Atteinte aux données sur les petites entreprises: Atténuation des dégâts

"Je ne sais pas comment les petites et moyennes entreprises peuvent survivre à quelque chose de cette ampleur" Will Pelgrin, président et chef de la direction du Centre for Internet Security, a déclaré à Mobby Business.

Jefff Kosc, associé du cabinet Benesch, Friedlander, Coplan & Aronoff LLP, a déclaré que les entreprises qui compromettent les données personnelles des clients, telles que

L'un des coûts les plus importants vient des sociétés de cartes de crédit et de débit qui, selon Kosc, ont de larges pouvoirs et droits dans des situations de violation de données, en particulier si l'on découvrait que l'entreprise ne respectait pas les réglementations de l'industrie des cartes de paiement (PCI). Les règlements PCI régissent les mesures de sécurité spécifiques qui doivent être respectées par les entreprises qui acceptent les cartes de crédit et de débit.

"En cas de violation de PCI, ils ont le droit d'infliger des amendes aux commerçants" sociétés de cartes. "Ils ont également le droit en vertu de ces accords de facturer les frais frauduleux qui ont lieu sur la carte de quiconque suite à la violation de données."

En plus de rembourser les sociétés de cartes de crédit, les entreprises encourent des coûts. violation, payer pour leurs services de surveillance du crédit, enquêter sur la façon dont la violation a eu lieu et prendre des mesures supplémentaires pour s'assurer que cela ne se reproduise pas.

Des recherches récentes du Ponemon Institute et Symantec estiment qu'il en coûte 188 $. > Kosc a déclaré que beaucoup d'entreprises dans ces situations font également face à une perte de productivité parce que les employés sont plus concentrés sur le nettoyage que sur leurs responsabilités quotidiennes.

Selon l'ampleur de la violation, Kosc a déclaré que les entreprises sont également passibles d'amendes potentielles de la Federal Trade Commission. Il a cité TJ Maxx comme un exemple, qui a été obligé de payer plus de 9 millions de dollars d'amendes à plus de 40 procureurs généraux suite à sa violation en 2007.

En plus des coûts, les entreprises subissent aussi des dommages inestimables

"Il existe une communauté de personnes qui entretient une relation de confiance avec vous et qui peut être compromise", a déclaré M. Pelgrin. "Comment vous remettre de tout cela peut être très difficile."

Protéger votre entreprise

Un problème est que beaucoup pensent qu'en raison de leur taille, les petites entreprises ne sont pas la cible des cybercriminels.

Nous avons tendance à penser que cela ne nous arrivera pas parce que nous sommes trop petits et qu'ils regardent vraiment les plus grandes (entreprises), et ce n'est pas le cas ", a-t-il dit.

Depuis que les cybercriminels sont devenus si efficaces ces dernières années, Pelgrin a déclaré que même avec les meilleures mesures de sécurité en place, il n'y a aucune garantie que les entreprises seront en sécurité.

n'est pas une balle d'argent là-bas ", a déclaré Pelgrin. "Le mieux que vous puissiez faire est d'être aussi diligent et vigilant que possible pour vous assurer que vous avez tout fait pour être aussi sûr que possible."

Pour protéger autant que possible les données des consommateurs, Pelgrin conseille aux prenez plusieurs étapes:

Connaissez votre environnement

: Cela signifie faire l'inventaire de tout le matériel et de tous les logiciels dont vous disposez, ainsi que de la version de chacun. Afin de vous protéger, vous devez savoir exactement ce que vous possédez. "Quels sont vos atouts, à quoi ressemble votre infrastructure, à quoi ressemble votre réseau?" Pelgrin a dit. "Il existe peut-être une vulnérabilité connue et vous ne pensez même pas qu'elle se trouve dans votre infrastructure et, à votre insu, elle peut être totalement activée dans votre infrastructure et vous rendre ainsi très vulnérable à une attaque."

Sécurisez votre environnement

• : Amenez votre matériel, vos logiciels et votre réseau au niveau de sécurité le plus élevé. M. Pelgrin a déclaré que lorsque les petites entreprises achètent de nouveaux matériels et logiciels, elles ne disposent pas toujours des dernières mesures de sécurité. Il a dit qu'il est essentiel que les entreprises vérifient chaque pièce d'équipement et téléchargent tous les derniers correctifs de sécurité. En outre, il a déclaré que tous les paramètres de sécurité devraient être mis en place autant qu'ils le peuvent sans entraver les opérations. Contrôlez votre environnement
• : Pelgrin a déclaré qu'il est impératif que les entreprises ne donnent pas à tous leurs employés un accès total. leur réseau et leurs données. Il a déclaré que les employés ne devraient pas avoir accès à des niveaux supérieurs d'administration alors ils en ont besoin et ne devraient pas être autorisés à télécharger ce qu'ils veulent de n'importe où. "La plupart de vos employés ne devraient pas avoir un accès administratif complet à leurs machines", a déclaré Pelgrin. "Cet accès administratif devrait être limité à très peu de personnes de confiance." En outre, les entreprises veulent s'assurer que les entreprises et les fournisseurs avec lesquels elles travaillent ont également des niveaux de sécurité élevés. Pelgrin a déclaré qu'il est essentiel d'avoir des documents provenant des organisations que vous sous-traitez des parties de votre entreprise sur exactement quelles mesures de sécurité ils ont en place. Surveillez votre environnement
• : cela implique un auto-diagnostic permanent des systèmes et du réseau pour s'assurer qu'ils agissent et qu'ils fonctionnent comme ils devraient l'être. "Vous n'avez pas besoin d'être un cyber expert pour savoir que quelque chose ne va pas", a déclaré Pelgrin. "Votre instinct est un excellent signe avant-coureur que quelque chose ne va pas, et vous devez ensuite contacter ceux qui ont l'expertise pour diagnostiquer si vous avez été victime d'un cyber-incident." Pelgrin encourage également les entreprises consacrer du temps chaque mois à former les employés sur l'importance de la cybersécurité et sur la façon dont ils peuvent s'assurer qu'ils ne contribuent pas aux fuites.
• «Vous voulez que cela devienne réalité pour les employés et la seule façon de le faire est de parler de Kosc croit qu'une étape clé dans la conservation est d'en avoir dans l'organisation dont la responsabilité principale est la sécurité.

"Cela doit être quelque chose qui est dans l'esprit de tous les jours, parce que c'est leur

Atténuer les dommages

Kosc a déclaré que les entreprises devraient avoir une stratégie claire sur la façon de traiter une violation, car de nombreux experts pensent que ce n'est pas une question de savoir si - mais quand - il arrivera.

"Vous voulez avoir un plan en place avant que quelque chose comme ça arrive", a déclaré Kosc. "Donc, quand un événement se produit, vous savez quoi faire et comment limiter autant que possible la responsabilité."

Une partie de ce plan consiste à savoir à qui demander de l'aide. Pelgrin a dit qu'en temps de crise, vous ne voulez pas avoir à passer du temps à déterminer qui peut vous aider.

"Vous voulez avoir ces relations en avant et en place", a déclaré Pelgrin.

Les fournisseurs d'assurance sont une source d'aide relativement nouvelle pour les entreprises.

Lynn LaGram, vice-président adjoint de la souscription commerciale chez The Hartford, a déclaré qu'ils offraient une assurance contre les violations de données depuis 2011, et que leur couverture comprend deux parties.

Le premier couvre la dépense de réponse et peut payer pour notifier des clients après une violation, mettre en place un suivi du crédit pour les clients affectés, engager une société de relations publiques pour réparer les dommages réputationnels et engager des experts juridiques et légaux pour évaluer si

Selon M. LaGram, grâce à The Hartford, les entreprises peuvent obtenir entre 10 000 $ et 100 000 $ de couverture d'assurance.

La deuxième partie couvre les dépenses que les petites entreprises pourraient subir si des poursuites étaient intentées contre eux par les consommateurs qui ont volé des informations.

"Cela couvre les sentences civiles, les règlements ou les jugements que le propriétaire d'une petite entreprise serait légalement tenu de payer dernière d'une violation de données ", a déclaré LaGram.

Kosc a déclaré que la plupart des poursuites civiles intentées contre les entreprises qui ont perdu des données ont été inefficaces à ce stade parce que dans beaucoup de ces situations, les consommateurs ne peuvent prouver que les voleurs ont utilisé leurs informations volées de quelque façon que ce soit.

Jusqu'à présent, ils ont réussi, car ils doivent être en mesure de montrer un préjudice réel ", a déclaré Kosc. "Jusqu'à ce que vous puissiez fournir une blessure réelle a été souffert, (un tribunal) ne peut pas vous accorder des dommages."

Alors que les petites entreprises étaient lent à adopter l'assurance contre les violations de données, LaGram a déclaré plus d'entre eux - surtout à la dernière

"La violation de données est l'une de nos couvertures optionnelles les plus vendues", a-t-elle dit.

Réparer la réputation

Pour que les entreprises commencent à réparer leur réputation Pelgrin a dit qu'il est impératif qu'ils soient francs avec les clients quand cela se produit, indépendamment des lois de l'état.

"Je suis un grand croyant que ce n'est pas si de mauvaises choses arrivent, mais comment réagir quand de mauvaises choses arrivent ", a-t-il dit. "Cela montre la qualité de l'entreprise et cela montre la qualité des personnes qui travaillent pour cette entreprise."

"Alors vous êtes en mesure d'essayer de justifier pourquoi vous avez gardé cette information," dit Pelgrin.

La clé est avertir les clients aussi rapidement que l'information sur la violation est concrète.

"Vous ne voulez pas mettre la peur dans les gens", a déclaré Pelgrin. "Vous avez vraiment besoin de savoir ce qui s'est passé alors quand vous donnez l'information, il est très clair que c'est ce que nous savons, c'est ce qui est arrivé et c'est ce que nous recommandons pour l'atténuer."

LaGram dit que les petites entreprises doivent comprendre

«Les propriétaires de petites entreprises sont ciblés à un rythme beaucoup plus rapide que les grandes entreprises, car ils sont plus faciles à pénétrer», a-t-elle déclaré. "Il est très facile de le faire dans un contexte de petites entreprises."

Publié à l'origine sur Mobby Business.

Trouver mon «pourquoi»: mon parcours entrepreneurial vers une entreprise de vente saine

Comme beaucoup d'entrepreneurs, je savais que je voulais être en affaires avant même de savoir ce qu'était un homme d'affaires. Un jour, j'ai rassemblé un tas de vieilles cassettes VHS, des jouets usagés et quelques-unes des affaires de ma sœur et j'ai giflé une pancarte sur la porte de la cave à l'extérieur qui disait «Bargain Basement».

(Entreprise)

La simplicité est la clé d'une publicité en ligne efficace

Dans l'environnement encombré et encombré d'aujourd'hui, les annonceurs disposent de quelques millisecondes pour que les internautes puissent voir et comprendre leur annonce. Selon une étude récemment acceptée par le Journal of Marketing Research, les publicités simples et directes ont un plus grand impact que celles qui sont intelligentes et visuellement complexes.

(Entreprise)