Jak bezpiecznie i bezpiecznie obchodzić się z informacjami wrażliwymi

Spisu treści:

Jak bezpiecznie i bezpiecznie obchodzić się z informacjami wrażliwymi
Jak bezpiecznie i bezpiecznie obchodzić się z informacjami wrażliwymi

Wideo: Jak bezpiecznie i bezpiecznie obchodzić się z informacjami wrażliwymi

Wideo: Jak bezpiecznie i bezpiecznie obchodzić się z informacjami wrażliwymi
Wideo: 4 SPOSOBY JAK (w końcu) REALIZOWAĆ PLANY 2024, Marsz
Anonim

Kiedy pracujesz w środowisku biznesowym, nieuchronnie nadejdą chwile, w których będziesz musiał obchodzić się z poufnymi informacjami. Aby go chronić, cała Twoja organizacja musi nadać bezpieczeństwu priorytet. Od pierwszego dnia upewnij się, że wszyscy pracownicy w firmie rozumieją, które informacje są wrażliwe i jaka jest ich rola w ich ochronie. Ponadto ogranicz dostęp do tych danych i podejmuj kroki, aby przechowywać tylko to, co jest absolutnie niezbędne dla Twojej firmy.

Kroki

Metoda 1 z 5: Identyfikowanie informacji wrażliwych

Postępowanie z informacjami wrażliwymi Krok 1
Postępowanie z informacjami wrażliwymi Krok 1

Krok 1. Chroń wszelkie informacje, które Twoja firma posiada, a których inni nie powinni

Jako lider biznesu ważne jest, aby dokładnie oceniać, co jest wrażliwe, a co nie. Szczegóły będą się oczywiście różnić w zależności od firmy, ale ogólnie rzecz biorąc, należy podjąć kroki w celu zabezpieczenia wszystkiego, co mogłoby zaszkodzić klientom, pracownikom lub sukcesowi firmy, gdyby zostało to upublicznione.

  • Na przykład może zaistnieć potrzeba ochrony danych osobowych klientów, takich jak ich nazwiska, numery ubezpieczenia społecznego i informacje o karcie kredytowej.
  • Z drugiej strony możesz bardziej martwić się ograniczaniem dostępu do pewnych procesów lub formuł, które dają Ci przewagę nad konkurencją, zwanych tajemnicami handlowymi. Może to obejmować formuły lub procesy produkcyjne, model finansowy firmy, listy dostawców, informacje o przejęciu lub metody sprzedaży.
  • Oceniając, jakie informacje należy zaklasyfikować jako poufne, zastanów się również, jak długo będziesz je przechowywać. W przypadku informacji o klientach, na przykład, zawsze pozostaną one wrażliwe, więc najlepiej jest przechowywać je w swoich systemach tylko przez taki czas, jaki jest potrzebny.
Postępowanie z informacjami wrażliwymi Krok 2
Postępowanie z informacjami wrażliwymi Krok 2

Krok 2. Chroń te dane przed zagrożeniami, takimi jak kradzież lub wyciek danych

Nie pozostawiaj bezpieczeństwa danych swojemu działowi IT - powinno ono być wbudowane w każdy aspekt Twojej firmy. Uczyń bezpieczeństwo najwyższym priorytetem i pamiętaj, że utrata danych może nastąpić zarówno z zewnątrz, jak i wewnątrz firmy. Może to prowadzić do oszustw, identyfikacji kradzieży, utraty dochodów, zaufania klientów, a nawet problemów prawnych.

Na przykład Twoja firma może napotkać zagrożenia ze strony hakerów, pozbawionych skrupułów konkurentów, a nawet pracowników, którzy nieumyślnie udostępniają bezpieczne informacje

Postępowanie z informacjami wrażliwymi Krok 3
Postępowanie z informacjami wrażliwymi Krok 3

Krok 3. Strzeż się oznaczania wszystkiego jako wrażliwego

Chociaż bezpieczeństwo powinno być najwyższym priorytetem, ważne jest również stworzenie kultury firmy, w której pracownicy będą mieli informacje potrzebne do wykonywania swojej pracy. Jeśli ogólnie zachowujesz się przejrzyście w stosunku do swoich pracowników, będą oni lepiej rozumieć informacje, których nie możesz im udostępnić.

Jeśli oznaczysz zbyt wiele informacji jako poufnych, pracownicy prawdopodobnie znajdą obejścia dla protokołu bezpieczeństwa jako sposób na dostęp do potrzebnych danych

Metoda 2 z 5: Obsługa chronionych danych

Postępowanie z informacjami wrażliwymi Krok 4
Postępowanie z informacjami wrażliwymi Krok 4

Krok 1. Poznaj wymagania prawne dotyczące przetwarzania poufnych informacji

Istnieje wiele ustaw prawnych, które mogą mieć wpływ na to, jak Twoja firma musi postępować z danymi wrażliwymi. Te statuty mogą mieć wpływ na wszystkich, od dyrektorów firmy po pracowników pierwszej linii, więc upewnij się, że wszyscy przestrzegają.

  • Na przykład, jeśli Twoja firma oferuje usługi finansowe, takie jak realizacja czeków lub udzielanie pożyczek, ustawa Gramm-Leach-Bliley wymaga ochrony wszystkich niepublicznych danych osobowych, w tym nazw konsumentów, adresów, historii płatności lub informacji uzyskanych z raportów konsumenckich.
  • Jeśli jesteś pracownikiem firmy, pamiętaj również o zapoznaniu się z zasadami organizacji dotyczącymi postępowania z poufnymi informacjami.
  • Rozważ skontaktowanie się z prawnikiem specjalizującym się w prawie korporacyjnym, aby upewnić się, że jesteś chroniony prawnie.
Postępowanie z informacjami wrażliwymi Krok 5
Postępowanie z informacjami wrażliwymi Krok 5

Krok 2. Jasno zakomunikuj swoim pracownikom oczekiwania biznesowe

Uczyń bezpieczeństwo integralną częścią kultury Twojej firmy. Przekaż wszystkim pracownikom podręcznik lub broszurę opisującą Twoje oczekiwania w zakresie prywatności i ich rolę w bezpieczeństwie informacji. Ponadto przeprowadzaj regularne szkolenia dla wszystkich swoich pracowników na temat postępowania z poufnymi informacjami.

  • Na przykład możesz odbyć coroczne szkolenie w zakresie bezpieczeństwa, a następnie wysłać wiadomość e-mail, jeśli którykolwiek z twoich procesów bezpieczeństwa zostanie zaktualizowany.
  • Możesz również umieścić oznakowanie w każdej z lokalizacji swojej firmy, aby zapewnić bezpieczeństwo na czele umysłów pracowników.
  • Wymagaj od swoich pracowników, aby codziennie sprzątali swoje biurka, wylogowywali się z komputerów i zamykali szafki na akta lub biura przed wyjazdem.
  • Zachęć swoich pracowników do zgłaszania ewentualnych naruszeń danych. Możesz nawet stworzyć program motywacyjny, aby nagradzać pracowników, którzy zwrócą twoją uwagę!
Postępowanie z informacjami wrażliwymi Krok 6
Postępowanie z informacjami wrażliwymi Krok 6

Krok 3. Przeszkol swoich pracowników w wykrywaniu i unikaniu phishingu

Czasami hakerzy wysyłają e-maile lub wykonują telefony, które mają sprawiać wrażenie, że pochodzą z wewnątrz firmy, gdy tak nie jest. Odbywa się to zwykle w celu uzyskania dostępu do bezpiecznych danych. Upewnij się, że wszyscy Twoi pracownicy wiedzą, że nigdy nie należy podawać poufnych informacji przez telefon lub e-mail. Ponadto omów, w jaki sposób mogą szybko wykryć żądania phishingu.

  • Na przykład, jeśli wiadomość e-mail wydaje się podejrzana, odbiorca powinien dokładnie sprawdzić domenę, z której wiadomość została wysłana.
  • Połączenia phishingowe często twierdzą, że pochodzą z działu IT, więc wyjaśnij, że Twój zespół techniczny nigdy nie poprosi przez telefon o nazwę użytkownika lub hasło pracownika.
  • Pracownicy, którzy odbierają telefony od klientów, powinni mieć proces weryfikacji danych klientów przed omówieniem jakichkolwiek informacji o koncie przez telefon.
Postępowanie z informacjami wrażliwymi Krok 7
Postępowanie z informacjami wrażliwymi Krok 7

Krok 4. Stwórz wewnętrzne systemy do obsługi wrażliwych danych

Zacznij od przeprowadzenia oceny odgórnej, aby zidentyfikować poufne informacje, którymi zajmuje się Twoja firma, a także miejsca, w których możesz być narażony na utratę danych. Następnie stwórz pisemną politykę dotyczącą tego, jak zabezpieczyć te informacje, jak długo je przechowywać i jak się ich pozbyć, gdy już ich nie potrzebujesz.

  • Upewnij się, że wszystkie poufne informacje są wyraźnie oznaczone, niezależnie od tego, czy są to dane cyfrowe, czy fizyczne kopie.
  • Uwzględnij, w jaki sposób poszczególni pracownicy powinni obchodzić się z danymi, do których mają dostęp, w tym nie przechowywać poufnych dokumentów na swoich biurkach. Jest to znane jako polityka czystego biurka.
Postępowanie z informacjami wrażliwymi Krok 8
Postępowanie z informacjami wrażliwymi Krok 8

Krok 5. Kontroluj, kto ma dostęp do poufnych informacji

Stwórz politykę, w której trzeba wiedzieć, że pracownicy mają dostęp tylko do informacji, których potrzebują bezpośrednio do wykonywania swojej pracy. Obejmuje to ograniczanie dostępu do danych komputerowych, a także podejmowanie fizycznych środków bezpieczeństwa, takich jak przechowywanie dokumentów, identyfikatorów, kluczy dostępu i kodów bezpieczeństwa w zamkniętych pokojach lub szafach na akta.

Nie zezwalaj pracownikom na usuwanie poufnych danych z budynków firmy, w tym zabieranie laptopów do domu lub wysyłanie wiadomości e-mail zawierających chronione informacje

Postępowanie z informacjami wrażliwymi Krok 9
Postępowanie z informacjami wrażliwymi Krok 9

Krok 6. Chroń informacje na komputerach pracowników

Utrata danych cyfrowych jest ogromnym zagrożeniem dla każdej firmy zajmującej się wrażliwymi informacjami. Utrzymuj aktualne zapory ogniowe, protokoły szyfrowania i oprogramowanie antywirusowe. Ponadto wymagaj od wszystkich pracowników używania bezpiecznych haseł zawierających litery, cyfry i symbole. Inne środki mogą obejmować:

  • Konfigurowanie komputerów firmowych w taki sposób, aby automatycznie wyłączały się po określonym czasie nieaktywności.
  • Wysyłanie poufnych informacji wyłącznie za pośrednictwem zaszyfrowanych wiadomości e-mail lub bezpiecznych kurierów i tylko do osób upoważnionych do ich otrzymywania.
  • Zawsze przy użyciu bezpiecznego drukowania.
  • Upewnienie się, że dział IT wie, kto może, a kto nie może uzyskać dostępu do poufnych informacji.
  • Stosowanie tych samych środków bezpieczeństwa w stosunku do pracowników pracujących w domu.
Postępowanie z informacjami wrażliwymi Krok 10
Postępowanie z informacjami wrażliwymi Krok 10

Krok 7. Ogranicz ilość danych opuszczających budynek, ograniczając laptopy

Ogólnie rzecz biorąc, najlepiej jest, aby pracownicy korzystali z komputerów stacjonarnych, zwłaszcza jeśli są na nich przechowywane bezpieczne informacje. Jeśli pracownik potrzebuje laptopa do wykonywania swojej pracy, ogranicz lub zaszyfruj poufne dane przechowywane na tym komputerze.

  • Podobnie unikaj ilości bezpiecznych danych, do których pracownicy mogą uzyskać dostęp ze swoich telefonów lub tabletów.
  • Zainstaluj funkcję zdalnego czyszczenia na laptopach i innych urządzeniach. W ten sposób, jeśli przedmiot zostanie zgubiony lub skradziony, możesz zniszczyć te dane, aby nie mogły zostać naruszone.
Postępowanie z informacjami wrażliwymi Krok 11
Postępowanie z informacjami wrażliwymi Krok 11

Krok 8. Upewnij się, że poufne dyskusje są bezpieczne

Jeśli w Twojej firmie odbywa się spotkanie, na którym będą omawiane tajemnice handlowe lub inne prywatne informacje, upewnij się, że odbywa się ono w prywatnym pokoju, aby uniknąć podsłuchiwania. Ponadto upewnij się, że w spotkaniu biorą udział tylko osoby upoważnione do poznania tych informacji.

Na przykład możesz skorzystać z prywatnej sali konferencyjnej z dźwiękoszczelnymi ścianami

Postępowanie z informacjami wrażliwymi Krok 12
Postępowanie z informacjami wrażliwymi Krok 12

Krok 9. Nie przechowuj poufnych danych, których nie potrzebujesz

Nie ma powodu, aby ryzykować utratę poufnych danych, jeśli nie są one istotne dla funkcjonowania Twojej firmy. Nie przyjmuj ani nie przechowuj niepotrzebnych prywatnych danych od konsumentów, na przykład takich jak używanie unikalnych numerów kont zamiast identyfikowania klientów na podstawie ich numerów ubezpieczenia społecznego.

  • Jeśli musisz zebrać poufne informacje, takie jak numer karty kredytowej, rozważ usunięcie ich z systemu, gdy tylko zakończysz przetwarzanie transakcji.
  • Niektóre informacje wymagają spełnienia rygorystycznych wymogów prawnych, takich jak ochrona danych pacjentów za pomocą HIPAA. Niespełnienie tych wymagań może skutkować wysokimi grzywnami, więc jeśli nie musisz go przenosić ani przechowywać, najlepiej go całkowicie unikać.
Postępowanie z informacjami wrażliwymi Krok 13
Postępowanie z informacjami wrażliwymi Krok 13

Krok 10. Przygotuj plan postępowania w przypadku naruszenia

Plan powinien szczegółowo określać, w jaki sposób utrzymasz działalność firmy w przypadku naruszenia bezpieczeństwa lub utraty danych. Powinno to również obejmować, co firma zrobi, aby chronić dane w przypadku awarii, która może narazić Twoje systemy na atak.

Na przykład, jeśli nastąpi powszechna przerwa w dostawie prądu, zrozum, czy Twoje dane cyfrowe byłyby bardziej podatne na włamania. Jeśli tak, podejmij kroki w celu wyeliminowania tego ryzyka

Postępowanie z informacjami wrażliwymi Krok 14
Postępowanie z informacjami wrażliwymi Krok 14

Krok 11. Przeprowadzaj regularne audyty w celu sprawdzenia zgodności z zabezpieczeniami

Zaplanuj regularne ocenianie, kto ma dostęp do jakich informacji - w tym w Twoim dziale IT. Dowiedz się, gdzie w systemie przechowywane są Twoje poufne dane, aby od razu wiedzieć, czy ktoś próbuje się do nich dostać.

  • Monitoruj ruch w swoim systemie, zwłaszcza jeśli duże ilości danych są przesyłane do lub z systemu.
  • Ponadto uważaj na wielokrotne próby logowania od nowych użytkowników lub nieznanych komputerów, ponieważ może to być potencjalny wskaźnik, że ktoś próbuje uzyskać dostęp do bezpiecznych danych.

Metoda 3 z 5: Doradzanie nowym i odchodzącym pracownikom

Postępowanie z informacjami wrażliwymi Krok 15
Postępowanie z informacjami wrażliwymi Krok 15

Krok 1. Zwiąż wszystkich pracowników umowami lub klauzulami o zachowaniu poufności

Poproś każdego nowo zatrudnionego pracownika o podpisanie umowy o zachowaniu poufności (NDA) po przyjęciu na pokład - zanim uzyska dostęp do tajemnic handlowych lub danych klienta. Chociaż nie powstrzyma to każdego przypadku utraty danych, zapewnia pewną ochronę prawną w przypadku jej wystąpienia.

Upewnij się, że okres obowiązywania NDA jest wystarczająco długi, aby chronić Cię nawet po odejściu pracownika z firmy

Postępowanie z informacjami wrażliwymi Krok 16
Postępowanie z informacjami wrażliwymi Krok 16

Krok 2. Porozmawiaj o bezpieczeństwie danych, gdy ktoś zostaje zatrudniony

Przekaż nowo zatrudnionym podręcznik lub broszurę, w której wyszczególniony jest Twój protokół bezpieczeństwa. Jednak nie oczekuj od nich tylko, że je przeczytają i zrozumieją – wyjaśnij im to wyraźnie podczas procesu wdrażania.

  • Wyjaśnij każdemu pracownikowi, że zachowanie bezpieczeństwa danych jest częścią jego zakresu obowiązków.
  • Omów wszelkie odpowiednie przepisy i dokumenty dotyczące polityki wewnętrznej.
  • Pamiętaj, że powinno to obejmować wszystkich pracowników, w tym pracowników w biurach satelitarnych oraz pomoc sezonową lub tymczasową.
Postępowanie z informacjami wrażliwymi Krok 17
Postępowanie z informacjami wrażliwymi Krok 17

Krok 3. Przeprowadź rozmowę kwalifikacyjną po odejściu pracownika

Podczas tej rozmowy przypomnij im o ich umowie NDA oraz o ich obowiązkach dotyczących wszelkich poufnych informacji, do których mogli mieć dostęp. Ponadto poproś ich o zwrot urządzeń firmowych, identyfikatorów bezpieczeństwa, kluczy itd.

Poproś dział IT o cofnięcie wszystkich autoryzacji i haseł bezpieczeństwa

Metoda 4 z 5: Informowanie stron trzecich i odwiedzających

Postępowanie z informacjami wrażliwymi Krok 18
Postępowanie z informacjami wrażliwymi Krok 18

Krok 1. Uwzględnij klauzule dotyczące poufnych informacji w umowach ze stronami trzecimi

Jeśli prowadzisz interesy z podmiotami zewnętrznymi, takimi jak dostawcy i dostawcy, upewnij się, że są one świadome swojej odpowiedzialności za ochronę poufnych informacji. Ponadto upewnij się, że jasno określisz, kiedy musisz powiadomić ich o informacjach uważanych za prywatne.

  • Dobrym pomysłem jest użycie w tych klauzulach sformułowania „wszystkie informacje niepubliczne” - w ten sposób nie będziesz musiał oznaczać wszystkich danych wrażliwych.
  • Może być również konieczne podpisanie przez usługodawców umów NDA, jeśli będą mieli dostęp do poufnych informacji.
Postępowanie z informacjami wrażliwymi Krok 19
Postępowanie z informacjami wrażliwymi Krok 19

Krok 2. Udostępniaj dane tylko w razie potrzeby

Podobnie jak w przypadku Twoich pracowników, upewnij się, że wszystkie osoby trzecie przekazujesz informacje osobom trzecim tylko wtedy, gdy jest to absolutnie niezbędne dla ich zdolności do wykonywania pracy. Jest to znane jako polityka „najmniejszego przywileju”.

  • Ponadto upewnij się, że informacje są udostępniane tylko w bezpieczny sposób, na przykład w zaszyfrowanych sieciach lub podczas prywatnych spotkań.
  • Regularnie sprawdzaj dane uwierzytelniające i dostęp przyznany stronom trzecim i upewnij się, że dokładnie wiesz, kto ich używa.
Postępowanie z informacjami wrażliwymi Krok 20
Postępowanie z informacjami wrażliwymi Krok 20

Krok 3. W razie potrzeby poproś odwiedzających o podpisanie NDAS

Jeśli odwiedzający Twoją firmę może potencjalnie mieć dostęp do bezpiecznych informacji, poproś go o podpisanie umowy o zachowaniu poufności podczas meldowania się. Przechowuj te umowy NDA odwiedzających w pliku tak długo, jak są ważne, na wypadek, gdyby dana osoba później naruszyła umowy.

Na przykład, jeśli przedstawiciel Twojego dostawcy będzie zwiedzać Twój zakład i może rzucić okiem na niepubliczny proces produkcyjny, dobrym pomysłem byłoby podpisanie umowy NDA

Postępowanie z informacjami wrażliwymi Krok 21
Postępowanie z informacjami wrażliwymi Krok 21

Krok 4. Ogranicz dostęp odwiedzających do bezpiecznych informacji

Chociaż umowa o zachowaniu poufności może dać ci pewne rozwiązanie, jeśli odwiedzający omawia prywatne informacje, najlepiej jest w ogóle unikać zezwalania mu na dostęp do tych danych. Opracuj zasady uniemożliwiające odwiedzającym wchodzenie do obszarów, w których przechowywane są bezpieczne informacje, i monitoruj, dokąd się udają, gdy są na terenie.

Na przykład możesz mieć pracownika eskortującego gości, aby upewnić się, że nie wchodzą do obszarów o ograniczonym dostępie

Metoda 5 z 5: Przechowywanie i usuwanie informacji poufnych

Postępowanie z informacjami wrażliwymi Krok 22
Postępowanie z informacjami wrażliwymi Krok 22

Krok 1. Bądź świadomy, w jaki sposób poufne informacje trafiają do Twojej firmy

Aby chronić poufne informacje, musisz zrozumieć punkty wejścia. Oceń, skąd pochodzą te informacje, z czego się składają i kto może mieć do nich dostęp. Niektóre potencjalne źródła mogą obejmować:

  • Na przykład możesz uzyskać informacje od kandydatów do pracy, klientów, firm obsługujących karty kredytowe lub banków.
  • Te informacje mogą wejść do Twojej firmy za pośrednictwem Twojej witryny internetowej, poczty e-mail, poczty, kas fiskalnych lub działu księgowości.
Postępowanie z informacjami wrażliwymi Krok 23
Postępowanie z informacjami wrażliwymi Krok 23

Krok 2. Bezpiecznie przechowuj zarówno informacje cyfrowe, jak i dokumenty

Bezpieczeństwo danych wymaga dwutorowego podejścia. Musisz nie tylko chronić swoje systemy komputerowe, ale także upewnić się, że wszystkie dokumenty są starannie zabezpieczone.

  • Upewnij się, że wszystkie dokumenty są przechowywane w zamykanych szafkach na dokumenty, a dostęp mają tylko upoważnieni pracownicy, którzy zgodnie z prawem potrzebują tych informacji.
  • Oprócz zabezpieczenia danych cyfrowych na miejscu, upewnij się, że cała pamięć masowa w chmurze korzysta z uwierzytelniania i szyfrowania wieloskładnikowego.
Postępowanie z informacjami wrażliwymi Krok 24
Postępowanie z informacjami wrażliwymi Krok 24

Krok 3. Ostrożnie przechowuj informacje cyfrowe

Jeśli to możliwe, unikaj przechowywania poufnych danych na komputerach z dostępem do Internetu. Jeśli potrzebujesz tych informacji na komputerze z połączeniem internetowym, upewnij się, że są one bezpiecznie zaszyfrowane. Możesz także:

  • Korzystaj z bezpiecznych serwerów, w tym przechowywania w chmurze.
  • Szyfruj (lub haszuj) hasła klientów.
  • Regularnie aktualizuj hasła.
  • Aktualizuj oprogramowanie zabezpieczające.
  • Bądź świadomy luk w oprogramowaniu.
  • Kontroluj dostęp USB.
  • Utwórz kopię zapasową informacji w bezpiecznym miejscu.
Postępowanie z informacjami wrażliwymi Krok 25
Postępowanie z informacjami wrażliwymi Krok 25

Krok 4. Pozbądź się dokumentów, rozdrabniając je

Nie wyrzucaj tylko starych aplikacji lub plików klienta do kosza. Zamiast tego zainwestuj w wysokiej jakości niszczarki poprzeczne i upewnij się, że są one łatwo dostępne w całym biurze. Następnie wyrzuć rozdrobnione dokumenty do poufnych pojemników na odpady.

Pamiętaj, aby wyczyścić stare szafki na dokumenty przed ich sprzedażą lub wyrzuceniem

Postępowanie z informacjami wrażliwymi Krok 26
Postępowanie z informacjami wrażliwymi Krok 26

Krok 5. Całkowicie wymaż dyski twarde przed wyrzuceniem urządzeń

Użyj bezpiecznego narzędzia do niszczenia danych, aby mieć pewność, że zniszczysz wszystkie informacje na komputerze, telefonie lub tablecie. Nie polegaj tylko na ponownym sformatowaniu dysku twardego - to nie wystarczy do całkowitego wyczyszczenia wszystkich danych, nawet jeśli później je nadpiszesz.

Zalecana: