Количество случаев похищения идентификационных данных все растет. Нашла ли ваша организация решение этой проблемы или она остается для вас по-прежнему актуальной? Личные идентификационные данные (personally identifiable information, PII) просачиваются сквозь защитные шлюзы с пугающей скоростью и в конце концов оказываются в руках у тех, у кого совсем не должны находиться.
Чтобы защитить сотрудников и клиентов организации, необходимо понять, насколько эффективно защищены их личные идентификационные данные. Вот семь наиболее распространенных ошибок, которых стоит избегать.
Недостаточная осведомленность пользователей
В любой корпоративной сети пользователи – самое слабое звено, и здесь ничего не изменят даже самые современные устройства и системы контроля. Если пользователи не умеют распознать личные идентификационные данные и не знают, как с ними обращаться, они рано или поздно непременно передадут эти секретные сведения кому не надо.
Решить проблему очень просто: расскажите пользователям о корпоративной политике относительно личных идентификационных данных и о механизмах их обработки. И не забудьте включить в рабочий график регулярные курсы, направленные на освежение этой информации в памяти сотрудников.
Сотрудничество с ненадежными партнерами
Предположим, вы простроили надежную, как скала, систему безопасности, и просветили на этот счет всех своих сотрудников. Но могут ли ваши деловые партнеры похвастаться тем же? Не приходится ли вам обмениваться информацией с организациями, система безопасности которых весьма несовершенна или отсутствует вообще?
Если ваша компания получает или передает личные идентификационные данные ненадежным партнерам, кто, по-вашему, в случае чего будет объясняться с правоохранительными органами относительно того, как стало возможным совершение преступления? Именно вы.
Решить эту проблему так же просто, как и предыдущую: организуйте для своих деловых партнеров курсы ликвидации безграмотности по вопросам защиты конфиденциальной информации. Берите с них деньги, если хотите, но так или иначе донесите до них всю важность системы безопасности.
Хранение устаревших данных
Что вы делаете с устаревшей информацией? Если вы не уничтожаете личные идентификационные данные после того, как они отслужили свое, значит, вы не выполняете своих обязанностей. Однако просто выбрасывать их тоже не годится – их надо именно уничтожать.
Любители порыться в мусорных контейнерах кормятся старыми банковскими выписками и чеками по кредитным карточкам. Именно поэтому ненужные личные идентификационные надо уничтожать. Если у вас до сих пор нет измельчителя бумаги, купите его прямо сегодня.
Пренебрежение физическими средствами защиты
Использовать средства физического контроля для предотвращения доступа к личным идентификационным данным тех, кто не имеет на это права (включая сотрудников), необходимо – это даже не обсуждается. Купите замок и устройство для считывания идентификационных карточек – и привыкайте управлять доступом.
Хранение данных в открытом доступе
Если в вашей сети нет специальных зон для хранения личных идентификационных данных (равно как и картотечных шкафчиков), как же вы собираетесь их защищать? Возьмите инвентарную опись своей сети – и документов – и разработайте план защиты конфиденциальных данных. Это хороший повод перетрясти данные, находящиеся на постоянном хранении, и повесить замки на некоторые картотеки.
Пренебрежение тем, что происходит в сети
Я уже писал об этом раньше, но повторить никогда не мешает: если вы не собираетесь постоянно наблюдать за сетевой активностью с целью обнаружения подозрительных действий и инцидентов, незачем вообще собирать данные. Разработайте доступные вам по силам и средствам приемы мониторинга сетевой активности и заодно выработайте стратегию быстрого реагирования и решения проблем в случае возникновения инцидентов в системе безопасности.
Проверки? Кому нужны проверки?
Многие компании не знают, что именно нужно проверять, или не читают журналы безопасности – а очень часто происходит и то, и другое. Наладьте механизм проверки системы безопасности и изучите свои системные журналы прямо сегодня.
Вместо заключения
Даже если количество случаев похищения идентификационных данных все растет, совсем не обязательно облегчать мошенникам задачу. Вы можете предотвратить кражу конфиденциальных данных как в домашних условиях, так и в организации – просто нужно затратить на это дополнительные усилия.
Автор: Michael "Mullins CCNA, MCP" Версия на английском: techrepublic.com.com Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии.