Als het gaat om gegevensbeveiliging, hangt wat zinvol is af van de omvang en aard van uw bedrijf en het soort gegevens dat u verwerkt. Maar bepaalde principes zijn over de hele linie van toepassing: verzamel geen gevoelige informatie die u niet nodig heeft. Bescherm de informatie die u opslaat. En train uw personeel om uw beleid uit te voeren.
FTC Begin met beveiliging Dit initiatief bouwt voort op dat fundament. Zoals we in vermeldden introductiepost van vorige weeknoemen we deze serie Blijf bij de beveiliging aangezien elke blogpost een diepere uitleg zal bieden van een van de tien besproken principes Begin met beveiliging. Hoewel de principes ongewijzigd blijven, zullen we dit bericht – dat de komende maanden elke vrijdag wordt geplaatst – gebruiken om de lessen te verkennen van de handhavingsacties die sindsdien zijn aangekondigd. Begin met beveiligingom na te denken over wat bedrijven kunnen leren van het onderzoek dat uiteindelijk door medewerkers van de FTC werd afgesloten, en om de ervaringen te bespreken die bedrijven met ons hebben gedeeld over de manier waarop zij dit hebben geïmplementeerd Begin met beveiliging op hun werkplek.
Verzamel geen persoonlijke gegevens die u niet nodig heeft.
Het voorstel is simpel: als u überhaupt niet om gevoelige gegevens vraagt, hoeft u geen stappen te ondernemen om deze te beschermen. Natuurlijk zullen er gegevens zijn die je moet bewaren, maar de oude gewoonten van het verzamelen van vertrouwelijke informatie “gewoon omdat” zijn niet langer van toepassing in het cybertijdperk.
Er zijn nog meer voordelen verbonden aan het verzamelen van alleen wat je nodig hebt. Kleine hoeveelheden vertrouwelijke gegevens zijn gemakkelijker te beschermen dan grote hoeveelheden gevoelige informatie die zijn opgeslagen in netwerken en archiefkasten in uw hele bedrijf. Bedrijven die verstandig beperken wat ze verzamelen, hebben de veiligheidsrisico’s verminderd en hun nalevingsprocedures vereenvoudigd.
Voorbeeld: Een plaatselijk tuincentrum introduceerde een herhaalaankoopprogramma. De app vroeg klanten om een grote hoeveelheid persoonlijke informatie, waaronder burgerservicenummers, en het tuincentrum bewaarde de app in zijn archief. Omdat de winkel geen zakelijke reden heeft om het burgerservicenummer van een klant te verzamelen, neemt hij een onnodig risico door die informatie überhaupt op te vragen en vergroot hij dat risico door het verzoek van de klant in zijn bestand te bewaren.
Voorbeeld: Een bakkerij stuurt zijn klanten kortingsbonnen voor gratis verjaardagsmuffins. In plaats van de geboortedata van alle klanten bij te houden – informatie die kan worden gecombineerd met andere gegevens en kan worden gebruikt voor ongeoorloofde doeleinden – gaf de bakkerij haar kassiers de opdracht om alleen de namen, e-mailadressen en geboortemaanden van klanten aan de database toe te voegen. Hoewel er geldige redenen zijn waarom andere bedrijven de geboortedata van klanten moeten onthouden, zijn de exacte dag, maand en jaar niet nodig voor de verjaardagspromotie van de bakkerij.
Voorbeeld: Een bandenwinkel kreeg te maken met een inbreuk waarbij informatie over 7.000 van zijn klanten betrokken was. De gegevens omvatten de naam van de klant, het loyaliteitsnummer van de winkel en de datum van de laatste bandenwissel. Het personeel van de FTC besloot geen handhavingsmaatregelen te nemen, omdat het bedrijf gedeeltelijk een weloverwogen besluit had genomen om gevoelige informatie niet onnodig te verzamelen en redelijke stappen had ondernomen om zijn netwerk te beveiligen, gezien de beperkte informatie die het bijhield.
Bewaar informatie alleen zolang u een legitieme zakelijke behoefte heeft.
Filmfans zullen zich de slotscène van ‘Raiders of the Lost Ark’ herinneren: een pakhuis zo groot als een voetbalveld, tot aan het gewelfde plafond opgestapeld met alledaagse spullen naast onschatbare schatten. Dat is hoe datadieven de lukrake methoden van sommige bedrijven zien om hun netwerken en bestanden te bewaken. Beveiligingsbewuste bedrijven oefenen regelmatig met het beoordelen van de gegevens die ze hebben, het beoordelen van wat ze moeten bewaren en het veilig weggooien van wat ze niet langer nodig hebben.
Voorbeeld: Een groot bedrijf bezoekt wervingsbeurzen in steden door het hele land om professioneel talent aan te trekken. Nadat elke kandidaat een eerste interview had afgerond, voerde het personeel van de personeelsafdeling van het bedrijf informatie over die persoon in op een niet-gecodeerde bedrijfslaptop. Gegevens die door HR-personeel worden ingevoerd, omvatten het cv van de kandidaat, informatie over de status van de veiligheidsmachtiging en het salarisverzoek van de kandidaat. Op elke personeelsbeurs wordt dezelfde onversleutelde laptop gebruikt en gegevens van eerdere kandidaten worden nooit verwijderd. Bedrijven hebben waarschijnlijk een belangrijke kans gemist om zich te ontdoen van gevoelige kandidaat-informatie die ze niet langer nodig hebben, inclusief gegevens van mensen die ze niet langer in dienst hebben.
Gebruik persoonlijke informatie niet onnodig.
Natuurlijk zullen er momenten zijn waarop uw bedrijf gevoelige gegevens moet gebruiken, maar gebruik deze niet in een context die onnodige risico’s met zich meebrengt.
Voorbeeld: Een bedrijf verkoopt dierbenodigdheden via honderden verkoopvertegenwoordigers in het hele land. Een bedrijf wil een ontwikkelaar inhuren om een applicatie te ontwerpen waarmee verkopers toegang kunnen krijgen tot klantaccounts. Het accountbestand bevat namen, adressen en financiële informatie. Om de reikwijdte van het project uit te leggen, stuurde het bedrijf voorbeeldaccountbestanden van daadwerkelijke klanten naar geïnteresseerde app-ontwikkelaars. Een veiligere optie is om een dummybestand te maken dat geen gevoelige klantinformatie bevat.
Train uw personeel in uw normen en zorg ervoor dat ze zich hieraan houden.
Wat is het grootste risico voor de beveiliging van gevoelige informatie van uw bedrijf? En wat is uw #1 verdediging tegen ongeoorloofde toegang? Het antwoord op beide vragen is uw personeel. Train nieuwe werknemers – inclusief seizoens- en tijdelijke werknemers – over de normen die u van hen verwacht. Ontwerp redelijke monitoringprocedures om ervoor te zorgen dat ze aan uw regels voldoen. Omdat de aard van uw bedrijf kan veranderen en de bedreigingen zich zullen blijven ontwikkelen, moet u “alles in het werk” stellen om nieuw beleid uit te leggen en de regelgeving van uw bedrijf te versterken.
Nadat u uw personeel over de normen heeft geïnformeerd, kunt u hen vervangen om suggesties te doen over het verbeteren van uw procedures. Moedig samenwerkingsprocessen aan waarbij ieders expertise wordt benut. Een C-suite-manager heeft misschien geweldige ideeën, maar als u op zoek bent naar praktisch advies over het beschermen van de gevoelige documenten die mensen naar uw bedrijf sturen, raadpleeg dan ook de jongens in de postkamer.
Voorbeeld: Voordat nieuwe medewerkers netwerktoegang krijgen, eist het bedrijf dat ze een interne training volgen. Om hun aandacht te stimuleren, bevat deze presentatie een korte interactieve quiz. Daarnaast neemt het bedrijf beveiligingsgerelateerde tips op in zijn wekelijkse e-mailupdates voor alle medewerkers en vereist het periodiek dat ze opfriscursussen volgen. Door zijn personeel te trainen in de omgang met gevoelige gegevens en door zijn beleid te versterken met regelmatige herinneringen en aanvullende veiligheidseducatie, heeft het bedrijf stappen ondernomen om een veiligheidscultuur te bevorderen.
Voorbeeld: Een bedrijf levert salarisadministratie aan kleine bedrijven. Eén keer per maand heeft een IT-medewerker de taak om de netwerktoegang en wachtwoorden uit te schakelen van medewerkers die het bedrijf in de afgelopen 30 dagen hebben verlaten. Een veiligere praktijk is om IT-personeel te trainen om de toegang van voormalige werknemers te blokkeren zodra ze weggaan.
Bied consumenten waar mogelijk veiligere opties.
Denk goed na over uw gegevensverzamelingspraktijken in uw dagelijkse bedrijfsvoering En in de producten, diensten, apps etc. die u aan consumenten aanbiedt. Ontwerp uw product zo dat alleen gevoelige informatie wordt verzameld als dat nodig is voor de functionaliteit en leg uw praktijken vooraf duidelijk uit aan de consument. Bedenk hoe u standaardinstellingen, installatiewizards of werkbalken kunt gebruiken om het voor gebruikers gemakkelijker te maken veiliger keuzes te maken. Als uw product bijvoorbeeld een breed scala aan privacyopties biedt – van veilige instellingen voor minder ervaren gebruikers tot geavanceerde opties voor ‘black Diamond’-professionals – stelt u de standaardwaarde in op een meer beschermend niveau.
Voorbeeld: Een bedrijf produceert routers waarmee consumenten toegang kunnen krijgen tot documenten op hun thuiscomputer terwijl ze niet thuis zijn. Standaard geven routers iedereen op internet niet-geverifieerde toegang tot alle bestanden op aangesloten opslagapparaten die zijn aangesloten op de router van een consument, waaronder mogelijk financiële gegevens, medische dossiers en andere zeer gevoelige informatie. De producthandleiding en installatiegids leggen deze standaardinstellingen niet uit en leggen gebruikers niet uit wat er gebeurt. Bedrijven kunnen de kans op ongeautoriseerde toegang verkleinen door hun standaardinstellingen op een veiligere manier te configureren.
Volgende serie: Beheer de toegang tot gegevens verstandig.
