Έχετε πραγματοποιήσει μια “απογραφή” πληροφοριών για να εντοπίσετε και να εντοπίσετε τα εμπιστευτικά δεδομένα στην κατοχή της εταιρείας σας. Τότε καθορίσατε τι πρέπει να κρατήσετε για επιχειρηματικούς σκοπούς. Ποιο είναι το επόμενο βήμα; Σύμφωνα με την έναρξη της ασφάλειας, ήρθε η ώρα να τεθούν όρια για τον έλεγχο της πρόσβασης σε δεδομένα λογικά.
Δεν είναι μια νέα ιδέα. Έχετε μια κλειδαριά στην πόρτα για να αποτρέψετε την πρόσβαση μετά την ώρα στην επιχείρησή σας και οι άνθρωποι δεν μπορούν απλώς να περπατήσουν στο πάτωμα του εργοστασίου σας. Προστατεύετε επίσης τα ιδιόκτητα μυστικά της εταιρείας σας από μη εξουσιοδοτημένα μάτια. Γι ‘αυτό δεν δημοσιεύετε τη συνταγή για τη “μυστική σάλτσα” σας στον ιστότοπό σας.
Ασκείτε την ίδια φροντίδα με ευαίσθητα δεδομένα πελατών ή εργαζομένων; Όχι όλοι στο προσωπικό σας χρειάζονται απεριόριστη πρόσβαση σε όλες τις εμπιστευτικές πληροφορίες που διατηρείτε. Η καλύτερη πρακτική είναι να θέσουν σε θέση τους λογικούς ελέγχους για να επιτρέψουν την πρόσβαση σε υπαλλήλους που το χρειάζονται για να κάνουν τις δουλειές τους, διατηρώντας παράλληλα τους άλλους. Είναι επίσης σοφό να χορηγήσετε διοικητική πρόσβαση-την τεχνική ικανότητα να κάνετε αλλαγές σε όλο το σύστημα στο δίκτυό σας ή ορισμένες αλλαγές στους επιτραπέζιους υπολογιστές (για παράδειγμα, εγκατάσταση νέου λογισμικού)-μόνο σε περιορισμένο αριθμό αξιόπιστων υπαλλήλων. Δημιουργήσαμε μια σειρά παραδειγμάτων που βασίζονται σε οικισμούς FTC, κλειστές έρευνες και ερωτήσεις που έχουμε ακούσει από τις επιχειρήσεις για να παρέχουμε συμβουλές για τον έλεγχο της πρόσβασης σε δεδομένα λογικά.
Περιορίστε την πρόσβαση σε ευαίσθητα δεδομένα.
Εάν οι εργαζόμενοι δεν χρειάζεται να χρησιμοποιούν προσωπικά στοιχεία ως μέρος της δουλειάς τους, δεν χρειάζεται να έχουν πρόσβαση σε αυτό. Για εμπιστευτική γραφειοκρατία, ένας λογικός έλεγχος πρόσβασης θα μπορούσε να είναι τόσο απλός όσο ένα κλειδωμένο ντουλάπι. Για δεδομένα στο δίκτυό σας, οι ξεχωριστοί λογαριασμοί χρηστών που περιορίζουν οι οποίοι μπορούν να δουν ευαίσθητα αρχεία ή βάσεις δεδομένων είναι μια αποτελεσματική επιλογή.
Παράδειγμα: Τα μέλη του προσωπικού σε αρχεία προσωπικού αναθεώρησης της υπηρεσίας απασχόλησης που περιλαμβάνουν μερικές φορές αριθμούς κοινωνικής ασφάλισης. Ο Οργανισμός Απασχόλησης εξασφαλίζει ότι όλοι οι εργαζόμενοι έχουν συρτάρι γραφείου κλειδώματος. Επιπλέον, ο οργανισμός έχει μια πολιτική “καθαρού γραφείου” που απαιτεί από τους εργαζόμενους να εξασφαλίζουν όλα τα ευαίσθητα χαρτιά όταν φεύγουν στο τέλος της ημέρας-μια πολιτική που η εταιρεία παρακολουθεί με περιοδικές διαδρομές. Επειδή ο Οργανισμός Απασχόλησης λαμβάνει μέτρα για να δει ότι οι εργαζόμενοι διατηρούν έγγραφα που περιέχουν προσωπικά στοιχεία υπό κλειδαριά και κλειδί, είναι λιγότερο πιθανό ότι ένα μη εξουσιοδοτημένο άτομο θα μπορούσε να έχει πρόσβαση στα δεδομένα.
Παράδειγμα: Οι υπάλληλοι μιας μικρής εταιρείας μοιράζονται έναν σταθμό εργασίας. Ο υπάλληλος του προσωπικού που είναι υπεύθυνος για την μισθοδοσία έχει πρόσβαση με κωδικό πρόσβασης σε μια βάση δεδομένων των πληροφοριών των εργαζομένων. Ο υπάλληλος που είναι υπεύθυνος για τη ναυτιλία έχει πρόσβαση με κωδικό πρόσβασης σε μια βάση δεδομένων των λογαριασμών πελατών. Με τον περιορισμό της πρόσβασης με βάση μια επιχειρηματική ανάγκη, η εταιρεία έχει μειώσει τον κίνδυνο μη εξουσιοδοτημένης χρήσης.
Παράδειγμα: Μια εταιρεία προσφέρει μια εφαρμογή που επιτρέπει στους χρήστες να δημιουργούν προφίλ που περιλαμβάνουν προσωπικά ιατρικά στοιχεία. Το σύστημα δίνει σε όλους τους υπαλλήλους – το προσωπικό της πληροφορικής, τους εκπροσώπους πωλήσεων, το προσωπικό HR και το προσωπικό υποστήριξης – πρόσβαση σε προφίλ πελατών. Με την πρόσβαση σε ευαίσθητα δεδομένα σε μέλη του προσωπικού που δεν το χρειάζονται για την εκτέλεση των καθηκόντων τους, η εταιρεία δημιούργησε μια κατάσταση που θα μπορούσε να θέσει σε κίνδυνο μια κατάσταση που θα μπορούσε να θέσει σε κίνδυνο ιδιαίτερα εμπιστευτικές πληροφορίες.
Περιορίστε τη διοικητική πρόσβαση.
Οι διαχειριστές του συστήματος μπορούν να αλλάξουν τις ρυθμίσεις του δικτύου σας και είναι σημαντικό κάποιος στο προσωπικό σας να έχει την εξουσία να κάνει τις απαραίτητες τροποποιήσεις. Αλλά ακριβώς όπως μια τράπεζα δίνει τον συνδυασμό στο κεντρικό θησαυροφυλάκιο μόνο σε λίγους ανθρώπους, οι εταιρείες θα πρέπει να περιορίζουν τα δικαιώματα διαχειριστή ανάλογα. Ο κίνδυνος είναι εμφανής: ένας αναξιόπιστος διαχειριστής – ή πάρα πολλοί υπάλληλοι με δικαιώματα διαχειριστή – μπορούν να ανατρέψουν τα βήματα που έχετε εφαρμόσει για να διατηρήσετε το σύστημά σας ασφαλές.
Παράδειγμα: Μια τεχνολογική εταιρεία χρησιμοποιεί την ίδια σύνδεση για όλους τους υπαλλήλους. Η σύνδεση έχει διοικητικά δικαιώματα που επιτρέπουν στους καθορισμένους υπαλλήλους της πληροφορικής να κάνουν αλλαγές σε όλο το σύστημα. Αλλά αυτή η ίδια σύνδεση χρησιμοποιείται από τον ρεσεψιονίστ της εταιρείας, έναν βοηθό πωλήσεων και ένα καλοκαιρινό intern. Η πιο σοφή προσέγγιση είναι η εταιρεία να απαιτεί διαφορετικές συνδέσεις με μόνο τα προνόμια που είναι απαραίτητα για τον εν λόγω υπάλληλο να κάνει τη δουλειά του.
Το μάθημα για τις επιχειρήσεις είναι να περιορίσουμε τα “παρασκήνια” σε εμπιστευτικές πληροφορίες. Περιορίστε την πρόσβαση σε ευαίσθητα δεδομένα σε μέλη του προσωπικού που το χρειάζονται για την εκτέλεση των καθηκόντων τους.
Στη συνέχεια στη σειρά: Απαιτούν ασφαλείς κωδικούς πρόσβασης και έλεγχο ταυτότητας.
