Bekende hackers halen de krantenkoppen. Maar sommige datadieven geven de voorkeur aan ouderwetse methoden: door archiefkasten snuffelen, documenten afknijpen en apparaten zoals smartphones en flashdrives stelen. Terwijl uw bedrijf de beveiliging van uw netwerk versterkt, mag u zich daardoor niet concentreren op de manier waarop u uw documenten en apparaten beschermt.
De handhavingsacties van de FTC, de afgesloten onderzoeken en de ervaringen die we van bedrijven hebben gehoord, tonen de wijsheid aan van een 360-gradenaanpak voor de bescherming van gevoelige gegevens. ALS Begin met veiligheid suggereert, bescherm papier, fysieke media en apparaten het is een belangrijk onderdeel van die strategie.
Bewaar gevoelige bestanden veilig.
Als uw bedrijf zich al heeft gecommitteerd aan beveiliging, begrijpt u hoe belangrijk het is om gevoelige informatie alleen te verzamelen als u een legitieme zakelijke behoefte hebt en deze veilig te houden zolang deze in uw bezit is.
Voorbeeld: Een plaatselijke sportschool houdt personeelsdossiers bij van haar huidige werknemers. De bestanden bevatten gevoelige gegevens, zoals belastingdocumenten met burgerservicenummers en automatische stortingsmachtigingen met bankrekeninggegevens. De bestanden worden opgeslagen in het kantoor van de directeur, dat zich in een gedeelte van de faciliteit bevindt dat uitsluitend voor werknemers toegankelijk is. Verder bewaart de beheerder de dossiers in een kast die altijd afgesloten is. Wanneer hij klanten helpt of om een andere reden weg is van zijn kantoor, neemt hij de extra voorzorgsmaatregel om de deur op slot te doen, een slot dat alleen hij en zijn assistent-manager kunnen openen. Door basisbeschermingsmaatregelen te implementeren onderneemt de sportschool stappen om de veiligheid van de vertrouwelijke informatie in haar bezit te handhaven.
Voorbeeld: Een belastingaangiftebedrijf is wettelijk verplicht om cliëntgegevens gedurende een bepaalde periode te bewaren. Het bedrijf bewaart ze in een centraal magazijn dat toegankelijk is voor alle bedrijven die op die verdieping kantoorruimte huren. Door deze bestanden op een onbeveiligde locatie achter te laten, creëerde het bedrijf een onnodig risico dat gevoelige klantinformatie zou kunnen worden verduisterd.
Beveilig apparaten die persoonlijke informatie verwerken.
Het ziet er misschien uit als ‘slechts een telefoon’, maar als het in de verkeerde handen komt en bij een onveilige installatie kan het een skeletsleutel zijn die een gegevensdief ongeoorloofde toegang geeft tot alles op uw netwerk. En wat gebeurt er als een reizende medewerker een USB-stick met een database met klantgegevens achterlaat in een zakencentrum van een hotel? Bedrijven die zich zorgen maken over de beveiliging ondernemen stappen om apparaten te beschermen die gevoelige gegevens opslaan en verwerken.
Voorbeeld: Een gegevensverwerkingsbedrijf stelt smartphones ter beschikking aan zijn werknemers, zodat ze onderweg verbonden kunnen blijven. Het bedrijf vereist dat werknemers telefoons vergrendelen met een toegangscode en gegevens op het apparaat coderen. Het bedrijf erkent dat mensen af en toe hun telefoon kwijt kunnen raken, maakt apparaatzoekdiensten mogelijk en gebruikt een app om ervoor te zorgen dat het apparaat op afstand kan worden gewist als het kwijtraakt. Het bedrijf leidt werknemers ook op over procedures voor het onmiddellijk melden van verloren telefoons. Door op gezond verstand gebaseerde beleidsmaatregelen te implementeren en medewerkers op te leiden om deze na te leven, heeft het bedrijf een basisvoorzorgsmaatregel genomen om de gegevens waartoe toegang wordt verkregen via dergelijke apparaten te beschermen.
Handhaaf de beveiligingsnormen tijdens het gegevenstransport.
ALS Begin met veiligheid en een vorig bericht in de Stick with Security-serie Wij raden voorzichtige bedrijven aan voorzichtig te zijn bij het doorgeven van gevoelige informatie. Ze stellen ook verstandige normen en trainen hun werknemers om voorzorgsmaatregelen te nemen wanneer bestanden of apparaten niet op kantoor zijn.
Voorbeeld: Een bedrijf met vijf vestigingen in een stad geeft een medewerker de opdracht om aan het eind van de dag naar elk filiaal te gaan om inkooporders op te halen die de financiële informatie van klanten bevatten. Het bedrijf biedt geen veiligheidstraining aan de werknemer. Op een keer stopte de medewerkster om een persoonlijke boodschap te doen, waarbij ze haar documenten in een rugzak in haar auto achterliet. Hij keert terug en ontdekt dat het passagiersraam kapot is en dat de rugzak is gestolen. Door de werknemer niet te trainen in het veilig bewaren van documenten tijdens haar dagelijkse woon-werkverkeer, heeft het bedrijf het risico vergroot dat mensen van buiten het bedrijf toegang krijgen tot haar financiële informatie.
Voorbeeld: Een regionaal kantoor van een landelijk adviesbureau moet een externe harde schijf naar het hoofdkantoor sturen. Het regiokantoor maakt gebruik van een gecodeerde schijf en verzendt deze via een bezorgservice die pakkettracering biedt. Deze twee voorzorgsmaatregelen verminderen het risico van ongeautoriseerde toegang tot gegevens.
Gooi gevoelige gegevens veilig weg.
Het lijkt misschien rommel voor u, maar weggegooide documenten, verwijderde elektronische bestanden of verouderde apparatuur zijn de schatkamer van een datadief. Het simpelweg weggooien van documenten in de prullenbak of het klikken op DELETE zal infobandieten waarschijnlijk niet afschrikken. Om te voorkomen dat ze weggegooide bestanden reconstrueren, zijn verantwoordelijke bedrijven voorzichtig met het versnipperen, verbranden of anderszins vernietigen van documenten en het gebruik van technologische hulpmiddelen die elektronische bestanden echt onleesbaar maken.
Bovendien, als uw bedrijf onder art Wet op eerlijke kredietrapportageHet veilig verwijderen van bepaalde gevoelige gegevens – kredietrapporten en bestanden met informatie die uit die rapporten is afgeleid – is vanuit zakelijk perspectief gewoon geen goed idee. Onder de FCRA-verwijderingsregelhet is de wet.
Voorbeeld: Een klein accountantskantoor plaatst twee bakken op het kantoor van iedere medewerker: een bak voor afval en niet-gevoelige documenten en een aparte bak voor documenten waar vertrouwelijke informatie in zit. Regelmatig verzamelt een medewerker vertrouwelijke documenten en vernietigt deze. Het bedrijf heeft ook een papierversnipperaar in de buurt van het kopieerapparaat, zodat werknemers verkeerd ingevoerde documenten of overtollige kopieën van gevoelige documenten kunnen vernietigen. Met deze eenvoudige stappen kunt u het risico verkleinen dat informatie in handen van onbevoegden valt.
Voorbeeld: Een accountantskantoor besluit enkele oude laptops aan een goed doel te doneren en geeft medewerkers de opdracht bestanden op de harde schijven van de computers te verwijderen. Als u echter simpelweg op VERWIJDEREN klikt, worden gevoelige gegevens niet daadwerkelijk verwijderd. Zelfs als een bestandsnaam niet in de lijst met beschikbare documenten voorkomt, duurt het niet lang voordat een gegevensdief deze heeft teruggevonden. Het verstandigste is om uw harde schijf veilig te wissen met behulp van software die speciaal voor dat doel is ontworpen.
Om de veiligheid te behouden, implementeren verstandige bedrijven redelijke voorzorgsmaatregelen om documenten, flashdrives, telefoons, cd’s en andere media die gevoelige informatie kunnen bevatten, te beschermen.
Volgende in de serie: FTC-gegevensbeveiligingsbronnen voor uw bedrijf
