In de onze Ga verder met de serie beveiligingsblogsWe hebben ons best gedaan om dieper in de gegevensbeveiliging te duiken door ons te concentreren op de lessen die zijn getrokken uit recente gevallen, inzichten uit voltooide onderzoeken en vragen en opmerkingen die we van bedrijven hebben ontvangen. Een observatie die we hebben gehoord van bedrijven die de geleerde lessen willen implementeren Begin met veiligheid is: “Geef ons gewoon een lijst met wat we moeten doen.” Helaas kan gegevensbeveiliging niet worden teruggebracht tot één enkele checklist. Wat redelijk is, hangt af van de omstandigheden, zoals de aard van uw bedrijf en de gevoeligheid van de informatie die u moet verzamelen en bewaren. Er bestaat dus geen one-size-fits-all aanpak. Bovendien evolueren de tactieken van datadieven voortdurend. De voorzorgsmaatregelen van vorig jaar beschermen uw bedrijf mogelijk niet tegen de bedreigingen van morgen.
Dat gezegd hebbende, blijven de fundamentele principes van effectieve gegevensbeveiliging onveranderd: 1) Verzamel alleen gevoelige informatie als u een legitieme zakelijke behoefte heeft; 2) Bewaar het veilig zolang het in uw bezit is; en 3) het veilig weggooien aan het einde van de zakelijke behoefte.
“Hoe implementeren we deze principes in ons bedrijf?” Dit is een andere vraag die we hebben gehoord. De FTC beschikt over middelen, heel veel, om deze taak gemakkelijker te maken. Ons Pagina Gegevensbeveiligingwaar links naar staan werkplaatsen, personeelsrapporten, brieven afsluitenen meer, verzamelt relevante begeleiding op één opmerkelijke plaats. Hier zijn slechts enkele van de bronnen die u daar kunt vinden:
FTC-zaken. Tot nu toe heeft de FTC een aanvraag ingediend ruim 60 aandelen waarin wordt beweerd dat bedrijven zich schuldig maken aan misleidende of oneerlijke praktijken met betrekking tot gegevensbeveiliging. De meeste van deze kwesties zijn opgelost door rechterlijke dwangbevelen. Uiteraard zijn de klachten en bevelen alleen van toepassing op die bedrijven, maar verstandige bedrijven begrijpen dat elke FTC-actie transversaal inzicht biedt. De FTC heeft bijvoorbeeld een aantal rechtszaken aangespannen tegen bedrijven waarvan de werknemers er niet in slaagden de gevoelige gegevens te beschermen die zij bezaten wanneer zij niet op kantoor waren. Kortzichtige bedrijven kunnen misschien opgelucht ademhalen omdat dit hen niet is overkomen. Beveiligingsbewuste bedrijven beoordelen klachten en overwegen hoe ze deze compliance-aspecten kunnen opnemen in hun procedures, inclusief interne training.
Voor drukbezette leidinggevenden kan het indienen van een rechtszaak bij de FTC traag lijken. Maar hier is een tip om het meeste uit uw tijd te halen: in de openingsparagrafen van de meeste klachten worden meestal de betrokken partijen samengevat. De relevante items – een uitleg van wat het bedrijf heeft gedaan (of niet heeft gedaan) dat tot de toepassing van de wet heeft geleid – verschijnen meestal in een sectie met de titel Het gedrag van de verdachte, Bedrijfsactiviteiten van gedaagdeof iets dergelijks. Tegen het einde vindt u een of meer specifieke beschuldigingen met betrekking tot gedrag dat volgens de FTC in strijd is met de wet. Bovendien specificeert de verordening duidelijk wat het bedrijf moet doen om het risico op soortgelijke overtredingen in de toekomst te verminderen. Net als de klacht is de verordening alleen van toepassing op het bedrijf in kwestie. Maar veel bedrijven gebruiken het als een ruwe handleiding voor verstandige stappen die ze moeten overwegen.
Folders voor bedrijven. De FTC heeft een aantal publicaties geschreven om juridisch jargon tot een minimum te beperken en praktisch advies voor bedrijven te maximaliseren. Drie titels zouden op de te lezen lijst moeten staan voor elk bedrijf dat zich zorgen maakt over gegevensbeveiliging. Deel links met uw personeel of bestel gratis exemplaren van De site voor bulkbestellingen van de FTC.
- Waar te beginnen. Persoonlijke informatie beschermen: een gids voor bedrijven is een inleiding tot het opstellen van een gegevensbeveiligingsplan voor uw bedrijf. Gebaseerd op vijf kernprincipes: inventariseren, opschalen, blokkeren, presenteren en vooruit plannen. Bescherming van persoonlijke informatie biedt een praktische aanpak die toepasbaar is voor elk bedrijf.
- Voor meer informatie. Begin met veiligheid onderzoekt de handhavingsacties van de FTC en distilleert de zaken in 10 nalevingslessen. (Ons Ga verder met de serie beveiligingsblogs richt zich op diezelfde 10 lessen, maar ook op factoren die verband houden met recente zaken, afgeronde onderzoeken en vragen en opmerkingen die we van bedrijven hebben ontvangen.)
- In het geval dat er sprake is van een overtreding. Reactie op datalekken Hierin worden de maatregelen beschreven die moeten worden genomen als er sprake is van een overtreding. Ervaren leidinggevenden zullen u vertellen dat u het het beste kunt lezen voordat u het nodig heeft.
Video. Als u echt weinig tijd heeft, biedt de FTC korte video’s waarin gegevensbeveiliging tot de basis wordt teruggebracht. We hebben een video bij elk van de 10 Begin met veiligheidsprincipes en nog een over het gebruik van Start met Beveiliging-bronnen in uw bedrijf. Onder tientallen andere titels staan video’s verdedig uzelf tegen ransomware, met behulp van e-mailauthenticatie om phishing te bestrijden door te reageren als uw bedrijf dat is nagebootst in een phishing-scamen uitlijnen van FTC-gegevensbeveiliging werkt met het cyberbeveiligingsframework van NIST. Overweeg om ze op te nemen in de interne training of om ze te laten zien tijdens uw volgende personeelsvergadering. Het is een investering van drie minuten die zich kan terugbetalen in de vorm van een veiligheidsbewuster personeelsbestand.
Brochures voor specifieke zakelijke doelgroepen. Ons Pagina Gegevensbeveiliging Het bevat ook gedetailleerde titels en links voor bepaalde marktsectoren. Een gezondheidsgerelateerde mobiele app ontwikkelen? De FTC heeft een publicatie van beste praktijken en een interactief hulpmiddel. Voor bedrijven die betrokken zijn bij het Internet of Things is dat wel het geval Zorgvuldige verbindingeneen handleiding over hoe u beveiliging kunt integreren in verbonden producten. Dat hebben wij ook Veelgestelde vragen over het verminderen van het risico op medische identiteitsdiefstal, een op beveiliging gerichte publicatie voor bedrijven die dat willen het kopen en verkopen van consumentenschulden, bronnen voor bedrijven die vallen onder de Gramm-Leach-Bliley Act Safeguards Rule – en nog veel meer. De kans is groot dat er een publicatie is die relevant is voor uw vakgebied.
Middelen voor kleine bedrijven. Voor solo-ondernemers of bedrijven met weinig werknemers is de FTC Site voor kleine bedrijven bevat bronnen die met u in gedachten zijn geschreven. Basisprincipes van cyberbeveiliging voor kleine bedrijven analyseert het met concrete richtlijnen voor het beschermen van bestanden en apparaten, het beveiligen van uw draadloze netwerk en het reageren als u het doelwit bent geweest van malware of een hackaanval.
Blogpost. Bijna elke aankondiging van een FTC-zaak gaat vergezeld van twee blogposts. De Consumer Blog vertaalt veiligheidsgerelateerde ontwikkelingen naar uitvoerbaar advies voor leden van het publiek. DE Bedrijfsblog richt zich op wat de wetshandhavings- en beleidsinitiatieven van de FTC voor uw bedrijf betekenen. Tot op heden, ruim 200 berichten – ongeveer 20% van het totaal – richtte zich op gegevensbeveiliging, en veel daarvan bieden specifieke tips voor bedrijven. Meld u aan bij onze Blijf verbonden en de bedrijfsblog komt automatisch in uw e-mailinbox terecht.
Dit is het laatste bericht van ons Blijf bij de Security-seriemaar het zal niet de laatste keer zijn dat u van FTC-personeel hoort over praktische begeleiding voor uw bedrijf. Laat ons weten welke andere beveiligingsonderwerpen u graag door ons wilt laten behandelen.
