Mulailah dengan keamanan – dan tetap melekat padanya

Dalam hal keamanan data, pekerjaan yang wajar akan tergantung pada ukuran dan sifat bisnis Anda dan data yang Anda hadapi. Namun, beberapa prinsip berlaku di papan: jangan mengumpulkan informasi sensitif yang tidak Anda butuhkan. Lindungi informasi yang Anda pertahankan. Dan latih staf Anda untuk mewujudkan kebijakan Anda.

FTC memulai dengan inisiatif keamanan dibangun di atas fondasi ini. Seperti yang kami sebutkan di pos promosi minggu lalu, kami katakan seri ini Tetap setia pada keamanan Karena setiap posting blog akan menawarkan penyelaman yang lebih dalam ke salah satu dari sepuluh prinsip yang awalnya dibahas. Meskipun prinsip -prinsipnya tetap tidak berubah, kami akan menggunakan tugas -tugas ini – setiap hari Jumat selama beberapa bulan ke depan – untuk mengeksplorasi pelajaran dari tindakan penegakan hukum yang telah diumumkan sejak keamanan, mencerminkan apa yang dapat dipelajari oleh bisnis dari investigasi di mana personel FTC akhirnya ditutup, dan untuk memikirkan bagaimana mereka berbagi tentang bagaimana mereka membagikannya di tempat kerja.

Jangan mengumpulkan informasi pribadi yang tidak Anda butuhkan.

Ini adalah penawaran sederhana: Jika Anda tidak ingin data yang tepat di tempat pertama, Anda tidak perlu mengambil langkah untuk melindunginya. Tentu saja, akan ada data untuk dipelihara, tetapi kebiasaan mengumpulkan informasi rahasia “hanya” tidak menahan air di zaman dunia maya.

Ada keuntungan lain untuk mengumpulkan apa yang Anda butuhkan. Satu set data tersembunyi sederhana lebih mudah daripada sejumlah besar informasi sensitif yang disimpan dalam jaringan dan lemari arsip di perusahaan Anda. Bisnis, yang secara logis membatasi apa yang telah mereka kumpulkan, telah mengurangi risiko keselamatan dan memfasilitasi prosedur adaptasi.

Contoh: Pusat taman lokal menawarkan program penerima yang sering. Aplikasi ini membutuhkan sejumlah besar informasi pribadi dari pelanggan, termasuk nomor Jaminan Sosial dan melindungi aplikasi dalam file Garden Center. Karena toko tidak memiliki alasan bisnis untuk mengumpulkan nomor jaminan sosial pelanggan, dibutuhkan risiko yang tidak perlu dengan menuntut informasi ini di tempat pertama dan dengan menjaga aplikasi pelanggan dalam file.

Contoh: Sebuah toko roti mengirimkan kupon ke pelanggan untuk donat ulang tahun gratis. Alih -alih mempertahankan catatan semua tanggal lahir semua pelanggan – informasi yang dapat dikombinasikan dengan data lain dan dapat digunakan untuk tujuan yang tidak sah – oven hanya memandu nama pelanggan, alamat e -posta dan bulan kelahiran untuk menambahkannya ke database. Meskipun ada alasan yang sah bahwa perusahaan lain perlu melindungi tanggal kelahiran pelanggan, bulan, bulan, dan tahun penuh tidak diperlukan untuk promosi oven.

Contoh: Sebuah toko karet mengalami pelanggaran dengan informasi tentang 7000 pelanggan. Data termasuk nama pelanggan, nomor loyalitas untuk toko, dan tanggal rotasi karet terakhir. Staf FTC memutuskan untuk tidak mengikuti tindakan penegakan hukum, karena selain faktor -faktor lain, perusahaan telah memutuskan untuk tidak mengumpulkan informasi yang tepat dan telah mengambil langkah -langkah yang wajar untuk mengamankan jaringannya mengingat informasi terbatas.

Pegang saja informasi selama Anda membutuhkan pekerjaan yang sah.

Penggemar film akan mengingat adegan terakhir dari “Lost Ark’s Raiders Olan, sebuah gudang yang seukuran lapangan sepak bola yang ditumpuk di langit -langit berkubah dengan harta yang tak ternilai. Dengan cara ini, pencuri data melihat metode acak yang dibutuhkan untuk melindungi jaringan dan file yang tidak disediakan.

Contoh: Perusahaan besar berpartisipasi dalam pameran rekrutmen di kota -kota di seluruh negeri untuk menarik keterampilan profesional. Setelah setiap kandidat menyelesaikan pertemuan pertama, personel Sumber Daya Manusia yang bekerja di stan perusahaan memasukkan informasi tentang orang di laptop perusahaan yang tidak dibotak. Data yang dimasukkan oleh personel SDM berisi resume kandidat, informasi tentang status izin keamanan dan permintaan gaji kandidat. Laptop tidak nyaman yang sama digunakan di setiap pameran rekrutmen dan data kandidat sebelumnya tidak akan pernah dihapus. Perusahaan telah melewatkan peluang kritis untuk informasi sensitif rilis yang tidak dibutuhkan kandidat lagi, termasuk data dari orang -orang yang mereka putuskan untuk tidak dipekerjakan.

Jangan gunakan informasi pribadi saat tidak diperlukan.

Tentu saja, akan ada kalanya bisnis Anda harus menggunakan data sensitif, tetapi tidak menggunakan risiko yang tidak perlu dalam konteks.

Contoh: Sebuah perusahaan menjual materi domestik melalui ratusan perwakilan penjualan negara. Perusahaan ingin menyewa pengembang untuk merancang aplikasi yang dapat digunakan perwakilan penjualan untuk mengakses akun pelanggan. File akun ini termasuk nama, alamat, dan informasi keuangan. Untuk menjelaskan ruang lingkup proyek, perusahaan mengirim pengembang aplikasi yang relevan ke file akun sampel pelanggan nyata. Pilihan yang lebih aman adalah membuat file palsu yang tidak berisi informasi pelanggan yang tepat.

Latih staf Anda dalam standar Anda dan pastikan mereka mengikuti mereka.

Apa risiko terbesar untuk keamanan informasi sensitif perusahaan Anda? Dan apa pertahanan Anda terhadap akses yang tidak sah? Jawaban untuk kedua masalah adalah staf Anda. Mendidik karyawan baru, termasuk pekerja musiman dan suhu, standar yang Anda harapkan untuk mendukung mereka. Desain prosedur pemantauan logis untuk memastikan bahwa mereka mengikuti aturan Anda. Karena sifat bisnis Anda dapat berubah dan ancaman dapat berkembang, karena itu akan melaksanakan “semua tangan di geladak” untuk menjelaskan kebijakan baru dan memperkuat aturan jalan perusahaan Anda.

Setelah Anda melatih staf Anda tentang standar, biarkan mereka menonjol dengan saran untuk meningkatkan prosedur Anda. Dorong proses kolaboratif yang memanfaatkan keahlian semua orang. Seorang manajer C-suite mungkin memiliki ide-ide melukis besar, tetapi jika Anda mencari saran praktis untuk melindungi dokumen sensitif yang dikirim orang ke perusahaan Anda, berkonsultasi dengan pria di ruang surat.

Contoh: Perusahaan mengharuskan mereka untuk berpartisipasi dalam pelatihan internal sebelum akses jaringan ke karyawan baru. Untuk mendorong perhatian mereka, itu berisi ujian interaktif singkat dalam presentasi. Selain itu, perusahaan berisi tips terkait keamanan pada pembaruan email mingguan untuk semua karyawan dan membutuhkan kursus menyegarkan secara berkala. Dengan memperkuat personel dengan pengingat reguler dan pelatihan keamanan tambahan, perusahaan telah mengambil langkah -langkah untuk mempromosikan budaya keamanan.

Contoh: Perusahaan menawarkan layanan penggajian untuk usaha kecil. Sekali sebulan, seorang anggota personel TI bertanggung jawab untuk menonaktifkan akses jaringan dan kata sandi karyawan yang meninggalkan perusahaan dalam 30 hari terakhir. Aplikasi yang lebih aman adalah melatih personel TI untuk mencegah akses mantan karyawan untuk mencegah mereka setelah pergi segera.

Jika memungkinkan, ia menawarkan pilihan yang lebih aman untuk konsumen.

Pikirkan aplikasi pengumpulan data Anda baik dalam pekerjaan sehari -hari bisnis Anda Dan Produk, Layanan, Aplikasi, dll. Anda menawarkan konsumen. Rancang produk Anda hanya untuk mengumpulkan informasi sensitif jika perlu untuk fungsionalitas dan secara eksplisit menjelaskan aplikasi Anda kepada konsumen di depannya. Untuk memfasilitasi pengguna untuk membuat pilihan yang lebih aman, pertimbangkan cara menggunakan pengaturan default, Wizards Instalasi, atau toolbar. Misalnya, jika produk Anda menawarkan berbagai opsi kerahasiaan dari pengaturan yang aman hingga profesional “Black Diamond” untuk pengguna yang kurang berpengalaman, atur kotak kotak ke tingkat yang lebih perlindungan.

Contoh: Sebuah perusahaan memproduksi router yang memungkinkan konsumen untuk mengakses dokumen di komputer di rumah saat jauh dari rumah. Secara default, router menyediakan akses yang tidak adil ke semua file yang terhubung ke konsumen di perangkat penyimpanan yang terhubung yang mungkin termasuk data keuangan, catatan kesehatan, catatan kesehatan, catatan kesehatan, catatan kesehatan, dan informasi yang sangat sensitif lainnya. Panduan Produk dan Wisaya Instalasi tidak menjelaskan asumsi ini dan tidak mengklarifikasi apa yang terjadi pada pengguna. Perusahaan dapat mengurangi akses tidak sah ke akses tidak sah dengan mengonfigurasi pengaturan defaultnya lebih aman.

Seri berikutnya: Berikutnya: Kontrol akses ke data secara logis.