Bekende hackers halen de krantenkoppen. Maar sommige datadieven geven de voorkeur aan ouderwetse methoden: door archiefkasten snuffelen, documenten stelen en apparaten zoals smartphones en flashdrives stelen. Terwijl uw bedrijf de netwerkbeveiliging verbetert, mag u zich hierdoor niet laten afleiden van de manier waarop u documenten en apparaten beveiligt.
FTC-handhavingsacties, afgesloten onderzoeken en de ervaringen die we van bedrijven horen, tonen de wijsheid aan van een 360°-aanpak voor de bescherming van vertrouwelijke gegevens. Als Begin met beveiliging aanbevelen, Beveilig papier, fysieke media en apparaten is een belangrijk onderdeel van die strategie.
Bewaar gevoelige bestanden veilig.
Als uw bedrijf heeft toegezegd om met beveiliging te beginnen, begrijpt u hoe belangrijk het is om gevoelige informatie alleen te verzamelen als u een legitieme zakelijke behoefte hebt en deze veilig te houden zolang de informatie in uw bezit is.
Voorbeeld: Een plaatselijk fitnesscentrum houdt personeelsdossiers bij van zijn huidige werknemers. De bestanden bevatten gevoelige gegevens, bijvoorbeeld belastingdocumenten met burgerservicenummers en machtigingen voor automatische stortingen met bankrekeninggegevens. De bestanden worden opgeslagen in het kantoor van de manager, dat zich in een ‘alleen voor werknemers’-gedeelte van de faciliteit bevindt. Daarnaast bewaren managers dossiers in kasten die altijd op slot zijn. Telkens wanneer hij een cliënt helpt of om een andere reden zijn kantoor verlaat, neemt hij de extra voorzorgsmaatregel om zijn deur op slot te doen – een slot dat alleen door hem en zijn assistent-manager kan worden geopend. Door basiswaarborgen te implementeren, onderneemt de sportschool stappen om de vertrouwelijke informatie die zij bewaart veilig te houden.
Voorbeeld: Belastingaangiftebedrijven zijn wettelijk verplicht om klantgegevens gedurende een bepaalde periode te bewaren. Het bedrijf slaat het op in een centrale opslagruimte die toegankelijk is voor alle bedrijven die op die verdieping kantoorruimte huren. Door deze bestanden op onbeveiligde locaties achter te laten, hebben bedrijven onnodige risico’s gecreëerd dat gevoelige klantinformatie kan worden misbruikt.
Bescherm apparaten die persoonlijke informatie verwerken.
Het ziet er misschien uit als ‘gewoon een telefoon’, maar als het in de verkeerde handen komt en met een onveilige configuratie, kan het een skeletsleutel worden die datadieven ongeoorloofde toegang geeft tot alles op uw netwerk. En wat als een reizende medewerker een flashdrive met een database met klantaccountgegevens achterlaat in het zakencentrum van het hotel? Bedrijven die veiligheid belangrijk vinden, ondernemen stappen om apparaten te beschermen waarop vertrouwelijke gegevens worden opgeslagen en verwerkt.
Voorbeeld: Een gegevensverwerkingsbedrijf deelt smartphones uit aan zijn werknemers, zodat ze ook onderweg contact kunnen houden. Het bedrijf eist van zijn werknemers dat ze telefoons vergrendelen met een toegangscode en de gegevens op de apparaten coderen. Het bedrijf realiseerde zich dat mensen soms hun telefoon kwijtraken en schakelde een apparaatzoekservice in en gebruikte een app om ervoor te zorgen dat het apparaat op afstand kon worden gewist als het verloren zou gaan. Het bedrijf traint medewerkers ook in procedures voor het onmiddellijk melden van verloren telefoons. Door een redelijk beleid te implementeren en medewerkers op te leiden om hieraan te voldoen, hebben bedrijven basisvoorzorgsmaatregelen genomen om de gegevens te beschermen waartoe via deze apparaten toegang kan worden verkregen.
Handhaaf de veiligheidsnormen terwijl gegevens worden verzonden.
Als Begin met beveiliging en een vorig bericht in de Stick with Security-serie suggereert dat voorzichtige bedrijven voorzichtigheid betrachten bij het doorgeven van gevoelige informatie. Ze stellen ook redelijke normen en trainen werknemers om voorzorgsmaatregelen te nemen wanneer bestanden of apparaten zich buiten het kantoor bevinden.
Voorbeeld: Een bedrijf met vijf filialen in één stad geeft een medewerker de opdracht om aan het eind van de dag naar elk filiaal te gaan om inkooporders op te halen die financiële informatie van de klant bevatten. Het bedrijf biedt geen beveiligingstrainingen aan zijn werknemers. Op een keer stopte de werknemer om persoonlijke zaken te regelen en liet hij zijn documenten in een rugzak in zijn auto achter. Toen hij terugkeerde, ontdekte hij dat het passagiersraam was ingegooid en dat zijn rugzak was gestolen. Door werknemers niet te trainen in het veilig houden van documenten tijdens hun dagelijks leven, hebben bedrijven bijgedragen aan het risico dat financiële informatie toegankelijk wordt voor personen buiten het bedrijf.
Voorbeeld: Het regionale kantoor van een landelijk adviesbureau moet een externe harde schijf naar het hoofdkantoor sturen. Regionale kantoren gebruiken gecodeerde schijven en verzenden deze via bezorgdiensten die pakkettracering bieden. Beide voorzorgsmaatregelen verminderen het risico van ongeautoriseerde toegang tot gegevens.
Gooi gevoelige gegevens veilig weg.
Voor u lijkt het misschien afval, maar weggegooide documenten, verwijderde elektronische bestanden of verouderde apparatuur zijn een schatkamer voor datadieven. Gewoon het document in de prullenbak gooien of op VERWIJDEREN klikken, zal de infobandieten niet afschrikken. Om te voorkomen dat ze weggegooide bestanden reconstrueren, nemen de verantwoordelijke bedrijven de verstandige stap om documenten te vernietigen, te verbranden of te vernietigen en technologische hulpmiddelen te gebruiken die elektronische bestanden letterlijk onleesbaar maken.
Vooral als uw bedrijf wordt beschermd door Wet op eerlijke kredietrapportageHet veilig verwijderen van bepaalde vertrouwelijke gegevens – kredietrapporten en bestanden met informatie die uit die rapporten is afgeleid – is niet alleen zakelijk zinvol. Onder FCRA-verwijderingsregelshet is de wet.
Voorbeeld: Een klein boekhoudbedrijf plaatst in het kantoor van elke medewerker twee bakken: een prullenbak voor afval en niet-gevoelige documenten en een aparte bak voor documenten met vertrouwelijke informatie. Een medewerker verzamelde regelmatig vertrouwelijke documenten en versnipperde deze. Het bedrijf voorziet ook een papierversnipperaar in de buurt van het kopieerapparaat, zodat medewerkers foutieve of extra kopieën van gevoelige documenten kunnen vernietigen. Deze eenvoudige stappen kunnen het risico helpen verkleinen dat informatie in ongeautoriseerde handen terechtkomt.
Voorbeeld: Een accountantskantoor besluit enkele oude laptops aan een goed doel te schenken en geeft medewerkers de opdracht de bestanden op de harde schijven van de computers te verwijderen. Als u echter simpelweg op VERWIJDEREN klikt, worden gevoelige gegevens niet daadwerkelijk verwijderd. Zelfs als de bestandsnaam niet in de lijst met beschikbare documenten voorkomt, duurt het niet lang voordat datadieven deze hebben teruggevonden. Het is verstandiger om de harde schijf veilig schoon te maken met behulp van software die speciaal voor dat doel is ontworpen.
Om de veiligheid te behouden, gebruiken verstandige bedrijven voorzorgsmaatregelen om documenten, flashdrives, telefoons, cd’s en andere media die gevoelige informatie kunnen bevatten, te beschermen.
Volgende serie: FTC-gegevensbeveiligingsbronnen voor uw bedrijf
