloningen, schikkingen of vonnissen die de eigenaar van een klein bedrijf wettelijk verplicht zou worden te betalen als een onderzoek ult van een datalek, "zei LaGram.

Kosc zei dat de meeste civiele rechtszaken tegen bedrijven die gegevens verloren hebben, op dit punt niet effectief zijn geweest, omdat consumenten in veel van deze situaties niet kunnen bewijzen dat de dieven hun gestolen informatie op enigerlei wijze hebben gebruikt.

"Er zijn er niet veel geweest tot nu toe die succesvol zijn geweest, omdat ze in staat moeten zijn om een ​​werkelijke schade te tonen, "zei Kosc. "Totdat u kunt bieden dat een daadwerkelijke schade is geleden, (een rechtbank) kan u geen schadevergoeding toekennen."

Terwijl kleine bedrijven aanvankelijk traag waren om een ​​gegevensinbreukverzekering aan te nemen, zei LaGram meer van hen - vooral in het licht van de laatste Hoogtepunten van het jaar - hebben het toegevoegd aan hun beveiligingsarsenaal.

"Datalekken zijn een van onze bestverkopende optionele dekkingen," zei ze.

Reputatie herstellen

Voor bedrijven om hun reputatie te herstellen en wederopbouw van vertrouwen na een datalek, zei Pelgrin dat het absoluut noodzakelijk is om klanten te informeren wanneer het gebeurt, ongeacht wat de staatswetten kunnen dicteren. <> Ik geloof er heilig in dat het niet is als er slechte dingen gebeuren, maar hoe jij reageren wanneer er slechte dingen gebeuren, "zei hij. "Dat toont de kwaliteit van het bedrijf en dat toont de kwaliteit van de individuen die voor dat bedrijf werken." Pelgrin zei dat het laatste wat een bedrijf wil laten gebeuren, is voor de breuk om er zes maanden na de breuk uit te komen. hebben plaatsgevonden en hebben klanten laten weten dat ze er niets aan hebben gedaan, omdat dat niet hoeft.

"Dan kun je proberen te rechtvaardigen waarom je die informatie hebt bewaard," zei Pelgrin.

De sleutel is klanten zo snel waarschuwen als de informatie over de schending concreet is.

"U wilt geen angst in mensen stoppen," zei Pelgrin. "Je moet echt weten wat er is gebeurd, dus wanneer je de informatie geeft, is het heel duidelijk dat dit is wat we weten, dit is wat er is gebeurd en dit is wat we aanbevelen hoe het te verminderen."

"Eigenaren van kleine bedrijven zijn veel sneller gericht dan grotere bedrijven, omdat ze gemakkelijker te penetreren zijn", zei ze. "Het is heel gemakkelijk om het te laten gebeuren in een kleine zakelijke omgeving."

Oorspronkelijk gepubliceerd op Mobby Business.

---

5 IPhone-apps voor een betere zakelijke bijeenkomst

Apps voor planning Het plannen van een zakelijke bijeenkomst is een eenvoudig onderdeel. Het plannen en afleggen van een productieve vergadering kan echter een echte uitdaging zijn. Maar met je iPhone en de juiste apps zijn er tal van manieren om het proces te vereenvoudigen. U kunt werknemers of collega's uitnodigen om een ​​agenda bij te wonen, te maken en te delen en zelfs een vergadering virtueel via uw smartphone te houden met behulp van software voor videoconferenties.

(Bedrijf)

Do What You Love: The Crowdfunding Philanthropist

De oudste van acht kinderen en vader van zes bootstrapte zichzelf uit een bescheiden begin in Stillwater, Oklahoma. het epicentrum van Silicon Valley, waar hij nu CEO is van Fundly - het grootste en meest gebruikte crowdfundingplatform voor sociaal goed . Aan het roer van Fundly, vindt Boyce opnieuw hoe mensen crowdfund zijn voor sociaal goed , van Habitat for Humanity en Teach for America tot dagelijkse PTA-moeders en 9-jarige.

(Bedrijf)