Questo è un problema variabile difficile dal punto di vista aziendale. presumo
dalla tua domanda, sei più interessato a ciò che l'azienda può fare piuttosto
che su ciò che l'individuo può fare.
Penso che ci siano due aree principali su cui le aziende dovrebbero concentrarsi
ridurre il rischio che i loro dati vengano compromessi e utilizzati per il furto di identità
- Consapevolezza ed educazione dello staff
- Aumentare la maturità delle capacità aziendali
La maggior parte delle violazioni dei dati viene avviata tramite attacchi di social engineering
contro il personale. Questi spesso prendono la forma di attacchi e-mail di phishing e spear phishing
contro il personale. Aumentare la consapevolezza del personale su questi tipi di ingegneria sociale
gli attacchi sono un buon modo per ridurre i rischi. Questo è il motivo per cui molte grandi organizzazioni
ora condurre campagne di phishing contro il proprio staff come allenamento
processi. Per esempio, Twitter fa questo come parte del nuovo staff
induzione. Ci sono un certo numero di aziende, come Phish5, che forniscono questo
tipo di servizio alle corporazioni.
L'altra cosa che l'azienda dovrebbe fare è avere una politica e procedure chiare
per quanto riguarda raccolta, archiviazione e distruzione dei dati, politica e procedure
relativo alla governance, classificazione e custodia dei dati che lo rende
chiaro chi è responsabile di garantire che tutti i dati siano conformi alla politica aziendale e
procedure.
Tuttavia, avere queste politiche e procedure non è sufficiente. La corporazione
ha anche bisogno di avere procedure in atto per garantire queste politiche e procedure
vengono seguiti e vengono periodicamente riesaminati. Questo è
essenzialmente il modello di maturità delle capacità (CMM). In questo modello, una società
la maturità è misurata in base a dove si siedono rispetto alla documentazione
di politica e procedure e livello di adesione. I livelli, dal più basso a
il più alto tende ad essere lungo le linee di
1. Policies and procedures are ad hoc and not documented
2. Policies and procedures are documented, but may not be adhered to
3. Policies and procedures are documented and adhered to, but adherence is
not verified
4. Documented policies and procedures are adhered to and adherence is
verified (logged, audited, etc)
5. Documented policies and procedures are adhered to, verified and reviewed
on a regular basis.
Generalmente, lo staff tenterà di fare la cosa giusta. Tuttavia, la cosa giusta è
non sempre ovvio. Avere politiche e procedure chiare aiuterà con questo
fornire al personale le informazioni necessarie per garantire la consapevolezza dei problemi
e requisiti. Ciò porta a processi aziendali più maturi che sono meno
probabile incongruenza o basarsi su ipotesi che potrebbero non essere valide. esso
aiuta anche a garantire la giusta cultura all'interno dell'organizzazione.
Un aspetto fondamentale per raggiungere una cultura aziendale matura e consapevole dei dati è la leadership
e governance. Ci deve essere uno sforzo determinato dai dirigenti del
organizzazione per stabilire una cultura in cui i dati dei clienti sono valutati e protetti
e gestito in modo coerente e sicuro. Per le organizzazioni più grandi, questo è un
obiettivo complesso e stimolante e può richiedere uno sforzo considerevole per raggiungere.
C'è anche bisogno che i consumatori diventino più esigenti. Spesso, corporazioni
migliorerà solo quando diventerà ovvio che non farlo influenzerà il
Linea di fondo. Come consumatori, dovremmo davvero guardare a cose come il servizio
la politica sulla privacy dei fornitori ed è disposta a non utilizzare il servizio se tale politica
non fornisce una protezione sufficiente. Dovremmo tutti adottare una posizione proattiva
e rifiuta di usare un servizio se quel servizio non è disposto a dimostrarlo
intraprenderà azioni sufficienti per garantire che i nostri dati personali siano sufficienti
protetta. Dovremmo chiedere di sapere come useranno i nostri dati, quando lo faranno
distruggere i nostri dati, quali protezioni hanno in atto per i nostri dati e che loro
ci informerà di qualsiasi incidente che possa aver compromesso il
riservatezza o integrità dei nostri dati. Sfortunatamente, molti di noi lo sono
disposto a rinunciare troppo facilmente ai nostri dati personali.