Mga cybersecurity basics na kailangan ng bawat small business

Para sa karamihan ng maliliit na negosyo, ang matibay na batayan sa cybersecurity ay hindi naman kumplikado. Karaniwan itong nagsisimula sa multi-factor authentication (MFA), ibig sabihin ay may pangalawang hakbang sa pag-login tulad ng code mula sa app, regular na pag-a-update (patching), ibig sabihin ay pag-install ng mga security update, maaasahang backup, pag-filter ng email, at simpleng pagsasanay sa staff.

Ang isang mahusay na managed IT services provider, na tinatawag ding MSP, ay dapat kayang ipaliwanag ang mga pangunahing ito sa malinaw na pananalitang simple. Dapat nilang sabihin kung ano ang kanilang hinahawakan, kung ano pa ang kailangang gawin ng inyong team, at kung ano ang hindi kasama.

Walang tapat na provider ang nangangakong walang anumang downtime o hindi na ma-hack ang network. Ang tunay na layunin ay bawasan ang karaniwang panganib, maagapan ang mga problema nang mas maaga, at gawing hindi gaanong masakit sa pagbawi kapag may nangyaring hindi maganda.

Kung nagpapatakbo kayo ng maliit na opisina, klinika, tindahan, bodega, pangkat ng restaurant, o propesyonal na kompanya, karamihan ng araw-araw na panganib ay nanggagaling sa mga karaniwang bagay. Isang password na nagamit ulit. Isang lumang laptop na hindi na-update. Isang pekeng email sa invoice. Isang staff na na-click ang maling link. Isang backup na mukhang maayos pero hindi talaga kayang ibalik.

Kaya napakahalaga ng mga pangunahing iyon. Saklaw nila ang pinakakaraniwang problema nang hindi ginagawang mas mahirap patakbuhin ang negosyo. Nagbubuo rin sila ng gawain. Naiu-update ang mga device. Tama ang pag-set up sa mga bagong empleyado. Mabilis na nawawalan ng access ang mga umalis na empleyado. Na-fifilter o na-aalerto ang mga kahina-hinalang email. Nai-back up at nasusubok ang mahahalagang file.

Dito rin pumapasok ang mga simpleng proseso. Sino ang nag-aapruba ng software? Sino ang puwedeng bumili ng bagong computer? Sino ang may admin rights? Paano beripikado ang mga pagbabago sa pagbabangko? Madalas, ang mga simpleng patakaran ang pumipigil sa magastos na pagkakamali.

Kung naghahambing kayo ng providers, tanungin kung paano nila hinahandle ang seguridad para sa inyong uri ng negosyo at laki. Nag-iiba ang requirements ayon sa industriya at estado. Ang healthcare, payments, legal, at mga trabahong regulado ay maaaring mangailangan ng mas maraming kontrol kaysa sa karaniwang opisina.

Magsimula sa MFA para sa email, file storage, remote access tools, at anumang mahalagang business app. Lalo na importante ang email dahil isang mailbox lang madalas ang kumokonekta sa mga invoice, password resets, mensahe ng customer, at mga internal na pag-apruba. Kapag mahina ang email, maraming iba pang sistema ang nagiging exposed.

Susunod ay patching. Ibig sabihin nito ay panatilihing updated ang mga computer, telepono, network gear, at business software gamit ang mga security fixes. Tanungin kung gaano kadalas nire-review ang mga update, paano hinahandle ang mga urgent na isyu, at ano ang nangyayari sa mga device na bihirang nasa opisina.

Pagkatapos, itanong ang tungkol sa endpoint protection. Ang endpoint ay anumang user device tulad ng laptop, desktop, o phone. May ilang provider na gumagamit ng endpoint detection and response, na tinatawag na EDR, isang tool na tumutulong makakita ng kahina-hinalang aktibidad sa mga device at tumugon dito. Hindi ninyo kailangang malaman ang brand name. Kailangan ninyong malaman kung ano ang binabantayan ng provider at ano ang ginagawa nila kapag may mukhang may mali.

Napakahalaga rin ng mga backup. Tanungin kung sumusunod ba sila sa 3-2-1 backup approach, ibig sabihin may 3 kopya ng mahahalagang data, nasa 2 magkaibang uri ng storage, at 1 kopya ang naka-imbak offsite. Tanungin din kung gaano kadalas nasusubok ang mga restore. Ang backup ay kapaki-pakinabang lamang kung kaya talagang maibalik.

Dapat ding kasama sa usapan ang email filtering. Ito ang screening na humaharang o nag-a-flag ng spam, malware, pekeng login pages, at mga pagtatangkang magpanggap bago pa makarating sa staff. Hindi nito mahuhuli ang lahat, kaya mahalaga pa rin ang kamalayan at disiplina ng empleyado.

Sa huli, tanungin ang tungkol sa pag-set up ng user at offboarding, password rules, admin access, at security awareness training. Karaniwang mas epektibo ang maikli at praktikal na training kaysa sa mahahabang lektura. Dapat alam ng staff kung paano makakilala ng mga pekeng email, beripikahin ang mga kahilingan sa pera, at agad na i-report ang anumang hindi pangkaraniwan.

Malaki ang pagkakaiba ng gastos sa cybersecurity para sa maliliit na negosyo. Ang tunay na numero ay nakadepende sa bilang ng tao, dami ng device, mga pangangailangan sa seguridad, lokasyon, at kung kailangan ninyo ng after-hours support, tulong sa compliance, o project work. Ang mga halagang ito ay hindi mga eksaktong quote.

Para sa maraming maliliit na negosyo, kapag pinagsama ang managed IT at pangunahing security, kadalasang nasa hanay na humigit-kumulang $100 hanggang $250 bawat user kada buwan. Sa ibang lugar o mas magagaan na setup, maaaring mas mababa. Sa mas regulado o mas mabigat sa seguridad na kapaligiran, maaaring mas mataas.

Ang ilang item ay maaaring isama sa iisang monthly plan. Ang iba naman ay maaaring hiwalay. Halimbawa, advanced email protection, EDR, backup storage, security awareness training, o isang virtual chief information officer (vCIO) ay maaaring isama o hiwalay ang presyo. Ang vCIO ay isang part-time na senior IT advisor na tumutulong sa pagpaplano, budgeting, at mga priority.

Maaari rin kayong makakita ng setup fees o one-time project costs kung luma, magulo, o kulang sa pangunahing kontrol ang inyong mga system. Karaniwan iyon. Ang mahalaga ay kung maipapaliwanag ng provider nang malinaw ang buwanang ginagawa nila, ang one-time cleanup, at ang mga limitasyon ng plan.

Hindi ninyo kailangan maging technical. Pero kailangan ninyong magtanong ng ilang direktang bagay. Tanungin kung ano ang kasama, ano ang extra, gaano kabilis sila sumagot, at paano nila ini-uulat ang gawaing pangseguridad. Tanungin din kung gumagamit sila ng remote monitoring and management, na tinatawag na RMM—software na ginagamit ng mga provider para bantayan ang kalusugan ng mga device at gumawa ng regular na maintenance nang malayuan. Pagkatapos, tanungin kung ano ang nakikita nila sa tool na iyon at ano ang hindi.

Humingi ng service level agreement, na tinatawag na SLA. Ito ang dokumentong nagpapaliwanag ng response targets, coverage hours, at service scope. Hindi ito pangakong walang anumang bagay na mabibigo. Isa itong nakasulat na paglalarawan kung ano ang mangyayari kapag kailangan ng tulong.

Kung humahawak kayo ng health information, payment cards, o nagtatrabaho para sa mas malalaking kumpanya, tanungin kung paano nila sinusuportahan ang mga karaniwang requirements. Ang HIPAA ay tumutukoy sa Health Insurance Portability and Accountability Act para sa healthcare information. Ang PCI kadalasang tumutukoy sa Payment Card Industry Data Security Standard para sa mga negosyong humahawak ng card payments. Ang SOC 2 ay isang karaniwang security reporting framework na tinatanong ng maraming mas malalaking vendor at partner. Nag-iiba ang requirements ayon sa industriya at estado, kaya ang tamang sagot ay nakadepende sa inyong sitwasyon.

Kung gusto ninyong tulungan sa paghahambing ng mga opsyon, NodeBridge IT makakatulong sa inyo na maunawaan ang mga pangunahing kaalaman at makakonekta sa inyo sa isang independent managed IT provider. Libre ang aming serbisyo para sa mga negosyo. Kinokolekta lang namin ang business at contact details, hindi ang mga password o access sa system.

Una, gumawa ng maikling listahan ng kung ano ang mayroon kayo ngayon. Bilangin ang inyong mga tao, computer, lokasyon, mahahalagang software, at anumang espesyal na pangangailangan sa industriya. Itala ang anumang pain points—halimbawa, mga pekeng email, lumang hardware, mahina na Wi-Fi, alalahanin sa backup, o walang taong may pananagutan sa IT.

Pangalawa, magpasya kung ano ang ibig sabihin ng “sapat na” sa susunod na 12 buwan. Karamihan sa mga negosyo ang gusto ay mas kaunting sorpresa, mas mabilis na tulong, mas ligtas na email, gumaganang backups, at malinaw na monthly plan. Ito ay isang makatuwirang simula.

Pangatlo, mag-aral muna bago kayo pumirma ng kahit ano. Puwede ninyong basahin ang mas maraming tanong na madaling maunawaan sa aming answers page, o get matched kung gusto ninyong tulungan sa paghahanap ng independent provider na akma sa inyong laki, lugar, at pangangailangan.

Hindi ninyo kailangan ng perpektong seguridad sa unang araw. Kailangan ninyo ng practical na batayan, malinaw na may-ari ng responsibilidad, at tuloy-tuloy na pagsunod.