Kun työskentelet liiketoimintaympäristössä, on väistämättä aikoja, jolloin sinun on käsiteltävä arkaluonteisia tietoja. Suojataksesi sen koko organisaatiosi on asetettava turvallisuus etusijalle. Varmista alusta alkaen, että kaikki yrityksen työntekijät ymmärtävät, mitkä tiedot ovat arkaluonteisia ja mikä on heidän roolinsa niiden suojaamisessa. Lisäksi voit rajoittaa sitä, kuka voi käyttää näitä tietoja, ja ryhtyä toimenpiteisiin, jotta voit tallentaa vain yrityksellesi ehdottoman välttämättömiä asioita.
Askeleet
Tapa 1 /5: Arkaluonteisten tietojen tunnistaminen
Vaihe 1. Suojaa yrityksesi tiedot, joita muiden ei pitäisi
Yrityksen johtajana on tärkeää arvioida perusteellisesti, mikä on arkaluonteista ja mikä ei. Yksityiskohdat vaihtelevat tietysti yritysten välillä, mutta yleensä sinun on ryhdyttävä toimiin turvataksesi kaikki, mikä voisi vahingoittaa asiakkaita, työntekijöitäsi tai yrityksesi menestystä, jos se julkistettaisiin.
- Saatat joutua esimerkiksi suojaamaan asiakkaita koskevia henkilökohtaisia tietoja, kuten heidän nimensä, sosiaaliturvatunnuksensa ja luottokorttitietonsa.
- Toisaalta saatat olla enemmän huolissasi pääsyn rajoittamisesta tiettyihin prosesseihin tai kaavoihin, jotka antavat sinulle etulyöntiaseman kilpailijoihisi nähden, eli liikesalaisuuksina. Tämä voi sisältää kaavoja tai valmistusprosesseja, yrityksesi taloudellisen mallin, toimittajien luetteloita, hankintatietoja tai myyntimenetelmiä.
- Kun arvioit, mitkä tiedot luokitellaan arkaluonteisiksi, harkitse myös sitä, kuinka kauan sinun on säilytettävä tiedot. Esimerkiksi asiakastiedot, jotka pysyvät aina arkaluontoisina, joten on parasta säilyttää ne järjestelmissäsi vain sen ajan, jonka tarvitset.
Vaihe 2. Suojaa nämä tiedot uhkilta, kuten tietojen varastamisesta tai vuotamisesta
Älä jätä tietoturvaa vain IT-osastosi tehtäväksi-sen pitäisi olla osa kaikkia yrityksesi osa-alueita. Aseta turvallisuus etusijalle ja muista, että tietojen menetys voi tapahtua sekä yrityksen ulkopuolelta että sisältä. Tämä voi johtaa petoksiin, varkauksien tunnistamiseen, tulojen menetykseen, asiakkaiden luottamukseen ja jopa oikeudellisiin ongelmiin.
Yrityksesi voi esimerkiksi kohdata uhkia hakkereilta, häikäilemättömiltä kilpailijoilta tai jopa työntekijöiltä, jotka jakavat tahattomasti turvallisia tietoja
Vaihe 3. Varo merkitsemästä kaikki arkaluonteisiksi
Vaikka turvallisuus on ensisijainen tavoite, on myös tärkeää luoda yrityskulttuuri, jossa työntekijöilläsi on tarvittavat tiedot työssään. Jos olet yleensä avoin työntekijöidesi kanssa, he ymmärtävät paremmin tietoja, joita et voi jakaa heidän kanssaan.
Jos merkitset liikaa tietoja arkaluonteisiksi, työntekijät löytävät todennäköisesti kiertotapoja suojausprotokollaa varten keinona käyttää tarvitsemiaan tietoja
Tapa 2/5: Suojattujen tietojen käsittely
Vaihe 1. Tunne arkaluonteisten tietojen käsittelyä koskevat lakisääteiset vaatimukset
On olemassa useita laillisia lakeja, jotka voivat vaikuttaa siihen, miten yrityksesi tarvitsee käsitellä arkaluonteisia tietoja. Nämä säännöt voivat vaikuttaa kaikkiin yrityksen johtajista etulinjan työntekijöihin, joten varmista, että kaikki noudattavat niitä.
- Jos yrityksesi tarjoaa esimerkiksi rahoituspalveluja, kuten shekkien lunastamista tai lainojen myöntämistä, Gramm-Leach-Bliley-laki edellyttää, että suojaat kaikki ei-julkiset henkilötiedot, mukaan lukien kuluttajien nimet, osoitteet, maksuhistoria tai kuluttajaraporteista saamasi tiedot.
- Jos olet yrityksen työntekijä, muista myös olla tietoinen organisaation säännöistä arkaluonteisten tietojen käsittelystä.
- Harkitse, että otat yhteyttä yhtiöoikeuteen erikoistuneeseen asianajajaan varmistaaksesi, että olet laillisesti suojattu.
Vaihe 2. Kerro yrityksesi odotuksista selvästi työntekijöille
Tee turvallisuudesta kiinteä osa yrityskulttuuriasi. Anna kaikille työntekijöille käsikirja tai esite, joka kattaa yksityisyyden odotuksesi ja heidän roolinsa tietoturvassa. Lisäksi kouluta säännöllisesti kaikille työntekijöillesi arkaluonteisten tietojen käsittelyä.
- Sinulla voi esimerkiksi olla vuosittainen turvallisuuskoulutus, jonka jälkeen lähetä sähköpostia, jos tietoturvaprosessejasi muutetaan.
- Voit myös asettaa kylttejä kussakin yrityksesi toimipaikassa, jotta turvallisuus pysyy työntekijöidesi mielessä.
- Pyydä työntekijöitäsi poistamaan työpöydänsä, kirjautumaan ulos tietokoneistaan ja lukitsemaan arkistot tai toimistot joka päivä ennen lähtöä.
- Kannusta työntekijöitäsi ilmoittamaan mahdollisista tietomurroista. Voit jopa luoda kannustinohjelman palkitaksesi työntekijät, jotka tuovat asian tietoosi!
Vaihe 3. Kouluta työntekijöitäsi havaitsemaan ja välttämään tietojenkalastelu
Joskus hakkerit lähettävät sähköpostiviestejä tai soittavat puheluita, jotka on suunniteltu näyttämään siltä, että ne tulevat yrityksen sisältä, vaikka eivät olekaan. Tämä tehdään yleensä yritettäessä päästä suojattuihin tietoihin. Varmista, että kaikki työntekijäsi tietävät, etteivät ne koskaan luovuta arkaluonteisia tietoja puhelimitse tai sähköpostitse. Keskustele lisäksi siitä, kuinka he voivat nopeasti havaita tietojenkalastelupyynnöt.
- Jos sähköposti näyttää esimerkiksi epäilyttävältä, vastaanottajan on tarkistettava huolellisesti verkkotunnus, josta sähköposti on lähetetty.
- Tietojenkalastelupuhelut väittävät usein olevansa IT -osastolta, joten tee selväksi, että tekninen tiimisi ei koskaan kysy työntekijöiden käyttäjätunnusta tai salasanaa puhelimitse.
- Työntekijöille, jotka vastaanottavat puheluita asiakkailta, pitäisi olla prosessi asiakkaiden tietojen tarkistamiseksi ennen kuin he voivat keskustella tilitiedoista puhelimessa.
Vaihe 4. Luo sisäisiä järjestelmiä arkaluonteisten tietojen käsittelyä varten
Aloita tekemällä ylhäältä alas -arviointi, jotta voit tunnistaa yrityksesi käsittelemät arkaluonteiset tiedot sekä kohdat, joissa saatat olla altis tietojen menetykselle. Luo sitten kirjallinen käytäntö siitä, miten nämä tiedot suojataan, kuinka kauan niitä säilytetään ja miten ne hävitetään, kun niitä ei enää tarvita.
- Varmista, että kaikki arkaluonteiset tiedot on merkitty selkeästi, olivatpa ne sitten digitaalisia tietoja tai fyysisiä kopioita.
- Sisällytä, miten yksittäisten työntekijöiden tulisi käsitellä tietoja, joihin heillä on pääsy, mukaan lukien se, että he eivät pidä arkaluonteisia papereita työpöydillään. Tätä kutsutaan puhtaan pöydän käytännöksi.
Vaihe 5. Hallitse, kenellä on pääsy arkaluonteisiin tietoihin
Luo tarvittavan tiedon käytäntö, jossa työntekijät pääsevät käsiksi vain työhönsä suoraan tarvittaviin tietoihin. Tämä sisältää pääsyn rajoittamisen tietokoneen tietoihin sekä fyysisten turvatoimien toteuttamisen, kuten asiakirjojen, henkilötodistusten, avainten ja turvakoodien säilyttämisen lukituissa huoneissa tai arkistokaapissa.
Älä anna työntekijöiden poistaa arkaluonteisia tietoja yrityksen rakennuksista, mukaan lukien kannettavien tietokoneiden vieminen kotiin tai sähköpostien lähettäminen, jotka sisältävät suojattuja tietoja
Vaihe 6. Suojaa työntekijöiden tietokoneiden tiedot
Digitaalinen tietojen menetys on valtava uhka kaikille yrityksille, jotka käsittelevät arkaluonteisia tietoja. Pidä ajan tasalla palomuurit, salausprotokollat ja virustentorjuntaohjelmistot. Lisäksi vaaditaan kaikkia työntekijöitä käyttämään suojattuja salasanoja, jotka sisältävät kirjaimia, numeroita ja symboleja. Muita toimenpiteitä voivat olla:
- Yrityksen tietokoneiden asentaminen siten, että ne aikakatkaisvat automaattisesti sen jälkeen, kun ne ovat olleet käyttämättömiä tietyn ajan.
- Vain arkaluonteisten tietojen lähettäminen salattujen sähköpostien tai suojattujen kuriirien kautta ja vain ihmisille, joilla on valtuudet vastaanottaa ne.
- Käytä aina suojattua tulostusta.
- Varmista, että IT on tietoinen siitä, kuka voi ja ei saa käyttää arkaluonteisia tietoja.
- Samojen turvatoimenpiteiden soveltaminen työntekijöihin, jotka työskentelevät kotoa käsin.
Vaihe 7. Rajoita talosta lähtevien tietojen määrää rajoittamalla kannettavia tietokoneita
Yleensä on parasta, että työntekijät käyttävät pöytätietokoneita, varsinkin jos niihin on tallennettu suojattuja tietoja. Jos työntekijän on työskennellessään käytettävä kannettavaa tietokonetta, rajoita tai salaa koneessa säilytettävät arkaluonteiset tiedot.
- Vältä samalla tavalla suojattuja tietoja, joita työntekijät voivat käyttää puhelimillaan tai tableteillaan.
- Asenna etäpyyhintälaite kannettaviin tietokoneisiin ja muihin laitteisiin. Tällä tavalla, jos kohde katoaa tai varastetaan, voit tuhota tiedot, jotta niitä ei voida vaarantaa.
Vaihe 8. Varmista, että arkaluonteiset keskustelut pidetään turvassa
Jos yrityksessäsi on kokous, jossa keskustellaan liikesalaisuuksista tai muista yksityisistä tiedoista, varmista, että se pidetään yksityisessä huoneessa salakuuntelun välttämiseksi. Lisäksi varmista, että kokoukseen osallistuvat vain henkilöt, joilla on lupa tietää nämä tiedot.
Voit esimerkiksi käyttää yksityistä kokoushuonetta, jossa on äänieristetyt seinät
Vaihe 9. Älä säilytä arkaluonteisia tietoja, joita et tarvitse
Ei ole mitään syytä vaarantaa arkaluonteisten tietojen menettämistä, jos se ei ole olennaista yrityksesi toiminnalle. Älä hyväksy tai tallenna tarpeettomia yksityisiä tietoja kuluttajilta, esimerkiksi käyttämällä yksilöllisiä tilinumeroita sen sijaan, että tunnistisit asiakkaasi heidän sosiaaliturvatunnustensa perusteella.
- Jos sinun on kerättävä arkaluonteisia tietoja, kuten luottokortin numero, harkitse niiden poistamista järjestelmästäsi heti, kun olet lopettanut tapahtuman käsittelyn.
- Tietyt tiedot edellyttävät tiukkojen lakisääteisten vaatimusten täyttämistä, kuten potilastietojen suojaaminen HIPAA: n kautta. Jos näitä vaatimuksia ei noudateta, seurauksena voi olla suuria sakkoja, joten jos sinun ei tarvitse käsitellä tai varastoida sitä, on parasta välttää sitä kokonaan.
Vaihe 10. Tee suunnitelma rikkomuksen käsittelemiseksi
Suunnitelmassa on kerrottava yksityiskohtaisesti, kuinka pidät yrityksesi käynnissä, jos tapahtuu tietoturvarikkomus tai tietojen menetys. Tämän pitäisi kattaa myös se, mitä yritys tekee tietojen suojaamiseksi onnettomuuden sattuessa, joka saattaa jättää järjestelmät hyökkäykseen.
Jos esimerkiksi sähkökatko on laaja, ymmärrä, ovatko digitaaliset tietosi alttiimpia hakkeroinnille. Jos näin on, ryhdy toimenpiteisiin riskin poistamiseksi
Vaihe 11. Tarkista säännölliset tarkastukset turvallisuuden noudattamisen varmistamiseksi
Suunnittele säännöllisesti arvioida, kuka on käyttänyt tietoja-myös IT-osastollasi. Ymmärrä, mihin arkaluontoisia tietojasi tallennetaan järjestelmään, niin tiedät heti, jos joku yrittää käyttää niitä.
- Seuraa järjestelmän liikennettä, varsinkin jos järjestelmään tai järjestelmästä lähetetään suuria tietomääriä.
- Lisäksi odota useiden uusien käyttäjien tai tuntemattomien tietokoneiden kirjautumisyrityksiä, koska tämä voi olla mahdollinen merkki siitä, että joku yrittää käyttää suojattuja tietoja.
Tapa 3/5: Uusien ja lähtevien työntekijöiden neuvonta
Vaihe 1. Sido kaikki työntekijät salassapitosopimuksilla tai -lausekkeilla
Pyydä jokaista uutta vuokralaista allekirjoittamaan salassapitosopimus (NDA), kun heidät otetaan mukaan-ennen kuin heille annetaan pääsy liikesalaisuuksiin tai asiakastietoihin. Vaikka tämä ei pysäytä kaikkia tietojen menettämisen tapauksia, se antaa sinulle jonkin verran oikeudellista suojaa, jos se tapahtuu.
Varmista, että NDA: n toimikausi on riittävän pitkä suojaamaan sinua myös sen jälkeen, kun työntekijä lähtee yrityksestä
Vaihe 2. Keskustele tietoturvasta, kun joku palkataan
Anna uusille työntekijöille käsikirja tai esite, jossa esitetään suojausprotokollasi. Älä kuitenkaan odota heidän vain lukevan ja ymmärtävän sitä-selitä se heille selkeästi aloitusprosessin aikana.
- Selitä jokaiselle työntekijälle, että tietoturvan ylläpito on osa heidän työnkuvaansa.
- Käy läpi kaikki asiaankuuluvat lait ja sisäiset politiikka -asiakirjat.
- Muista, että tämän pitäisi sisältää kaikki työntekijät, mukaan lukien satelliittitoimistojen työntekijät ja kausittainen tai tilapäinen apu.
Vaihe 3. Tee poistumishaastattelu, kun työntekijä lähtee
Muista tämän keskustelun aikana heidän NDA: taan ja velvollisuuksiinsa liittyvistä arkaluonteisista tiedoista, joihin heillä olisi voinut olla pääsy. Lisäksi pyydä heitä palauttamaan yrityksen laitteet, turvakortit, avaimet ja niin edelleen.
Pyydä IT: tä myös peruuttamaan kaikki suojausvaltuudet ja salasanat
Menetelmä 4/5: Ilmoittaminen kolmansille osapuolille ja vierailijoille
Vaihe 1. Sisällytä arkaluonteisia tietoja koskevia lausekkeita kolmansien osapuolten sopimuksiin
Jos teet liiketoimintaa ulkopuolisten osapuolten, kuten myyjien ja toimittajien, kanssa, varmista, että he ovat tietoisia velvollisuudestaan suojata arkaluonteisia tietoja. Varmista myös, että olet selvillä siitä, milloin sinun on ilmoitettava heille yksityisistä tiedoista.
- On hyvä idea käyttää sanamuotoa "kaikki ei-julkiset tiedot" näissä lausekkeissa-tällä tavalla sinun ei tarvitse merkitä jokaista arkaluonteista tietoa.
- Saatat myös joutua pyytämään palveluntarjoajasi allekirjoittamaan NDA: t, jos he ovat arkaluontoisia.
Vaihe 2. Jaa tietoja vain tarpeen mukaan
Aivan kuten työntekijöidesi kanssa, varmista, että kaikki kolmannet osapuolet, joita annat tietoja kolmansille osapuolille, vain jos se on ehdottoman välttämätöntä heidän kykynsä tehdä työtä. Tätä kutsutaan "vähiten etuoikeuskäytännöksi".
- Varmista myös, että tiedot jaetaan vain suojatusti, kuten salattujen verkkojen kautta tai yksityisissä kokouksissa.
- Tarkista säännöllisesti kolmansien osapuoliesi valtuudet ja käyttöoikeudet ja varmista, että tiedät tarkalleen, kuka niitä käyttää.
Vaihe 3. Pyydä kävijöitä allekirjoittamaan NDAS tarvittaessa
Jos yrityksesi vierailijalla saattaa olla pääsy suojattuihin tietoihin, pyydä häntä allekirjoittamaan salassapitosopimus sisäänkirjautumisen yhteydessä. Säilytä nämä vierailijoiden julkiset tiedot tiedostossa niin kauan kuin ne ovat voimassa, jos henkilö rikkoo sopimuksia myöhemmin.
Jos esimerkiksi tavarantoimittajasi edustaja kiertää laitoksessasi ja hän voi saada vilauksen ei-julkisesta valmistusprosessista, heidän olisi hyvä allekirjoittaa NDA
Vaihe 4. Rajoita vierailijoiden pääsy suojattuihin tietoihin
Vaikka NDA voi antaa sinulle mahdollisuuden turvautua, jos kävijä keskustelee yksityisistä tiedoista, on parasta välttää pääsyä näihin tietoihin lainkaan. Käytä käytäntöä, joka estää kävijöitä pääsemästä alueille, joille on tallennettu suojattuja tietoja, ja seuraa, minne he menevät, kun he ovat tiloissa.
Saatat esimerkiksi pyytää työntekijää saattamaan kävijöitä varmistamaan, etteivät he pääse rajoitetuille alueille
Tapa 5/5: Luottamuksellisten tietojen tallentaminen ja hävittäminen
Vaihe 1. Ole tietoinen siitä, kuinka arkaluonteisia tietoja tulee yritykseesi
Arkaluonteisten tietojen suojaamiseksi sinun on ymmärrettävä syöttökohdat. Arvioi, mistä tieto on peräisin, mistä se koostuu ja kenellä on pääsy siihen. Joitakin mahdollisia lähteitä voivat olla:
- Saatat esimerkiksi saada tietoja työnhakijoilta, asiakkailta, luottokorttiyhtiöiltä tai pankeilta.
- Nämä tiedot voivat tulla yritykseesi verkkosivustosi, sähköpostisi, postisi, kassakoneiden tai kirjanpitoosi kautta.
Vaihe 2. Tallenna turvallisesti sekä digitaalista tietoa että paperityötä
Tietoturva edellyttää kaksivaiheista lähestymistapaa. Sinun ei tarvitse vain suojata tietokonejärjestelmiäsi, vaan myös varmistaa, että kaikki paperityöt on suojattu huolellisesti.
- Varmista, että kaikki paperityöt on tallennettu lukittuihin arkistokaappeihin ja että pääsy on sallittu vain valtuutetuille työntekijöille, jotka oikeutetusti tarvitsevat näitä tietoja.
- Paikan päällä olevien digitaalisten tietojen suojaamisen lisäksi varmista, että kaikki pilvitallennustilat käyttävät monivaiheista todennusta ja salausta.
Vaihe 3. Säilytä digitaalisia tietoja huolellisesti
Jos mahdollista, vältä arkaluontoisten tietojen tallentamista tietokoneille, joilla on Internet -yhteys. Jos tarvitset nämä tiedot tietokoneella, jossa on Internet -yhteys, varmista, että ne on suojattu turvallisesti. Voit myös:
- Käytä suojattuja palvelimia, mukaan lukien pilvitallennustila.
- Salaa (tai hajauta) asiakassalasanat.
- Päivitä salasanat säännöllisesti.
- Pidä suojausohjelmistot ajan tasalla.
- Ole tietoinen ohjelmistojen haavoittuvuuksista.
- Hallitse USB -yhteyttä.
- Varmuuskopioi tiedot turvalliseen paikkaan.
Vaihe 4. Hävitä paperit murskaamalla ne
Älä vain heitä vanhoja sovelluksia tai asiakastiedostoja roskakoriin. Investoi sen sijaan korkealaatuisiin, poikkileikkaaviin silppureihin ja varmista, että ne ovat helposti saatavilla toimiston ympärillä. Vie sitten silputut paperit luottamuksellisiin jäteastioihin.
Muista puhdistaa vanhat arkistokaapit ennen niiden myymistä tai heittämistä pois
Vaihe 5. Poista kiintolevyt kokonaan ennen laitteiden hävittämistä
Käytä suojattua tietojen tuhoamisapuohjelmaa, jotta voit tuhota kaikki tietokoneen, puhelimen tai tabletin tiedot. Älä luota pelkästään kiintolevyn alustamiseen-se ei riitä kaikkien tietojen pyyhkimiseen kokonaan, vaikka korvasit sen myöhemmin.