Stick with Security: Uchovávejte citlivé osobní údaje bezpečně a chraňte je během přenosu


Slyšeli jste o Newtonových zákonech týkajících se těles v klidu a těles v pohybu. Důsledkem 21. století je ochrana citlivých informací, když jsou ve vaší síti v klidu, a implementace účinných bezpečnostních opatření, když jsou v pohybu – například když zákazník přenáší důvěrná data ze svého počítače do vašeho systému. Opatrné společnosti využívají rady Začněte s bezpečností tím, že ukládají citlivé osobní údaje bezpečně a chrání je během přenosu.

Jedna strategie je překvapivě jednoduchá. Hackeři nemohou ukrást to, co nemáte, takže shromažďujte a udržujte důvěrná data pouze v případě, že je potřebujete. Žádat zákazníky o citlivé informace v případě, že byste je mohli někdy k něčemu použít, není rozumná zásada. Moudřejší je rozumně omezit to, co sbíráte, a poté to bezpečně uložit. Je to také cenově dostupný přístup, protože je méně nákladné zabezpečit menší množství dat uložených na určených místech, spíše než spousty citlivých věcí roztroušených po vaší společnosti.

Jedním z důležitých bezpečnostních nástrojů je šifrování. Šifrování je proces transformace informací tak, že je může číst pouze osoba (nebo počítač) s klíčem. Společnosti mohou používat technologii šifrování pro citlivá data v klidu a při přenosu, aby je pomohla chránit na webových stránkách, na zařízeních nebo v cloudu.

Jak může vaše firma zabezpečit data bezpečně, včetně případů, kdy jsou na cestě? Zde je několik návrhů získaných z dohod FTC, uzavřených vyšetřování a otázek, které podniky položily.

Udržujte citlivé informace v bezpečí po celou dobu jejich životního cyklu.

Nemůžete uchovávat informace v bezpečí, pokud nemáte jasnou představu o tom, co máte a kde to máte. Jedním z předběžných kroků je vědět, jak citlivá data do vaší společnosti vstupují, jak se v ní pohybují a jak odcházejí. Jakmile zvládnete jeho cestu vaším systémem, je snazší udržet ostrahu na každé zastávce na cestě.

Příklad: Online prodejce sportovního zboží nechá spotřebitele vybrat uživatelské jméno a heslo. Společnost ukládá všechna uživatelská jména a hesla v jasném a čitelném textu. Tím, že prodejce tyto informace neuchovává bezpečně, zvýšil riziko neoprávněného přístupu.

Příklad: Webová stránka receptů umožňuje zákazníkům vytvářet individuální profily. Při navrhování registrační stránky bere společnost v úvahu mnoho kategorií informací, které by mohla požadovat, a zužuje je na ty, které jsou opodstatněné obchodním důvodem. Společnost například zvažuje, že požádá o datum narození uživatele, aby přizpůsobila stránky receptům, které by mohly oslovit lidi této demografické skupiny, ale pak se rozhodne, že místo toho nechá spotřebitele vybrat si věkové rozmezí. Tím, že společnost promyslela svou potřebu informací a shromáždila méně citlivý druh dat, učinila bezpečnější volbu, která jí stále umožní přizpůsobit uživatelské prostředí.

Příklad: Realitní společnost potřebuje shromažďovat citlivé finanční údaje od potenciálních kupců domů. Když jsou informace odesílány z prohlížeče zákazníka na server společnosti, podnik používá vhodné šifrování k zabezpečení informací. Když však informace dorazí, poskytovatel služeb je dešifruje a odešle je v jasném a čitelném textu do poboček společnosti. Zašifrováním prvotního přenosu informací učinila realitní společnost prozíravý krok, aby byla v bezpečí. Ale tím, že poskytovateli služeb umožnili posílat nešifrovaná data na pobočky, společnost dostatečně nezohlednila důležitost udržování vhodného zabezpečení po celou dobu životního cyklu citlivých informací.

Příklad: Společnost používá nejmodernější šifrovací technologii, ale ukládá dešifrovací klíče s daty, která šifrují. Společnost by měla mít uloženy dešifrovací klíče odděleně od dat, která klíče slouží k odemknutí.

Používejte průmyslově ověřené a uznávané metody.

Někteří obchodníci navrhují své produkty tak, aby měly jedinečný, nepředvídatelný vzhled. Ale „jedinečný“ a „nevšední“ nejsou slova, která byste chtěli použít pro zabezpečení vaší společnosti. Spíše než znovu vynalézat šifrovací kolo je moudřejší použít průmyslově ověřené metody, které odrážejí kolektivní moudrost odborníků v oboru.

Příklad: Dva vývojáři aplikací připravují pro trh podobné produkty. Společnost ABC používá vlastní proprietární metodu k zamlžování dat. Naproti tomu společnost XYZ používá osvědčenou metodu šifrování akceptovanou odborníky v oboru. Použitím osvědčené formy šifrování učinila společnost XYZ Corporation při vývoji svého produktu uvážlivé rozhodnutí. A co víc, reklamní kampaň XYZ může pravdivě propagovat použití standardního šifrování.

Zajistěte správnou konfiguraci.

Horolezec může mít špičkovou výbavu, ale pokud nemá správně připevněné karabiny a kladky nebo je používá způsobem, před kterým výrobce varuje, může ho čekat katastrofální sestup. V podobném duchu, i když se společnosti rozhodnou pro silné šifrování, musí se ujistit, že jej nakonfigurovaly správně.

Příklad: Cestovní společnost vyvíjí aplikaci, která spotřebitelům umožňuje kupovat vstupenky do oblíbených turistických atrakcí. Aplikace cestovní kanceláře využívá protokol Transport Layer Security (TLS) k navázání šifrovaných spojení se zákazníky. Když se data přesouvají mezi aplikací a společnostmi prodávajícími vstupenky, používá se certifikát TLS k zajištění toho, že se aplikace připojuje ke skutečné online službě. Při konfiguraci své aplikace však cestovní společnost zakáže proces ověření certifikátu TLS. Cestovní společnost to dělá navzdory varováním od poskytovatelů platforem pro vývojáře aplikací před deaktivací výchozího nastavení ověřování nebo jiným selháním při ověřování certifikátů TLS. Cestovní společnost by se měla řídit výchozími doporučeními platforem pro vývoj aplikací.

Připomenutí pro podniky je, že důvěrná data mohou vstoupit do vašeho systému, procházet v něm a opustit jej způsoby, o kterých byste možná ani neuvažovali. Zavádíte po cestě rozumné ochrany?

Další v řadě: Segmentujte svou síť a sledujte, kdo se snaží dostat dovnitř a ven.

Leave a Comment

Your email address will not be published.