Kada radite u poslovnom okruženju, neizbježno će doći vrijeme da morate postupati s osjetljivim podacima. Kako bi ga zaštitili, cijela vaša organizacija mora dati prioritet sigurnosti. Od prvog dana pobrinite se da svi zaposlenici u tvrtki razumiju koje su informacije osjetljive i koja je njihova uloga u zaštiti. Osim toga, ograničite tko može pristupiti tim podacima i poduzimati korake kako biste pohranili samo ono što je apsolutno bitno za vašu tvrtku.
Koraci
Metoda 1 od 5: Identificiranje osjetljivih informacija
Korak 1. Zaštitite sve informacije koje vaša tvrtka ima, a druge ne bi trebale
Kao poslovni lider, važno je biti temeljit u procjeni što je osjetljivo, a što nije. Specifičnosti će se razlikovati od tvrtke do tvrtke, naravno, ali općenito, trebali biste poduzeti korake kako biste osigurali sve što bi moglo naštetiti vašim klijentima, vašim zaposlenicima ili uspjehu vašeg poslovanja ako se to objavi.
- Na primjer, možda ćete morati zaštititi osobne podatke o svojim klijentima, kao što su njihova imena, brojevi socijalnog osiguranja i podaci o kreditnoj kartici.
- S druge strane, možda biste se više zabrinuli zbog ograničavanja pristupa određenim procesima ili formulama koji vam daju prednost u odnosu na konkurente, poznate kao poslovne tajne. To može uključivati formule ili proizvodne procese, financijski model vaše tvrtke, popise vaših dobavljača, podatke o akviziciji ili vaše prodajne metode.
- Kad procjenjujete koje podatke klasificirati kao osjetljive, razmislite i o tome koliko dugo ćete trebati čuvati te podatke. U slučaju informacija o korisnicima, na primjer, one bi uvijek ostale osjetljive, pa je najbolje da ih držite u svojim sustavima onoliko vremena koliko vam je potrebno.
Korak 2. Zaštitite ove podatke od prijetnji poput krađe ili curenja podataka
Ne ostavljajte samo sigurnost podataka svom IT odjelu-ona bi trebala biti ugrađena u svaki aspekt vaše tvrtke. Neka sigurnost bude glavni prioritet i imajte na umu da do gubitka podataka može doći i izvan i unutar vaše tvrtke. To može dovesti do prijevare, krađe identiteta, gubitka prihoda, povjerenja vaših kupaca, pa čak i pravnih problema.
Na primjer, vaša bi se tvrtka mogla suočiti s prijetnjama hakera, beskrupuloznih konkurenata ili čak zaposlenika koji nenamjerno dijele sigurne podatke
Korak 3. Čuvajte se da sve označite kao osjetljivo
Iako bi sigurnost trebala biti glavni prioritet, važno je i stvoriti kulturu tvrtke u kojoj vaši zaposlenici imaju informacije koje su im potrebne za obavljanje posla. Ako ste općenito transparentni sa svojim zaposlenicima, oni će imati više razumijevanja za informacije koje ne možete podijeliti s njima.
Ako previše informacija označite kao osjetljive, zaposlenici će vjerojatno pronaći rješenja za sigurnosni protokol kao način pristupa podacima koji su im potrebni
Metoda 2 od 5: Rukovanje zaštićenim podacima
Korak 1. Upoznajte pravne zahtjeve za rukovanje osjetljivim podacima
Postoje brojni zakonski propisi koji mogu utjecati na to kako vaša tvrtka treba postupati s osjetljivim podacima. Ovi statuti mogu utjecati na sve, od direktora tvrtke do zaposlenika na prvoj liniji, pa se pobrinite da svi budu u skladu s njima.
- Na primjer, ako vaša tvrtka nudi financijske usluge poput unovčavanja čekova ili davanja kredita, Gramm-Leach-Bliley Zakon zahtijeva od vas da zaštitite sve nejavne osobne podatke, uključujući imena, adrese potrošača, povijest plaćanja ili podatke koje dobijete iz izvješća potrošača.
- Ako ste zaposlenik tvrtke, također morate biti svjesni pravila organizacije o postupanju s osjetljivim podacima.
- Obratite se odvjetniku koji je specijaliziran za korporativno pravo kako biste bili sigurni da ste zakonski zaštićeni.
Korak 2. Jasno prenesite zaposlenicima očekivanja vašeg poslovanja
Učinite sigurnost sastavnim dijelom kulture vaše tvrtke. Dajte svim zaposlenicima priručnik ili brošuru koja pokriva vaša očekivanja privatnosti i njihovu ulogu u sigurnosti informacija. Osim toga, provedite redovitu obuku za sve svoje zaposlenike o tome kako postupati s osjetljivim podacima.
- Na primjer, možda ćete imati godišnju sigurnosnu obuku, a zatim poslati e -poruku ako se ažurira bilo koji od vaših sigurnosnih procesa.
- Također biste mogli postaviti oznake na svakoj od lokacija svoje tvrtke kako bi sigurnost bila na prvom mjestu u umu vaših zaposlenika.
- Zatražite od svojih zaposlenika da svaki dan prije odlaska očiste svoje stolove, odjave se s računala i zaključaju svoje ormare ili urede.
- Potaknite svoje zaposlenike da prijave moguće povrede podataka. Možete čak i stvoriti poticajni program za nagrađivanje zaposlenika koji vam skrenu pažnju na problem!
Korak 3. Obučite svoje zaposlenike da uoče i izbjegnu krađu identiteta
Ponekad će hakeri slati e -poštu ili telefonirati tako da izgledaju kao da dolaze iz tvrtke, a da to nisu. To se obično čini u pokušaju da se pristupi sigurnim podacima. Uvjerite se da svi vaši zaposlenici nikada ne smiju odavati osjetljive podatke putem telefona ili e -pošte. Osim toga, razgovarajte o tome kako mogu brzo uočiti phishing zahtjeve.
- Na primjer, ako se e -poruka čini sumnjivom, primatelj bi trebao pažljivo provjeriti domenu s koje je e -poruka poslana.
- Pozivi za krađu identiteta često tvrde da su iz IT odjela, pa jasno stavite do znanja da vaš tehnički tim nikada neće zatražiti korisničko ime ili lozinku zaposlenika putem telefona.
- Zaposlenici koji primaju pozive od korisnika trebali bi imati postupak provjere podataka o klijentima prije nego što putem telefona razgovaraju o bilo kojim podacima o računu.
Korak 4. Izradite interne sustave za rukovanje osjetljivim podacima
Počnite tako što ćete izvršiti procjenu odozgo prema dolje kako biste identificirali osjetljive podatke kojima vaša tvrtka upravlja, kao i gdje biste mogli biti osjetljivi na gubitak podataka. Zatim stvorite pisano pravilo o tome kako zaštititi te podatke, koliko dugo ih čuvati i kako s njima raspolagati kada vam više ne trebaju.
- Provjerite jesu li svi osjetljivi podaci jasno označeni, bilo da se radi o digitalnim podacima ili fizičkim kopijama.
- Uključite kako bi pojedini zaposlenici trebali postupati s podacima kojima imaju pristup, uključujući i ne držanje osjetljive papirologije na stolovima. To je poznato kao politika čistih stolova.
Korak 5. Kontrolirajte tko ima pristup osjetljivim podacima
Izradite politiku koja treba znati, gdje zaposlenici imaju pristup samo podacima koji su im izravno potrebni za obavljanje posla. To uključuje ograničavanje pristupa računalnim podacima, kao i poduzimanje fizičkih sigurnosnih mjera, poput pohranjivanja papira, identifikacijskih znački, pristupnih ključeva i sigurnosnih kodova u zaključanim sobama ili ormarima.
Ne dopustite zaposlenicima uklanjanje osjetljivih podataka iz zgrada tvrtke, uključujući odnošenje prijenosnih računala kući ili slanje e -pošte koja sadrži zaštićene podatke
Korak 6. Zaštitite podatke na računalima zaposlenika
Gubitak digitalnih podataka velika je prijetnja svakoj tvrtki koja se bavi osjetljivim podacima. Održavajte ažurirane vatrozide, protokole za šifriranje i antivirusni softver. Osim toga, zahtijevajte od svih zaposlenika korištenje sigurnih lozinki koje sadrže slova, brojke i simbole. Druge mjere mogu uključivati:
- Postavljanje računala tvrtke tako da automatski isteknu nakon što su neko vrijeme bili neaktivni.
- Slanje samo osjetljivih podataka putem šifriranih e -poruka ili sigurnih dostavljača i samo osobama koje su ovlaštene primiti ih.
- Uvijek koristite siguran ispis.
- Budite sigurni da IT zna tko može, a tko ne može pristupiti osjetljivim podacima.
- Primjena istih sigurnosnih mjera na zaposlenike koji rade od kuće.
Korak 7. Ograničite količinu podataka koja izlazi iz zgrade ograničavanjem prijenosnih računala
Općenito, najbolje je da zaposlenici koriste stolna računala, osobito ako su na njima pohranjene sigurne informacije. Ako zaposlenik ipak mora koristiti prijenosno računalo za obavljanje svog posla, ograničite ili šifrirajte osjetljive podatke koji se čuvaju na tom stroju.
- Slično, izbjegavajte količinu sigurnih podataka kojima zaposlenici mogu pristupiti sa svojih telefona ili tableta.
- Instalirajte daljinsko brisanje na prijenosna računala i druge uređaje. Na taj način, ako se ta stvar izgubi ili ukrade, možete uništiti te podatke kako se ne bi mogli ugroziti.
Korak 8. Osigurajte da osjetljive rasprave budu sigurne
Ako u vašoj tvrtki postoji sastanak na kojem će se raspravljati o poslovnim tajnama ili drugim privatnim podacima, pobrinite se da se održi u privatnoj prostoriji kako biste izbjegli prisluškivanje. Osim toga, budite sigurni da sastanku prisustvuju samo osobe koje su ovlaštene znati te podatke.
Na primjer, možete koristiti privatnu konferencijsku sobu sa zvučno izoliranim zidovima
Korak 9. Nemojte čuvati osjetljive podatke koji vam ne trebaju
Nema razloga riskirati gubitak osjetljivih podataka ako to nije ništa bitno za poslovanje vaše tvrtke. Nemojte prihvaćati ili pohranjivati nepotrebne privatne podatke od potrošača, na primjer koristeći jedinstvene brojeve računa umjesto da svoje klijente identificirate prema brojevima socijalnog osiguranja.
- Ako morate prikupiti osjetljive podatke, poput broja kreditne kartice, razmislite o brisanju iz sustava čim završite s obradom transakcije.
- Određene informacije zahtijevaju da ispunite stroge zakonske zahtjeve, poput zaštite podataka o pacijentima putem HIPAA-e. Neuspjeh u ispunjavanju tih uvjeta može rezultirati visokim novčanim kaznama, pa ako to ne trebate nositi ili skladištiti, najbolje je potpuno ga izbjeći.
Korak 10. Imajte plan kako se nositi s kršenjem
Plan bi trebao detaljno opisati kako ćete nastaviti poslovati ako dođe do neke vrste narušavanja sigurnosti ili gubitka podataka. Ovo bi također trebalo obuhvatiti što će poduzeće učiniti za zaštitu podataka u slučaju katastrofe koja bi mogla ostaviti vaše sustave otvorenim za napad.
Na primjer, ako dođe do rasprostranjenog nestanka struje, shvatite bi li vaši digitalni podaci bili osjetljiviji na hakiranje. Ako je tako, poduzmite korake za uklanjanje tog rizika
Korak 11. Redovito provjeravajte sigurnosnu usklađenost
Imajte plan redovite procjene tko je pristupao kojim informacijama-uključujući i unutar vašeg IT odjela. Shvatite gdje se vaši osjetljivi podaci pohranjuju u sustavu pa ćete odmah znati pokuša li netko to iskoristiti.
- Pratite promet na vašem sustavu, osobito ako se velike količine podataka prenose u vaš sustav ili s njega.
- Osim toga, pazite na više pokušaja prijave novih korisnika ili nepoznatih računala jer bi to mogao biti potencijalni pokazatelj da netko pokušava pristupiti sigurnim podacima.
Metoda 3 od 5: Savjetovanje novih zaposlenika i odlaska
Korak 1. Sve zaposlenike obvežite sporazumima o povjerljivosti ili klauzulama
Zamolite svakog novog zaposlenika da potpiše ugovor o neotkrivanju podataka (NDA) kad ga ukrcaju-prije nego što mu se omogući pristup poslovnim tajnama ili podacima o klijentima. Iako ovo neće zaustaviti svaki slučaj gubitka podataka, daje vam određenu pravnu zaštitu u slučaju da se dogodi.
Pobrinite se da je rok za NDA dovoljno dug da vas zaštiti čak i nakon što zaposlenik napusti tvrtku
Korak 2. Raspravite o sigurnosti podataka kada je netko zaposlen
Dajte novozaposlenima priručnik ili brošuru u kojoj je opisan vaš sigurnosni protokol. Međutim, ne očekujte samo da ih pročitaju i razumiju-objasnite im to jasno tijekom procesa uključivanja.
- Objasnite svakom zaposleniku da je održavanje podataka dio opisa njihovog posla.
- Razgovarajte o svim relevantnim zakonima i dokumentima o unutarnjoj politici.
- Upamtite, ovo bi trebalo uključivati sve zaposlenike, uključujući radnike u satelitskim uredima i sezonsku ili privremenu pomoć.
Korak 3. Napravite izlazni intervju kad zaposlenik ode
Tijekom ovog razgovora podsjetite ih na NDA i koje su njihove obveze vezane uz osjetljive podatke do kojih su mogli imati pristup. Osim toga, zamolite ih da vrate uređaje svoje tvrtke, sigurnosne značke, ključeve itd.
Neka i IT ukine sva njihova sigurnosna ovlaštenja i lozinke
Metoda 4 od 5: Informiranje trećih strana i posjetitelja
Korak 1. Uključite klauzule o osjetljivim podacima u ugovore s trećim stranama
Ako poslujete s bilo kojim vanjskim stranama, poput prodavača i dobavljača, budite sigurni da su svjesni svoje odgovornosti za zaštitu osjetljivih podataka. Osim toga, provjerite jeste li jasni kada ih morate obavijestiti o podacima koji se smatraju privatnima.
- Bilo bi dobro upotrijebiti izraz "sve nejavne informacije" u ovim odredbama-na taj način ne morate označavati svaki dio osjetljivih podataka.
- Možda ćete također morati zatražiti od davatelja usluga da potpišu NDA ako će biti upoznati s osjetljivim podacima.
Korak 2. Podijelite podatke samo prema potrebi
Baš kao i kod vaših zaposlenika, pobrinite se da svim trećim stranama dajete informacije samo trećim stranama ako je to apsolutno neophodno za njihovu sposobnost da rade svoj posao. To je poznato kao politika "najmanjih privilegija".
- Osim toga, pobrinite se da se podaci dijele samo na siguran način, poput kriptiranih mreža ili na privatnim sastancima.
- Redovito pregledavajte vjerodajnice i pristup trećim stranama te provjerite znate li točno tko ih koristi.
Korak 3. Neka posjetitelji potpišu NDAS ako je potrebno
Ako posjetitelj vaše tvrtke potencijalno može imati pristup sigurnim podacima, neka prilikom prijavljivanja potpiše ugovor o neotkrivanju podataka. Pohranite ove NDA posjetitelja u datoteku koliko god vrijede u slučaju da pojedinac kasnije prekrši ugovore..
Na primjer, ako će predstavnik vašeg dobavljača obilaziti vaš pogon i oni bi mogli vidjeti uvid u nejavni proizvodni proces, bilo bi dobro da oni potpišu NDA
Korak 4. Ograničite pristup posjetitelja sigurnim podacima
Iako vam NDA može pomoći ako posjetitelj razgovara o privatnim podacima, najbolje je izbjeći da im se uopće dopusti pristup tim podacima. Odredite pravila koja sprječavaju posjetitelje da uđu u područja gdje su pohranjene sigurne informacije i pratite gdje odlaze dok su u prostorijama.
Na primjer, mogli biste imati zaposlenike u pratnji posjetitelja kako biste bili sigurni da ne ulaze u ograničena područja
Metoda 5 od 5: Pohrana i odlaganje povjerljivih podataka
Korak 1. Budite svjesni kako osjetljive informacije dolaze u vaše poslovanje
Kako biste zaštitili osjetljive podatke, morate razumjeti ulazne točke. Procijenite odakle te informacije potječu, od čega se sastoje i tko bi im mogao pristupiti. Neki potencijalni izvori mogu uključivati:
- Na primjer, informacije možete dobiti od kandidata za posao, klijenata, tvrtki za izdavanje kreditnih kartica ili banaka.
- Ti bi podaci mogli ući u vaše poslovanje putem vaše web stranice, e -pošte, pošte, blagajni ili vašeg računovodstva.
Korak 2. Sigurno pohranite i digitalne podatke i papire
Sigurnost podataka zahtijeva dvostrani pristup. Ne samo da morate zaštititi svoje računalne sustave, već morate osigurati i da su svi papiri pažljivo osigurani.
- Pobrinite se da svi papiri budu pohranjeni u zaključanim ormarima za arhiviranje, te da pristup ima samo ovlašteni zaposlenik kojem su ti podaci legitimno potrebni.
- Osim što štitite svoje digitalne podatke na licu mjesta, pobrinite se da sva pohrana u oblaku koristi višefaktorsku provjeru autentičnosti i šifriranje.
Korak 3. Pažljivo pohranite digitalne podatke
Kad je to moguće, izbjegavajte pohranjivanje osjetljivih podataka na računala koja imaju pristup internetu. U slučajevima kada trebate imati te podatke na računalu s internetskom vezom, provjerite jesu li sigurno kriptirani. Također možete:
- Koristite sigurne poslužitelje, uključujući pohranu u oblaku.
- Šifrirajte (ili raspršite) lozinke klijenata.
- Redovito ažurirajte lozinke.
- Neka sigurnosni softver bude ažuriran.
- Budite svjesni softverskih ranjivosti.
- Kontrolirajte USB pristup.
- Izradite sigurnosnu kopiju podataka na sigurnom mjestu.
Korak 4. Odložite papirologiju tako što ćete je usitniti
Nemojte samo bacati stare aplikacije ili klijentske datoteke u smeće. Umjesto toga, uložite u visokokvalitetne usitnjene sjeckalice i pobrinite se da su lako dostupni u uredu. Zatim odlomljenu papirologiju odložite u povjerljive kante za otpad.
Ne zaboravite očistiti stare ormare za spise prije nego što ih prodate ili bacite
Korak 5. Potpuno izbrišite tvrde diskove prije odlaganja uređaja
Pomoću programa za sigurno uništavanje podataka uništite sve podatke na računalu, telefonu ili tabletu. Nemojte se oslanjati samo na ponovno formatiranje tvrdog diska-to nije dovoljno za potpuno brisanje svih podataka, čak i ako ih kasnije prepišete.