In onze Blijf bij de serie Beveiligingsblogswe hebben ons best gedaan om dieper in de gegevensbeveiliging te duiken door ons te concentreren op de lessen die we hebben geleerd uit recente zaken, inzichten uit gesloten onderzoeken en de vragen en opmerkingen die we van bedrijven hebben ontvangen. Een opmerking die we hebben gehoord van bedrijven die de geleerde lessen willen implementeren Begin met veiligheid is: “Geef ons gewoon een lijst met wat we moeten doen.” Helaas kan gegevensbeveiliging niet worden teruggebracht tot een eenmalige checklist. Wat redelijk is, hangt af van de omstandigheden – bijvoorbeeld de aard van uw bedrijf en de gevoeligheid van de informatie die u moet verzamelen en onderhouden – en er is dus geen one-size-fits-all aanpak. Bovendien evolueert de tactiek van datadieven voortdurend. De voorzorgsmaatregelen van vorig jaar beschermen uw bedrijf mogelijk niet tegen de bedreigingen van morgen.
Dat gezegd hebbende, blijven de basisprincipes van effectieve gegevensbeveiliging constant: 1) Verzamel alleen gevoelige informatie als u een legitieme zakelijke behoefte heeft; 2) Bewaar het veilig terwijl u het in uw bezit heeft; en 3) het op een veilige manier weggooien wanneer de zakelijke behoefte wegvalt.
“Hoe implementeren we deze principes in ons bedrijf?” Dat is een andere vraag die we hebben gehoord. De FTC beschikt over middelen – veel daarvan – om die taak gemakkelijker te maken. Ons Pagina voor gegevensbeveiligingwaarin links staan naar werkplaatsen, personeelsrapporten, brieven afsluitenen meer, brengt relevante begeleiding samen op één bladwijzerwaardige plek. Hier zijn slechts enkele van de bronnen die u daar kunt vinden:
FTC-zaken. Dat heeft de FTC tot nu toe gemeld ruim 60 acties waarin wordt beweerd dat bedrijven zich schuldig hebben gemaakt aan misleidende of oneerlijke praktijken op het gebied van gegevensbeveiliging. De meeste van deze zaken zijn door rechterlijke bevelen afgehandeld. Uiteraard gelden de klachten en bevelen alleen voor deze bedrijven, maar slimme bedrijven begrijpen dat elke FTC-actie over de hele linie inzicht geeft. De FTC heeft bijvoorbeeld een aantal zaken aangespannen tegen bedrijven waarvan de werknemers er niet in slaagden de gevoelige gegevens die zij in hun bezit hadden veilig te stellen wanneer zij niet op kantoor waren. Kortzichtige bedrijven kunnen opgelucht ademhalen dat het hen niet is overkomen. Beveiligingsbewuste bedrijven beoordelen de klachten en overwegen hoe ze deze compliance-klompjes kunnen integreren in hun eigen procedures, inclusief interne training.
Voor drukke managers kan een FTC-bezwaar een langzame start lijken. Maar hier is een tip om uw tijd beter te gebruiken: de openingsparagrafen van de meeste klachten vatten meestal de betrokken partijen samen. De relevante zaken – een uitleg van wat het bedrijf deed (of niet deed) dat tot wetshandhaving leidde – verschijnt meestal in een sectie met de titel Gedragsverloop van de respondent, De zaken van gedaagdeof iets dergelijks. Tegen het einde zul je een of meer specifieke beschuldigingen tegenkomen over het gedrag dat volgens de FTC in strijd is met de wet. Bovendien specificeert de uitspraak in een zaak wat het bedrijf moet doen om het risico op soortgelijke overtredingen in de toekomst te verkleinen. Het bevel is, net als de klacht, juist van toepassing op het betreffende bedrijf. Maar veel bedrijven gebruiken het als een ruwe handleiding voor verstandige stappen die ze moeten overwegen.
Folders voor het bedrijfsleven. De FTC heeft een aantal publicaties geschreven om juridisch jargon tot een minimum te beperken en praktisch advies voor bedrijven te maximaliseren. Drie titels zouden op de lijst moeten staan die elk bedrijf dat zich zorgen maakt over gegevensbeveiliging, moet lezen. Deel de links met uw personeel of bestel gratis exemplaren bij De site voor bulkbestellingen van de FTC.
- Waar te beginnen. Privacy: een gids voor bedrijven is een inleiding tot het opstellen van een gegevensbeveiligingsplan voor uw bedrijf. Gebouwd op vijf fundamentele principes – de balans opmaken, verkleinen, vergrendelen, pitchen en vooruit plannen – Bescherming van persoonlijke informatie biedt een praktische aanpak die op elk bedrijf kan worden toegepast.
- Voor meer informatie. Begin met veiligheid kijkt naar de handhavingsacties van de FTC en herleidt de gevallen tot tien nalevingslessen. (Ons Blijf bij de serie Beveiligingsblogs (richt zich op dezelfde tien lessen, maar ook op factoren uit recente zaken, afgesloten onderzoeken en vragen en opmerkingen die we van bedrijven hebben gehoord.)
- Als er sprake is van een inbreuk. Reactie op datalekken Hierin wordt beschreven welke stappen moeten worden ondernomen als er een inbreuk heeft plaatsgevonden. Ervaren managers zullen u vertellen dat u het het beste kunt lezen voordat u het nodig heeft.
Video’s. Als je echt weinig tijd hebt, heeft de FTC korte video’s waarin gegevensbeveiliging tot de basis wordt teruggebracht. Van elk van de 10 hebben we een video Begin met veiligheidsprincipes en nog een over door Start met beveiligingsmiddelen in uw bedrijf in te zetten. Onder tientallen andere titels staan video’s over verdediging tegen ransomware, met behulp van e-mailauthenticatie om phishing tegen te gaan door te reageren als uw bedrijf dat is nagebootst in een phishing-scamen aanpassing van De gegevensbeveiliging van de FTC werkt met het Cybersecurity Framework van NIST. Overweeg ze op te nemen in de interne training of toon ze tijdens uw volgende personeelsvergadering. Het is een investering van 3 minuten die zich terugbetaalt in een veiligheidsbewuster personeelsbestand.
Folders voor specifieke zakelijke doelgroepen. Ons Pagina voor gegevensbeveiliging bevat ook relevante titels en links naar bepaalde marktsectoren. Ontwikkelt u een gezondheidsgerelateerde mobiele app? De FTC heeft er één publicatie van beste praktijken en één interactief hulpmiddel. Voor bedrijven die betrokken zijn bij het Internet of Things is dat wel het geval Zorgvuldige verbindingeneen gids over het inbouwen van beveiliging in verbonden producten. Dat hebben wij ook Veelgestelde vragen on Reducing the Risk of Medical Identity Theft, een op beveiliging gerichte publicatie voor bedrijven die consumentenschulden kopen en verkopen, bronnen voor bedrijven die vallen onder de Safeguards Rule van de Gramm-Leach-Bliley Act – en nog veel meer. Er is waarschijnlijk een publicatie die relevant is voor uw branche.
Hulpbronnen voor kleine bedrijven. Voor soloondernemers of bedrijven met slechts enkele werknemers, de FTC’s Kleine bedrijvensite bevat bronnen die met u in gedachten zijn geschreven. Basisprincipes van computerbeveiliging voor kleine bedrijven legt het uit met richtlijnen voor het beschermen van uw bestanden en apparaten, het beschermen van uw draadloze netwerk en het reageren als u het slachtoffer bent geworden van malware of een hackaanval.
Blogpost. Bijna elke aankondiging van een FTC-zaak gaat vergezeld van twee blogposts. Het consumentenblog vertaalt veiligheidsgerelateerde ontwikkelingen naar uitvoerbaar advies voor leden van het publiek. De Zakelijke blog richt zich op wat FTC-handhaving en beleidsinitiatieven voor uw bedrijf betekenen. Tot op heden, ruim 200 berichten – ongeveer 20% van het totaal – heeft zich gericht op gegevensbeveiliging, waarbij veel bedrijven specifieke afhaaltips voor bedrijven bieden. Abonneer u op onze Blijf verbonden pagina en de Business Blog komt automatisch in uw inbox terecht.
Dit is het laatste bericht in onze Blijf bij de Security-seriemaar dat zal niet het laatste zijn dat u van FTC-personeel hoort over praktische begeleiding voor uw bedrijf. Vertel ons over andere beveiligingsgerelateerde onderwerpen die u door ons wilt laten behandelen.
