Как безопасно и сигурно да боравим с чувствителна информация

Съдържание:

Как безопасно и сигурно да боравим с чувствителна информация
Как безопасно и сигурно да боравим с чувствителна информация

Видео: Как безопасно и сигурно да боравим с чувствителна информация

Видео: Как безопасно и сигурно да боравим с чувствителна информация
Видео: Никогда не берите эти вещи от свекрови, иначе не избежать беды 2024, Март
Anonim

Когато работите в бизнес среда, неизбежно ще настъпят моменти, в които трябва да боравите с чувствителна информация. За да го защити, цялата ви организация трябва да даде приоритет на сигурността. От първия ден се уверете, че всички служители в компанията разбират каква информация е чувствителна и каква е тяхната роля в защитата й. Освен това ограничете кой има достъп до тези данни и предприемайте стъпки, така че да съхранявате само това, което е абсолютно необходимо за вашата компания.

Стъпки

Метод 1 от 5: Идентифициране на чувствителна информация

Работете с чувствителна информация Стъпка 1
Работете с чувствителна информация Стъпка 1

Стъпка 1. Защитете всяка информация, която вашата компания притежава, а другите не бива

Като бизнес лидер е важно да бъдете изчерпателни в преценката кое е чувствително и кое не. Спецификите ще варират в различните компании, разбира се, но като цяло трябва да предприемете стъпки, за да подсигурите всичко, което би могло да навреди на вашите клиенти, на вашите служители или на успеха на вашия бизнес, ако беше оповестено публично.

  • Например може да се наложи да защитите лична информация за клиентите си, като имената им, номерата на социалното осигуряване и информацията за кредитната карта.
  • От друга страна, може да сте по -загрижени за ограничаването на достъпа до определени процеси или формули, които ви дават предимство пред вашите конкуренти, известни като търговски тайни. Това може да включва формули или производствени процеси, финансов модел на вашата компания, списъци на вашите доставчици, информация за придобиване или вашите методи за продажби.
  • Когато оценявате каква информация да класифицирате като чувствителна, помислете също колко време ще ви е необходимо да съхранявате тази информация. В случай на информация за клиенти, например, тя винаги ще остане чувствителна, така че е най -добре да я съхранявате във вашите системи само за времето, от което се нуждаете.
Манипулирайте чувствителна информация Стъпка 2
Манипулирайте чувствителна информация Стъпка 2

Стъпка 2. Защитете тези данни срещу заплахи като кражба или изтичане на данни

Не оставяйте сигурността на данните само на вашия ИТ отдел-тя трябва да бъде вградена във всеки аспект на вашата компания. Направете сигурността основен приоритет и имайте предвид, че загубата на данни може да възникне както отвън, така и отвътре във вашата компания. Това може да доведе до измами, идентифициране на кражба, загуба на приходи, доверието на клиентите ви и дори правни проблеми.

Например, вашата компания може да се изправи пред заплахи от хакери, безскрупулни конкуренти или дори служители, които неволно споделят защитена информация

Работете с чувствителна информация Стъпка 3
Работете с чувствителна информация Стъпка 3

Стъпка 3. Пазете се да маркирате всичко като чувствително

Въпреки че сигурността трябва да бъде основен приоритет, също така е важно да се създаде фирмена култура, в която вашите служители да имат необходимата информация, за да си вършат работата. Ако като цяло сте прозрачни със служителите си, те ще разберат по -добре информацията, която не можете да споделите с тях.

Ако маркирате твърде много информация като чувствителна, служителите вероятно ще намерят заобиколни решения за протокола за сигурност като начин за достъп до необходимите им данни

Метод 2 от 5: Работа със защитени данни

Манипулирайте чувствителна информация Стъпка 4
Манипулирайте чувствителна информация Стъпка 4

Стъпка 1. Знайте законовите изисквания за работа с чувствителна информация

Има редица правни разпоредби, които могат да повлияят на начина, по който вашата компания трябва да третира чувствителни данни. Тези устави могат да засегнат всички, от директорите на компанията до служителите на първа линия, така че се уверете, че всички са в съответствие.

  • Например, ако вашата компания предлага финансови услуги като осребряване на чекове или отпускане на заеми, Законът Gramm-Leach-Bliley изисква от вас да защитавате цялата непублична лична информация, включително имената, адресите на потребителите, историята на плащанията или информацията, която получавате от потребителските отчети.
  • Ако сте служител на компанията, обърнете внимание и на правилата на организацията как да боравят с чувствителна информация.
  • Помислете да се свържете с адвокат, който е специализиран в корпоративното право, за да сте сигурни, че сте правно защитени.
Работете с чувствителна информация Стъпка 5
Работете с чувствителна информация Стъпка 5

Стъпка 2. Съобщавайте ясно очакванията на вашия бизнес на служителите

Направете сигурността неразделна част от културата на вашата компания. Дайте на всички служители наръчник или брошура, обхващаща вашите очаквания за поверителност и тяхната роля в сигурността на информацията. Освен това провеждайте редовно обучение за всички свои служители как да боравят с чувствителна информация.

  • Например, може да имате годишно обучение по сигурност, след което да изпратите имейл, ако някой от вашите процеси за сигурност се промени, се актуализира.
  • Можете също така да поставите табели на всяко от местоположенията на вашата компания, за да поддържате сигурността на преден план в съзнанието на вашите служители.
  • Изисквайте от служителите си да освободят бюрата си, да излязат от компютрите си и да заключат своите шкафове или офиси всеки ден, преди да напуснат.
  • Насърчете служителите си да съобщават за евентуални нарушения на данните. Можете дори да създадете програма за стимулиране, за да възнаградите служители, които представят проблем на вашето внимание!
Работете с чувствителна информация Стъпка 6
Работете с чувствителна информация Стъпка 6

Стъпка 3. Обучете служителите си да забелязват и избягват фишинг

Понякога хакерите ще изпращат имейли или ще осъществяват телефонни обаждания, които имат за цел да изглеждат така, сякаш идват от компанията, когато не са. Това обикновено се прави в опит да се получи достъп до защитени данни. Уверете се, че всичките ви служители никога не трябва да дават чувствителна информация по телефона или по имейл. Освен това обсъдете как те могат бързо да открият искания за фишинг.

  • Например, ако имейл изглежда подозрителен, получателят трябва внимателно да провери домейна, от който е изпратен имейлът.
  • Обажданията за фишинг често твърдят, че са от ИТ отдела, така че изяснете, че вашият технически екип никога няма да поиска потребителско име или парола на служителите по телефона.
  • Служителите, които получават обаждания от клиенти, трябва да имат процес за проверка на информацията за клиентите, преди да обсъдят каквато и да е информация за акаунта по телефона.
Работете с чувствителна информация Стъпка 7
Работете с чувствителна информация Стъпка 7

Стъпка 4. Създайте вътрешни системи за обработка на чувствителни данни

Започнете, като направите оценка отгоре надолу, за да идентифицирате чувствителната информация, с която обработва вашата компания, както и къде може да сте уязвими за загуба на данни. След това създайте писмена политика за това как да защитите тази информация, колко дълго да я съхранявате и как да се разпореждате с нея, когато вече нямате нужда от нея.

  • Уверете се, че цялата чувствителна информация е ясно обозначена, независимо дали става въпрос за цифрови данни или физически копия.
  • Включете как отделните служители трябва да се справят с данните, до които имат достъп, включително да не държат чувствителна документация на бюрата си. Това е известно като политика за чисто бюро.
Работете с чувствителна информация Стъпка 8
Работете с чувствителна информация Стъпка 8

Стъпка 5. Контролирайте кой има достъп до чувствителна информация

Създайте политика за необходимост да знаете, при която служителите имат достъп само до информацията, от която се нуждаят директно, за да си вършат работата. Това включва ограничаване на достъпа до компютърни данни, както и предприемане на физически мерки за сигурност, като съхраняване на документи, идентификационни значки, ключове за достъп и кодове за сигурност в заключени стаи или картотеки.

Не позволявайте на служителите да премахват чувствителни данни от сградите на компанията, включително да носят лаптопи вкъщи или да изпращат имейли, които съдържат защитена информация

Работете с чувствителна информация Стъпка 9
Работете с чувствителна информация Стъпка 9

Стъпка 6. Защитете информацията на компютрите на служителите

Загубата на цифрови данни е огромна заплаха за всяка компания, която борави с чувствителна информация. Поддържайте актуални защитни стени, протоколи за криптиране и антивирусен софтуер. Освен това изисквайте от всички служители да използват защитени пароли, които съдържат букви, цифри и символи. Други мерки могат да включват:

  • Настройване на фирмени компютри, така че те автоматично да изтекат, след като са били неактивни за определен период от време.
  • Изпращане само на чувствителна информация чрез криптирани имейли или защитени куриери и само на хора, които са упълномощени да я получават.
  • Винаги използвайте защитен печат.
  • Да бъдете сигурни, че ИТ е наясно кой може и не може да получи достъп до чувствителна информация.
  • Прилагане на същите мерки за сигурност към служители, които работят от вкъщи.
Работете с чувствителна информация Стъпка 10
Работете с чувствителна информация Стъпка 10

Стъпка 7. Ограничете колко данни напускат сградата, като ограничите лаптопите

Като цяло най -добре е служителите да използват настолни компютри, особено ако на тях се съхранява защитена информация. Ако служителят все пак трябва да използва лаптоп, за да си свърши работата, ограничете или шифровайте всички чувствителни данни, които се съхраняват на тази машина.

  • По същия начин избягвайте количеството защитени данни, до които служителите имат достъп от своите телефони или таблети.
  • Инсталирайте устройство за дистанционно изтриване на лаптопи и други устройства. По този начин, ако този елемент бъде изгубен или откраднат, можете да унищожите тези данни, така че да не могат да бъдат компрометирани.
Работете с чувствителна информация Стъпка 11
Работете с чувствителна информация Стъпка 11

Стъпка 8. Уверете се, че чувствителните дискусии са защитени

Ако във вашата компания има среща, на която ще се обсъждат търговски тайни или друга лична информация, бъдете сигурни, че тя се провежда в частна стая, за да избегнете подслушване. Освен това бъдете сигурни, че на събранието присъстват само хора, които са упълномощени да знаят тази информация.

Например, можете да използвате частна конферентна зала със звукоизолирани стени

Манипулирайте чувствителна информация Стъпка 12
Манипулирайте чувствителна информация Стъпка 12

Стъпка 9. Не съхранявайте чувствителни данни, от които нямате нужда

Няма причина да рискувате да загубите чувствителни данни, ако това не е нещо съществено за начина, по който работи вашата компания. Не приемайте и не съхранявайте ненужни лични данни от потребители, например като използвате уникални номера на сметки, вместо да идентифицирате клиентите си по техните номера за социално осигуряване.

  • Ако трябва да съберете чувствителна информация-например номер на кредитна карта-помислете да я изтриете от системата си веднага щом приключите с обработката на транзакцията.
  • Определена информация изисква да отговаряте на строги законодателни изисквания-като например защитата на информацията за пациентите чрез HIPAA. Неспазването на тези изисквания може да доведе до големи глоби, така че ако не се налага да боравите или съхранявате, най -добре е да го избегнете напълно.
Работете с чувствителна информация Стъпка 13
Работете с чувствителна информация Стъпка 13

Стъпка 10. Имайте план как да се справите с нарушение

Планът трябва да описва подробно как ще поддържате бизнеса си, ако има някакъв вид нарушаване на сигурността или загуба на данни. Това също трябва да обхване какво ще направи компанията, за да защити данните в случай на бедствие, което може да остави системите ви отворени за атака.

Например, ако има широко разпространено прекъсване на захранването, разберете дали вашите цифрови данни биха били по -уязвими за хакване. Ако е така, вземете мерки за премахване на този риск

Работете с чувствителна информация Стъпка 14
Работете с чувствителна информация Стъпка 14

Стъпка 11. Правете редовни одити, за да проверите спазването на сигурността

Имайте план за редовна оценка на това кой има достъп до каква информация-включително във вашия ИТ отдел. Разберете къде вашите чувствителни данни се съхраняват в системата, така че веднага ще разберете дали някой се опитва да го използва.

  • Наблюдавайте трафика във вашата система, особено ако се предават големи количества данни към или от вашата система.
  • Освен това следете за множество опити за влизане от нови потребители или неизвестни компютри, тъй като това може да е потенциален индикатор, че някой се опитва да получи достъп до защитени данни.

Метод 3 от 5: Консултиране на нови и заминаващи служители

Работете с чувствителна информация Стъпка 15
Работете с чувствителна информация Стъпка 15

Стъпка 1. Обвържете всички служители със споразумения за поверителност или клаузи

Помолете всяко ново наемане да подпише споразумение за неразкриване на информация (NDA), когато бъде въведено на борда-преди да им бъде предоставен достъп до търговски тайни или данни за клиенти. Въпреки че това няма да спре всеки случай на загуба на данни, той ви дава известна правна защита в случай на възникване.

Уверете се, че срокът за NDA е достатъчно дълъг, за да ви защити дори след като служителят напусне компанията

Манипулирайте чувствителна информация Стъпка 16
Манипулирайте чувствителна информация Стъпка 16

Стъпка 2. Обсъдете сигурността на данните, когато някой е нает

Дайте на наемателите наръчника или брошурата, в която е описан вашият протокол за сигурност. Не очаквайте обаче просто да го прочетат и разберат-обяснете им ясно по време на процеса на включване.

  • Обяснете на всеки служител, че поддържането на сигурността на данните е част от тяхната длъжностна характеристика.
  • Обсъдете всички съответни закони и вътрешнополитически документи.
  • Не забравяйте, че това трябва да включва всички служители, включително работници в сателитни офиси и сезонна или временна помощ.
Работете с чувствителна информация Стъпка 17
Работете с чувствителна информация Стъпка 17

Стъпка 3. Направете интервю за напускане, когато служител напусне

По време на този разговор напомнете им за техните NDA и какви са техните задължения около всяка чувствителна информация, до която може да са имали достъп. Освен това ги помолете да върнат фирмените си устройства, значки за сигурност, ключове и т.н.

Накарайте ИТ да отмени и всичките им разрешения за сигурност и пароли

Метод 4 от 5: Информиране на трети страни и посетители

Работете с чувствителна информация Стъпка 18
Работете с чувствителна информация Стъпка 18

Стъпка 1. Включете клаузи за чувствителна информация в договорите на трети страни

Ако правите бизнес с външни страни, като доставчици и доставчици, бъдете сигурни, че те осъзнават своята отговорност да защитават чувствителна информация. Освен това се уверете, че сте наясно, когато се изисква да ги уведомите за информация, която се счита за лична.

  • Добра идея е да използвате формулировката „цялата непублична информация“в тези клаузи-по този начин не е нужно да поставяте етикети на всяка отделна част от чувствителни данни.
  • Може да се наложи и вашите доставчици на услуги да подпишат NDA, ако те са запознати с чувствителна информация.
Работете с чувствителна информация Стъпка 19
Работете с чувствителна информация Стъпка 19

Стъпка 2. Споделяйте данни само при необходимост

Подобно на вашите служители, уверете се, че всички трети страни предоставяте информация само на трети страни, ако това е абсолютно необходимо за способността им да си вършат работата. Това е известно като политика за "най-малко привилегии".

  • Освен това се уверете, че информацията се споделя само сигурно, например през криптирани мрежи или на частни срещи.
  • Редовно преглеждайте идентификационните данни и достъпа, предоставен на вашите трети страни, и се уверете, че знаете точно кой ги използва.
Манипулирайте чувствителна информация Стъпка 20
Манипулирайте чувствителна информация Стъпка 20

Стъпка 3. Накарайте посетителите да подпишат NDAS, ако е необходимо

Ако посетител на вашата компания евентуално може да има достъп до защитена информация, накарайте го да подпише споразумение за неразкриване на информация, когато се регистрира. Съхранявайте тези NDA на посетители във файл, докато те са валидни, в случай че физическо лице наруши споразуменията по-късно.

Например, ако представител от вашия доставчик ще обикаля вашето съоръжение и може да получи представа за непубличен производствен процес, би било добра идея те да подпишат NDA

Манипулирайте чувствителна информация Стъпка 21
Манипулирайте чувствителна информация Стъпка 21

Стъпка 4. Ограничете достъпа на посетителите до защитена информация

Докато NDA може да ви даде възможност да се обърнете, ако посетител обсъжда лична информация, най -добре е изобщо да се избягва достъпът им до тези данни. Имайте политика, която да забранява на посетителите да влизат в зони, където се съхранява защитена информация, и да следите къде отиват, докато са на място.

Например, може да имате служители, придружаващи посетители, за да сте сигурни, че не влизат в забранени зони

Метод 5 от 5: Съхранение и изхвърляне на поверителна информация

Манипулирайте чувствителна информация Стъпка 22
Манипулирайте чувствителна информация Стъпка 22

Стъпка 1. Бъдете наясно как чувствителната информация влиза във вашия бизнес

За да защитите чувствителна информация, трябва да разберете входните точки. Оценете откъде идва тази информация, от какво се състои и кой може да има достъп до нея. Някои потенциални източници могат да включват:

  • Например, може да получите информация от кандидати за работа, клиенти, компании за кредитни карти или банки.
  • Тази информация може да влезе във вашия бизнес чрез вашия уебсайт, имейл, поща, касови апарати или вашия счетоводен отдел.
Манипулирайте чувствителна информация Стъпка 23
Манипулирайте чувствителна информация Стъпка 23

Стъпка 2. Сигурно съхранявайте както цифрова информация, така и документи

Сигурността на данните изисква двустранен подход. Не само, че трябва да защитите компютърните си системи, но също така трябва да сте сигурни, че всички документи са внимателно обезопасени.

  • Уверете се, че цялата документация се съхранява в заключени картотеки и че достъпът се предоставя само на упълномощени служители, които по закон се нуждаят от тази информация.
  • В допълнение към защитата на вашите цифрови данни на място, уверете се, че цялото облачно хранилище използва многофакторно удостоверяване и криптиране.
Манипулирайте чувствителна информация Стъпка 24
Манипулирайте чувствителна информация Стъпка 24

Стъпка 3. Съхранявайте цифровата информация внимателно

Когато е възможно, избягвайте да съхранявате чувствителни данни на компютри, които имат достъп до интернет. В случаите, когато трябва да имате тази информация на компютър с интернет връзка, уверете се, че е сигурно криптирана. Можете също:

  • Използвайте защитени сървъри, включително облачно хранилище.
  • Шифроване (или хеш) клиентски пароли.
  • Редовно актуализирайте паролите.
  • Поддържайте актуализиран софтуера за сигурност.
  • Имайте предвид софтуерните уязвимости.
  • Контролирайте USB достъпа.
  • Архивирайте информацията на сигурно място.
Манипулирайте чувствителна информация Стъпка 25
Манипулирайте чувствителна информация Стъпка 25

Стъпка 4. Изхвърлете документите, като ги накъсате

Не хвърляйте само стари приложения или клиентски файлове в кошчето. Вместо това инвестирайте в висококачествени, напречно нарязани шредери и се уверете, че те са лесно достъпни в офиса. След това изхвърлете нарязаната документация в поверителни кошчета за отпадъци.

Не забравяйте да почистите старите шкафове за документи, преди да ги продадете или изхвърлите

Манипулирайте чувствителна информация Стъпка 26
Манипулирайте чувствителна информация Стъпка 26

Стъпка 5. Изтрийте напълно твърдите дискове, преди да изхвърлите устройствата

Използвайте помощна програма за защитено унищожаване на данни, за да сте сигурни, че унищожавате цялата информация на компютъра, телефона или таблета. Не разчитайте само на преформатиране на твърдия диск-това не е достатъчно, за да изтриете напълно всички данни, дори ако след това ги презапишете.

Препоръчано: