Atenha -se com a segurança: controle o acesso aos dados de maneira sensata
Você conduziu uma informação “censo” para identificar e localizar os dados confidenciais na posse da sua empresa. Então você determinou o que precisa se apegar para fins comerciais. Qual é o próximo passo? De acordo com o início da segurança, é hora de colocar limites para controlar o acesso aos dados de maneira sensata.
Não é um conceito novo. Você tem uma fechadura na porta para impedir o acesso após o horário comercial aos seus negócios e as pessoas não podem simplesmente passear pelo chão da fábrica. Você também protege os segredos proprietários da sua empresa de olhos não autorizados. É por isso que você não publica a receita do seu “molho secreto” no seu site.
Você está exercendo o mesmo cuidado com dados confidenciais de clientes ou funcionários? Nem todo mundo em sua equipe precisa de acesso irrestrito a todas as informações confidenciais que você mantém. A melhor prática é implementar controles sensatos para permitir o acesso a funcionários que precisam fazer seu trabalho, mantendo os outros de fora. Também é aconselhável conceder acesso administrativo-a capacidade técnica de fazer alterações em todo o sistema em sua rede ou certas alterações nos computadores da área de trabalho (por exemplo, instalando novos softwares)-apenas para um número limitado de funcionários confiáveis. Criamos uma série de exemplos com base em assentamentos da FTC, investigações fechadas e perguntas que ouvimos das empresas para fornecer dicas sobre como controlar o acesso aos dados de maneira sensata.
Restringir o acesso a dados confidenciais.
Se os funcionários não precisam usar informações pessoais como parte de seu trabalho, não há necessidade de ter acesso a elas. Para a papelada confidencial, um controle de acesso razoável pode ser tão simples quanto um gabinete bloqueado. Para dados em sua rede, separar contas de usuário que limitam quem pode visualizar arquivos ou bancos de dados confidenciais é uma opção eficaz.
Exemplo: Os funcionários de uma agência de trabalho revisam os arquivos do pessoal que às vezes incluem números de previdência social. A Agência de Emprego garante que todos os funcionários tenham uma gaveta de mesa de travamento. Além disso, a agência possui uma política de “mesa limpa” que exige que os trabalhadores proteguem toda a documentação sensível quando saem no final do dia-uma política que a empresa monitora com caminhadas periódicas. Como a agência de trabalho toma medidas para ver que os funcionários mantêm documentos que contêm informações pessoais sob bloqueio e chave, é menos provável que uma pessoa não autorizada possa acessar os dados.
Exemplo: Os funcionários de uma pequena empresa compartilham uma estação de trabalho. O membro da equipe encarregado da folha de pagamento possui acesso protegido por senha a um banco de dados de informações dos funcionários. O membro da equipe responsável pelo envio possui acesso protegido por senha a um banco de dados de contas de clientes. Ao limitar o acesso com base em uma necessidade comercial, a empresa reduziu o risco de uso não autorizado.
Exemplo: Uma empresa oferece um aplicativo que permite aos usuários criar perfis que incluam informações médicas pessoais. O sistema fornece a todos os funcionários – funcionários de TI, representantes de vendas, pessoal de RH e equipe de suporte – acesso aos perfis de clientes. Ao dar acesso a dados confidenciais aos membros da equipe que não precisam dele para o desempenho de suas funções, a empresa criou uma situação que poderia colocar em risco informações altamente confidenciais.
Limite o acesso administrativo.
Os administradores do sistema podem alterar suas configurações de rede e é essencial que alguém da sua equipe tenha autoridade para fazer as modificações necessárias. Mas, assim como um banco fornece a combinação ao cofre central apenas a poucas pessoas, as empresas devem limitar os direitos do administrador de acordo. O risco é aparente: um administrador não confiável – ou muitos funcionários com direitos de administrador – pode desfazer as etapas que você implementou para manter seu sistema seguro.
Exemplo: Uma empresa de tecnologia usa o mesmo login para todos os funcionários. O login possui direitos administrativos que permitem que os funcionários de TI designados façam alterações em todo o sistema. Mas esse mesmo login é usado pela recepcionista da empresa, um assistente de vendas e um estagiário de verão. A abordagem mais sábia é que a empresa exija logins diferentes, apenas com os privilégios necessários para que esse funcionário faça seu trabalho.
A lição para os negócios é restringir “os bastidores passes” a informações confidenciais. Limite o acesso a dados confidenciais aos funcionários que precisam dele para o desempenho de suas funções.
