Als het gaat om gegevensbeveiliging, hangt wat redelijk is af van de omvang en aard van uw bedrijf en het soort gegevens waarmee u te maken heeft. Maar bepaalde principes zijn overal van toepassing: verzamel geen gevoelige informatie die u niet nodig heeft. Bescherm de informatie die u opslaat. En train uw medewerkers om uw beleid uit te voeren.
De FTC’s Begin met veiligheid het initiatief is op deze basiselementen gebouwd. Zoals we in vermeldden introductiepost van vorige weeknoemen we deze serie Houd je aan de veiligheid omdat elke blogpost een diepere duik biedt in een van de tien principes die worden besproken in Begin met veiligheid. Hoewel de principes ongewijzigd blijven, zullen we deze berichten – de komende maanden elke vrijdag één – gebruiken om de lessen te onderzoeken die we hebben geleerd uit wetshandhavingsacties die sindsdien zijn aangekondigd. Begin met veiligheidom na te denken over wat bedrijven kunnen leren van onderzoeken die FTC-medewerkers uiteindelijk hebben afgesloten, en om lessen te trekken die bedrijven met ons hebben gedeeld over de manier waarop zij dit implementeren Begin met veiligheid op hun werkplekken.
Verzamel geen persoonlijke gegevens die u niet nodig heeft.
Het is een eenvoudig voorstel: als u überhaupt niet om gevoelige gegevens vraagt, hoeft u geen stappen te ondernemen om deze te beschermen. Natuurlijk zullen er gegevens zijn die je moet bewaren, maar de oude gewoonte om vertrouwelijke informatie te verzamelen ‘gewoon omdat’ houdt geen stand in het cybertijdperk.
Er zit nog een voordeel aan het verzamelen van alleen wat je nodig hebt. Een kleine subset van vertrouwelijke gegevens is gemakkelijker te beschermen dan grote hoeveelheden gevoelige informatie die zijn opgeslagen op netwerken en in archiefkasten in uw hele bedrijf. Bedrijven die verstandig beperken wat ze verzamelen, hebben hun veiligheidsrisico’s al verminderd en hun compliance-procedures gestroomlijnd.
Voorbeeld: Een plaatselijk tuincentrum introduceert een frequent-koperprogramma. De applicatie vraagt klanten om een aanzienlijke hoeveelheid persoonlijke informatie, waaronder burgerservicenummers, en het tuincentrum houdt de applicaties bij in haar bestanden. Omdat de winkel geen zakelijke reden heeft om de burgerservicenummers van klanten te verzamelen, neemt het een onnodig risico door überhaupt om deze informatie te vragen en dat risico nog groter te maken door de applicaties van klanten te bewaren.
Voorbeeld: Een bakkerij stuurt klanten een kortingsbon voor een gratis verjaardagsmuffin. In plaats van de geboortedata van alle klanten bij te houden – informatie die kan worden gecombineerd met andere gegevens en kan worden gebruikt voor ongeoorloofde doeleinden – instrueert de bakkerij haar kassiers om alleen de naam, het e-mailadres en de geboortemaand van de klant aan de database toe te voegen. Hoewel er legitieme redenen zijn waarom andere bedrijven de geboortedatum van een klant moeten onthouden, zijn de exacte dag, maand en jaar niet nodig voor de verjaardagspromotie van de bakkerij.
Voorbeeld: Een bandenreparatiewerkplaats krijgt te maken met een inbreuk op de gegevens van zijn 7.000 klanten. De gegevens omvatten de namen van klanten, winkelloyaliteitsnummers en de datum van hun laatste bandenwissel. Ambtenaren van de FTC besluiten geen handhavingsmaatregelen te nemen, deels omdat het bedrijf de verstandige beslissing had genomen om geen onnodige gevoelige informatie te verzamelen en redelijke stappen had ondernomen om zijn netwerk te beveiligen in het licht van de beperkte informatie die het bewaarde.
Bewaar informatie alleen zolang u een legitieme zakelijke behoefte heeft.
Filmfans zullen zich de slotscène van ‘Raiders of the Lost Ark’ herinneren: een pakhuis ter grootte van een voetbalveld, opgestapeld tot aan het gewelfde plafond met alledaagse voorwerpen gestapeld naast onschatbare schatten. Dit is hoe datadieven de lukrake aanpak van sommige bedrijven zien bij het onderhouden van hun netwerken en bestanden. Beveiligingsbewuste bedrijven maken er een gewoonte van om periodiek de gegevens die ze bewaren te beoordelen, te beoordelen wat ze moeten onderhouden en veilig te verwijderen wat ze niet langer nodig hebben.
Voorbeeld: Een groot bedrijf neemt deel aan wervingsbeurzen in steden door het hele land om professioneel talent aan te trekken. Nadat elke kandidaat een eerste interview heeft afgerond, voert het personeel dat de stand van het bedrijf bemant informatie over de persoon in op een niet-gecodeerde bedrijfslaptop. Gegevens die door het HR-personeel worden ingevoerd, omvatten het cv van de kandidaat, informatie over de status van de veiligheidsmachtiging en de salarisvereisten van de kandidaat. Op elke recruitmentbeurs wordt dezelfde onversleutelde laptop gebruikt en gegevens van eerdere kandidaten worden nooit verwijderd. Het bedrijf heeft waarschijnlijk cruciale kansen gemist om zich te ontdoen van de gevoelige informatie van kandidaten die het niet langer nodig had, inclusief gegevens van mensen die het besloot niet in dienst te nemen.
Gebruik geen persoonlijke informatie wanneer dit niet nodig is.
Natuurlijk zullen er momenten zijn waarop uw bedrijf gevoelige gegevens moet gebruiken, maar gebruik deze niet in contexten die onnodige risico’s met zich meebrengen.
Voorbeeld: Een bedrijf verkoopt dierbenodigdheden via honderden verkoopvertegenwoordigers in het hele land. Het bedrijf wil een ontwikkelaar inhuren om een app te ontwerpen waarmee verkopers toegang kunnen krijgen tot klantaccounts. Deze accountbestanden bevatten namen, adressen en financiële informatie. Om de reikwijdte van het project uit te leggen, stuurt het bedrijf geïnteresseerde app-ontwikkelaars voorbeeldaccountbestanden voor echte klanten. De veiligere keuze zou zijn geweest om valse bestanden te maken die geen gevoelige klantinformatie bevatten.
Train uw personeel in uw normen en zorg ervoor dat ze zich hieraan houden.
Wat vormt het grootste risico voor de veiligheid van gevoelige informatie in het bezit van uw bedrijf? En wat is uw #1 verdediging tegen ongeoorloofde toegang? Het antwoord op beide vragen is uw personeel. Train nieuwe werknemers – inclusief seizoens- en tijdelijke werknemers – in de normen die u van hen verwacht. Bedenk verstandige controleprocedures om ervoor te zorgen dat ze aan uw regels voldoen. Omdat de aard van uw bedrijf kan veranderen en de bedreigingen zullen evolueren, moet u “alle hens aan dek” doen om nieuw beleid uit te leggen en de verkeersregels van uw bedrijf te versterken.
Nadat u uw personeel heeft getraind in de normen, kunt u hen vragen suggesties te doen om uw procedures te verbeteren. Stimuleer een samenwerkingsproces waarbij ieders expertise wordt benut. Een C-suite-manager heeft misschien geweldige ideeën voor het grote geheel, maar als u op zoek bent naar praktisch advies over het beschermen van gevoelig papierwerk dat mensen naar uw bedrijf sturen, moet u ook contact opnemen met de man in de postkamer.
Voorbeeld: Voordat nieuwe medewerkers netwerktoegang krijgen, vereist een bedrijf dat ze een interne training volgen. Om hun aandacht te stimuleren, bevat de presentatie korte interactieve quizzen. Daarnaast neemt het bedrijf veiligheidsgerelateerde tips op in zijn wekelijkse e-mailupdates voor alle medewerkers en verplicht het hen periodiek om opfriscursussen te volgen. Door zijn personeel te trainen in de omgang met gevoelige gegevens en door zijn beleid te versterken met regelmatige herinneringen en aanvullende beveiligingstrainingen heeft het bedrijf stappen ondernomen om een beveiligingscultuur te bevorderen.
Voorbeeld: Een bedrijf verzorgt de salarisadministratie voor kleine bedrijven. Eén keer per maand wordt een lid van het IT-personeel belast met het uitschakelen van de netwerktoegang en wachtwoorden voor werknemers die het bedrijf in de afgelopen 30 dagen hebben verlaten. Het zou veiliger zijn om het IT-personeel te trainen om de toegang van voormalige werknemers onmiddellijk na hun vertrek te blokkeren.
Bied consumenten waar mogelijk veiligere keuzes.
Denk na over uw gegevensverzamelingspraktijken, zowel in de dagelijkse bedrijfsvoering als in de dagelijkse bedrijfsvoering En in de producten, diensten, apps etc. die u consumenten aanbiedt. Ontwerp uw producten zo dat alleen gevoelige informatie wordt verzameld als dat nodig is voor de functionaliteit, en leg uw praktijken vooraf duidelijk uit aan consumenten. Bedenk hoe u standaardinstellingen, installatiewizards of werkbalken kunt gebruiken om het voor gebruikers gemakkelijker te maken veiliger keuzes te maken. Als uw product bijvoorbeeld een reeks privacykeuzes biedt (van veilige instellingen voor minder ervaren gebruikers tot geavanceerde opties voor ‘black Diamond’-professionals), stelt u de standaardinstellingen in op een meer beschermend niveau.
Voorbeeld: Een bedrijf produceert een router waarmee consumenten toegang kunnen krijgen tot documenten op hun thuiscomputer als ze niet thuis zijn. Standaard geeft de router iedereen op internet ongeoorloofde toegang tot alle bestanden op de aangesloten opslagapparaten die zijn aangesloten op de routers van consumenten, waaronder financiële gegevens, medische dossiers en andere zeer gevoelige informatie. De producthandleiding en de installatiewizard leggen deze standaardinstellingen niet uit en maken gebruikers niet duidelijk wat er aan de hand is. Het bedrijf had de mogelijkheid van ongeautoriseerde toegang kunnen verkleinen door de standaardinstellingen op een veiligere manier te configureren.
Volgende in de serie: Beheer de toegang tot gegevens verstandig.
