Kiedy pracujesz w środowisku biznesowym, nieuchronnie nadejdą chwile, w których będziesz musiał obchodzić się z poufnymi informacjami. Aby go chronić, cała Twoja organizacja musi nadać bezpieczeństwu priorytet. Od pierwszego dnia upewnij się, że wszyscy pracownicy w firmie rozumieją, które informacje są wrażliwe i jaka jest ich rola w ich ochronie. Ponadto ogranicz dostęp do tych danych i podejmuj kroki, aby przechowywać tylko to, co jest absolutnie niezbędne dla Twojej firmy.
Kroki
Metoda 1 z 5: Identyfikowanie informacji wrażliwych
Krok 1. Chroń wszelkie informacje, które Twoja firma posiada, a których inni nie powinni
Jako lider biznesu ważne jest, aby dokładnie oceniać, co jest wrażliwe, a co nie. Szczegóły będą się oczywiście różnić w zależności od firmy, ale ogólnie rzecz biorąc, należy podjąć kroki w celu zabezpieczenia wszystkiego, co mogłoby zaszkodzić klientom, pracownikom lub sukcesowi firmy, gdyby zostało to upublicznione.
- Na przykład może zaistnieć potrzeba ochrony danych osobowych klientów, takich jak ich nazwiska, numery ubezpieczenia społecznego i informacje o karcie kredytowej.
- Z drugiej strony możesz bardziej martwić się ograniczaniem dostępu do pewnych procesów lub formuł, które dają Ci przewagę nad konkurencją, zwanych tajemnicami handlowymi. Może to obejmować formuły lub procesy produkcyjne, model finansowy firmy, listy dostawców, informacje o przejęciu lub metody sprzedaży.
- Oceniając, jakie informacje należy zaklasyfikować jako poufne, zastanów się również, jak długo będziesz je przechowywać. W przypadku informacji o klientach, na przykład, zawsze pozostaną one wrażliwe, więc najlepiej jest przechowywać je w swoich systemach tylko przez taki czas, jaki jest potrzebny.
Krok 2. Chroń te dane przed zagrożeniami, takimi jak kradzież lub wyciek danych
Nie pozostawiaj bezpieczeństwa danych swojemu działowi IT - powinno ono być wbudowane w każdy aspekt Twojej firmy. Uczyń bezpieczeństwo najwyższym priorytetem i pamiętaj, że utrata danych może nastąpić zarówno z zewnątrz, jak i wewnątrz firmy. Może to prowadzić do oszustw, identyfikacji kradzieży, utraty dochodów, zaufania klientów, a nawet problemów prawnych.
Na przykład Twoja firma może napotkać zagrożenia ze strony hakerów, pozbawionych skrupułów konkurentów, a nawet pracowników, którzy nieumyślnie udostępniają bezpieczne informacje
Krok 3. Strzeż się oznaczania wszystkiego jako wrażliwego
Chociaż bezpieczeństwo powinno być najwyższym priorytetem, ważne jest również stworzenie kultury firmy, w której pracownicy będą mieli informacje potrzebne do wykonywania swojej pracy. Jeśli ogólnie zachowujesz się przejrzyście w stosunku do swoich pracowników, będą oni lepiej rozumieć informacje, których nie możesz im udostępnić.
Jeśli oznaczysz zbyt wiele informacji jako poufnych, pracownicy prawdopodobnie znajdą obejścia dla protokołu bezpieczeństwa jako sposób na dostęp do potrzebnych danych
Metoda 2 z 5: Obsługa chronionych danych
Krok 1. Poznaj wymagania prawne dotyczące przetwarzania poufnych informacji
Istnieje wiele ustaw prawnych, które mogą mieć wpływ na to, jak Twoja firma musi postępować z danymi wrażliwymi. Te statuty mogą mieć wpływ na wszystkich, od dyrektorów firmy po pracowników pierwszej linii, więc upewnij się, że wszyscy przestrzegają.
- Na przykład, jeśli Twoja firma oferuje usługi finansowe, takie jak realizacja czeków lub udzielanie pożyczek, ustawa Gramm-Leach-Bliley wymaga ochrony wszystkich niepublicznych danych osobowych, w tym nazw konsumentów, adresów, historii płatności lub informacji uzyskanych z raportów konsumenckich.
- Jeśli jesteś pracownikiem firmy, pamiętaj również o zapoznaniu się z zasadami organizacji dotyczącymi postępowania z poufnymi informacjami.
- Rozważ skontaktowanie się z prawnikiem specjalizującym się w prawie korporacyjnym, aby upewnić się, że jesteś chroniony prawnie.
Krok 2. Jasno zakomunikuj swoim pracownikom oczekiwania biznesowe
Uczyń bezpieczeństwo integralną częścią kultury Twojej firmy. Przekaż wszystkim pracownikom podręcznik lub broszurę opisującą Twoje oczekiwania w zakresie prywatności i ich rolę w bezpieczeństwie informacji. Ponadto przeprowadzaj regularne szkolenia dla wszystkich swoich pracowników na temat postępowania z poufnymi informacjami.
- Na przykład możesz odbyć coroczne szkolenie w zakresie bezpieczeństwa, a następnie wysłać wiadomość e-mail, jeśli którykolwiek z twoich procesów bezpieczeństwa zostanie zaktualizowany.
- Możesz również umieścić oznakowanie w każdej z lokalizacji swojej firmy, aby zapewnić bezpieczeństwo na czele umysłów pracowników.
- Wymagaj od swoich pracowników, aby codziennie sprzątali swoje biurka, wylogowywali się z komputerów i zamykali szafki na akta lub biura przed wyjazdem.
- Zachęć swoich pracowników do zgłaszania ewentualnych naruszeń danych. Możesz nawet stworzyć program motywacyjny, aby nagradzać pracowników, którzy zwrócą twoją uwagę!
Krok 3. Przeszkol swoich pracowników w wykrywaniu i unikaniu phishingu
Czasami hakerzy wysyłają e-maile lub wykonują telefony, które mają sprawiać wrażenie, że pochodzą z wewnątrz firmy, gdy tak nie jest. Odbywa się to zwykle w celu uzyskania dostępu do bezpiecznych danych. Upewnij się, że wszyscy Twoi pracownicy wiedzą, że nigdy nie należy podawać poufnych informacji przez telefon lub e-mail. Ponadto omów, w jaki sposób mogą szybko wykryć żądania phishingu.
- Na przykład, jeśli wiadomość e-mail wydaje się podejrzana, odbiorca powinien dokładnie sprawdzić domenę, z której wiadomość została wysłana.
- Połączenia phishingowe często twierdzą, że pochodzą z działu IT, więc wyjaśnij, że Twój zespół techniczny nigdy nie poprosi przez telefon o nazwę użytkownika lub hasło pracownika.
- Pracownicy, którzy odbierają telefony od klientów, powinni mieć proces weryfikacji danych klientów przed omówieniem jakichkolwiek informacji o koncie przez telefon.
Krok 4. Stwórz wewnętrzne systemy do obsługi wrażliwych danych
Zacznij od przeprowadzenia oceny odgórnej, aby zidentyfikować poufne informacje, którymi zajmuje się Twoja firma, a także miejsca, w których możesz być narażony na utratę danych. Następnie stwórz pisemną politykę dotyczącą tego, jak zabezpieczyć te informacje, jak długo je przechowywać i jak się ich pozbyć, gdy już ich nie potrzebujesz.
- Upewnij się, że wszystkie poufne informacje są wyraźnie oznaczone, niezależnie od tego, czy są to dane cyfrowe, czy fizyczne kopie.
- Uwzględnij, w jaki sposób poszczególni pracownicy powinni obchodzić się z danymi, do których mają dostęp, w tym nie przechowywać poufnych dokumentów na swoich biurkach. Jest to znane jako polityka czystego biurka.
Krok 5. Kontroluj, kto ma dostęp do poufnych informacji
Stwórz politykę, w której trzeba wiedzieć, że pracownicy mają dostęp tylko do informacji, których potrzebują bezpośrednio do wykonywania swojej pracy. Obejmuje to ograniczanie dostępu do danych komputerowych, a także podejmowanie fizycznych środków bezpieczeństwa, takich jak przechowywanie dokumentów, identyfikatorów, kluczy dostępu i kodów bezpieczeństwa w zamkniętych pokojach lub szafach na akta.
Nie zezwalaj pracownikom na usuwanie poufnych danych z budynków firmy, w tym zabieranie laptopów do domu lub wysyłanie wiadomości e-mail zawierających chronione informacje
Krok 6. Chroń informacje na komputerach pracowników
Utrata danych cyfrowych jest ogromnym zagrożeniem dla każdej firmy zajmującej się wrażliwymi informacjami. Utrzymuj aktualne zapory ogniowe, protokoły szyfrowania i oprogramowanie antywirusowe. Ponadto wymagaj od wszystkich pracowników używania bezpiecznych haseł zawierających litery, cyfry i symbole. Inne środki mogą obejmować:
- Konfigurowanie komputerów firmowych w taki sposób, aby automatycznie wyłączały się po określonym czasie nieaktywności.
- Wysyłanie poufnych informacji wyłącznie za pośrednictwem zaszyfrowanych wiadomości e-mail lub bezpiecznych kurierów i tylko do osób upoważnionych do ich otrzymywania.
- Zawsze przy użyciu bezpiecznego drukowania.
- Upewnienie się, że dział IT wie, kto może, a kto nie może uzyskać dostępu do poufnych informacji.
- Stosowanie tych samych środków bezpieczeństwa w stosunku do pracowników pracujących w domu.
Krok 7. Ogranicz ilość danych opuszczających budynek, ograniczając laptopy
Ogólnie rzecz biorąc, najlepiej jest, aby pracownicy korzystali z komputerów stacjonarnych, zwłaszcza jeśli są na nich przechowywane bezpieczne informacje. Jeśli pracownik potrzebuje laptopa do wykonywania swojej pracy, ogranicz lub zaszyfruj poufne dane przechowywane na tym komputerze.
- Podobnie unikaj ilości bezpiecznych danych, do których pracownicy mogą uzyskać dostęp ze swoich telefonów lub tabletów.
- Zainstaluj funkcję zdalnego czyszczenia na laptopach i innych urządzeniach. W ten sposób, jeśli przedmiot zostanie zgubiony lub skradziony, możesz zniszczyć te dane, aby nie mogły zostać naruszone.
Krok 8. Upewnij się, że poufne dyskusje są bezpieczne
Jeśli w Twojej firmie odbywa się spotkanie, na którym będą omawiane tajemnice handlowe lub inne prywatne informacje, upewnij się, że odbywa się ono w prywatnym pokoju, aby uniknąć podsłuchiwania. Ponadto upewnij się, że w spotkaniu biorą udział tylko osoby upoważnione do poznania tych informacji.
Na przykład możesz skorzystać z prywatnej sali konferencyjnej z dźwiękoszczelnymi ścianami
Krok 9. Nie przechowuj poufnych danych, których nie potrzebujesz
Nie ma powodu, aby ryzykować utratę poufnych danych, jeśli nie są one istotne dla funkcjonowania Twojej firmy. Nie przyjmuj ani nie przechowuj niepotrzebnych prywatnych danych od konsumentów, na przykład takich jak używanie unikalnych numerów kont zamiast identyfikowania klientów na podstawie ich numerów ubezpieczenia społecznego.
- Jeśli musisz zebrać poufne informacje, takie jak numer karty kredytowej, rozważ usunięcie ich z systemu, gdy tylko zakończysz przetwarzanie transakcji.
- Niektóre informacje wymagają spełnienia rygorystycznych wymogów prawnych, takich jak ochrona danych pacjentów za pomocą HIPAA. Niespełnienie tych wymagań może skutkować wysokimi grzywnami, więc jeśli nie musisz go przenosić ani przechowywać, najlepiej go całkowicie unikać.
Krok 10. Przygotuj plan postępowania w przypadku naruszenia
Plan powinien szczegółowo określać, w jaki sposób utrzymasz działalność firmy w przypadku naruszenia bezpieczeństwa lub utraty danych. Powinno to również obejmować, co firma zrobi, aby chronić dane w przypadku awarii, która może narazić Twoje systemy na atak.
Na przykład, jeśli nastąpi powszechna przerwa w dostawie prądu, zrozum, czy Twoje dane cyfrowe byłyby bardziej podatne na włamania. Jeśli tak, podejmij kroki w celu wyeliminowania tego ryzyka
Krok 11. Przeprowadzaj regularne audyty w celu sprawdzenia zgodności z zabezpieczeniami
Zaplanuj regularne ocenianie, kto ma dostęp do jakich informacji - w tym w Twoim dziale IT. Dowiedz się, gdzie w systemie przechowywane są Twoje poufne dane, aby od razu wiedzieć, czy ktoś próbuje się do nich dostać.
- Monitoruj ruch w swoim systemie, zwłaszcza jeśli duże ilości danych są przesyłane do lub z systemu.
- Ponadto uważaj na wielokrotne próby logowania od nowych użytkowników lub nieznanych komputerów, ponieważ może to być potencjalny wskaźnik, że ktoś próbuje uzyskać dostęp do bezpiecznych danych.
Metoda 3 z 5: Doradzanie nowym i odchodzącym pracownikom
Krok 1. Zwiąż wszystkich pracowników umowami lub klauzulami o zachowaniu poufności
Poproś każdego nowo zatrudnionego pracownika o podpisanie umowy o zachowaniu poufności (NDA) po przyjęciu na pokład - zanim uzyska dostęp do tajemnic handlowych lub danych klienta. Chociaż nie powstrzyma to każdego przypadku utraty danych, zapewnia pewną ochronę prawną w przypadku jej wystąpienia.
Upewnij się, że okres obowiązywania NDA jest wystarczająco długi, aby chronić Cię nawet po odejściu pracownika z firmy
Krok 2. Porozmawiaj o bezpieczeństwie danych, gdy ktoś zostaje zatrudniony
Przekaż nowo zatrudnionym podręcznik lub broszurę, w której wyszczególniony jest Twój protokół bezpieczeństwa. Jednak nie oczekuj od nich tylko, że je przeczytają i zrozumieją – wyjaśnij im to wyraźnie podczas procesu wdrażania.
- Wyjaśnij każdemu pracownikowi, że zachowanie bezpieczeństwa danych jest częścią jego zakresu obowiązków.
- Omów wszelkie odpowiednie przepisy i dokumenty dotyczące polityki wewnętrznej.
- Pamiętaj, że powinno to obejmować wszystkich pracowników, w tym pracowników w biurach satelitarnych oraz pomoc sezonową lub tymczasową.
Krok 3. Przeprowadź rozmowę kwalifikacyjną po odejściu pracownika
Podczas tej rozmowy przypomnij im o ich umowie NDA oraz o ich obowiązkach dotyczących wszelkich poufnych informacji, do których mogli mieć dostęp. Ponadto poproś ich o zwrot urządzeń firmowych, identyfikatorów bezpieczeństwa, kluczy itd.
Poproś dział IT o cofnięcie wszystkich autoryzacji i haseł bezpieczeństwa
Metoda 4 z 5: Informowanie stron trzecich i odwiedzających
Krok 1. Uwzględnij klauzule dotyczące poufnych informacji w umowach ze stronami trzecimi
Jeśli prowadzisz interesy z podmiotami zewnętrznymi, takimi jak dostawcy i dostawcy, upewnij się, że są one świadome swojej odpowiedzialności za ochronę poufnych informacji. Ponadto upewnij się, że jasno określisz, kiedy musisz powiadomić ich o informacjach uważanych za prywatne.
- Dobrym pomysłem jest użycie w tych klauzulach sformułowania „wszystkie informacje niepubliczne” - w ten sposób nie będziesz musiał oznaczać wszystkich danych wrażliwych.
- Może być również konieczne podpisanie przez usługodawców umów NDA, jeśli będą mieli dostęp do poufnych informacji.
Krok 2. Udostępniaj dane tylko w razie potrzeby
Podobnie jak w przypadku Twoich pracowników, upewnij się, że wszystkie osoby trzecie przekazujesz informacje osobom trzecim tylko wtedy, gdy jest to absolutnie niezbędne dla ich zdolności do wykonywania pracy. Jest to znane jako polityka „najmniejszego przywileju”.
- Ponadto upewnij się, że informacje są udostępniane tylko w bezpieczny sposób, na przykład w zaszyfrowanych sieciach lub podczas prywatnych spotkań.
- Regularnie sprawdzaj dane uwierzytelniające i dostęp przyznany stronom trzecim i upewnij się, że dokładnie wiesz, kto ich używa.
Krok 3. W razie potrzeby poproś odwiedzających o podpisanie NDAS
Jeśli odwiedzający Twoją firmę może potencjalnie mieć dostęp do bezpiecznych informacji, poproś go o podpisanie umowy o zachowaniu poufności podczas meldowania się. Przechowuj te umowy NDA odwiedzających w pliku tak długo, jak są ważne, na wypadek, gdyby dana osoba później naruszyła umowy.
Na przykład, jeśli przedstawiciel Twojego dostawcy będzie zwiedzać Twój zakład i może rzucić okiem na niepubliczny proces produkcyjny, dobrym pomysłem byłoby podpisanie umowy NDA
Krok 4. Ogranicz dostęp odwiedzających do bezpiecznych informacji
Chociaż umowa o zachowaniu poufności może dać ci pewne rozwiązanie, jeśli odwiedzający omawia prywatne informacje, najlepiej jest w ogóle unikać zezwalania mu na dostęp do tych danych. Opracuj zasady uniemożliwiające odwiedzającym wchodzenie do obszarów, w których przechowywane są bezpieczne informacje, i monitoruj, dokąd się udają, gdy są na terenie.
Na przykład możesz mieć pracownika eskortującego gości, aby upewnić się, że nie wchodzą do obszarów o ograniczonym dostępie
Metoda 5 z 5: Przechowywanie i usuwanie informacji poufnych
Krok 1. Bądź świadomy, w jaki sposób poufne informacje trafiają do Twojej firmy
Aby chronić poufne informacje, musisz zrozumieć punkty wejścia. Oceń, skąd pochodzą te informacje, z czego się składają i kto może mieć do nich dostęp. Niektóre potencjalne źródła mogą obejmować:
- Na przykład możesz uzyskać informacje od kandydatów do pracy, klientów, firm obsługujących karty kredytowe lub banków.
- Te informacje mogą wejść do Twojej firmy za pośrednictwem Twojej witryny internetowej, poczty e-mail, poczty, kas fiskalnych lub działu księgowości.
Krok 2. Bezpiecznie przechowuj zarówno informacje cyfrowe, jak i dokumenty
Bezpieczeństwo danych wymaga dwutorowego podejścia. Musisz nie tylko chronić swoje systemy komputerowe, ale także upewnić się, że wszystkie dokumenty są starannie zabezpieczone.
- Upewnij się, że wszystkie dokumenty są przechowywane w zamykanych szafkach na dokumenty, a dostęp mają tylko upoważnieni pracownicy, którzy zgodnie z prawem potrzebują tych informacji.
- Oprócz zabezpieczenia danych cyfrowych na miejscu, upewnij się, że cała pamięć masowa w chmurze korzysta z uwierzytelniania i szyfrowania wieloskładnikowego.
Krok 3. Ostrożnie przechowuj informacje cyfrowe
Jeśli to możliwe, unikaj przechowywania poufnych danych na komputerach z dostępem do Internetu. Jeśli potrzebujesz tych informacji na komputerze z połączeniem internetowym, upewnij się, że są one bezpiecznie zaszyfrowane. Możesz także:
- Korzystaj z bezpiecznych serwerów, w tym przechowywania w chmurze.
- Szyfruj (lub haszuj) hasła klientów.
- Regularnie aktualizuj hasła.
- Aktualizuj oprogramowanie zabezpieczające.
- Bądź świadomy luk w oprogramowaniu.
- Kontroluj dostęp USB.
- Utwórz kopię zapasową informacji w bezpiecznym miejscu.
Krok 4. Pozbądź się dokumentów, rozdrabniając je
Nie wyrzucaj tylko starych aplikacji lub plików klienta do kosza. Zamiast tego zainwestuj w wysokiej jakości niszczarki poprzeczne i upewnij się, że są one łatwo dostępne w całym biurze. Następnie wyrzuć rozdrobnione dokumenty do poufnych pojemników na odpady.
Pamiętaj, aby wyczyścić stare szafki na dokumenty przed ich sprzedażą lub wyrzuceniem
Krok 5. Całkowicie wymaż dyski twarde przed wyrzuceniem urządzeń
Użyj bezpiecznego narzędzia do niszczenia danych, aby mieć pewność, że zniszczysz wszystkie informacje na komputerze, telefonie lub tablecie. Nie polegaj tylko na ponownym sformatowaniu dysku twardego - to nie wystarczy do całkowitego wyczyszczenia wszystkich danych, nawet jeśli później je nadpiszesz.