Ami az adatbiztonságot illeti, az ésszerű az üzlet méretétől és jellegétől, valamint a felhasznált adatok típusától függ. Néhány alapelv azonban mindenütt érvényes: Ne gyűjtsön érzékeny információkat, amelyekre nincs szüksége. Tartsa biztonságban a birtokában lévő információkat. És képezze ki alkalmazottait az irányelvek végrehajtására.
Az FTC Start with Security kezdeményezése ezekre az alapvető elvekre épült. Ahogy a múlt heti bevezető bejegyzésünkben említettük, elnevezzük ezt a sorozatot maradj biztonságban Mert minden egyes blogbejegyzés mélyreható betekintést nyújt a Kezdje biztonsággal részben tárgyalt tíz alapelv egyikébe. Bár az alapelvek változatlanok, ezeket a bejegyzéseket – a következő hónapokban minden pénteken – arra fogjuk felhasználni, hogy feltárjuk a Start with Security óta bejelentett bűnüldözési intézkedések tanulságait, átgondoljuk, mit tanulhatnak a vállalkozások az FTC munkatársai által végül lezárt vizsgálatokból, és megválaszoljuk azokat a tapasztalatokat, amelyeket a vállalkozások megosztottak velünk a Start with Security bevezetésével kapcsolatban a munkahelyükön.
Ne gyűjtsön olyan személyes adatokat, amelyekre nincs szüksége.
Ez egy egyszerű javaslat: Ha először nem kéri az érzékeny adatokat, akkor nem kell lépéseket tennie azok védelmére. Természetesen lesznek adatok, amelyeket meg kell őrizni, de a régi szokás, hogy bizalmas információkat gyűjtsünk „csak azért, mert” nem él a kiberkorszakban.
Van még egy előnye, ha csak azt gyűjti össze, amire szüksége van. Könnyebb megvédeni a bizalmas adatok kis részhalmazát, mint a hálózaton és a vállalati iratszekrényekben tárolt nagy mennyiségű érzékeny információt. Azok a vállalkozások, amelyek intelligensen korlátozzák gyűjtésüket, már csökkentették biztonsági kockázataikat, és egyszerűsítették megfelelési folyamataikat.
Példa: A helyi kertészeti központ törzsvásárlói programot kínál. Az alkalmazás jelentős mennyiségű személyes adatot kér az ügyfelektől, beleértve a társadalombiztosítási számokat is, és a kertészeti központ az alkalmazást fájljaiban tárolja. Mivel az üzletnek nincs üzleti oka az ügyfelek társadalombiztosítási számának gyűjtésére, szükségtelen kockázatot vállal azzal, hogy először kéri ezeket az információkat, és növeli ezt a kockázatot azzal, hogy nyilvántartásban tartja az ügyfelek kérelmeit.
Példa: Egy pékség ingyenes születésnapi muffin kupont küld a vásárlóknak. A pékség ahelyett, hogy nyilvántartást vezetne minden vásárló születési dátumáról – más adatokkal kombinálható és jogosulatlan célokra felhasználható adatokról – a pékség arra utasítja a pénztárosokat, hogy csak a vásárló nevét, e-mail címét és születési hónapját vegyék fel az adatbázisba. Bár vannak jogos okok, amelyek miatt más vállalkozásoknak meg kell őrizniük az ügyfél születési dátumát, a pékség születésnapi promóciójához nincs szükség a pontos napra, hónapra és évre.
Példa: Egy gumiabroncs-üzlet 7000 ügyfele információival kapcsolatos jogsértést tapasztalt. Az adatok tartalmazzák a vásárlók nevét, az üzlet hűségszámát és az utolsó gumiabroncs-forgatás dátumát. Az FTC munkatársai úgy döntöttek, hogy nem tesznek bûnüldözési lépéseket, mert többek között a vállalat jó döntést hozva nem gyûjtött szükségtelenül érzékeny információkat, és a birtokában lévõ korlátozott információk miatt ésszerû lépéseket tett hálózata biztonsága érdekében.
Az információkat csak addig őrizze meg, amíg jogos üzleti igénye van.
A filmrajongók emlékezni fognak a „Raiders of the Lost Ark” utolsó jelenetére – egy futballpálya méretű raktárépület, boltíves mennyezete felbecsülhetetlen értékű kincsekkel és mindennapi tárgyakkal van tele. Az adattolvajok hasonlóan látják azt a véletlenszerű megközelítést, amelyet egyes vállalkozások alkalmaznak hálózataik és fájljaik karbantartására. A biztonságtudatos vállalatok rendszeresen felülvizsgálják a birtokukban lévő adatokat, felmérik, mit kell megőrizniük, és biztonságosan megsemmisítik azokat, amelyekre már nincs szükségük.
Példa: Egy nagy cég részt vesz a toborzási vásárokon országszerte a városokban, hogy bevonzza a professzionális tehetségeket. Az egyes jelöltek kezdeti interjújának befejezése után a vállalati standon dolgozó emberi erőforrások személyzete egy titkosítatlan céges laptopra viszi be az egyénre vonatkozó információkat. A HR munkatársak által bevitt adatok magukban foglalják a jelölt önéletrajzát, a biztonsági tanúsítvány állapotára vonatkozó információkat és a jelölt fizetési igényét. Ugyanazt a titkosítatlan laptopot használják minden munkaerő-felvételi vásáron, és a korábbi jelöltek adatai soha nem törlődnek. Előfordulhat, hogy a vállalat elszalasztotta a fontos lehetőségeket, hogy megsemmisítse az olyan jelöltekkel kapcsolatos érzékeny információkat, amelyekre már nincs szüksége, beleértve az olyan személyek adatait, akik úgy döntöttek, hogy nem veszik fel.
Ne használjon személyes adatokat, ha nem szükséges.
Természetesen előfordulhatnak olyan esetek, amikor vállalkozásának kényes adatokat kell használnia, de ne használja azokat olyan környezetben, amely szükségtelen kockázatot jelent.
Példa: Egy vállalat több száz értékesítési képviselőn keresztül értékesít kisállat-kellékeket országszerte. A cég fejlesztőt szeretne felvenni egy olyan alkalmazás megtervezésére, amellyel az értékesítési képviselők hozzáférhetnek az ügyfélfiókokhoz. Ezek a számlafájlok neveket, címeket és pénzügyi információkat tartalmaznak. A projekt hatókörének elmagyarázása érdekében a vállalat valódi ügyfelek mintafiókfájljait küldi el az érdeklődő alkalmazásfejlesztőknek. Biztonságosabb megoldás lett volna hamis fájlok létrehozása, amelyek nem tartalmaznak bizalmas ügyféladatokat.
Képezze alkalmazottait a saját szabványaira – és győződjön meg arról, hogy betartják azokat.
Mi jelenti a legnagyobb veszélyt a vállalata birtokában lévő érzékeny információk biztonságára? És mi az első számú védekezés az illetéktelen hozzáférés ellen? A válasz mindkét kérdésre az Ön munkatársai. Képezzen új alkalmazottakat – beleértve az idénymunkásokat és a kölcsönzött munkavállalókat is – azokra a szabványokra, amelyeket elvár tőlük. Hozzon létre ésszerű megfigyelési folyamatokat annak biztosítására, hogy megfeleljenek az Ön szabályainak. Mivel vállalkozása jellege megváltozhat, és fenyegetések alakulhatnak ki, tartson egy „minden kéz a fedélzeten” felfrissítést, hogy elmagyarázza az új irányelveket, és megerősítse vállalata közlekedési szabályait.
Miután felkészítette alkalmazottait a szabványokra, vonja be őket a folyamatok javítására vonatkozó javaslatok megtételébe. Bátorítson olyan együttműködési folyamatot, amely mindenki szakértelmét kihasználja. A C-suite vezetőjének lehetnek nagy ötletei, de ha gyakorlati tanácsokat keresel a kényes papírok védelmével kapcsolatban, amelyeket az emberek küldenek a cégednek, kérd meg a postateremben tartózkodó srác tanácsát is.
Példa: Mielőtt az új alkalmazottak hálózati hozzáférést kapnának, a vállalat megköveteli, hogy vegyenek részt házon belüli képzésben. Figyelmük felkeltésére az előadás rövid interaktív kvízeket tartalmaz. Ezenkívül a vállalat biztonsági tippeket tartalmaz az összes alkalmazottnak szóló heti e-mailben, és rendszeresen megköveteli, hogy vegyenek részt frissítő tanfolyamokon. A vállalat lépéseket tett a biztonsági kultúra ösztönzése érdekében, alkalmazottai képzésével az érzékeny adatok kezeléséről, valamint rendszeres emlékeztetőkkel és kiegészítő biztonsági oktatással megerősítette irányelveit.
Példa: Egy cég bérszámfejtési szolgáltatásokat nyújt kisvállalkozások számára. Havonta egyszer az informatikusok egyik tagjának feladata a cégtől az elmúlt 30 napon belül távozott alkalmazottak hálózati hozzáférésének és jelszavainak deaktiválása. Biztonságosabb gyakorlat az lenne, ha az informatikai személyzetet kiképzik arra, hogy azonnal blokkolják a korábbi alkalmazottak hozzáférését távozásuk után.
Ha lehetséges, biztosítson biztonságosabb alternatívákat a fogyasztóknak.
Vállalkozása napi működése során vegye figyelembe adatgyűjtési gyakorlatait És A fogyasztóknak biztosított termékekben, szolgáltatásokban, alkalmazásokban stb. Tervezze meg termékeit úgy, hogy csak akkor gyűjtsön bizalmas információkat, ha az a funkcionalitás szempontjából szükséges, és világosan magyarázza el a fogyasztóknak a gyakorlatait. Fontolja meg, hogyan használhatja az alapértelmezett beállításokat, a beállítási varázslókat vagy az eszköztárakat, hogy megkönnyítse a felhasználók számára a biztonságosabb lehetőségek kiválasztását. Például, ha a terméke számos adatvédelmi beállítást kínál – a kevésbé tapasztalt felhasználóknak szóló biztonságos beállításoktól a „fekete gyémánt” szakembereknek szánt speciális beállításokig –, állítsa be a készenléti alapértékeket nagyobb védelmi szintre.
Példa: Egy vállalat olyan útválasztót gyárt, amely lehetővé teszi a fogyasztók számára, hogy hozzáférjenek az otthoni számítógépükön lévő dokumentumokhoz, miközben nincsenek otthon. Alapértelmezés szerint az útválasztók az interneten bárkinek hitelesítés nélkül hozzáférést biztosítanak a fogyasztók útválasztóihoz csatlakoztatott, csatlakoztatott tárolóeszközök összes fájljához, amelyek lehetnek pénzügyi adatok, egészségügyi adatok és egyéb rendkívül érzékeny információk. A termék kézikönyvei és a beállítási varázslók nem magyarázzák meg ezeket az alapértelmezett értékeket, és nem teszik egyértelművé a felhasználók számára, hogy mi történik. A cég csökkenthette volna az illetéktelen hozzáférés lehetőségét az alapértelmezett beállítások biztonságosabb konfigurálásával.
Következő a sorozatban: Intelligensen szabályozza az adatokhoz való hozzáférést.
