Zakonet për të parandaluar vjedhjen e të dhënave personale

Informatec Digital » Burime » Zakonet për të parandaluar vjedhjen e të dhënave personale

Në një botë ku çdo klikim lë një gjurmë, vjedhja e të dhënave personale Është bërë një nga rreziqet më serioze si për përdoruesit individualë ashtu edhe për bizneset. Nuk po flasim vetëm për paratë: identiteti juaj dixhital, reputacioni juaj dhe madje edhe qetësia juaj e përditshme mendore janë gjithashtu në rrezik kur zbuloni se dikush po vepron në emrin tuaj.

Pasojat ekonomike të një shkeljeje të të dhënave mund të jenë shkatërruese, por ndikimi shkon përtej kësaj. Një kriminel kibernetik mund të bëj identitetin tëndHapja e llogarive bankare, marrja e kredive në emrin tuaj, vjedhja e të dhënave mjekësore ose kompromentimi i informacionit konfidencial të kompanisë suaj janë të gjitha të mundshme. Për fat të mirë, me zakone të mira dhe disa masa të zbatuara mirë, është e mundur të parandalohen shumica dërrmuese e këtyre incidenteve.

Çfarë është vjedhja e të dhënave personale dhe pse duhet të shqetësoheni?

Kur flasim për vjedhjen e të dhënave, i referohemi... marrja e paligjshme e informacionit konfidencialQofshin personale, financiare, të korporatave apo mjekësore, këto të dhëna ruhen në kompjuterë, pajisje mobile, servera ose shërbime cloud. Sulmuesi nuk ka nevojë të marrë asgjë fizikisht; thjesht... kopjoni ose dublikoni informacionin për ta shfrytëzuar ose shitur atë.

Të dhënat e vjedhura mund të përfshijnë çdo gjë nga fjalëkalime, numra kartash, llogari bankare, kartë identiteti ose pasaportë, madje edhe të dhëna mjekësore, të dhëna të klientëve, algoritme ose procese të brendshme të kompanisë. Shpesh, ky informacion përfundon në tregje të paligjshme ku blihet dhe shitet për fushata mashtrimi, phishing masiv ose vjedhje identiteti.

Është e rëndësishme të bëhet dallimi midis rrjedhje e të dhënave y shkelje të të dhënaveNjë rrjedhje të dhënash zakonisht është aksidentale: një dokument i ndarë keq, një hard disk i humbur, një bazë të dhënash e konfiguruar gabimisht. Një shkelje i referohet më shumë një sulm i qëllimshëm, ku dikush shfrytëzon një dobësi teknike ose njerëzore për të fituar akses në sistemet e të tjerëve.

Për një kompani, një incident i këtij lloji mund të nënkuptojë kërkesat, gjobat, kostot e rikuperimitHumbja e klientëve dhe ndërprerja e biznesit. Për një individ, rreziku më i menjëhershëm është vjedhje identiteti, me humbje të drejtpërdrejta ekonomike dhe stres të madh nga detyrimi për të vërtetuar se nuk keni kryer operacione të caktuara.

Si ndodh vjedhja e të dhënave: teknika dhe gabime të zakonshme

Kriminelët kibernetikë përdorin një përzierje të teknologjia dhe manipulimi psikologjik për të marrë informacionin. Edhe pse mjetet ndryshojnë, modelet e sulmit përsëriten herë pas here.

Një nga rrugët më të shpeshta është inxhinieria socialeShembulli më klasik është phishing: email-e, mesazhe SMS ose postime në mediat sociale që imitojnë bankën tuaj, një kompani të njohur apo edhe një agjenci qeveritare, duke ju mashtruar që të klikoni një lidhje, të shkarkoni një skedar ose të jepni kredencialet tuaja. Nëse bini pre e tij, sulmuesi fiton akses të drejtpërdrejtë në të dhënat tuaja.

Një tjetër dobësi shumë e shfrytëzuar është fjalëkalime të dobëta ose të ripërdoruraNëse përdorni të njëjtin fjalëkalim për gjithçka ose zgjidhni kombinime të dukshme (datëlindje, 123456, emri i kafshës shtëpiake), mjafton vetëm një faqe interneti që të pësojë një shkelje të të dhënave që një sulmues ta provojë atë fjalëkalim në pjesën tjetër të llogarive tuaja.

L dobësitë teknike Faktorë të tjerë gjithashtu kanë peshë të konsiderueshme: aplikacione të programuara dobët, sisteme pa përditësime sigurie, routerë me cilësime fabrike, softuer antivirus i vjetëruar… E gjithë kjo hap dyer që një sulmues mund t’i skanojë dhe shfrytëzojë me mjete të automatizuara.

Ne nuk mund ta harrojmë atë kërcënime të brendshmePunonjësit e pakënaqur, ish-punonjësit ose furnizuesit me qasje që nuk është revokuar në kohë mund të kopjojnë, modifikojnë ose nxjerrin informacione kritike. Kjo përkeqësohet nga... gabimet njerëzoredërgimi i një dokumenti konfidencial te kontakti i gabuar, ndarja aksidentale e një lidhjeje publike, postimi i tepërt në mediat sociale ose përdorimi i pajisjeve personale pa masa sigurie.

Ekzistojnë edhe rreziqe më fizike: vjedhja e laptopëve, telefonave celularë ose disqeve USB, shikimi mbi shpatullën e dikujt në një kafene ose vendosja e pajisjeve në bankomate dhe terminale POS. kartat e klonuaraEdhe shkarkimet nga faqet e internetit të pasigurta ose softuerët "falas" mund të sjellin malware i fshehur gjë që hap derën për vjedhjen e të dhënave.

Çfarë të dhënash vjedhin zakonisht dhe për çfarë i përdorin ato?

Në praktikë, pothuajse çdo lloj informacioni mund të jetë i vlefshëm, varësisht nga objektivi i sulmuesit. Ndër objektivat më të zakonshme janë... të dhënat e klientëve, Bazat e të dhënave me emra, adresa, numra telefoni, email-e dhe zakone konsumi shumë të dobishme për fushata spam ose mashtrime të personalizuara.

Gjithashtu, një objektiv prioritar është të dhënat financiareNumrat e kartave, detajet e llogarisë bankare, IBAN-et, kredencialet e bankave online dhe dokumentet e identitetit që i lejojnë dikujt të hapë produkte financiare në emrin tuaj. Me informacion të mjaftueshëm, një kriminel mund të marrë kredi, të bëjë blerje ose të pastrojë para duke përdorur identitetin tuaj.

Në botën e korporatave, ato kanë një vlerë të jashtëzakonshme. Kodet burimore, algoritmet dhe proceset e brendshmesi dhe dokumente strategjike, dizajne, buxhete ose propozime biznesi. Këtu hyn në lojë spiunazhi industrial dhe avantazhi konkurrues ndaj kompanive të tjera në sektor.

Brenda vendit, ata po kërkojnë gjithashtu Të dhënat e burimeve njerëzore dhe të dhënat e punonjësvelistat e pagave, vlerësimet, të dhënat mjekësore, adresat private, të cilat mund të përdoren të gjitha për shantazh, mashtrim të synuar ose fushata të reja të inxhinierisë sociale.

Më në fund, ka dokumente personale që i ruajmë në kompjuterë, telefona celularë dhe në cloud: kontrata, akte, raporte mjekësore, fotografi private ose biseda të ndjeshme. Nuk ka të bëjë aq shumë me vetë dokumentin, por me atë që mund të bëhet me të: për t'ju imituar, për t'ju shantazhuar ose për të prishur reputacionin tuaj.

Pasojat e vjedhjes së të dhënave për individët dhe kompanitë

Kur një organizatë pëson një shkelje të të dhënave ose një sulm kibernetik, problemi nuk kufizohet vetëm në tronditjen fillestare. Pasojat përkthehen në kostot direkte dhe indirekte të cilat mund të pengojnë aktivitetin për vite me radhë.

Ndër ndikimet më serioze për kompanitë gjejmë kërkesat e mundshme të klientëve të dhënat e të cilëve janë kompromentuar, kërkesat për pagesë nga grupet e ransomware dhe kostot e larta të rikuperimit: rivendosja e kopjeve rezervë, rindërtimi i sistemeve, përforcimi i infrastrukturave, punësimi i ekspertëve dhe avokatëve.

Ekziston gjithashtu një komponent i fortë i dëmtim i reputacionitNjë shkelje e sigurisë mund të bëjë që shumë klientë të humbasin besimin dhe të kalojnë te konkurrentët. Për më tepër, në varësi të rregulloreve në fuqi, mund të vendosen penalitete. gjoba dhe penalitete rregullatore nëse nuk demonstrohen masa të përshtatshme për mbrojtjen e të dhënave.

Shtohen kësaj edhe periudhat e pasivitetit Ndërsa incidenti po hetohet dhe po bëhen përpjekje për të rivendosur shërbimin normal, çdo orë pa shërbim do të thotë humbje të shitjeve, vonesa në projekte dhe një ndikim në produktivitetin e të gjithë organizatës.

Për individët, rreziku më i madh është vjedhje identitetiKur dikush ju imiton, mund t'ju fusë në borxhe, të kryejë krime në emrin tuaj, të ngacmojë të tjerët ose të nënshkruajë kontrata që më vonë do t'ju duhet t'i kontestoni. Zgjidhja e të gjitha këtyre kërkon kohë, para dhe një tendosje të madhe emocionale, me padi, pretendime dhe një proces të gjatë për të pastruar emrin tuaj.

Zakonet kryesore për të parandaluar vjedhjen e të dhënave në jetën tuaj dixhitale

Shmangia e të bërit viktimë e lehtë përfshin ndryshimin e disa gjërave Zakonet e përditshme kur përdorni internetin, telefonin celular ose kompjuterin. Këto janë masa të thjeshta që, kur zbatohen siç duhet, bllokojnë shumicën e sulmeve kibernetike që synojnë përdoruesit individualë.

Shtylla e parë është contraseñasËshtë thelbësore të përdorni fjalëkalime të ndryshme për secilin shërbim, duke i bërë ato të gjata dhe komplekse, duke kombinuar shkronja të mëdha dhe të vogla, numra dhe simbole. Një ide e mirë është të përdorni fraza kalimi që mund t’i mbani mend dhe që nuk lidhen me informacione personale të dukshme.

Sa herë që është e mundur, aktivizoni vërtetim në dy ose më shumë hapa (MFA). Në këtë mënyrë, edhe nëse dikush merr fjalëkalimin tuaj, atij do t'i duhet edhe telefoni juaj celular, gjurmët e gishtave ose një kod shtesë për të fituar akses. Ky hap i thjeshtë parandalon në mënyrë efektive shumicën e akseseve të paautorizuara.

Një zakon tjetër themelor është Kini kujdes nga emailet, mesazhet SMS ose mesazhe të tjera të dyshimta.Mos klikoni në lidhje të papritura, mos shkarkoni bashkëngjitje nga dërgues të dyshimtë dhe kini kujdes nga çdo mesazh që ju bën presion ose ju kërkon informacion konfidencial. Nëse mendoni se mund të jetë i ligjshëm, vizitoni vetë faqen zyrtare të internetit duke shkruar adresën në shfletuesin tuaj.

Alsoshtë gjithashtu i përshtatshëm kufizoni informacionin personal që ndani në mediat sociale dhe shërbime të tjera. Sa më shumë informacion publik të ketë për ju, aq më e lehtë është për dikë të ndërtojë një profil shumë të detajuar për t'ju mashtruar ose për t'ju imituar. Rishikoni cilësimet e privatësisë së llogarisë suaj dhe minimizoni atë që dikush mund të shohë.

Së fundmi, shmangni praktikat e rrezikshme si p.sh. sexting ose dërgimi i përmbajtjes intimeNëse ai material përfundon në duar të gabuara, mund të përdoret për t'ju zhvatur ose për t'ju dëmtuar personalisht dhe profesionalisht.

Masat thelbësore teknike: antivirus, përditësime dhe kopje rezervë

Përveç zakoneve të mira, është thelbësore të mbështeteni në mjetet themelore të sigurisë kompjuterike që veprojnë si një rrjetë sigurie kur diçka shkon keq. Nuk keni nevojë të jeni ekspert, mjafton të keni disa cilësime bazë të konfiguruara siç duhet.

Un antivirus i azhurnuar Është thelbësor në kompjuterë dhe rekomandohet shumë për telefonat celularë dhe tabletët. Këto zgjidhje zbulojnë programe keqdashëse, programe ransomware, programe spiune dhe programe të tjera keqdashëse që përpiqen të depërtojnë në sisteme përmes emaileve, shkarkimeve, faqeve të internetit ose disqeve USB.

Po aq e rëndësishme është edhe mirëmbajtja e sistemi operativ dhe aplikacionet gjithmonë të azhurnuaraPërditësimet nuk janë vetëm përmirësime vizuale: ato përfshijnë përditësime sigurie që mbyllin dobësitë e njohura. Nëse i shtyni njoftimet e përditësimeve për një kohë të pacaktuar, po lini dyer të hapura që kriminelët i dinë shumë mirë.

Ne nuk mund ta harrojmë atë rezervime të rregulltaRuajtja e skedarëve tuaj kritikë në një hard disk të jashtëm, një disk USB ose shërbim cloud ju mbron në rast të vjedhjes së pajisjes, dështimit të diskut ose sulmit ransomware. Në shumë raste, një kopje rezervë është e vetmja mënyrë 100% e besueshme për të rikuperuar të dhënat tuaja.

Gjithashtu këshillohet që të aktivizohet dhe konfigurohet firewall ose firewall Kjo pengesë, e cila vjen me sistemin tuaj operativ ose routerin, kontrollon se cilat lidhje hyjnë dhe dalin nga kompjuteri juaj, duke bllokuar përpjekjet e dyshimta të aksesit në distancë.

Nëse ndani një kompjuter me njerëz të tjerë, krijoni llogari përdoruesish të diferencuara me leje të kufizuara për përdorim të përditshëm, duke rezervuar llogarinë e administratorit vetëm për instalimin e programeve ose ndryshimin e cilësimeve të rëndësishme. Në këtë mënyrë, nëse një llogari kompromentohet, dëmi përmbahet.

Mbrojtja e celularëve, rrjetet Wi-Fi dhe pajisjet e lidhura

Sot ne përdorim celular për pothuajse gjithçkaShërbimet bankare online, blerjet, mediat sociale, puna, fotot personale… Kjo e bën atë një objektiv po aq tërheqës për sulmuesit sa vetë kompjuterin, nëse jo më shumë.

Sigurohuni që telefoni juaj inteligjent ose tableti të ketë Kyçja e ekranit me PIN, model, gjurmë gishtash ose njohje të fytyrësDhe aktivizoni opsionin për të gjetur pajisjen dhe për të fshirë të dhënat e saj nga distanca. Instaloni aplikacione vetëm nga dyqanet zyrtare dhe kini kujdes nga lidhjet që ju kërkojnë të shkarkoni aplikacione nga jashtë këtyre kanaleve.

Lidhur me rrjetet publike Wi-Fi (aeroporte, kafene, hotele), duhet t'i trajtoni ato si mjedise të pasigurtaShmangni aksesin në shërbimet bankare online, email-in e korporatave ose shërbimet me të dhëna të ndjeshme përmes këtyre pajisjeve. Nëse nuk keni zgjidhje tjetër, përdorni gjithmonë lidhje të enkriptuara (HTTPS) dhe, idealisht, një VPN që mbron të gjithë trafikun.

Në shtëpi ose në biznesin tuaj, ndryshoni fjalëkalimet e parazgjedhura të routeritAktivizoni enkriptimin WPA2 ose WPA3 dhe përdorni çelësa të fortë. Konsideroni krijimin e një rrjeti të veçantë për mysafirët dhe për pajisjet e Internetit të Gjërave (altoparlantë inteligjentë, kamera IP, televizorë, ora, gjurmues fitnesi, etj.), pasi ato shpesh kanë siguri të integruar më pak të fuqishme.

Kontrolloni aplikacione dhe shtesa që i keni autorizuar në shfletuesin dhe rrjetet tuaja sociale. Lojërat, kuizet dhe shërbimet "kurioze" që kërkojnë qasje në kontaktet, historikun ose postimet tuaja mund të bëhen burim rrjedhjesh të dhënash.

Praktikat më të mira specifike për kompanitë dhe organizatat

Në mjedisin e korporatave, mbrojtja e të dhënave personale dhe konfidenciale kërkon të shkohet një hap më tej dhe të kombinohen masa teknike, organizative dhe trajnueseVetëm instalimi i softuerit antivirus nuk është i mjaftueshëm: nevojitet një strategji e qartë.

Një pikë themelore është enkriptimi i informacionit të ndjeshëm të ruajtura në servera, laptopë, pajisje mobile dhe media të jashtme ruajtjeje. Nëse një pajisje humbet ose vidhet, enkriptimi parandalon palët e treta të lexojnë të dhënat pa çelësin e saktë.

Është thelbësore të kufizohet se kush mund të ketë akses në çfarë. Zbatoni parimin e kontrolli i aksesit me privilegje minimale dhe i bazuar në role Kjo e zvogëlon ndjeshëm rrezikun: çdo punonjës duhet të shohë dhe modifikojë vetëm informacionin e nevojshëm për rolin e tij. Kjo përfshin pajisjet mbrojtëse me fjalëkalim dhe rrjetin e brendshëm, si dhe shqyrtimin e rregullt të llogarive me privilegje të larta.

Kompanitë duhet të vendosin zgjidhje për siguria e perimetrit dhe pikës fundoreAntivirus i korporatës, firewall, sisteme zbulimi ndërhyrjesh, mbrojtje kundër programeve të avancuara keqdashëse dhe ransomware, si dhe mjete monitorimi për të zbuluar sjellje anormale.

Një pjesë tjetër thelbësore është Trajnim për sigurinë kibernetike për të gjithë punonjësitPërvoja tregon se hallka më e dobët është zakonisht personi që klikon aty ku nuk duhet, ndan fjalëkalimin e tij ose dërgon një skedar të ndjeshëm te marrësi i gabuar. Programet e ndërgjegjësimit, simulimet e phishing-ut dhe protokollet e qarta të veprimit bëjnë gjithë ndryshimin.

Nëse përdoren shërbime të palëve të treta, si p.sh. cloud computing, SaaS ose ruajtje në cloudËshtë e nevojshme të sigurohet që ato përmbushin standardet e duhura të sigurisë dhe që kontratat të përcaktojnë qartë përgjegjësitë e secilës palë në lidhje me mbrojtjen e të dhënave.

Çfarë duhet të bëni nëse kompania juaj pëson një shkelje të të dhënave

Kur një organizatë zbulon një shkelje të sigurisë që ka ekspozuar të dhënat personale të klientëve, përdoruesve ose punonjësveKoha po mbaron. Është thelbësore të reagosh shpejt dhe të ndjekësh një plan të paracaktuar.

Gjëja e parë është përmban incidentinIzoloni sistemet e prekura, ndryshoni kredencialet, shkëputni shërbimet e kompromentuara dhe parandaloni përparimin e mëtejshëm të sulmit. Njëkohësisht, duhet të aktivizohet një ekip teknik dhe ligjor për të koordinuar këto veprime.

Në rastin e Spanjës dhe Rregullores së Përgjithshme për Mbrojtjen e të Dhënave, nëse informacioni i kompromentuar përfshin të dhëna personale të pakriptuaraËshtë e detyrueshme të njoftohet Agjencia Spanjolle e Mbrojtjes së të Dhënave (AEPD) për shkeljen brenda një periudhe maksimale prej 72 orësh, si dhe të informohen personat e prekur kur rreziku për të drejtat dhe liritë e tyre është i konsiderueshëm.

Rekomandohet shumë që të keni një analiza mjeko-ligjore e incidentit Kjo analizë, e kryer nga specialistë, përcakton origjinën e sulmit, dobësitë e shfrytëzuara, llojin e të dhënave të marra dhe ndikimin aktual. Kjo punë jo vetëm që shërben si provë në procedurat ligjore, por gjithashtu lejon forcimin e masave të sigurisë për të parandaluar incidente të ardhshme.

Përveç kanaleve administrative dhe të punës, nuk duhet harruar të paraqisni një ankesë pranë Forcat dhe Organet e Sigurisë kompetent, duke ofruar të gjithë informacionin teknik të disponueshëm. Shumë sulme janë pjesë e fushatave më të gjera në të cilat bashkëpunimi me viktima të tjera dhe me autoritetet ndihmon në shpërbërjen e rrjeteve kriminale.

Menaxhim i sigurt i fjalëkalimeve në nivel personal dhe të korporatës

Siguria e shumë llogarive mbështetet, fjalë për fjalë, në një sërë... fjalëkalime, të menaxhuara mirë ose keqKjo është arsyeja pse është kaq e rëndësishme të ndiqen praktikat më të mira të përditësuara, bazuar në rekomandimet moderne si ato nga NIST ose universitetet dhe organizatat e specializuara.

Në përgjithësi, rekomandohet që fjalëkalimet të kenë të paktën 8 karaktere për llogaritë standardedhe që ato të rriten në 12-15 karaktere ose më shumë për akses të ndjeshëm ose llogari administrative. Gjatësia është një faktor kyç në forcën e sigurisë, veçanërisht nëse përdoren fraza fjalëkalimesh të lehta për t'u mbajtur mend, por të vështira për t'u hamendësuar.

Nuk ka më kuptim të imponohen rregulla absurde të ngurta të "një shkronje të madhe, një numri dhe një simboli" nëse kjo çon në përsëritjen e të njëjtit model nga të gjithë. Është e preferueshme të lejohet fjalëkalime të gjata, me çdo karakter të shtypshëm (duke përfshirë hapësirat dhe simbolet), dhe bllokoni ato që dihet se janë zbuluar në shkelje të mëparshme.

Një tjetër pikë e rëndësishme është Mos i ripërdorni fjalëkalimet në të gjitha shërbimetNëse fjalëkalimi juaj i mediave sociale shfaqet në një listë të publikuar, sulmuesi do të provojë të njëjtin kombinim në emailin tuaj, në shërbimet bankare online, në ruajtjen në cloud dhe në çdo platformë tjetër të njohur. Një gabim i vetëm do të çojë në të tjerat.

Meqenëse është jopraktike të mbash mend dhjetëra fjalëkalime të forta këto ditë, mjeti më praktik dhe i sigurt është një... menaxher fjalëkalimeshKëto aplikacione i ruajnë kredencialet tuaja në një bazë të dhënash të enkriptuar, të mbrojtur nga një fjalëkalim i vetëm kryesor (dhe mundësisht me MFA). Ato gjithashtu ju lejojnë të gjeneroni automatikisht fjalëkalime shumë të forta pa pasur nevojë t'i mësoni përmendësh.

Autentifikimi shumëfaktorësh: pengesa shtesë që bën diferencën

La vërtetimi me shumë faktorë (MFA) Shton një shtresë shtesë sigurie për fjalëkalimet, duke kërkuar më shumë sesa thjesht "atë që dini". Zakonisht kombinon një faktor njohurie (çelës), një faktor posedimi (telefon celular, token, çelës fizik) dhe, në disa raste, një faktor të natyrshëm (gjurmë gishti, fytyrë, zë).

Kjo qasje do të thotë që edhe nëse një sulmues në një farë mënyre e merr fjalëkalimin tuaj, atij prapëseprapë i mungon ai hap i dytë për të përfunduar aksesin. Kjo është arsyeja pse shumë agjenci të sigurisë kibernetike argumentojnë se aktivizimi i MFA-së në shërbimet kritike mund ta parandalojë këtë. shumica dërrmuese e hakerave të llogarive bazuar në vjedhje ose rrjedhje të kredencialeve.

Në nivelin e ndërmarrjes, ka kuptim të jepet përparësi mbrojtjes shumëfaktorëshe në qasje administrative, email të korporatës, VPN, mjete menaxhimi dhe sisteme që trajtojnë të dhëna të ndjeshmePasi të vendoset në këto mjedise, mund të zgjerohet edhe për pjesën tjetër të përdoruesve.

Rekomandohet të përdoren faktorët më rezistent ndaj phishing-ut, siç janë aplikacionet e vërtetimit, njoftimet push të verifikuara ose çelësat e sigurisë fizike, duke shmangur sa më shumë që të jetë e mundur SMS-të, të cilat mund të jenë subjekt i mashtrimeve siç është ndërrimi i kartës SIM.

Që e gjithë kjo të funksionojë, duhet të përcaktojmë politika të qarta për rikuperimin e llogarisëProcedurat për ndërrimin e pajisjeve ose zëvendësimin e një faktori të dytë të humbur, dhe monitorimin e përpjekjeve të dështuara të vërtetimit për të zbuluar modele të dyshimta.

Politikat për asgjësimin dhe trajtimin e pajisjeve të vjetruara

Sa herë që një kompani përmirëson kompjuterët, telefonat celularë ose serverët e saj, ajo përballet me një rrezik të heshtur: informacion që mbetet në pajisjet e vjetraNëse nuk menaxhohen siç duhet, këto pajisje mund të bëhen një minierë ari për këdo që i merr ose i gjen ato.

Hapi i parë është krijimi i një politika e brendshme e menaxhimit dhe asgjësimit të të dhënave që përfshin një inventar të azhurnuar të pajisjeve, procedura specifike sipas llojit të pajisjes dhe përgjegjësi të qarta në lidhje me atë se kush vendos se çfarë bëhet me secilën prej tyre.

Për t'u siguruar që të dhënat nuk mund të rikuperohen, është e nevojshme të përdoret metoda të sigurta shkatërrimiKjo mund të shkojë nga fshirja logjike duke përdorur softuer që mbishkruan informacionin disa herë, deri te shkatërrimi fizik i disqeve dhe mediave kur niveli i ndjeshmërisë e kërkon këtë.

Në rastin e laptopëve, telefonave celularë dhe tabletave që përdoren në punën nga distanca ose punën hibride, është thelbësore të ketë zgjidhje për menaxhimi i pajisjeve (MDM) që lejojnë fshirjen nga distanca të informacionit të korporatës në rast humbjeje, vjedhjeje ose pushimi nga puna të punonjësve.

Për më tepër, të gjitha këto praktika duhet të jenë në përputhje me detyrimet ligjore për mbrojtjen e të dhënave të zbatueshme në çdo vend ose sektor, në mënyrë që organizata të mund të demonstrojë kujdesin e duhur përballë auditimeve ose inspektimeve.

Së fundmi, këshillohet që të kryhet auditimet periodike për të verifikuar që proceset e fshirjes dhe shkatërrimit janë ekzekutuar në mënyrë korrekte, për të identifikuar dobësitë dhe për të përshtatur politikat ndërsa ndryshojnë teknologjitë dhe rreziqet.

Trajnimi dhe kultura e sigurisë kibernetike: roli i faktorit njerëzor

Një pjesë e madhe e shkeljeve të sigurisë burojnë, drejtpërdrejt ose tërthorazi, nga gabim njerëzorNuk ka të bëjë me fajësimin e përdoruesit, por me pranimin se pa trajnim dhe kulturë për sigurinë kibernetike, çdo organizatë është e cenueshme.

Programet e trajnimit duhet të shkojnë përtej kursit tipik të vetëm dhe të bëhen një proces i vazhdueshëmËshtë e rëndësishme që ekipet të mësojnë të identifikojnë shenjat e phishing-ut, të menaxhojnë mirë fjalëkalimet e tyre, të shfletojnë në mënyrë të sigurt dhe të kuptojnë politikat për përdorimin e pajisjeve personale dhe të korporatave.

L simulime sulmesh periodikeUshtrimet, veçanërisht ato që përfshijnë fushata phishing, janë një mjet shumë efektiv për të testuar atë që është mësuar dhe për të identifikuar dobësitë. Gjëja e rëndësishme është që këto ushtrime të shoqërohen me reagime konstruktive, jo me ndëshkime.

Menaxhmenti i lartë duhet të përfshihet dhe udhëheq me shembullDuke ndjekur të njëjtat standarde që kërkohen nga të gjithë të tjerët, duke mbështetur iniciativat e sigurisë dhe duke u dhënë atyre dukshmëri. Nëse ata që janë përgjegjës i anashkalojnë procedurat, mesazhi i nënkuptuar është se siguria nuk është aq e rëndësishme.

Krijoni një mjedis ku kushdo mund të Raportoni incidente ose dyshime pa frikë Është po aq e rëndësishme. Ndonjëherë, ndryshimi midis një frike dhe një katastrofe qëndron në faktin se dikush raporton në kohë një email të çuditshëm, një faqe interneti të pazakontë ose sjellje jonormale të kompjuterit.

Me masa të përshtatshme teknike, zakone dixhitale të përgjegjshme dhe një kulturë që e vendos sigurinë si një përparësi të përbashkët, është e mundur... zvogëlon në mënyrë drastike rrezikun të vjedhjes së të dhënave personale dhe i bëjnë si përdoruesit ashtu edhe kompanitë shumë më pak të ekspozuara ndaj sulmeve kibernetike që ndodhin çdo ditë.