Bekende hackers halen de krantenkoppen. Maar sommige datadieven geven de voorkeur aan ouderwetse methoden: archiefkasten doorzoeken, papierwerk in de gaten houden en apparaten zoals smartphones en flashdrives stelen. Terwijl uw bedrijf de beveiliging van uw netwerk versterkt, mag dit de aandacht niet afleiden van de manier waarop u documenten en apparaten beveiligt.
Wetshandhavingsacties van de FTC, afgesloten onderzoeken en ervaringen die we van bedrijven hebben gehoord, tonen de wijsheid aan van een 360°-aanpak voor de bescherming van vertrouwelijke gegevens. Als Begin met beveiliging suggereert, het beveiligen van papier, fysieke media en apparaten is een belangrijk onderdeel van die strategie.
Bewaar gevoelige bestanden veilig.
Als uw bedrijf al heeft toegezegd om met beveiliging te beginnen, begrijpt u hoe belangrijk het is om gevoelige informatie alleen te verzamelen als u een legitieme zakelijke behoefte hebt en deze veilig te houden zolang deze in uw bezit is.
Voorbeeld: Een plaatselijke sportschool houdt personeelsdossiers bij van haar huidige werknemers. De bestanden bevatten gevoelige gegevens, bijvoorbeeld belastingdocumenten met burgerservicenummers en machtigingen voor automatische stortingen met bankrekeninggegevens. De dossiers worden bewaard in het kantoor van de manager, dat zich in een ‘alleen voor werknemers’-gedeelte van de vestiging bevindt. Daarnaast bewaart de beheerder de dossiers in een kast die te allen tijde afgesloten is. Wanneer hij klanten helpt of om een andere reden weg is van zijn kantoor, neemt hij als extra voorzorgsmaatregel zijn deur op slot: een slot dat alleen hij en zijn assistent-manager kunnen openen. Door basisbeschermingen te implementeren onderneemt de sportschool stappen om de veiligheid van vertrouwelijke informatie in haar bezit te handhaven.
Voorbeeld: Een belastingaangiftekantoor heeft een wettelijke verplichting om de gegevens van cliënten gedurende een bepaalde periode te bewaren. Het bedrijf bewaart ze in een centrale opslagruimte die toegankelijk is voor alle bedrijven die op die verdieping kantoorruimte huren. Door deze bestanden op een onbeveiligde locatie achter te laten, heeft het bedrijf een onnodig risico gecreëerd dat gevoelige informatie van klanten onrechtmatig zou kunnen worden toegeëigend.
Bescherm apparaten die persoonlijke informatie verwerken.
Het ziet er misschien uit als ‘gewoon een telefoon’, maar als het in de verkeerde handen komt en als de configuratie onveilig is, kan het een skeletsleutel zijn die een datadief ongeoorloofde toegang geeft tot alles op uw netwerk. En wat als een reizende medewerker een flashdrive met een database met klantaccountgegevens achterlaat in een zakencentrum van een hotel? Bedrijven die zich zorgen maken over de beveiliging ondernemen stappen om apparaten te beschermen waarop vertrouwelijke gegevens worden opgeslagen en verwerkt.
Voorbeeld: Een gegevensverwerkingsbedrijf geeft zijn werknemers smartphones uit, zodat ze onderweg contact kunnen houden. Het bedrijf vereist dat werknemers telefoons vergrendelen met een toegangscode en codeert de gegevens op het apparaat. Het bedrijf erkent dat mensen af en toe hun telefoon kwijt kunnen raken, maakt apparaatzoekdiensten mogelijk en gebruikt een app om ervoor te zorgen dat het apparaat op afstand kan worden gewist als het kwijtraakt. Het bedrijf traint medewerkers ook in de procedures voor het onmiddellijk melden van een vermiste telefoon. Door gezond verstandsbeleid in te voeren en medewerkers te trainen in het naleven ervan, heeft het bedrijf een basisvoorzorgsmaatregel genomen om gegevens die toegankelijk zijn via deze apparaten te beschermen.
Houd de veiligheidsnormen in acht wanneer gegevens onderweg zijn.
Als Begin met beveiliging en een eerder bericht in de Stick with Security-serie suggereren dat verstandige bedrijven voorzichtig zijn bij het overdragen van gevoelige informatie. Ze stellen ook verstandige normen vast en trainen hun werknemers om voorzorgsmaatregelen te nemen wanneer bestanden of apparaten niet op kantoor zijn.
Voorbeeld: Een bedrijf met vijf filialen in één stad geeft een medewerker de opdracht om aan het eind van de dag naar elk filiaal te rijden om inkooporders op te halen die de financiële informatie van klanten bevatten. Het bedrijf biedt geen beveiligingstraining aan de werknemer. Op een keer stopt de medewerker om een persoonlijke boodschap te doen, waarbij ze het papierwerk in een rugzak in haar auto achterlaat. Ze keert terug en ziet dat het passagiersraam is ingegooid en dat de rugzak is gestolen. Door de medewerker tijdens haar dagelijkse werkzaamheden niet te trainen in het veilig bewaren van de documenten, heeft het bedrijf bijgedragen aan het risico dat personen buiten het bedrijf toegang krijgen tot de financiële informatie.
Voorbeeld: Een regionaal kantoor van een landelijk adviesbureau moet een externe harde schijf naar het hoofdkantoor sturen. Het regiokantoor maakt gebruik van een gecodeerde schijf en verzendt deze via een bezorgservice die pakkettracering biedt. Deze twee voorzorgsmaatregelen verminderen het risico van ongeautoriseerde toegang tot de gegevens.
Gooi gevoelige gegevens veilig weg.
Voor u ziet het er misschien uit als afval, maar weggegooid papierwerk, verwijderde elektronische bestanden of verouderde apparatuur zijn een schat voor een gegevensdief. Het is onwaarschijnlijk dat het simpelweg weggooien van documenten in de prullenbak of het klikken op VERWIJDEREN infobandieten afschrikt. Om te voorkomen dat ze weggegooide bestanden reconstrueren, nemen verantwoordelijke bedrijven de verstandige stap om documenten te vernietigen, te verbranden of anderszins te vernietigen en technische hulpmiddelen te gebruiken die elektronische bestanden echt onleesbaar maken.
Bovendien, als uw bedrijf onder de Wet op eerlijke kredietrapportageHet veilig verwijderen van bepaalde vertrouwelijke gegevens (kredietrapporten en bestanden met informatie die uit die rapporten is afgeleid) is niet alleen vanuit zakelijk oogpunt verstandig. Onder de FCRA’s verwijderingsregelhet is de wet.
Voorbeeld: Een klein boekhoudbedrijf plaatst in het kantoor van iedere medewerker twee bakken: een prullenbak voor afval en niet-gevoelig papierwerk en een aparte bak voor documenten waar vertrouwelijke informatie in zit. Regelmatig verzamelt een medewerker de vertrouwelijke documenten en vernietigt deze. Het bedrijf heeft ook een papierversnipperaar in de buurt van het kopieerapparaat, zodat medewerkers verkeerd ingevoerde documenten of extra kopieën van gevoelige documenten kunnen vernietigen. Deze eenvoudige stappen kunnen het risico helpen verkleinen dat informatie in ongeautoriseerde handen terechtkomt.
Voorbeeld: Een accountantskantoor besluit enkele oude laptops aan een goed doel te doneren en geeft medewerkers de opdracht de bestanden op de harde schijven van de computers te verwijderen. Als u echter alleen op VERWIJDEREN klikt, worden gevoelige gegevens niet daadwerkelijk verwijderd. Zelfs als een bestandsnaam niet in de lijst met beschikbare documenten voorkomt, heeft een gegevensdief niet veel nodig om deze te achterhalen. Het is verstandiger om de harde schijf veilig schoon te vegen met behulp van software die speciaal voor dat doel is ontworpen.
Om aan de veiligheid te blijven voldoen, hebben voorzichtige bedrijven verstandige voorzorgsmaatregelen getroffen om papierwerk, flashdrives, telefoons, cd’s en andere media die gevoelige informatie kunnen bevatten, te beschermen.
Volgende in de serie: FTC-gegevensbeveiligingsbronnen voor uw bedrijf
