les escroqueries par phishing ont commencé autour de la fin des années 90, et ont constamment évolué depuis. Les dernières formes de phishing comprennent le phishing traditionnel, spear phishing, fraudes PDG, et compromis Email affaires (BEC). L'un des pires résultats de phishing est le ransomware attaque, où le pirate vole / crypte les données de l'entreprise confidentielle, et extorque de l'argent pour le remettre à l'entreprise. Ransomware est devenue une industrie millions de dollars en lui-même.
Les entreprises qui travaillent dans le développement de logiciels en Inde ne sont pas encore équipés pour faire face à ces menaces de sécurité, et donc, tomber unsuspectingly en proie à ces escroqueries qui affectent sévèrement les revenus et la réputation de leurs entités de marque.
Pourquoi CAPACITES La plupart Cyber sécurité Inefficace?
1. Les entreprises ne sont pas confiants quant à leurs mesures de sécurité
La plupart des entreprises admettent que leur sensibilisation à la sécurité et les mesures ne sont pas à la lutte contre la tâche, en raison du manque de connaissances sur les types d'attaques de phishing et ransomware. Ransomware tels que Golden eye cible une partie des employés, qui serait sans le vouloir cliquer sur leurs liens de phishing - dire un lien de curriculum vitae à une HR de langue allemande qui télécharge un Ransomware malveillant lorsque vous cliquez dessus. Une telle demande Ransomware des liens de contact et des paiements Bitcoin pour déchiffrer les fichiers chiffrés de l'entreprise.
2. Les entreprises ne sont pas prêts à dépenser extravagantly sur la sécurité
La prévention et la lutte contre le phishing de pointe et Ransomware exige des solutions de sécurité qui coûtent cher. Les grandes entreprises peuvent encore se permettre le coût par employé diminue considérablement, tandis que les petites organisations sont toujours à risque car ils optent surtout pour des versions gratuites de solutions de sécurité ou ne souscrivent pas à des solutions de sécurité. Cependant, peu d'entreprises se rendent compte que l'argent dépensé pour une solution efficace de gestion de la sécurité peut aider à sauver beaucoup de dépenses supplémentaires en termes de perte de revenus futurs et présents et la réputation.
4. Les utilisateurs sont le maillon faible
Même si l'entreprise reconnaît la nécessité immédiate d'une solution de sécurité robuste, les utilisateurs (des employés) succombent souvent aux leurres des liens e-mail utilisés par phishing, fraude PDG / BEC, et les tentatives ransomware. En effet, les entreprises ne se concentrent pas sur la formation régulière de sensibilisation à la sécurité d'experts en la matière. En plus de la formation, il est nécessaire d'avoir des tests réguliers de la surprise pour mesurer les niveaux de sensibilisation des employés. Cela ne se produit pas dans plus de 50% des entreprises à l'heure actuelle.
5. Les organisations ne sont pas preuve de diligence raisonnable
sauvegarde insuffisante
La tendance à la hausse dans les entreprises est d'avoir une architecture d'hébergement hybride - avec des données régulières étant stockées sur le nuage et les données confidentielles stockées de façon critique sur site. Si des copies de sauvegarde de toutes les données ne sont pas prises par la solution de sécurité, il ne reste pas d'autre choix que de payer pour des applications Ransomware au cas où les données de vol.
Aucun test après la formation de sensibilisation à la sécurité
la formation de sensibilisation à la sécurité a été réduit à la simple formalité qui a lieu une fois par an dans la plupart des entreprises. Aussi, ces formations ne sont pas suivies par des tests, qui éclairera les entreprises sur les niveaux actuels de sensibilisation des employés.
Aucun contrôle sur les transactions de niveau supérieur
données haut niveau de gestion et les transactions financières ne sont pas soumis à des contrôles de sécurité nécessitant une authentification à deux facteurs. Cela les rend vulnérables aux Frauds PDG, et escroqueries BEC, par email.
Pas de mise en œuvre BYOD
Il a été démontré que la majorité des entreprises ne disposent toujours pas de politique de BYOD strictes, pour vérifier les applications personnelles comme les éditeurs, utilisés par les employés pour modifier les données de l'entreprise. Les données de l'entreprise doivent être chiffrés et séparés de sorte qu'il ne peut pas être accessible par des applications autres que celles de la suite d'applications d'entreprise, et cela après l'authentification basée sur les rôles.
D'autre part, les cyber-criminels et leurs organisations sont en avance sur la courbe de développement car ils viennent avec des mises à niveau pour attaquer les dernières technologies. Contrairement à leurs le développement de logiciels en Inde homologues, ils sont bien financés et de générer des revenus beau en tenant des données commerciales confidentielles en otage.
Comment remédier à ces lacunes?
1.Les entreprises devraient apprécier les risques de sécurité que le phishing, pêche sous-marine, fraude PDG, et d'autres escroqueries représentent de manière réaliste à leurs données.
2.Des audits réguliers (essai) devrait être menée afin de déterminer la sensibilisation à la sécurité des employés.
3.les politiques BYOD et rigoureuses d'autres solutions de travail mobiles devraient être utilisés pour fournir une excellente gestion d'applications mobiles et de gestion des appareils mobiles.
4.Systèmes répartis dans les nuages et sur les lieux d'hébergement, et développé sur différentes plates-formes devraient être tenues à jour à leurs dernières versions sauvegardées et conservés à intervalles réguliers.
5.Anti-Malware / solutions anti-Ransomware doivent être souscrites sur une base SaaS pour repousser les attaques de sécurité.
6.Toutes les données sur le périphérique et des données partagées sur le réseau doivent être cryptées. Il en résulte une protection des données centrées sur qui garantit que les pirates ne peuvent pas utiliser les données même si elles parviennent à voler.
7.Le suivi et la surveillance qui relie les employés grâce à leurs e-mails cliquez aider à identifier les menaces potentielles en utilisant l'analyse de comportement.