Als het gaat om gegevensbeveiliging, hangt wat redelijk is af van de omvang en aard van uw bedrijf en het soort gegevens dat u verwerkt. Maar sommige principes zijn over de hele linie van toepassing: verzamel geen gevoelige informatie die u niet nodig heeft. Bescherm de informatie die u opslaat. En train uw personeel om uw beleid uit te voeren.
De FTC Begin met veiligheid Op deze fundamenten is het initiatief gebouwd. Zoals we in vermeldden introductiepost van vorige weekwe zullen deze serie noemen Houd je aan de veiligheid omdat elke blogpost inzicht biedt in een van de tien principes die worden besproken in Begin met veiligheid. Hoewel de principes ongewijzigd blijven, zullen we deze posten – de komende maanden elke vrijdag één – gebruiken om de lessen te verkennen van de wetshandhavingsmaatregelen die sindsdien zijn aangekondigd. Begin met veiligheidom na te denken over wat bedrijven kunnen leren van de onderzoeken die FTC-medewerkers uiteindelijk hebben afgesloten, en om in te gaan op de ervaringen die bedrijven met ons hebben gedeeld over de manier waarop zij dit implementeren Begin met veiligheid op hun werkplekken.
Verzamel geen persoonlijke gegevens die u niet nodig heeft.
Het is een eenvoudig voorstel: als u überhaupt niet om gevoelige gegevens vraagt, hoeft u geen stappen te ondernemen om deze te beschermen. Natuurlijk zullen er gegevens zijn die je moet bewaren, maar de oude gewoonte om gevoelige informatie te verzamelen ‘gewoon omdat’ houdt geen stand in het cybertijdperk.
Er is nog een voordeel als je alleen verzamelt wat je nodig hebt. Een kleine subset van vertrouwelijke gegevens is gemakkelijker te beschermen dan enorme hoeveelheden gevoelige informatie die zich op netwerken en in archiefkasten in de hele onderneming bevinden. Bedrijven die de hoeveelheid die zij verzamelen aanzienlijk beperken, hebben de veiligheidsrisico’s al verminderd en de nalevingsprocedures vereenvoudigd.
Voorbeeld: Een plaatselijk tuincentrum introduceert een frequent-koperprogramma. De applicatie vraagt klanten om een aanzienlijke hoeveelheid persoonlijke informatie, waaronder burgerservicenummers, en het tuincentrum houdt de aanvragen bij in de administratie. Omdat de winkel geen zakelijke reden heeft om de burgerservicenummers van klanten te verzamelen, neemt het een onnodig risico door überhaupt om die informatie te vragen en dat risico nog groter te maken door klantaanvragen in het bestand te bewaren.
Voorbeeld: Een bakkerij stuurt klanten een kortingsbon voor een gratis verjaardagsmuffin. In plaats van de geboortedata van alle klanten bij te houden – informatie die kan worden gecombineerd met andere gegevens en kan worden gebruikt voor ongeoorloofde doeleinden – instrueert de bakkerij haar kassiers om alleen de naam, het e-mailadres en de geboortemaand van de klant aan de database toe te voegen. Hoewel er legitieme redenen zijn waarom andere bedrijven de geboortedatum van een klant moeten onthouden, zijn de exacte dag, maand en jaar niet nodig voor de verjaardagspromotie van de bakkerij.
Voorbeeld: Een bandenwinkel heeft te maken met een inbreuk op de gegevens van zijn 7.000 klanten. De gegevens omvatten klantnamen, winkelloyaliteitsnummers en de datum van de laatste bandenwissel. FTC-personeel besluit geen handhavingsmaatregelen te nemen, onder meer omdat het bedrijf de juiste beslissing heeft genomen om gevoelige informatie niet onnodig te verzamelen en redelijke stappen heeft ondernomen om zijn netwerk te beschermen in het licht van de beperkte informatie die het bewaarde.
Bewaar informatie alleen zolang u een legitieme zakelijke behoefte heeft.
Filmliefhebbers zullen zich de laatste scène van “Raiders of the Lost Ark” herinneren: een pakhuis zo groot als een voetbalveld, tot aan het gewelfde plafond gestapeld met alledaagse voorwerpen opgestapeld naast onschatbare schatten. Dit is hoe datadieven de lukrake manier zien waarop sommige bedrijven hun netwerken en bestanden onderhouden. Beveiligingsbewuste bedrijven maken er een gewoonte van om periodiek de gegevens die ze bewaren te controleren, te evalueren wat ze moeten bewaren en veilig te verwijderen wat ze niet langer nodig hebben.
Voorbeeld: Een groot bedrijf bezoekt wervingsbeurzen in steden door het hele land om professioneel talent aan te trekken. Nadat elke kandidaat een eerste interview heeft afgerond, voert het personeelspersoneel dat de stand van het bedrijf bemant, de gegevens van de persoon in op een niet-gecodeerde bedrijfslaptop. Gegevens die door HR-personeel worden ingevoerd, omvatten het cv van de kandidaat, informatie over de status van de veiligheidsmachtiging en het salarisverzoek van de kandidaat. Op elke wervingsbeurs wordt dezelfde onversleutelde laptop gebruikt en gegevens van eerdere kandidaten worden nooit verwijderd. Het bedrijf heeft waarschijnlijk cruciale kansen gemist om gevoelige kandidaat-informatie te verwijderen die het niet langer nodig had, inclusief gegevens van mensen die het besloot niet in dienst te nemen.
Gebruik geen persoonlijke informatie wanneer dit niet nodig is.
Natuurlijk zullen er momenten zijn waarop uw bedrijf gevoelige gegevens moet gebruiken, maar gebruik deze niet in contexten die onnodige risico’s met zich meebrengen.
Voorbeeld: Een bedrijf verkoopt dierbenodigdheden via honderden verkoopvertegenwoordigers in het hele land. Het bedrijf wil een ontwikkelaar inhuren om een app te ontwerpen waarmee verkopers toegang kunnen krijgen tot klantaccounts. Deze accountbestanden bevatten namen, adressen en financiële informatie. Om de reikwijdte van het project uit te leggen, stuurt het bedrijf voorbeeldaccountbestanden van daadwerkelijke klanten naar geïnteresseerde app-ontwikkelaars. De veiligste keuze zou zijn geweest om dummybestanden te maken die geen gevoelige klantinformatie bevatten.
Train uw personeel volgens uw normen en zorg ervoor dat ze hieraan voldoen.
Wat vormt het grootste risico voor de veiligheid van gevoelige informatie die uw bedrijf bewaart? En wat is uw #1 verdediging tegen ongeoorloofde toegang? Het antwoord op beide vragen is uw personeel. Train nieuwe werknemers, inclusief seizoens- en tijdelijke werknemers, over de normen waaraan u van hen verwacht. Ontwikkel verstandige monitoringprocedures om ervoor te zorgen dat ze aan uw regels voldoen. Omdat de aard van uw bedrijf kan veranderen en bedreigingen zullen evolueren, kunt u het beste ‘alles-in-plaats’-opfriscursussen geven om nieuw beleid uit te leggen en de verkeersregels van uw bedrijf te versterken.
Nadat u het personeel over de normen hebt geïnformeerd, delegeert u hen om suggesties te doen over hoe de procedures kunnen worden verbeterd. Stimuleer een samenwerkingsproces waarbij gebruik wordt gemaakt van ieders expertise. Een leidinggevende op hoog niveau kan geweldige ideeën hebben, maar als u op zoek bent naar praktisch advies over het beschermen van gevoelige documenten die mensen naar uw bedrijf sturen, raadpleeg dan ook de man op het postkantoor.
Voorbeeld: Voordat nieuwe medewerkers toegang krijgen tot het netwerk, eist een bedrijf dat ze deelnemen aan een interne training. Om hun aandacht te stimuleren, bevat de presentatie korte interactieve quizzen. Daarnaast neemt het bedrijf beveiligingsgerelateerde tips op in wekelijkse e-mailupdates voor alle medewerkers en vereist het periodiek dat ze opfriscursussen volgen. Door personeel te trainen in de omgang met gevoelige gegevens en door het beleid te versterken met regelmatige herinneringen en aanvullende beveiligingstrainingen heeft het bedrijf stappen ondernomen om een veiligheidscultuur aan te moedigen.
Voorbeeld: Een bedrijf biedt salarisadministratie voor kleine bedrijven. Eén keer per maand heeft een IT-medewerker de taak om de netwerktoegang en wachtwoorden uit te schakelen voor werknemers die het bedrijf in de afgelopen 30 dagen hebben verlaten. De veiligste praktijk zou zijn om IT-personeel te trainen om de toegang van voormalige werknemers onmiddellijk na hun vertrek te blokkeren.
Bied consumenten waar mogelijk veiligere keuzes.
Denk na over uw gegevensverzamelingspraktijken in de dagelijkse bedrijfsvoering EN in producten, diensten, apps etc. die aan consumenten worden aangeboden. Ontwerp uw producten zo dat alleen gevoelige informatie wordt verzameld als dat nodig is voor de functionaliteit, en leg uw praktijken vooraf duidelijk uit aan de consument. Overweeg hoe u standaardinstellingen, installatiewizards of werkbalken kunt gebruiken om gebruikers te helpen veiliger keuzes te maken. Als uw product bijvoorbeeld een reeks privacykeuzes biedt, van veilige instellingen voor beginnende gebruikers tot geavanceerde opties voor ‘black Diamond’-professionals, stelt u de kant-en-klare standaardinstellingen in op de meest beschermende niveaus.
Voorbeeld: Een bedrijf maakt een router waarmee consumenten toegang kunnen krijgen tot documenten op hun thuiscomputer terwijl ze niet thuis zijn. Standaard biedt de router iedereen op internet niet-geverifieerde toegang tot alle bestanden op opslagapparaten die zijn aangesloten op de routers van consumenten, waaronder financiële gegevens, medische dossiers en andere zeer gevoelige informatie. De producthandleiding en de installatiewizard leggen deze standaardinstellingen niet uit en maken gebruikers niet duidelijk wat er aan de hand is. Het bedrijf had de mogelijkheid van ongeautoriseerde toegang kunnen verkleinen door de standaardinstellingen veiliger te configureren.
Volgende in de serie: Beheer de toegang tot gegevens verstandig.
