Bekende hackers halen de krantenkoppen. Maar sommige datadieven geven de voorkeur aan ouderwetse methoden: archiefkasten doorzoeken, onhandig papierwerk en gestolen apparaten zoals smartphones en flashdrives. Terwijl uw bedrijf de beveiliging van uw netwerk versterkt, mag u zich hierdoor niet laten afleiden van de manier waarop u documenten en apparaten beveiligt.
Handhavingsmaatregelen van de FTC, afgesloten onderzoeken en lessen die we van bedrijven hebben gehoord, tonen de wijsheid aan van een 360°-aanpak voor de bescherming van vertrouwelijke gegevens. Naad Begin met veiligheid suggereert, het beveiligen van papier, fysieke media en apparaten is een belangrijk onderdeel van die strategie.
Bewaar gevoelige bestanden veilig.
Als uw bedrijf al heeft toegezegd om met beveiliging te beginnen, begrijpt u hoe belangrijk het is om alleen gevoelige informatie te verzamelen als u een legitieme zakelijke behoefte heeft en deze veilig te houden zolang u deze in uw bezit heeft.
Voorbeeld: Een plaatselijke sportschool houdt personeelsdossiers bij van haar huidige werknemers. De bestanden bevatten gevoelige gegevens, bijvoorbeeld belastingdocumenten met CPR-nummers en machtigingen voor automatische stortingen met bankrekeninggegevens. De dossiers worden bewaard in het kantoor van de manager, dat zich in een gedeelte van de vestiging bevindt dat uitsluitend voor werknemers bestemd is. Daarnaast bewaart de beheerder de dossiers in een kast die te allen tijde afgesloten is. Als hij klanten helpt of om andere redenen niet op kantoor is, neemt hij de extra voorzorgsmaatregel om zijn deur op slot te doen: een slot dat alleen hij en zijn assistent-manager kunnen openen. Door basiswaarborgen te implementeren onderneemt het fitnesscentrum stappen om de veiligheid van vertrouwelijke informatie in haar bezit te handhaven.
Voorbeeld: Een belastingaangiftekantoor heeft een wettelijke verplichting om cliëntengegevens gedurende een bepaalde periode te bewaren. Het bedrijf slaat ze op in een centrale opslagruimte die toegankelijk is voor alle bedrijven die op die verdieping kantoorruimte huren. Door deze bestanden op een onveilige locatie achter te laten, heeft het bedrijf een onnodig risico gecreëerd dat gevoelige informatie van klanten zou kunnen worden misbruikt.
Bescherm apparaten die persoonlijke informatie verwerken.
Het ziet er misschien uit als ‘gewoon een telefoon’, maar als het in de verkeerde handen komt en als de configuratie onveilig is, kan het een skeletsleutel zijn die een gegevensdief ongeoorloofde toegang geeft tot alles op uw netwerk. En wat als een reizende medewerker een flashdrive met een database met klantaccountgegevens achterlaat in een zakencentrum van een hotel? Beveiligingsbewuste bedrijven ondernemen stappen om apparaten te beschermen waarop vertrouwelijke gegevens worden opgeslagen en verwerkt.
Voorbeeld: Een dataverwerkingsbedrijf geeft zijn medewerkers smartphones uit, zodat ze onderweg contact kunnen houden. Het bedrijf vereist dat werknemers telefoons vergrendelen met een wachtwoord en de gegevens op het apparaat coderen. Het bedrijf erkent dat mensen af en toe hun telefoon kwijt kunnen raken, maakt trackingdiensten voor apparaten mogelijk en gebruikt een app om ervoor te zorgen dat het apparaat op afstand kan worden gewist als het kwijtraakt. Ook traint het bedrijf medewerkers in de procedures om een verloren telefoon direct te melden. Door beleid op basis van gezond verstand te implementeren en werknemers op te leiden om deze na te leven, heeft het bedrijf een fundamentele voorzorgsmaatregel genomen om de gegevens waartoe via deze apparaten toegang wordt verkregen, te beschermen.
Houd de beveiligingsnormen in stand wanneer gegevens onderweg zijn.
Naad Begin met veiligheid en één vorig bericht in de Stick with Security-serie suggereert dat voorzichtige bedrijven voorzichtigheid betrachten bij het doorgeven van gevoelige informatie. Ze stellen ook redelijke normen vast en trainen hun werknemers om voorzorgsmaatregelen te nemen wanneer bestanden of apparaten niet op kantoor zijn.
Voorbeeld: Een bedrijf met vijf filialen in één stad geeft een medewerker de opdracht om aan het eind van de dag naar elk filiaal te rijden om inkooporders op te halen die financiële informatie van de klant bevatten. Het bedrijf biedt geen veiligheidstraining aan de werknemer. Eén keer stopt de werknemer om een persoonlijke boodschap te doen en laat hij de papieren in een rugzak in zijn auto achter. Ze keert terug en ziet dat het passagiersraam is ingegooid en dat de rugzak is gestolen. Door de werknemer tijdens zijn dagelijkse rondes niet te trainen in het bewaren van de documenten, heeft het bedrijf bijgedragen aan het risico dat mensen buiten het bedrijf toegang krijgen tot de financiële informatie.
Voorbeeld: Een regiokantoor van een landelijk adviesbureau moet een externe harde schijf naar het hoofdkantoor sturen. Het regiokantoor maakt gebruik van een gecodeerde schijf en verzendt deze via een bezorgservice die pakkettracering biedt. Deze twee voorzorgsmaatregelen verminderen het risico van ongeautoriseerde toegang tot de gegevens.
Gooi gevoelige gegevens veilig weg.
Voor u lijkt het misschien afval, maar weggegooid papierwerk, verwijderde elektronische bestanden of verouderde apparatuur zijn een schat voor een datadief. Het is onwaarschijnlijk dat het simpelweg gooien van documenten in de prullenbak of het klikken op VERWIJDEREN informatiebandieten afschrikt. Om te voorkomen dat ze weggegooide bestanden reconstrueren, nemen verantwoordelijke bedrijven de verstandige stap om documenten te vernietigen, te verbranden of anderszins te vernietigen en technische hulpmiddelen te gebruiken die elektronische bestanden echt onleesbaar maken.
Bovendien, als uw bedrijf onder de dekking valt Handel op eerlijke kredietinformatiehet veilig verwijderen van bepaalde vertrouwelijke gegevens (kredietrapporten en bestanden met informatie die uit die rapporten is afgeleid) is niet alleen vanuit zakelijk oogpunt zinvol. Onder FCRA-verwijderingsregelhet is de wet.
Voorbeeld: Een klein boekhoudkantoor plaatst bij iedere medewerker twee containers: een prullenbak voor afval en niet-gevoelig papierwerk en een aparte bak voor documenten met vertrouwelijke informatie. Regelmatig verzamelt een medewerker de vertrouwelijke documenten en vernietigt deze. Het bedrijf heeft ook een papierversnipperaar in de buurt van het kopieerapparaat, zodat medewerkers drukfouten of extra kopieën van gevoelige documenten kunnen vernietigen. Met deze eenvoudige stappen kunt u het risico verkleinen dat informatie in handen van onbevoegden valt.
Voorbeeld: Een accountantskantoor besluit enkele oude laptops aan een goed doel te doneren en geeft het personeel opdracht de bestanden op de harde schijven van de computers te verwijderen. Als u echter simpelweg op VERWIJDEREN klikt, worden gevoelige gegevens niet daadwerkelijk verwijderd. Zelfs als een bestandsnaam niet in de lijst met beschikbare documenten voorkomt, heeft een datadief niet veel nodig om deze te achterhalen. Het is verstandiger om de harde schijf veilig schoon te vegen met behulp van software die speciaal voor dat doel is ontworpen.
Om veilig te blijven hebben verstandige bedrijven verstandige voorzorgsmaatregelen genomen om papierwerk, flashdrives, telefoons, cd’s en andere media die gevoelige informatie kunnen bevatten, te beschermen.
Volgende in de serie: FTC-gegevensbeveiligingsbronnen voor uw bedrijf
