Развитие информационных технологий происходит быстрыми темпами, при этом свежая информация появляется и обрабатывается ежеминутно. Часто компаниям просто не хватает времени на то, чтобы отделить "зерна" от "плевел" и, как следствие, обнародовать конфиденциальные данные, такие как домашние адреса клиентов для доставки.

Большинство фирм освоили сбор данных, некоторые отважились на их обработку, а меньшее число - на их анализ, но не все поняли, как их защитить. В этой статье мы рассмотрим, что квалифицируется как конфиденциальные данные, как их защитить и основные ошибки, допущенные при обработке конфиденциальных данных.

Что отличает обычные данные от конфиденциальных?

В связи с тенденцией накопления данных на рынке, корпорации всем сердцем приняли ее. Это открывает многочисленные возможности для роста, расширения и оптимизации бизнеса, а также для вывода на рынок новых предложений. Например, внимательно изучая поведение клиентов, вы можете подарить им нужные товары в подходящий момент. Или, просто зная дни рождения клиентов, отправьте купон на скидку в качестве подарка, поощряя новую покупку. Возможностей великое множество, и они связаны с совершенно разными типами данных. Вот почему предприятия накапливают данные еще до того, как понимают, как их использовать. Это на всякий случай.

Аналогичным образом, не всегда возможно мгновенно определить значимость данных и степень требуемой защиты. Некоторые предпочитают чрезмерную осторожность, надежно храня данные с самого начала, в то время как другие оставляют их на всеобщее обозрение, подвергая их риску. Чувствительность данных можно оценить, задав вопрос — каковы последствия, если они будут украдены?

Возможны два исхода. Ничего не происходит — данные не являются конфиденциальными. Нарушитель, прямо или косвенно, может нанести вред бизнесу или клиентам. Например, из-за кражи личных данных, таких как полные имена и номера телефонов, и публикации их в Интернете репутация компании подвергается удару. Или, путем кражи данных человека — его адреса, покупательских наклонностей и, скажем, даты рождения, организовать атаку социальной инженерии.

Конфиденциальные данные включают информацию, которая потенциально может поставить под угрозу ее владельца. Для обычных людей это в основном личные и финансовые данные, медицинские данные, данные о взаимоотношениях, личные изображения и данные о предпочтениях. Для компаний она включает внутренние деловые записи, базы данных клиентов и сотрудников, конфиденциальные документы, оценки рынка и тому подобное.

Распознавание конфиденциальных данных

Кража или раскрытие конфиденциальных данных подрывает конфиденциальность клиентов компании, приводит к финансовым сбоям и может даже угрожать безопасности организации. Следовательно, крайне важно отличать конфиденциальные персональные данные от обычных. Это включает в себя классификацию данных и оценку рисков.

Это может включать оценку потенциального ущерба в случае утечки данных, а также изучение юридических требований в отношении конкретных типов данных. Прежде всего, все, что связано с конфиденциальной информацией и личными данными, должно быть защищено. Однако задача идентификации типов данных на этом не заканчивается. Например, коммерческая тайна может быть защищена в соответствии с приказом 21 или по вашему усмотрению, но личные данные должны быть засекречены и защищены законом. Эксперты по информационной безопасности полагают, что для точного определения конфиденциальных данных компании отделу информационной безопасности вместе с представителями различных секторов — бухгалтерского, юридического, кадрового и маркетингового - следует разработать рекомендации по выявлению конфиденциальной информации. Основное внимание здесь будет уделено потенциальному финансовому или репутационному ущербу от утечки информации. Тем не менее, индикатор потенциальной угрозы утечки данных не всегда может быть объективным. Многочисленные киберинциденты, связанные с социальной инженерией, демонстрируют, что даже, казалось бы, безобидные данные о человеке могут быть использованы для совершения преступления.

Основные ошибки при обработке конфиденциальных данных

В утечке конфиденциальных данных могут быть виноваты как предприятия, так и пользователи. На корпоративной стороне обычным виновником является элементарное пренебрежение нормами информационной безопасности. Например, незащищенные корпоративные сети, работающие на устаревших операционных системах или отсутствие антивирусной защиты. Со стороны пользователя — незнание норм кибергигиены и непонимание того, какие данные могут быть конфиденциальными. Распространенные ошибки, приводящие к утечке конфиденциальных данных:

• Неадекватные меры защиты паролем и учетной записью
• Отсутствие классификации данных внутри фирмы
• Неправильно настроенные системы безопасности
• Отсутствие шифрования данных
• Сотрудники не обучены кибергигиене

Более того, информация часто недооценивается как корпорациями, так и частными лицами. Например, человек может считать свои паспортные данные важными, но безразлично относиться к распространению информации о своем здоровье в социальных сетях. Как и в любой другой области информационной безопасности, первостепенное значение имеют элементарные меры. Например, запоминание обновлений, оперативное обучение персонала кибергигиене и использование защитного программного обеспечения.

Вывод

Тема конфиденциальных данных неуклонно набирает обороты, поскольку только в последнее время злоумышленники научились активно использовать личные или корпоративные данные для совершения правонарушений. Для более крупных и технологически продвинутых компаний проблема решается на более сложном уровне, поскольку они научились не только анализировать и сегментировать данные, но и защищать их. Однако следует учитывать еще один аспект - самих пользователей, обслуживаемых компанией. Они могут быть минимально осведомлены о ценности своих персональных данных и спровоцировать утечку.