Você já ouviu falar sobre as leis de Newton sobre órgãos em repouso e corpos em movimento. Um corolário do século XXI é proteger informações confidenciais quando está em repouso em sua rede e implementar salvaguardas eficazes quando estiver em movimento – por exemplo, quando um cliente transfere dados confidenciais do computador para o seu sistema. As empresas cuidadosas seguem o conselho de começar com a segurança, armazenando informações pessoais sensíveis com segurança e protegendo -as durante a transmissão.
Uma estratégia é surpreendentemente simples. Os hackers não podem roubar o que você não tem, então colete e mantenha dados confidenciais apenas se precisar. Pedindo aos clientes informações confidenciais sobre a chance, você pode usá -las algum dia para algo não é uma política sólida. A prática mais sábia é limitar sensivelmente o que você coleta e depois armazená -la com segurança. Também é uma abordagem consciente do custo, porque é mais barato garantir uma quantidade menor de dados armazenados em locais designados, em vez de scads de coisas sensíveis espalhadas por toda a sua empresa.
Uma ferramenta de segurança importante é a criptografia. A criptografia é o processo de transformação de informações para que apenas a pessoa (ou computador) com a chave possa lê -la. As empresas podem usar a tecnologia de criptografia para dados confidenciais em repouso e em trânsito para ajudar a protegê -los em sites, dispositivos ou na nuvem.
Como sua empresa pode proteger dados com segurança, inclusive quando estão a caminho? Aqui estão algumas sugestões obtidas de assentamentos da FTC, investigações fechadas e perguntas que as empresas fizeram.
Mantenha as informações sensíveis seguras ao longo de seu ciclo de vida.
Você não pode manter as informações seguras, a menos que tenha uma imagem clara do que tem e onde as possui. Uma etapa preliminar é saber como os dados sensíveis entram em sua empresa, se movem por ele e sai. Depois de identificar sua jornada pelo seu sistema, é mais fácil manter a guarda a cada parada ao longo do caminho.
Exemplo: Um varejista de artigos esportivos on -line possui consumidores selecionados um nome de usuário e senha. A empresa armazena todos os nomes de usuário e senhas em texto claro e legível. Ao não armazenar essas informações com segurança, o varejista aumentou o risco de acesso não autorizado.
Exemplo: Um site de receita permite que os clientes criem perfis individuais. Ao projetar a página de registro, a Companhia considera as muitas categorias de informações que poderiam pedir e as restringem à que justificou por um motivo comercial. Por exemplo, a empresa considera solicitar a data de nascimento do usuário para adaptar o site a receitas que podem atrair pessoas dessa demografia, mas depois decide permitir que os consumidores escolham faixas etárias. Ao pensar em sua necessidade das informações e coletar um tipo de dados menos sensíveis, a empresa fez uma escolha mais segura que ainda permitirá que ela adapte a experiência do usuário.
Exemplo: Uma empresa imobiliária precisa coletar dados financeiros confidenciais de possíveis compradores de casas. A empresa usa a criptografia apropriada para proteger as informações quando for enviada do navegador do cliente para o servidor da empresa. Mas quando as informações chegam, um provedor de serviços a descriptografa e as envia em texto claro e legível para os escritórios da empresa. Ao criptografar a transmissão inicial de informações, a empresa imobiliária deu um passo prudente para mantê -lo seguro. Mas, ao permitir que o provedor de serviços envie dados não criptografados para as filiais, a empresa não considerou a importância de manter a segurança adequada ao longo do ciclo de vida de informações confidenciais.
Exemplo: Uma empresa usa a tecnologia de criptografia de ponta, mas armazena as chaves de descriptografia com os dados que eles criptografam. A empresa deveria ter armazenado as chaves de descriptografia separadas dos dados que as teclas são usadas para desbloquear.
Use métodos testados e aceitos pelo setor.
Alguns profissionais de marketing projetam seus produtos para ter uma aparência única e peculiar. Mas “único” e “peculiar” não são palavras que você deseja aplicar à segurança da sua empresa. Em vez de reinventar a roda de criptografia, a abordagem mais sábia é empregar métodos testados pelo setor que refletem a sabedoria coletiva de especialistas no campo.
Exemplo: Dois desenvolvedores de aplicativos estão preparando produtos semelhantes para o mercado. A ABC Company usa seu próprio método proprietário para ofuscar dados. Por outro lado, a XYZ Company usa um método de criptografia comprovado e comprovado aceito por especialistas do setor. Ao usar uma forma comprovada de criptografia, a XYZ Corporation fez uma escolha prudente no desenvolvimento de seu produto. Além disso, a campanha publicitária da XYZ pode divulgar sinceramente o uso da criptografia padrão do setor.
Garanta a configuração adequada.
Um alpinista pode ter equipamentos de primeira linha, mas se ele não prender adequadamente os lanchonetes e as polias ou se ele as estiver usando de uma maneira que o fabricante alerta, ele pode ter uma descida desastrosa. Da mesma forma, mesmo quando as empresas optam por uma criptografia forte, elas precisam garantir que a configuraram corretamente.
Exemplo: Uma empresa de viagens desenvolve um aplicativo que permite que os consumidores comprem ingressos para atrações turísticas populares. O aplicativo da empresa de viagens usa o protocolo de segurança da camada de transporte (TLS) para estabelecer conexões criptografadas com os consumidores. Quando os dados estão se movendo entre o aplicativo e as empresas que vendem os ingressos, o certificado TLS é usado para garantir que o aplicativo esteja se conectando ao serviço on -line genuíno. No entanto, ao configurar seu aplicativo, a empresa de viagens desativa o processo para validar o certificado TLS. A empresa de viagens faz isso, apesar dos avisos dos provedores de plataforma de desenvolvedores de aplicativos contra desativar as configurações de validação padrão ou não validar os certificados TLS. A empresa de viagens deveria ter seguido as recomendações padrão das plataformas de desenvolvimento de aplicativos.
O lembrete para as empresas é que os dados confidenciais podem entrar no seu sistema, passar por ele e sair de maneiras que você pode não ter considerado. Você está colocando proteções razoáveis ao longo do caminho?
Próximo na série: Segmentar sua rede e monitorar quem está tentando entrar e sair.
