In onze Blijf bij de beveiligingsblogseriehebben we ons best gedaan om dieper in de gegevensbeveiliging te duiken door ons te concentreren op de lessen die we hebben geleerd uit recente zaken, inzichten uit afgesloten onderzoeken en de vragen en opmerkingen die we van bedrijven hebben ontvangen. Eén opmerking hebben we gehoord van bedrijven die de lessen ervan willen implementeren Begin met beveiliging is: “Geef ons gewoon een lijst met wat we moeten doen.” Helaas kan gegevensbeveiliging niet worden teruggebracht tot een eenmalige checklist. Wat redelijk is, hangt af van de omstandigheden – bijvoorbeeld de aard van uw bedrijf en de gevoeligheid van de informatie die u moet verzamelen en onderhouden – en er is dus geen one-size-fits-all aanpak. Bovendien evolueren de tactieken van datadieven voortdurend. De voorzorgsmaatregelen van vorig jaar beschermen uw bedrijf mogelijk niet tegen de bedreigingen van morgen.
Dat gezegd hebbende, blijven de fundamentele principes voor effectieve gegevensbeveiliging onveranderd: 1) Verzamel alleen gevoelige informatie als u een legitieme zakelijke behoefte heeft; 2) Bewaar het veilig zolang het in uw bezit is; en 3) Zorg ervoor dat u het veilig weggooit wanneer de zakelijke behoefte eindigt.
“Hoe implementeren we deze principes in ons bedrijf?” Dat is een andere vraag die we hebben gehoord. De FTC beschikt over middelen – heel veel – om die taak gemakkelijker te maken. Ons Pagina Gegevensbeveiligingmet links naar werkplaatsen, personeelsrapporten, brieven afsluitenen meer, verzamelt relevante begeleiding op één bladwijzerwaardige plek. Hier zijn slechts enkele van de bronnen die u daar kunt vinden:
FTC-gevallen. Tot nu toe heeft de FTC een aanvraag ingediend ruim 60 acties waarin wordt beweerd dat bedrijven zich schuldig hebben gemaakt aan misleidende of oneerlijke praktijken met betrekking tot gegevensbeveiliging. De meeste van deze zaken zijn afgehandeld met door de rechtbank afdwingbare bevelen. Natuurlijk zijn de klachten en bevelen alleen op die bedrijven van toepassing, maar verstandige bedrijven begrijpen dat elke FTC-actie een algemeen inzicht biedt. De FTC heeft bijvoorbeeld een aantal zaken aangespannen tegen bedrijven waarvan de werknemers er niet in slaagden de gevoelige gegevens die zij in hun bezit hadden veilig te stellen wanneer zij zich buiten het kantoor bevonden. Kortzichtige bedrijven kunnen opgelucht ademhalen omdat het hen niet is overkomen. Beveiligingsbewuste bedrijven beoordelen de klachten en overwegen hoe ze deze compliance-klompjes kunnen integreren in hun eigen procedures, inclusief interne training.
Voor drukbezette leidinggevenden lijkt een pleidooi van de FTC misschien traag op gang te komen. Maar hier is een tip om uw tijd beter te gebruiken: in de openingsparagrafen van de meeste klachten worden meestal de betrokken partijen samengevat. De relevante zaken – een uitleg van wat het bedrijf deed (of niet deed) dat leidde tot wetshandhaving – verschijnt meestal in een sectie met de titel Gedragswijze van verweerder, Bedrijfsactiviteiten van gedaagdeof iets dergelijks. Tegen het einde zul je een of meer specifieke beschuldigingen tegenkomen over het gedrag dat volgens de FTC in strijd is met de wet. Bovendien wordt in de order in een zaak vastgelegd wat het bedrijf moet doen om het risico op soortgelijke overtredingen in de toekomst te verkleinen. Net als de klacht is het bevel alleen van toepassing op het bedrijf in kwestie. Maar veel bedrijven gebruiken het als een ruwe handleiding voor verstandige stappen die ze moeten overwegen.
Folders voor het bedrijfsleven. De FTC heeft een reeks publicaties geschreven om het juridische jargon te minimaliseren en het praktische advies voor bedrijven te maximaliseren. Drie titels zouden op de lijst moeten staan die elk bedrijf dat zich zorgen maakt over gegevensbeveiliging, moet lezen. Deel de links met uw personeel of bestel gratis exemplaren via de FTC’s site voor bulkbestellingen.
- Waar te beginnen. Persoonlijke informatie beschermen: een gids voor bedrijven is een inleiding tot het opstellen van een gegevensbeveiligingsplan voor uw bedrijf. Gebouwd op vijf basisprincipes – de balans opmaken, verkleinen, vergrendelen, pitchen en vooruit plannen – Persoonlijke informatie beschermen biedt een praktische aanpak die voor elk bedrijf toepasbaar is.
- Voor meer details. Begin met beveiliging kijkt naar de wetshandhavingsacties van de FTC en distilleert de zaken terug tot 10 nalevingslessen. (Ons Blijf bij de beveiligingsblogserie richt zich op diezelfde tien lessen, maar ook op factoren uit recente zaken, afgesloten onderzoeken en vragen en opmerkingen die we van bedrijven hebben gehoord.)
- Voor het geval er een inbreuk plaatsvindt. Reactie op gegevensinbreuk beschrijft de stappen die moeten worden genomen als er een inbreuk heeft plaatsgevonden. Ervaren leidinggevenden zullen u vertellen wat het beste moment is om het te lezen voordat u het nodig heeft.
Video’s. Als je echt weinig tijd hebt, heeft de FTC korte video’s waarin gegevensbeveiliging tot de basis wordt teruggebracht. We hebben een video bij elk van de 10 Begin met beveiligingsprincipes en nog eentje over gebruik van Start met Beveiliging-bronnen in uw bedrijf. Onder de tientallen andere titels staan video’s over verdedigen tegen ransomware, met behulp van e-mailauthenticatie om terug te vechten tegen phishing en te reageren als uw bedrijf dat ook is nagebootst in een phishing-scamen het uitlijnen van de De gegevensbeveiliging van FTC werkt met het Cybersecurity Framework van NIST. Overweeg om ze op te nemen in een interne training of om ze te laten zien tijdens uw volgende personeelsvergadering. Het is een investering van drie minuten die zich zou kunnen uitbetalen in de vorm van een meer veiligheidsbewust personeelsbestand.
Brochures voor specifieke zakelijke doelgroepen. Ons Pagina Gegevensbeveiliging bevat ook to-the-point titels en links voor bepaalde marktsectoren. Een gezondheidsgerelateerde mobiele app ontwikkelen? De FTC heeft een publicatie van best practices en een interactief hulpmiddel. Voor bedrijven die betrokken zijn bij het internet der dingen is er wel Zorgvuldige verbindingeneen gids over het inbouwen van beveiliging in verbonden producten. Dat hebben wij ook Veelgestelde vragen over het verminderen van het risico op medische identiteitsdiefstal, een op beveiliging gerichte publicatie voor bedrijven die dat willen consumentenschulden kopen en verkopen, bronnen voor bedrijven die vallen onder de Safeguards Rule van de Gramm-Leach-Bliley Act – en nog veel meer. De kans is groot dat er een publicatie is die relevant is voor uw vakgebied.
Hulpbronnen voor kleine bedrijven. Voor solo-ondernemers of bedrijven met slechts enkele werknemers, de FTC’s Kleine bedrijvensite bevat bronnen die met u in gedachten zijn geschreven. Basisprincipes van computerbeveiliging voor kleine bedrijven legt het uit met praktische richtlijnen over het beschermen van uw bestanden en apparaten, het beveiligen van uw draadloze netwerk en het reageren als u het doelwit bent geweest van malware of een hackaanval.
Blogberichten. Bijna elke aankondiging van een FTC-zaak gaat vergezeld van twee blogposts. De Consumer Blog vertaalt veiligheidsgerelateerde ontwikkelingen naar uitvoerbaar advies voor leden van het publiek. De Zakelijke blog richt zich op wat FTC-wetshandhavings- en beleidsinitiatieven voor uw bedrijf betekenen. Tot op heden, ruim 200 berichten – ongeveer 20% van het totaal – heeft zich gericht op gegevensbeveiliging, waarbij velen specifieke afhaaltips voor bedrijven aanbieden. Abonneer u op onze Blijf verbonden pagina en de Business Blog komt automatisch in uw e-mailbox terecht.
Dit is het laatste bericht in onze Blijf bij de Security-seriemaar het zal niet het laatste zijn dat u van FTC-medewerkers hoort over praktische begeleiding voor uw bedrijf. Laat ons weten welke andere beveiligingsgerelateerde onderwerpen u graag door ons wilt laten behandelen.
