Hackers de alto perfil pegam as manchetes. Mas alguns ladrões de dados preferem métodos antigos – vasculhando armários de arquivos, beliscando documentos e dispositivos de furto, como smartphones e unidades flash. À medida que sua empresa reforça a segurança da sua rede, não deixe que isso afaste a atenção de como você protege documentos e dispositivos.
Ações da aplicação da lei da FTC, investigações fechadas e experiências que ouvimos das empresas demonstrarem a sabedoria de adotar uma abordagem de 360 ° para proteger dados confidenciais. Conforme o início da segurança sugere, proteger papel, mídia física e dispositivos é uma parte importante dessa estratégia.
Armazenar arquivos sensíveis com segurança.
Se sua empresa já se comprometeu a começar com a segurança, você entende a importância de coletar informações confidenciais apenas se tiver uma necessidade comercial legítima e mantê -la segura enquanto estiver em sua posse.
Exemplo: Uma academia local mantém arquivos de pessoal em seus funcionários atuais. Os arquivos contêm dados confidenciais – por exemplo, documentos fiscais com números de previdência social e autorizações de depósito direto com informações da conta bancária. Os arquivos são mantidos no escritório do gerente, localizado em uma parte de “apenas funcionários” da instalação. Além disso, o gerente mantém os arquivos em um gabinete bloqueado o tempo todo. Sempre que ele está ajudando os clientes ou a se afastar de seu escritório por qualquer outro motivo, ele toma a precaução adicional de travar sua porta – uma fechadura que apenas ele e seu gerente assistente podem abrir. Ao implementar proteções básicas, a academia está tomando medidas para manter a segurança das informações confidenciais em sua posse.
Exemplo: Uma empresa de preparação de impostos tem uma obrigação legal de manter os registros dos clientes por um certo período de tempo. A empresa os mantém em uma sala de armazenamento central aberta a todas as empresas que alugam espaço para escritórios naquele andar. Ao deixar esses arquivos em um local não garantido, a empresa criou um risco desnecessário de que as informações confidenciais dos clientes possam ser desviadas.
Proteger dispositivos que processam informações pessoais.
Pode parecer “apenas um telefone”, mas nas mãos erradas e com a configuração insegura, pode ser uma chave de esqueleto que fornece um acesso não autorizado a um ladrão de dados a tudo na sua rede. E se um funcionário viajante deixar uma unidade flash com um banco de dados de detalhes da conta do cliente em um centro de negócios de hotel? As empresas preocupadas com a segurança tomam medidas para proteger os dispositivos que armazenam e processam dados confidenciais.
Exemplo: Uma empresa de processamento de dados emite smartphones de seus funcionários para que eles possam manter contato quando estão em movimento. A empresa exige que os funcionários bloqueie os telefones com uma senha e criptografa os dados no dispositivo. Reconhecendo que as pessoas podem ocasionalmente colocar seus telefones, a empresa permite serviços de encontrar dispositivo e usa um aplicativo para garantir que ele possa limpar remotamente o dispositivo se estiver ausente. A empresa também treina funcionários nos procedimentos para relatar prontamente um telefone ausente. Ao estabelecer políticas de senso comum e treinar os funcionários no cumprimento deles, a empresa tomou uma precaução básica para proteger os dados acessíveis através desses dispositivos.
Mantenha os padrões de segurança no lugar quando os dados estiverem a caminho.
Conforme comece com a segurança e um post anterior no bastão da série de segurança sugerem, as empresas prudentes exercem atendimento ao transferir informações confidenciais. Eles também estabelecem padrões sensatos e treinam seus funcionários para tomar precauções quando arquivos ou dispositivos estão fora do escritório.
Exemplo: Uma empresa com cinco filiais em uma cidade atribui a um funcionário para dirigir para cada filial no final do dia para coletar pedidos de compra que incluam as informações financeiras dos clientes. A empresa não fornece treinamento de segurança ao funcionário. Em uma ocasião, o funcionário para para executar uma tarefa pessoal, deixando a papelada em uma mochila em seu carro. Ela volta para encontrar a janela do passageiro quebrada e a mochila roubada. Ao não treinar o funcionário sobre como manter os documentos seguros durante suas rodadas diárias, a empresa contribuiu para o risco de que as informações financeiras sejam acessadas por indivíduos fora da empresa.
Exemplo: Um escritório regional de uma empresa de consultoria nacional deve enviar um disco rígido externo para a sede. O escritório regional usa uma unidade criptografada e a envia através de um serviço de entrega que oferece rastreamento de pacotes. Essas duas precauções reduzem o risco de acesso não autorizado aos dados.
Descarte de dados sensíveis com segurança.
Pode parecer lixo para você, mas descartou a papelada, arquivos eletrônicos excluídos ou equipamentos obsoletos são um tesouro para um ladrão de dados. É improvável que apenas jogar documentos na lixeira ou clicar em Excluir é improvável que deterem os infoBandits. Para impedir que eles reconstruam arquivos descartados, as empresas responsáveis dão a etapa prudente de trituração, queimar ou destruir documentos e usar ferramentas tecnológicas que realmente renderizam arquivos eletrônicos ilegíveis.
Além disso, se sua empresa estiver coberta pela Lei de Relatórios de Crédito Justo, descartando com segurança certos dados confidenciais – relatórios de crédito e arquivos que contêm informações derivados desses relatórios – não apenas fazem sentido dos negócios. Sob a regra de descarte da FCRA, é a lei.
Exemplo: Uma pequena empresa de contabilidade coloca dois receptáculos no escritório de cada funcionário: uma cesta de lixo para lixo e documentação não sensível e uma lixeira separada para documentos que incluem informações confidenciais. Um membro da equipe reúne regularmente os documentos confidenciais e os trata. A empresa também mantém um triturador perto da fotocopiadora para que os funcionários possam destruir malfeitos ou cópias extras de documentos sensíveis. Essas etapas simples podem ajudar a reduzir o risco de informações que acabam em mãos não autorizadas.
Exemplo: Uma empresa de contabilidade decide doar alguns laptops antigos para uma instituição de caridade e direciona os membros da equipe a excluir os arquivos nos discos rígidos dos computadores. No entanto, apenas clicar em Excluir não exclui dados confidenciais. Mesmo que um nome de arquivo não apareça na lista de documentos disponíveis, não é preciso muito para um ladrão de dados para recuperá -lo. A prática mais sábia é limpar com segurança o disco rígido limpo usando o software projetado especificamente para esse fim.
Para manter a segurança, as empresas prudentes implementam precauções sensatas para proteger a papelada, unidades flash, telefones, CDs e outras mídias que podem conter informações confidenciais.
Próximo na série: Recursos de segurança de dados da FTC para o seu negócio
