Als het gaat om gegevensbescherming, is wat redelijk is, afhankelijk van de grootte en aard van uw bedrijf en het soort gegevens waarmee u omgaat. Sommige principes zijn echter over de hele linie van toepassing: verzamel geen gevoelige informatie die u niet nodig hebt. Bescherm de informatie die u bijhoudt. En uw personeel trainen om uw beleid uit te voeren.
Het begin van de FTC met het beveiligingsinitiatief werd op die fundamenten gecreëerd. Zoals we in de inhuldigingspost van vorige week hebben vermeld, bellen we deze serie Blijf op de hoogte van bescherming Omdat elke blogpost een diepere duik zal zijn in een van de tien principes die in het begin worden besproken met de bescherming. Hoewel de principes ongewijzigd zijn, zullen we deze berichten gebruiken – voor de komende maanden – om te zoeken naar lessen van wetshandhavingsactiviteiten sinds het begin met de veiligheid, nadenkt over wat het FTC -personeel kan leren van de definitieve afsluitingsonderzoeken en hoe ze beginnen met onze activiteiten met onze activiteiten om met ons te worden gedeeld.
Verzamel geen persoonlijke informatie die u niet nodig hebt.
Dit is een eenvoudige aanbieding: als u in de eerste plaats geen gevoelige gegevens wilt, hoeft u geen actie te ondernemen om het te beschermen. Natuurlijk moet u gegevens bewaren die u moet behouden, maar de oude gewoonte om vertrouwelijke informatie te verzamelen bevat geen water in het cybertijdperk.
Er is nog een voordeel van het verzamelen van wat u nodig hebt. Het is gemakkelijker te beschermen dan veel gevoelige informatie die is opgeslagen in een dun subset -netwerk van vertrouwelijke informatie en op de bestandskabinet in uw hele bedrijf. De bedrijven die door hen worden verzameld, hebben het risico van hun bescherming al verminderd en hebben hun toestemmingsmethoden gestoken.
Voorbeelden: Een lokaal tuincentrum introduceert een frequent koperprogramma. De app vraagt om een grote hoeveelheid persoonlijke informatie met sofi -nummers van klanten en het Garden Center behoudt applicaties op zijn bestanden. Aangezien de winkel geen reden heeft om sofi -nummers te verzamelen voor de klanten van de winkel, vraagt het eerst die informatie en neemt het onnodig risico om het risico te vergroten door klanttoepassingen in het bestand te houden.
Voorbeelden: Een bakkerij stuurt een coupon voor een gratis verjaardagsvergeving voor klanten. In plaats van het verslag van de geboortedatum van alle klanten te handhaven – informatie die kan worden gecombineerd met andere gegevens en gebruikt voor ongeautoriseerde doeleinden – geeft de bakkerij zijn kassiers opdracht alleen klantnaam, e -mailadres en geboortemaand aan de database toe te voegen. Hoewel er legitieme redenen zijn dat andere zakelijke klanten mogelijk de geboortedatum moeten houden, zijn de juiste dag, maand en jaar niet nodig om de verjaardag van de bakker te promoten.
Voorbeelden: Een bandenwinkel ervaart een overtreding met informatie over 7000 klanten. De gegevens omvatten de namen van klanten, loyaliteitsnummers voor de winkel en hun laatste bandenrotatiedatum. Het FTC -personeel heeft besloten om geen wetshandhavingsmaatregelen te nemen omdat het bedrijf ook besloot om geen gevoelige informatie onnodig te verzamelen, en het nam redelijke stappen om zijn netwerk te beveiligen in het licht van beperkte informatie.
Houd de informatie vast zolang u een geldig bedrijf nodig hebt.
Filmfans herinneren zich de laatste scène van “Lost Ork Raiders”-Een voetbalveldmagazijn, gekleed in kluiskluisplafonds, stupa’s langs onschatbare schatten ook. Dit is hoe gegevensdieven de Hafizard -methode van een bedrijf zien om hun netwerk en bestanden te onderhouden. Bescherm -bewuste agentschappenpraktijken om de gegevens die ze in fasen bezetten te beoordelen, evalueren wat ze moeten behouden en oefen veilig af te doen wat niet langer nodig is.
Voorbeelden: Om professioneel talent aan te trekken, neemt een groot bedrijf deel aan de werving van beurzen in steden in het hele land. Nadat elke kandidaat een eerste interview had voltooid, kwamen personeelswerkers die het standpersoneel van het bedrijf in dienst hadden, informatie over de persoon op een gecodeerde laptop van het bedrijf. De gegevens die door HR -personeel zijn ingevoerd, omvatten de biografie van de kandidaat, informatie over de status van beveiligingsvrijstelling en de vraag naar de kandidaat. Elke wervingsbeurs wordt gebruikt op dezelfde niet -true laptop en de gegevens van eerdere kandidaten worden nooit verwijderd. Het bedrijf heeft waarschijnlijk kritieke kansen gemist om de gevoelige informatie van de kandidaten te regelen, waarin het heeft besloten het niet meer te huren, vereist geen gegevens.
Gebruik geen persoonlijke informatie als dit niet nodig is.
Natuurlijk komt er een tijd dat u gevoelige gegevens in uw bedrijf moet gebruiken, maar deze niet gebruikt in een context die onnodig risico creëert.
Voorbeelden: Een bedrijf levert PET via honderden verkoopvertegenwoordigers in het hele land. Het bedrijf wil een ontwikkelaar inhuren om een app te ontwerpen die verkoopvertegenwoordigers kunnen gebruiken om toegang te krijgen tot klantaccounts. Deze accountbestanden bevatten namen, adressen en financiële informatie. Om de reikwijdte van het project uit te leggen, stuurt het bedrijf geïnteresseerde applicatie -ontwikkelaars naar het werkelijke voorbeeld van de klant Account -bestand. Het zou een veiliger keuze zijn geweest om proefbestanden te maken die geen gevoelige klantinformatie bevatten.
Train uw werknemers tot uw criteria – en zorg ervoor dat ze volgen.
Wat is het grootste risico om gevoelige informatie in uw organisatie te beschermen? En wat is uw #1 verdediging tegen ongeautoriseerde toegang? Uw personeel om beide vragen te beantwoorden. Train nieuw personeel, inclusief seizoensgebonden personeel en tempo – in de criteria die u hoopt de criteria te ondersteunen. Ze creëren intelligente observatiemethoden om ervoor te zorgen dat ze aan uw regels voldoen. Aangezien de aard van uw bedrijf kan veranderen en bedreigingen zich zullen ontwikkelen, om nieuw beleid te verklaren en uw bedrijfsstraatregels “alle hand” opfriscursus op het dek te versterken.
Zodra u uw medewerkers over de waarden hebt opgeleverd, moet u ze afnemen om met de suggestie te komen om uw procedures te verbeteren. Moedig een geassocieerd proces aan dat profiteert van ieders vaardigheden. Een C-Suit Executive heeft misschien een geweldig idee van de Great-A-Big-foto, maar als u op zoek bent naar praktische suggesties om de gevoelige papieren te beschermen die u naar uw organisatie stuurt, raadpleeg dan een man in de postkamer.
Voorbeelden: Voordat u nieuwe werknemers geeft aan netwerktoegang, moet een bedrijf deelnemen aan hun interne training. Om hun aandacht aan te moedigen, heeft de presentatie een korte interactieve quiz. Bovendien omvat het bedrijf tips over bescherming in de wekelijkse e -mailupdate van alle werknemers en moet het hun opfriscursussen in fasen volgen. Het bedrijf heeft stappen ondernomen om de beschermingscultuur aan te moedigen door zijn personeel op te leiden hoe het om te gaan met gevoelige gegevens en het beleid te versterken met regelmatige herinnerings- en complementair onderwijsonderwijs.
Voorbeelden: Een bedrijf biedt op salaris gebaseerde diensten voor kleine bedrijven. Eenmaal per maand krijgt een lid van IT -werknemers de verantwoordelijkheid om netwerktoegang en wachtwoorden uit te schakelen van de werknemers die het bedrijf binnen de afgelopen 30 dagen hebben verlaten. De veiliger praktijk is om IT -personeel onmiddellijk te trainen om de toegang tot ex -werknemers van hun vertrek te blokkeren.
Geef indien mogelijk meer veilige voorkeuren voor klanten.
Denk aan uw dagelijkse werking van uw gegevensverzameling in uw bedrijf. En U biedt klanten aan producten, diensten, applicaties, enz. Ontwerp uw producten om gevoelige informatie te verzamelen, simpelweg indien nodig voor functionaliteit en leg uw praktijken uit voor klanten. Overweeg hoe u standaardinstellingen, instelwizards of tools kunt gebruiken om gebruikers veiliger te laten geven om het gemakkelijker te maken. Als uw product bijvoorbeeld een reeks privacyvoorkeuren biedt-“Black Diamond” van “Black Diamond” -professionals voor ervaren gebruikers en stel de standaard uit de doos op beschermend niveau.
Voorbeelden: Een bedrijf maakt een router waarmee klanten toegang hebben tot documenten op hun thuiscomputers terwijl ze niet thuis zijn. Standaard geeft de router een onredelijke toegang tot alle bestanden op het bijgevoegde opslagapparaat dat is gekoppeld aan consumentenrouters op internet, waaronder financiële gegevens, gezondheidsdossier en andere zeer gevoelige informatie. Producthandleiding en instelling Wizards verklaren deze standaardwaarden niet en wissen niet wat er aan de hand is voor gebruikers. Het bedrijf kan de mogelijkheid van ongeautoriseerde toegang verminderen door zijn standaardinstellingen op een veiliger manier te configureren.
Volgende in de serie: Controleer de gegevenstoegang tot gevoelig.
