Als het gaat om gegevensbeveiliging, hangt wat redelijk is af van de omvang en aard van uw bedrijf en het soort gegevens waarmee u te maken heeft. Maar bepaalde principes zijn over de hele linie van toepassing: verzamel geen gevoelige informatie die u niet nodig heeft. Bescherm de informatie die u bijhoudt. En train uw personeel om uw beleid uit te voeren.
De FTC’s Begin met beveiliging initiatief is op deze fundamenten gebouwd. Zoals we in vermeldden introductiepost van vorige weeknoemen we deze serie Blijf bij de beveiliging omdat elke blogpost een diepere duik biedt in een van de tien principes die worden besproken in Begin met beveiliging. Hoewel de principes ongewijzigd blijven, zullen we deze berichten – de komende maanden elke vrijdag één – gebruiken om de lessen te onderzoeken van de wetshandhavingsacties die sindsdien zijn aangekondigd. Begin met beveiligingom na te denken over wat bedrijven kunnen leren van onderzoeken die FTC-medewerkers uiteindelijk hebben afgesloten, en om in te gaan op ervaringen die bedrijven met ons hebben gedeeld over de manier waarop zij dit implementeren Begin met beveiliging op hun werkplekken.
Verzamel geen persoonlijke gegevens die u niet nodig heeft.
Het is een eenvoudig voorstel: als u überhaupt niet om gevoelige gegevens vraagt, hoeft u geen stappen te ondernemen om deze te beschermen. Natuurlijk zijn er gegevens die je moet bewaren, maar de oude gewoonte om vertrouwelijke informatie te verzamelen ‘gewoon omdat’ houdt geen stand in het cybertijdperk.
Er is nog een voordeel als je alleen verzamelt wat je nodig hebt. Een kleine subset van vertrouwelijke gegevens is gemakkelijker te beschermen dan enorme hoeveelheden gevoelige informatie die zijn opgeslagen op netwerken en in archiefkasten in uw hele bedrijf. Bedrijven die verstandig beperken wat ze verzamelen, hebben hun beveiligingsrisico’s al verminderd en hun nalevingsprocedures gestroomlijnd.
Voorbeeld: Een plaatselijk tuincentrum introduceert een frequent-koperprogramma. De applicatie vraagt klanten om een aanzienlijke hoeveelheid persoonlijke informatie, waaronder burgerservicenummers, en het tuincentrum houdt de applicaties bij in haar bestanden. Omdat de winkel geen zakelijke reden heeft om de burgerservicenummers van klanten te verzamelen, neemt het een onnodig risico door überhaupt om die informatie te vragen en vergroot het dat risico door de aanvragen van klanten in ons bestand te bewaren.
Voorbeeld: Een bakkerij stuurt klanten een kortingsbon voor een gratis verjaardagsmuffin. In plaats van de geboortedata van alle klanten bij te houden – informatie die kan worden gecombineerd met andere gegevens en kan worden gebruikt voor ongeoorloofde doeleinden – geeft de bakkerij haar kassiers de opdracht om alleen de naam, het e-mailadres en de geboortemaand van de klant aan de database toe te voegen. Hoewel er legitieme redenen zijn waarom andere bedrijven de geboortedatum van een klant moeten onthouden, is de exacte dag, maand en jaar niet nodig voor de verjaardagspromotie van de bakkerij.
Voorbeeld: Een bandenwinkel ervaart een inbreuk waarbij informatie over zijn 7000 klanten betrokken is. De gegevens omvatten de namen van klanten, loyaliteitsnummers voor de winkel en de datum van hun laatste bandenwissel. Het personeel van de FTC besluit geen wetshandhavingsmaatregelen te nemen, onder meer omdat het bedrijf de goede beslissing had genomen om niet onnodig gevoelige informatie te verzamelen en redelijke stappen had ondernomen om zijn netwerk te beveiligen in het licht van de beperkte informatie die het bewaarde.
Bewaar informatie alleen zolang u een legitieme zakelijke behoefte heeft.
Filmfans zullen zich de laatste scène van ‘Raiders of the Lost Ark’ herinneren: een pakhuis zo groot als een voetbalveld, tot aan het gewelfde plafond opgestapeld met alledaagse spullen naast onschatbare schatten. Dat is hoe datadieven de lukrake methode van sommige bedrijven zien om hun netwerken en bestanden te onderhouden. Beveiligingsbewuste bedrijven maken er een gewoonte van om periodiek de gegevens in hun bezit te beoordelen, te beoordelen wat ze moeten bewaren en veilig te verwijderen wat ze niet langer nodig hebben.
Voorbeeld: Een groot bedrijf bezoekt wervingsbeurzen in steden door het hele land om professioneel talent aan te trekken. Nadat elke kandidaat een eerste interview heeft afgerond, voert het HR-personeel dat de stand van het bedrijf bemant, informatie over de persoon in op een niet-gecodeerde bedrijfslaptop. Gegevens die door het HR-personeel worden ingevoerd, omvatten het cv van de kandidaat, informatie over de status van de veiligheidsmachtiging en de salariseis van de kandidaat. Op elke wervingsbeurs wordt dezelfde onversleutelde laptop gebruikt en de gegevens van eerdere kandidaten worden nooit verwijderd. Het bedrijf heeft waarschijnlijk cruciale kansen gemist om zich te ontdoen van de gevoelige informatie van kandidaten die het niet langer nodig had, inclusief gegevens van mensen die het besloot niet in dienst te nemen.
Gebruik geen persoonlijke gegevens als dit niet nodig is.
Natuurlijk zullen er momenten zijn waarop uw bedrijf gevoelige gegevens moet gebruiken, maar gebruik deze niet in contexten die onnodige risico’s met zich meebrengen.
Voorbeeld: Een bedrijf verkoopt dierbenodigdheden via honderden verkoopvertegenwoordigers in het hele land. Het bedrijf wil een ontwikkelaar inhuren om een app te ontwerpen waarmee verkopers toegang kunnen krijgen tot klantaccounts. Deze accountbestanden bevatten namen, adressen en financiële informatie. Om de reikwijdte van het project uit te leggen, stuurt het bedrijf geïnteresseerde app-ontwikkelaars voorbeeldaccountbestanden van daadwerkelijke klanten. De veiligere keuze zou zijn geweest om nepbestanden te maken die geen gevoelige klantinformatie bevatten.
Train uw personeel in uw normen en zorg ervoor dat ze zich hieraan houden.
Wat vormt het grootste risico voor de veiligheid van gevoelige informatie in het bezit van uw bedrijf? En wat is uw belangrijkste verdediging tegen ongeautoriseerde toegang? Het antwoord op beide vragen is uw personeel. Train nieuwe werknemers – inclusief seizoensarbeiders en uitzendkrachten – over de normen die u van hen verwacht. Bedenk verstandige controleprocedures om ervoor te zorgen dat ze aan uw regels voldoen. Omdat de aard van uw bedrijf kan veranderen en bedreigingen zich zullen ontwikkelen, kunt u het beste alle hens aan dek-opfriscursussen houden om nieuw beleid uit te leggen en de verkeersregels van uw bedrijf te versterken.
Nadat u uw personeel over de normen heeft geïnformeerd, kunt u hen vervangen om met suggesties te komen voor het verbeteren van uw procedures. Stimuleer een samenwerkingsproces waarbij gebruik wordt gemaakt van ieders expertise. Een C-suite-manager heeft misschien geweldige ideeën voor het grote geheel, maar als u op zoek bent naar praktisch advies over het beschermen van gevoelig papierwerk dat mensen naar uw bedrijf sturen, raadpleeg dan ook de man in de postkamer.
Voorbeeld: Voordat nieuwe medewerkers netwerktoegang krijgen, vereist een bedrijf dat ze deelnemen aan een interne training. Om hun aandacht te stimuleren, bevat de presentatie korte interactieve quizzen. Daarnaast neemt het bedrijf veiligheidsgerelateerde tips op in zijn wekelijkse e-mailupdates voor alle medewerkers en verplicht het hen periodiek om opfriscursussen te volgen. Door zijn personeel te trainen in de omgang met gevoelige gegevens en door zijn beleid te versterken met regelmatige herinneringen en aanvullende veiligheidseducatie, heeft het bedrijf stappen ondernomen om een veiligheidscultuur aan te moedigen.
Voorbeeld: Een bedrijf biedt salarisadministratie voor kleine bedrijven. Eén keer per maand heeft een lid van het IT-personeel de taak om de netwerktoegang en wachtwoorden te deactiveren van medewerkers die het bedrijf in de afgelopen 30 dagen hebben verlaten. Het veiliger zou zijn om het IT-personeel te trainen om de toegang van voormalige werknemers onmiddellijk na hun vertrek te blokkeren.
Bied consumenten, indien mogelijk, veiligere keuzes.
Denk na over uw gegevensverzamelingspraktijken, zowel in de dagelijkse werking van uw bedrijf En in de producten, diensten, apps etc. die u consumenten aanbiedt. Ontwerp uw producten zo dat alleen gevoelige informatie wordt verzameld als dit nodig is voor de functionaliteit en leg uw praktijken vooraf duidelijk uit aan de consument. Bedenk hoe u standaardinstellingen, installatiewizards of werkbalken kunt gebruiken om het voor gebruikers gemakkelijker te maken veiligere keuzes te maken. Als uw product bijvoorbeeld een reeks privacykeuzes biedt – van veilige instellingen voor minder ervaren gebruikers tot geavanceerde opties voor ‘black Diamond’-professionals – stelt u de kant-en-klare standaardinstellingen in op een meer beschermend niveau.
Voorbeeld: Een bedrijf produceert een router waarmee consumenten toegang kunnen krijgen tot documenten op hun thuiscomputer terwijl ze niet thuis zijn. Standaard geeft de router iedereen op internet niet-geverifieerde toegang tot alle bestanden op de aangesloten opslagapparaten die zijn aangesloten op de routers van consumenten, waaronder mogelijk financiële gegevens, gezondheidsdossiers en andere zeer gevoelige informatie. De producthandleiding en de installatiewizard leggen deze standaardinstellingen niet uit en maken gebruikers niet duidelijk wat er aan de hand is. Het bedrijf had de mogelijkheid van ongeautoriseerde toegang kunnen verkleinen door de standaardinstellingen op een veiligere manier te configureren.
Volgende in de serie: Beheer de toegang tot gegevens verstandig.
