Όταν πρόκειται για την ασφάλεια των δεδομένων, αυτό που είναι λογικό εξαρτάται από το μέγεθος και τη φύση της επιχείρησής σας και ποια δεδομένα μαζί σας. Αλλά ορισμένες αρχές ισχύουν σε όλο το διοικητικό συμβούλιο: μην συλλέγετε ευαίσθητες πληροφορίες που δεν χρειάζεστε. Προστατέψτε τις πληροφορίες που διατηρείτε. Και εκπαιδεύστε το προσωπικό σας για να εκτελέσετε τις πολιτικές σας.
Η FTC ξεκίνησε σε αυτές τις βασικές αρχές με την πρωτοβουλία ασφαλείας. Όπως αναφέραμε στην εισαγωγική θέση της τελευταίας εβδομάδας, καλούμε αυτή τη σειρά Μείνετε με ασφάλεια Επειδή κάθε blog θα παρουσιάσει ένα βαθύ νεροχύτη σε μία από τις δέκα αρχές που συζητήθηκαν στην αρχή της μετά την ασφάλεια. Παρόλο που δεν υπάρχει καμία αλλαγή στους κανόνες, θα χρησιμοποιήσουμε αυτές τις θέσεις – για τους επόμενους μήνες κάθε Παρασκευή – για να βρούμε τα μαθήματα των μέτρων επιβολής του νόμου που ξεκινούν από την ασφάλεια, να εξετάσουμε τι μπορούν να μάθουν οι επιχειρήσεις από τις έρευνες που έκανε το προσωπικό της FTC για να συνεργαστεί μαζί μας και να συνεργαστεί μαζί μας για να συνεργαστεί μαζί μας. Ναί.
Μην υποβάλλετε προσωπικά στοιχεία που δεν χρειάζεστε.
Αυτή είναι μια απλή πρόταση: Εάν δεν ζητάτε πρώτα ευαίσθητα δεδομένα, δεν θα χρειαστεί να λάβετε μέτρα για να τα προστατεύσετε. Φυσικά, θα υπάρχουν δεδομένα που θα πρέπει να διατηρήσετε, αλλά η παλιά συνήθεια να συλλέγετε εμπιστευτικές πληροφορίες “μόνο και μόνο επειδή” η κυβερνοχώρο δεν έχει νερό.
Υπάρχει ένα άλλο πλεονέκτημα για τη συλλογή σας μόνο. Ένα Lean Sub -set of Secret Data είναι εύκολο να προστατευθεί περισσότερο από μια μεγάλη ποσότητα ευαίσθητων πληροφοριών που είναι αποθηκευμένες σε δίκτυα και ντουλάπια αρχείων σε όλη την εταιρεία σας. Οι επιχειρήσεις που τους συλλέγουν που μειώνουν ήδη τους κινδύνους ασφαλείας τους και έχουν ανοίξει το δρόμο για τη συμμόρφωσή τους.
Παράδειγμα: Ένα τοπικό κέντρο κήπου εισάγει επανειλημμένα το πρόγραμμα αγοραστή. Η εφαρμογή ζητά από τους χρήστες πολλές προσωπικές πληροφορίες, συμπεριλαμβανομένων των αριθμών κοινωνικής ασφάλισης, και το κέντρο κήπου διατηρεί εφαρμογές στα αρχεία της. Δεδομένου ότι το κατάστημα δεν έχει επιχειρηματικό λόγο για τη συλλογή αριθμών κοινωνικής ασφάλισης των καταναλωτών, αναλαμβάνει περιττό κίνδυνο ζητώντας από αυτές τις πληροφορίες την πρώτη θέση και προωθώντας τις εφαρμογές των χρηστών στο αρχείο.
Παράδειγμα: Ένα αρτοποιείο στέλνει τους χρήστες στο κουπόνι για ένα δωρεάν muffin γενεθλίων. Αντί να διατηρεί μια καταγραφή των ημερομηνιών γέννησης όλων των χρηστών – πληροφορίες που μπορούν να βρεθούν με άλλα δεδομένα και μπορούν να χρησιμοποιηθούν για μη εξουσιοδοτημένους σκοπούς – το αρτοποιείο δίνει εντολή στο ταμείο του να προσθέσει μόνο όνομα χρήστη, διεύθυνση ηλεκτρονικού ταχυδρομείου και μήνα γέννησης στη βάση δεδομένων. Παρόλο που υπάρχουν νόμιμοι λόγοι που οι άλλες επιχειρήσεις μπορεί να χρειαστεί να διατηρήσουν την ημερομηνία γέννησης ενός χρήστη, η σωστή ημέρα, ο μήνας και το έτος δεν είναι απαραίτητες για την προώθηση της επετείου του αρτοποιείου.
Παράδειγμα: Ένα κατάστημα ελαστικών βιώνει παραβίαση πληροφοριών σχετικά με τους 7000 χρήστες του. Τα δεδομένα περιλαμβάνουν ονόματα καταναλωτών, αριθμούς αφοσίωσης καταστημάτων και το τελευταίο ιστορικό περιστροφής των ελαστικών. Το προσωπικό της FTC αποφάσισε να μην ακολουθήσει τις ενέργειες επιβολής του νόμου, μεταξύ άλλων παραγόντων, η εταιρεία έλαβε τη σωστή απόφαση να μην συλλέξει άσκοπα ευαίσθητες πληροφορίες και έλαβε εύλογα μέτρα για να εξασφαλίσει το δίκτυό της υπό το πρίσμα των περιορισμένων πληροφοριών της.
Εφόσον χρειάζεστε μια νόμιμη επιχείρηση, οι πληροφορίες θα πραγματοποιηθούν.
Οι οπαδοί της ταινίας θα θυμούνται την τελευταία σκηνή των “Lost Arc Raids”-μια αποθήκη σε σχήμα ποδοσφαίρου στην οποία οι ανεκτίμητοι θησαυροί καθώς και τα καθημερινά αντικείμενα ήταν διακοσμημένα στην οροφή. Ομοίως, οι κλέφτες δεδομένων εξετάζουν τις αμφιλεγόμενες μεθόδους ορισμένων επιχειρήσεων για να διατηρήσουν τα δίκτυα και τα αρχεία τους. Οι εταιρείες που έχουν ενημερωθεί από καιρό σε καιρό, αναθεωρώντας τα δεδομένα που βρίσκονται στην κατοχή τους, μαντέψουν τι πρέπει να διατηρήσουν και πρέπει να το απορρίψουν με ασφάλεια.
Παράδειγμα: Μια μεγάλη εταιρεία συμμετέχει σε φεστιβάλ σε πόλεις σε ολόκληρη τη χώρα για να προσελκύσει επαγγελματικές δεξιότητες. Μετά την ολοκλήρωση της προκαταρκτικής συνέντευξης, το προσωπικό του ανθρώπινου δυναμικού που προσωπικό στο περίπτερο της εταιρείας εισάγει πληροφορίες σχετικά με αυτό το άτομο σε ένα φορητό υπολογιστή της εταιρείας μη. Τα δεδομένα που κατατέθηκαν από το προσωπικό του ανθρώπινου δυναμικού περιλαμβάνουν την επιστροφή του υποψηφίου, τις πληροφορίες εκκαθάρισης ασφαλείας και τη ζήτηση για το μισθό του υποψηφίου. Το ίδιο χρησιμοποιείται χωρίς κρυπτογραφημένο φορητό υπολογιστή σε κάθε φεστιβάλ προσλήψεων και τα δεδομένα των προηγούμενων υποψηφίων δεν αφαιρούνται ποτέ. Η εταιρεία έχει πιθανώς χάσει κρίσιμες ευκαιρίες για να σπαταλήσει ευαίσθητες πληροφορίες των υποψηφίων, οι οποίες δεν χρειάζεται περαιτέρω, συμπεριλαμβανομένων των δεδομένων των ανθρώπων που αποφάσισαν να μην λάβουν τις υπηρεσίες τους.
Μην χρησιμοποιείτε προσωπικά στοιχεία όταν δεν είναι απαραίτητα.
Φυσικά, θα έρθει επίσης μια εποχή που η επιχείρησή σας θα πρέπει να χρησιμοποιήσει ευαίσθητα δεδομένα, αλλά δεν το χρησιμοποιείτε σε περιβάλλοντα που προκαλούν περιττούς κινδύνους.
Παράδειγμα: Μια εταιρεία πωλεί κατοικίδια ζώα από εκατοντάδες αντιπροσώπους πωλήσεων σε ολόκληρη τη χώρα. Η εταιρεία θέλει να προσλάβει έναν προγραμματιστή για να σχεδιάσει μια εφαρμογή που οι εκπρόσωποι πωλήσεων μπορούν να χρησιμοποιήσουν τη χρήση λογαριασμών πελατών. Αυτά τα αρχεία λογαριασμού περιλαμβάνουν ονόματα, διευθύνσεις και οικονομικές πληροφορίες. Για να εξηγήσει το πεδίο εφαρμογής του έργου, η εταιρεία στέλνει προγραμματιστές εφαρμογών τόκων στους αρχικούς χρήστες δείγμα αρχείων λογαριασμού. Η πιο ασφαλής επιλογή ήταν να δημιουργήσετε ψεύτικα αρχεία που δεν περιέχουν ευαίσθητες πληροφορίες από τους χρήστες.
Εκπαιδεύστε το προσωπικό σας στα πρότυπά σας – και βεβαιωθείτε ότι το ακολουθούν.
Ποια είναι η μεγαλύτερη απειλή για την προστασία των ευαίσθητων πληροφοριών στην κατοχή της εταιρείας σας; Και ποια είναι η άμυνα #1 σας ενάντια στην μη εξουσιοδοτημένη πρόσβαση; Η απάντηση και στις δύο ερωτήσεις είναι το προσωπικό σας. Εκπαιδεύστε νέους υπαλλήλους – συμπεριλαμβανομένων των εποχιακών εργαζομένων και των ομάδων – τα πρότυπα που περιμένετε θα τους υποστηρίξουν. Αναπτύξτε μια λογική μέθοδο παρακολούθησης για να διασφαλίσετε ότι συμμορφώνονται με τους κανόνες σας. Επειδή η φύση της επιχείρησής σας μπορεί να αλλάξει και θα διαπραχθούν απειλές, θα κρατήσει “όλα τα χέρια στο κατάστρωμα” για να εξηγήσει νέες πολιτικές και να ενισχύσει τους κανόνες του δρόμου.
Μόλις διδάξετε το προσωπικό σας σχετικά με τα πρότυπα, τα απεμπλουτίσουμε για να έρθουν προτάσεις για τη βελτίωση της διαδικασίας σας. Ενθαρρύνετε μια διαδικασία αμοιβαίας συνεργασίας που θα επωφεληθεί από τις δεξιότητες όλων. Ένα εκτελεστικό κοστούμι C μπορεί να έχει μεγάλες θεωρίες εικόνας, αλλά αν ψάχνετε για πρακτικές συμβουλές σχετικά με την ευαίσθητη προστασία γραφειοκρατίας, οι άνθρωποι που στέλνουν την εταιρεία σας στην εταιρεία σας, συμβουλευτείτε αυτό το άτομο και στο mailroom.
Παράδειγμα: Πριν οι νέοι υπάλληλοι δώσουν πρόσβαση στο δίκτυο, μια εταιρεία απαιτεί να συμμετέχουν στην κατάρτιση στο σπίτι. Η προσοχή τους ενθαρρύνει την παρουσίαση περιλαμβάνει σύντομο διαδραστικό κουίζ. Επιπλέον, όλοι οι υπάλληλοι της εταιρείας περιλαμβάνουν σημεία ασφαλείας στις εβδομαδιαίες ενημερώσεις ηλεκτρονικού ταχυδρομείου και πρέπει να λαμβάνουν μαθήματα ανανέωσης από καιρό σε καιρό. Η εταιρεία έχει λάβει μέτρα για να ενθαρρύνει την κουλτούρα ασφαλείας, εκπαιδεύοντας το προσωπικό της για να χειριστεί ευαίσθητα δεδομένα και να ενισχύσει τις πολιτικές της με τακτικές υπενθυμίσεις και πρόσθετη εκπαίδευση για την ασφάλεια.
Παράδειγμα: Μια εταιρεία παρέχει υπηρεσίες μισθοδοσίας για μικρές επιχειρήσεις. Μία φορά το μήνα, ένα μέλος του προσωπικού της πληροφορικής έχει ανατεθεί να έχει πρόσβαση στο δίκτυο και να απενεργοποιήσει τους κωδικούς πρόσβασης των εργαζομένων, οι οποίοι έχουν εγκαταλείψει την εταιρεία τις τελευταίες 30 ημέρες. Η πιο ασφαλής διαδικασία θα είναι ότι το προσωπικό της πληροφορικής αμέσως της αναχώρησής του. Στη συνέχεια, οι εκπαιδευμένοι υπάλληλοι θα πρέπει να εκπαιδεύονται για να σταματήσουν την πρόσβαση.
Όταν είναι δυνατόν, προσφέρετε στους χρήστες πιο ασφαλέστερες επιλογές.
Σκεφτείτε τρόπους συλλογής των δεδομένων σας στην καθημερινή λειτουργία της επιχείρησής σας Και Σε προϊόντα, υπηρεσίες, εφαρμογές κ.λπ., προσφέρετε στους χρήστες. Σχεδιάστε μόνο για να συλλέξετε ευαίσθητες πληροφορίες στα προϊόντα σας όταν είναι απαραίτητο να έχετε μια λειτουργία λειτουργικότητας και να περιγράψετε σαφώς τις μεθόδους σας στους χρήστες. Εξετάστε πώς μπορείτε να χρησιμοποιήσετε προεπιλεγμένες ρυθμίσεις, οδηγούς ρύθμισης ή γραμμές εργαλείων για να κάνετε τους χρήστες πιο εύκολο να επιλέξουν πιο ασφαλή. Για παράδειγμα, εάν το προϊόν σας προσφέρει μια σειρά επιλογής απορρήτου-από ασφαλείς ρυθμίσεις για έμπειρους χρήστες σε επάγγελμα “Black Diamond”, προηγμένες προχωρημένες επιλογές-set out-of-the-box προεπιλογές σε υψηλότερα επίπεδα ασφαλείας.
Παράδειγμα: Μια εταιρεία αναπτύσσει έναν δρομολογητή που επιτρέπει στους χρήστες να έχουν πρόσβαση σε έγγραφα στους οικιακούς υπολογιστές τους, ενώ παραμένουν μακριά από το σπίτι. Από προεπιλογή, ο δρομολογητής δίνει επίσης σε κάποιον μη εξουσιοδοτημένη πρόσβαση σε όλα τα αρχεία στις συσκευές αποθήκευσης που σχετίζονται με τους δρομολογητές των χρηστών, οι οποίοι ενδέχεται να περιέχουν οικονομικά δεδομένα, αρχεία υγείας και άλλες εξαιρετικά ευαίσθητες πληροφορίες. Το εγχειρίδιο προϊόντων και η εγκατάσταση δεν εξηγούν αυτές τις προεπιλογές και δεν διευκρινίζουν τι συμβαίνει στους χρήστες. Η εταιρεία μπορεί να μειώσει τη δυνατότητα μη εξουσιοδοτημένης πρόσβασης, δημιουργώντας τις προεπιλεγμένες ρυθμίσεις της με πιο ασφαλή τρόπο.
Στη συνέχεια στη σειρά: Ελέγξτε συνειδητά την πρόσβαση δεδομένων.
