Comece com segurança – e fique com ela


Quando se trata de segurança de dados, o que é razoável dependerá do tamanho e da natureza da sua empresa e do tipo de dados com os quais você lida. Mas certos princípios se aplicam em geral: não colete informações confidenciais que você não precisa. Proteger as informações que você mantém. E treine sua equipe para executar suas políticas.

O início da FTC com iniciativa de segurança foi construído sobre esses fundamentos. Como mencionamos no post introdutório da semana passada, estamos chamando esta série Fique com a segurança Porque cada postagem do blog oferecerá um mergulho mais profundo em um dos dez princípios discutidos no início da segurança. Embora os princípios permaneçam inalterados, usaremos essas postagens – uma toda sexta -feira nos próximos meses – para explorar as lições das ações de aplicação da lei anunciadas desde o início da segurança, para refletir sobre o que as empresas podem aprender com as investigações que a equipe da FTC finalmente fechou e para abordar as experiências que as empresas se compartilharam sobre como implementarem a segurança em seus locais de trabalho.

Não colete informações pessoais que você não precisa.

É uma proposta simples: se você não pedir dados confidenciais em primeiro lugar, não precisará tomar medidas para protegê -lo. Obviamente, haverá dados que você deve manter, mas o antigo hábito de coletar informações confidenciais “apenas porque” não mantém água na era cibernética.

Há outra vantagem de coletar apenas o que você precisa. Um subconjunto de dados confidenciais enxuta é mais fácil de proteger do que quantidades maciças de informações confidenciais armazenadas em redes e em armários de arquivos em toda a sua empresa. As empresas que limitam sensivelmente o que coletam já reduziram seus riscos de segurança e simplificaram seus procedimentos de conformidade.

Exemplo: Um centro de jardim local apresenta um programa de comprador frequente. O aplicativo pede aos clientes uma quantidade substancial de informações pessoais, incluindo números de previdência social, e o Garden Center mantém os aplicativos em seus arquivos. Como a loja não possui motivos comerciais para coletar os números de seguridade social dos clientes, está assumindo um risco desnecessário solicitando essas informações em primeiro lugar e exacerbando esse risco, mantendo os aplicativos dos clientes em arquivo.

Exemplo: Uma padaria envia aos clientes um cupom para um muffin de aniversário gratuito. Em vez de manter um registro das datas de nascimento de todos os clientes – informações que podem ser combinadas com outros dados e usadas para fins não autorizados – a padaria direciona seus caixas para adicionar apenas o nome do cliente, o endereço de e -mail e o mês de nascimento ao banco de dados. Embora existam razões legítimas pelas quais outras empresas podem precisar manter a data de nascimento de um cliente, o dia, o mês e o ano exatos não são necessários para a promoção de aniversário da padaria.

Exemplo: Uma loja de pneus experimenta uma violação envolvendo informações sobre seus 7000 clientes. Os dados incluem nomes dos clientes, números de lealdade para a loja e a data de sua última rotação de pneus. A equipe da FTC decide não seguir uma ação de aplicação da lei porque, entre outros fatores, a empresa tomou a boa decisão de não coletar informações confidenciais desnecessariamente e tomou medidas razoáveis ​​para garantir sua rede à luz das informações limitadas que mantinham.

Segure informações apenas enquanto tiver uma necessidade comercial legítima.

Os fãs de filmes se lembrarão da última cena de “Raiders of the Lost Ark”-um armazém do tamanho de um campo de futebol empilhado no teto abobadado, com itens do cotidiano empilhados ao lado de tesouros inestimáveis. É assim que os ladrões de dados visualizam o método aleatório de algumas empresas para manter suas redes e arquivos. As empresas preocupadas com a segurança tornam uma prática revisar os dados em sua posse periodicamente, avaliar o que devem manter e descartar com segurança o que não é mais necessário.

Exemplo: Uma grande empresa participa de feiras de recrutamento em cidades em todo o país para atrair talentos profissionais. Depois que cada candidato concluir uma entrevista inicial, o pessoal de recursos humanos que trabalha com o estande da empresa insere informações sobre a pessoa em um laptop da empresa não criptografada. Os dados inseridos pela equipe de RH incluem o currículo do candidato, as informações sobre o status de autorização de segurança e a demanda salarial do candidato. O mesmo laptop não criptografado é usado em todas as feira de recrutamento e os dados de candidatos anteriores nunca são removidos. A empresa provavelmente perdeu oportunidades críticas para descartar as informações confidenciais dos candidatos que não precisavam mais, incluindo dados de pessoas que decidiram não contratar.

Não use informações pessoais quando não forem necessárias.

Obviamente, haverá momentos em que sua empresa precisará usar dados confidenciais, mas não os use em contextos que criam riscos desnecessários.

Exemplo: Uma empresa vende suprimentos para animais de estimação através de centenas de representantes de vendas em todo o país. A empresa deseja contratar um desenvolvedor para projetar um aplicativo que os representantes de vendas possam usar para acessar contas de clientes. Esses arquivos da conta contêm nomes, endereços e informações financeiras. Para explicar o escopo do projeto, a empresa envia arquivos de conta de amostra de desenvolvedores de aplicativos interessados ​​de clientes reais. A escolha mais segura seria criar arquivos simulados que não incluem informações confidenciais do cliente.

Treine sua equipe com seus padrões – e verifique se eles estão seguindo.

O que representa o maior risco para a segurança de informações confidenciais na posse da sua empresa? E qual é a sua defesa número 1 contra o acesso não autorizado? A resposta para ambas as perguntas é sua equipe. Treine novos funcionários – incluindo trabalhadores sazonais e temperaturas – nos padrões que você espera que eles defendam. Devise procedimentos sensíveis de monitoramento para garantir que estejam cumprindo suas regras. Como a natureza do seu negócio pode mudar e as ameaças evoluirão, realizará uma atualização de “All Hands On Deck” para explicar novas políticas e reforçar as regras da estrada da sua empresa.

Depois de educar sua equipe sobre os padrões, elevá -los a apresentar sugestões sobre como melhorar seus procedimentos. Incentive um processo colaborativo que aproveite a experiência de todos. Um executivo C-Suite pode ter grandes idéias de grande porte, mas se você estiver procurando conselhos práticos sobre como proteger a papelada sensível que as pessoas enviam à sua empresa, consulte o homem na sala de correspondência também.

Exemplo: Antes que novos funcionários tenham acesso à rede, uma empresa exige que eles participem de treinamento interno. Para incentivar sua atenção, a apresentação apresenta breves testes interativos. Além disso, a empresa inclui dicas relacionadas à segurança em suas atualizações por e-mail semanal para todos os funcionários e periodicamente exige que eles façam cursos de atualização. Ao treinar sua equipe sobre como lidar com dados confidenciais e reforçar suas políticas com lembretes regulares e educação de segurança suplementar, a empresa tomou medidas para incentivar uma cultura de segurança.

Exemplo: Uma empresa fornece serviços de folha de pagamento para pequenas empresas. Uma vez por mês, um membro da equipe de TI é encarregado de desativar o acesso à rede e as senhas de funcionários que deixaram a empresa nos últimos 30 dias. A prática mais segura seria treinar a equipe de TI para bloquear o acesso dos ex -funcionários imediatamente após sua partida.

Quando viável, ofereça aos consumidores opções mais seguras.

Pense nas suas práticas de coleta de dados tanto na operação diária do seu negócio e Nos produtos, serviços, aplicativos, etc., você oferece aos consumidores. Projete seus produtos para coletar informações confidenciais apenas se forem necessárias para a funcionalidade e explique claramente suas práticas aos consumidores antecipadamente. Considere como você pode usar as configurações padrão, assistentes de configuração ou barras de ferramentas para facilitar a fabricação de escolhas mais seguras para os usuários. Por exemplo, se o seu produto oferecer uma variedade de opções de privacidade-desde configurações seguras para usuários menos experientes a opções avançadas para profissionais de “diamante preto”-defina os padrões prontos para a caixa nos níveis mais protetores.

Exemplo: Uma empresa fabrica um roteador que permite que os consumidores acessem documentos em seus computadores domésticos enquanto estão fora de casa. Por padrão, o roteador fornece a qualquer pessoa na Internet acesso não autenticado a todos os arquivos nos dispositivos de armazenamento conectados anexados aos roteadores dos consumidores, que podem incluir dados financeiros, registros de saúde e outras informações altamente sensíveis. O manual do produto e o assistente de configuração não explicam esses padrões e não deixam claro para os usuários o que está acontecendo. A empresa poderia ter reduzido a possibilidade de acesso não autorizado, definindo suas configurações padrão de uma maneira mais segura.

Próximo na série: Controle o acesso aos dados de maneira sensata.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Como convencer meu esquecido pai de 77 anos, é hora de assumir suas finanças? O psicoterapeuta do dinheiro Vicky Reynal responde

4 semanas atrás

Banco do Reino Unido, Trump Tarifas sobre o efeito dos medos no crescimento preparado para reduzir as taxas | Taxas de juros

4 semanas atrás

Por que você não deve confiar em tudo o que lê sobre o trabalho de ‘cama’ dos EUA | Sinais de genes

4 semanas atrás

Jeff Prestridge: Inspirado pelo esquadrão da polícia!, Como um diretor da empresa virou as mesas em um fraudador infeliz

4 semanas atrás
Botão Voltar ao Topo