Количество случаев похищения идентификационных данных все растет. Нашла ли ваша организация решение этой проблемы или она остается для вас по-прежнему актуальной? Личные идентификационные данные (personally identifiable information, PII) просачиваются сквозь защитные шлюзы с пугающей скоростью и в конце концов оказываются в руках у тех, у кого совсем не должны находиться.

Чтобы защитить сотрудников и клиентов организации, необходимо понять, насколько эффективно защищены их личные идентификационные данные. Вот семь наиболее распространенных ошибок, которых стоит избегать.

Недостаточная осведомленность пользователей

В любой корпоративной сети пользователи – самое слабое звено, и здесь ничего не изменят даже самые современные устройства и системы контроля. Если пользователи не умеют распознать личные идентификационные данные и не знают, как с ними обращаться, они рано или поздно непременно передадут эти секретные сведения кому не надо.

Решить проблему очень просто: расскажите пользователям о корпоративной политике относительно личных идентификационных данных и о механизмах их обработки. И не забудьте включить в рабочий график регулярные курсы, направленные на освежение этой информации в памяти сотрудников.

Сотрудничество с ненадежными партнерами

Предположим, вы простроили надежную, как скала, систему безопасности, и просветили на этот счет всех своих сотрудников. Но могут ли ваши деловые партнеры похвастаться тем же? Не приходится ли вам обмениваться информацией с организациями, система безопасности которых весьма несовершенна или отсутствует вообще?

Если ваша компания получает или передает личные идентификационные данные ненадежным партнерам, кто, по-вашему, в случае чего будет объясняться с правоохранительными органами относительно того, как стало возможным совершение преступления? Именно вы.

Решить эту проблему так же просто, как и предыдущую: организуйте для своих деловых партнеров курсы ликвидации безграмотности по вопросам защиты конфиденциальной информации. Берите с них деньги, если хотите, но так или иначе донесите до них всю важность системы безопасности.

Хранение устаревших данных

Что вы делаете с устаревшей информацией? Если вы не уничтожаете личные идентификационные данные после того, как они отслужили свое, значит, вы не выполняете своих обязанностей. Однако просто выбрасывать их тоже не годится – их надо именно уничтожать.

Любители порыться в мусорных контейнерах кормятся старыми банковскими выписками и чеками по кредитным карточкам. Именно поэтому ненужные личные идентификационные надо уничтожать. Если у вас до сих пор нет измельчителя бумаги, купите его прямо сегодня.

Пренебрежение физическими средствами защиты

Использовать средства физического контроля для предотвращения доступа к личным идентификационным данным тех, кто не имеет на это права (включая сотрудников), необходимо – это даже не обсуждается. Купите замок и устройство для считывания идентификационных карточек – и привыкайте управлять доступом.

Хранение данных в открытом доступе

Если в вашей сети нет специальных зон для хранения личных идентификационных данных (равно как и картотечных шкафчиков), как же вы собираетесь их защищать? Возьмите инвентарную опись своей сети – и документов – и разработайте план защиты конфиденциальных данных. Это хороший повод перетрясти данные, находящиеся на постоянном хранении, и повесить замки на некоторые картотеки.

Пренебрежение тем, что происходит в сети

Я уже писал об этом раньше, но повторить никогда не мешает: если вы не собираетесь постоянно наблюдать за сетевой активностью с целью обнаружения подозрительных действий и инцидентов, незачем вообще собирать данные. Разработайте доступные вам по силам и средствам приемы мониторинга сетевой активности и заодно выработайте стратегию быстрого реагирования и решения проблем в случае возникновения инцидентов в системе безопасности.

Проверки? Кому нужны проверки?

Многие компании не знают, что именно нужно проверять, или не читают журналы безопасности – а очень часто происходит и то, и другое. Наладьте механизм проверки системы безопасности и изучите свои системные журналы прямо сегодня.

Вместо заключения

Даже если количество случаев похищения идентификационных данных все растет, совсем не обязательно облегчать мошенникам задачу. Вы можете предотвратить кражу конфиденциальных данных как в домашних условиях, так и в организации – просто нужно затратить на это дополнительные усилия.

Автор: MichaelMullins CCNA, MCP»