Wenn Sie in einem geschäftlichen Umfeld arbeiten, müssen Sie unweigerlich mit sensiblen Informationen umgehen. Um sie zu schützen, muss Ihre gesamte Organisation der Sicherheit Priorität einräumen. Stellen Sie vom ersten Tag an sicher, dass alle Mitarbeiter im Unternehmen verstehen, welche Informationen sensibel sind und welche Rolle sie beim Schutz haben. Begrenzen Sie außerdem, wer auf diese Daten zugreifen kann, und ergreifen Sie Maßnahmen, damit Sie nur das speichern, was für Ihr Unternehmen unbedingt erforderlich ist.
Schritte
Methode 1 von 5: Identifizieren sensibler Informationen
Schritt 1. Schützen Sie alle Informationen Ihres Unternehmens, die andere nicht haben sollten
Als Führungskraft ist es wichtig, gründlich zu beurteilen, was sensibel ist und was nicht. Die Einzelheiten variieren natürlich von Unternehmen zu Unternehmen, aber im Allgemeinen sollten Sie Maßnahmen ergreifen, um alles abzusichern, was Ihren Kunden, Ihren Mitarbeitern oder dem Erfolg Ihres Unternehmens schaden könnte, wenn es öffentlich bekannt wird.
- Beispielsweise müssen Sie möglicherweise personenbezogene Daten Ihrer Kunden schützen, z. B. deren Namen, Sozialversicherungsnummern und Kreditkarteninformationen.
- Auf der anderen Seite sind Sie möglicherweise eher daran interessiert, den Zugriff auf bestimmte Prozesse oder Formeln zu beschränken, die Ihnen einen Vorteil gegenüber Ihren Mitbewerbern verschaffen, die als Geschäftsgeheimnisse bezeichnet werden. Dies können Formeln oder Herstellungsprozesse, das Finanzmodell Ihres Unternehmens, Listen Ihrer Lieferanten, Akquisitionsinformationen oder Ihre Verkaufsmethoden sein.
- Berücksichtigen Sie bei der Bewertung, welche Informationen als vertraulich eingestuft werden sollen, auch, wie lange Sie diese Informationen aufbewahren müssen. Im Fall von Kundeninformationen zum Beispiel bleiben diese immer sensibel. Bewahren Sie sie daher am besten nur so lange in Ihren Systemen auf, wie Sie sie benötigen.
Schritt 2. Schützen Sie diese Daten vor Bedrohungen wie Datendiebstahl oder -lecks
Überlassen Sie die Datensicherheit nicht nur Ihrer IT-Abteilung – sie sollte in jeden Aspekt Ihres Unternehmens integriert sein. Setzen Sie Sicherheit als oberste Priorität ein und bedenken Sie, dass Datenverluste sowohl von außerhalb als auch innerhalb Ihres Unternehmens auftreten können. Dies kann zu Betrug, Identitätsdiebstahl, Umsatzeinbußen, dem Vertrauen Ihrer Kunden und sogar rechtlichen Problemen führen.
Ihr Unternehmen könnte beispielsweise Bedrohungen durch Hacker, skrupellose Konkurrenten oder sogar Mitarbeiter ausgesetzt sein, die unbeabsichtigt sichere Informationen weitergeben
Schritt 3. Achten Sie darauf, alles als sensibel zu kennzeichnen
Sicherheit sollte zwar oberste Priorität haben, aber es ist auch wichtig, eine Unternehmenskultur zu schaffen, in der Ihre Mitarbeiter über die Informationen verfügen, die sie für ihre Arbeit benötigen. Wenn Sie gegenüber Ihren Mitarbeitern im Allgemeinen transparent sind, werden sie die Informationen besser verstehen, die Sie nicht mit ihnen teilen können.
Wenn Sie zu viele Informationen als sensibel kennzeichnen, werden Mitarbeiter wahrscheinlich Problemumgehungen für das Sicherheitsprotokoll finden, um auf die benötigten Daten zuzugreifen
Methode 2 von 5: Umgang mit geschützten Daten
Schritt 1. Informieren Sie sich über die gesetzlichen Anforderungen für den Umgang mit sensiblen Informationen
Es gibt eine Reihe von gesetzlichen Bestimmungen, die sich darauf auswirken können, wie Ihr Unternehmen mit sensiblen Daten umgehen muss. Diese Statuten können sich auf alle auswirken, von den Unternehmensleitern bis hin zu Mitarbeitern an vorderster Front. Stellen Sie also sicher, dass alle die Vorschriften einhalten.
- Wenn Ihr Unternehmen beispielsweise Finanzdienstleistungen wie das Einlösen von Schecks oder die Vergabe von Krediten anbietet, müssen Sie gemäß dem Gramm-Leach-Bliley-Gesetz alle nicht öffentlichen personenbezogenen Daten schützen, einschließlich der Namen der Verbraucher, der Adressen, des Zahlungsverhaltens oder der Informationen, die Sie aus Verbraucherberichten erhalten.
- Wenn Sie ein Mitarbeiter des Unternehmens sind, sollten Sie sich auch der Regeln des Unternehmens zum Umgang mit sensiblen Informationen bewusst sein.
- Ziehen Sie in Erwägung, sich an einen auf Gesellschaftsrecht spezialisierten Anwalt zu wenden, um sicherzustellen, dass Sie rechtlich geschützt sind.
Schritt 2. Kommunizieren Sie die Erwartungen Ihres Unternehmens klar an die Mitarbeiter
Machen Sie Sicherheit zu einem festen Bestandteil Ihrer Unternehmenskultur. Geben Sie allen Mitarbeitern ein Handbuch oder eine Broschüre über Ihre Datenschutzerwartungen und ihre Rolle bei der Informationssicherheit. Darüber hinaus sollten Sie alle Ihre Mitarbeiter regelmäßig im Umgang mit sensiblen Informationen schulen.
- Sie können beispielsweise eine jährliche Sicherheitsschulung durchführen und dann eine E-Mail senden, wenn Ihre Sicherheitsprozesse geändert werden.
- Sie können auch an jedem Standort Ihres Unternehmens Beschilderungen anbringen, damit die Sicherheit bei Ihren Mitarbeitern im Vordergrund steht.
- Fordern Sie Ihre Mitarbeiter auf, täglich vor der Abreise ihre Schreibtische aufzuräumen, ihre Computer abzumelden und ihre Aktenschränke oder Büros abzuschließen.
- Ermutigen Sie Ihre Mitarbeiter, mögliche Datenschutzverletzungen zu melden. Sie können sogar ein Anreizprogramm erstellen, um Mitarbeiter zu belohnen, die Sie auf ein Problem aufmerksam machen!
Schritt 3. Schulen Sie Ihre Mitarbeiter, um Phishing zu erkennen und zu vermeiden
Manchmal senden Hacker E-Mails oder tätigen Telefonanrufe, die so aussehen, als kämen sie aus dem Inneren des Unternehmens, obwohl dies nicht der Fall ist. Dies geschieht normalerweise, um Zugang zu sicheren Daten zu erhalten. Stellen Sie sicher, dass alle Ihre Mitarbeiter wissen, dass sie niemals vertrauliche Informationen per Telefon oder E-Mail preisgeben. Besprechen Sie außerdem, wie sie Phishing-Anfragen schnell erkennen können.
- Wenn eine E-Mail beispielsweise verdächtig erscheint, sollte der Empfänger die Domäne, von der die E-Mail gesendet wurde, sorgfältig überprüfen.
- Phishing-Anrufe geben oft vor, von der IT-Abteilung zu stammen. Machen Sie also deutlich, dass Ihr technisches Team niemals am Telefon nach dem Benutzernamen oder dem Passwort eines Mitarbeiters fragen wird.
- Mitarbeiter, die Anrufe von Kunden erhalten, sollten einen Prozess zur Überprüfung der Kundendaten haben, bevor sie Kontoinformationen telefonisch besprechen.
Schritt 4. Erstellen Sie interne Systeme für den Umgang mit sensiblen Daten
Beginnen Sie mit einer Top-Down-Bewertung, um die sensiblen Informationen zu identifizieren, die Ihr Unternehmen verarbeitet, und wo Sie möglicherweise anfällig für Datenverlust sind. Erstellen Sie dann eine schriftliche Richtlinie, wie Sie diese Informationen sichern, wie lange sie gespeichert werden und wie Sie sie entsorgen, wenn Sie sie nicht mehr benötigen.
- Stellen Sie sicher, dass alle sensiblen Informationen eindeutig gekennzeichnet sind, egal ob es sich um digitale Daten oder physische Kopien handelt.
- Berücksichtigen Sie, wie einzelne Mitarbeiter mit Daten umgehen sollen, auf die sie Zugriff haben, einschließlich der Vermeidung sensibler Unterlagen auf ihren Schreibtischen. Dies wird als Clean-Desk-Richtlinie bezeichnet.
Schritt 5. Kontrollieren Sie, wer Zugriff auf sensible Informationen hat
Erstellen Sie eine Need-to-Know-Richtlinie, bei der Mitarbeiter nur Zugriff auf Informationen haben, die sie direkt für ihre Arbeit benötigen. Dazu gehören die Einschränkung des Zugriffs auf Computerdaten sowie das Ergreifen physischer Sicherheitsmaßnahmen wie das Aufbewahren von Papieren, Ausweisen, Zugangsschlüsseln und Sicherheitscodes in verschlossenen Räumen oder Aktenschränken.
Erlauben Sie Mitarbeitern nicht, sensible Daten aus Firmengebäuden zu entfernen, einschließlich Laptops mit nach Hause zu nehmen oder E-Mails mit geschützten Informationen zu senden
Schritt 6. Schützen Sie die Informationen auf den Computern der Mitarbeiter
Der Verlust digitaler Daten ist eine große Bedrohung für jedes Unternehmen, das mit sensiblen Informationen umgeht. Halten Sie Firewalls, Verschlüsselungsprotokolle und Antivirensoftware auf dem neuesten Stand. Fordern Sie außerdem alle Mitarbeiter auf, sichere Passwörter zu verwenden, die Buchstaben, Zahlen und Symbole enthalten. Andere Maßnahmen können sein:
- Einrichten von Unternehmenscomputern, damit sie nach einer bestimmten Zeit der Inaktivität automatisch ablaufen.
- Senden Sie sensible Informationen nur über verschlüsselte E-Mails oder sichere Kuriere und nur an Personen, die dazu berechtigt sind.
- Verwenden Sie immer sicheres Drucken.
- Sicherstellen, dass die IT weiß, wer auf sensible Informationen zugreifen kann und wer nicht.
- Anwendung der gleichen Sicherheitsmaßnahmen für Mitarbeiter, die von zu Hause aus arbeiten.
Schritt 7. Beschränken Sie, wie viele Daten das Gebäude verlassen, indem Sie Laptops einschränken
Im Allgemeinen ist es am besten, wenn Mitarbeiter Desktop-Computer verwenden, insbesondere wenn auf ihnen sichere Informationen gespeichert sind. Wenn ein Mitarbeiter für seine Arbeit einen Laptop benötigt, beschränken oder verschlüsseln Sie alle sensiblen Daten, die auf diesem Computer gespeichert sind.
- Vermeiden Sie ebenso die Menge an sicheren Daten, auf die Mitarbeiter von ihren Telefonen oder Tablets aus zugreifen können.
- Installieren Sie eine Remote-Wipe-Funktion auf Laptops und anderen Geräten. Auf diese Weise können Sie diese Daten bei Verlust oder Diebstahl vernichten, damit sie nicht kompromittiert werden können.
Schritt 8. Stellen Sie sicher, dass vertrauliche Diskussionen sicher sind
Wenn in Ihrem Unternehmen eine Besprechung über Geschäftsgeheimnisse oder andere private Informationen stattfindet, sollten Sie diese in einem privaten Raum abhalten, um ein Abhören zu vermeiden. Stellen Sie außerdem sicher, dass nur Personen an der Besprechung teilnehmen, die berechtigt sind, diese Informationen zu kennen.
Sie können beispielsweise einen privaten Konferenzraum mit schallisolierten Wänden nutzen
Schritt 9. Bewahren Sie keine sensiblen Daten auf, die Sie nicht benötigen
Es gibt keinen Grund, den Verlust sensibler Daten zu riskieren, wenn diese nicht wesentlich für den Betrieb Ihres Unternehmens sind. Akzeptieren oder speichern Sie keine unnötigen privaten Daten von Verbrauchern, z. B. indem Sie eindeutige Kontonummern verwenden, anstatt Ihre Kunden anhand ihrer Sozialversicherungsnummern zu identifizieren.
- Wenn Sie sensible Informationen sammeln müssen, wie z. B. eine Kreditkartennummer, sollten Sie diese aus Ihrem System löschen, sobald Sie die Transaktion abgeschlossen haben.
- Bestimmte Informationen erfordern, dass Sie strenge gesetzliche Anforderungen erfüllen, wie z. B. den Schutz von Patienteninformationen durch HIPAA. Wenn Sie diese Anforderungen nicht erfüllen, kann dies zu hohen Geldstrafen führen. Wenn Sie es also nicht handhaben oder lagern müssen, ist es am besten, es ganz zu vermeiden.
Schritt 10. Haben Sie einen Plan, wie Sie mit einer Sicherheitsverletzung umgehen
Der Plan sollte detailliert beschreiben, wie Sie Ihr Geschäft am Laufen halten, wenn es eine Art Sicherheitsverletzung oder Datenverlust gibt. Dies sollte auch die Maßnahmen des Unternehmens zum Schutz der Daten im Falle einer Katastrophe abdecken, die Ihre Systeme angreifbar machen könnte.
Wenn es beispielsweise einen weit verbreiteten Stromausfall gibt, sollten Sie wissen, ob Ihre digitalen Daten anfälliger für Hackerangriffe sind. Wenn dies der Fall ist, ergreifen Sie Maßnahmen, um dieses Risiko zu beseitigen
Schritt 11. Führen Sie regelmäßige Audits durch, um die Sicherheitskonformität zu überprüfen
Planen Sie regelmäßig zu bewerten, wer auf welche Informationen zugreift – auch innerhalb Ihrer IT-Abteilung. Verstehen Sie, wo Ihre sensiblen Daten im System gespeichert sind, damit Sie sofort wissen, ob jemand versucht, darauf zuzugreifen.
- Überwachen Sie den Datenverkehr auf Ihrem System, insbesondere wenn große Datenmengen zu oder von Ihrem System übertragen werden.
- Achten Sie außerdem auf mehrere Anmeldeversuche von neuen Benutzern oder unbekannten Computern, da dies ein potenzieller Hinweis darauf sein könnte, dass jemand versucht, auf sichere Daten zuzugreifen.
Methode 3 von 5: Beratung neuer & ausscheidender Mitarbeiter
Schritt 1. Binden Sie alle Mitarbeiter mit Vertraulichkeitsvereinbarungen oder -klauseln
Bitten Sie jeden neuen Mitarbeiter, eine Geheimhaltungsvereinbarung (NDA) zu unterzeichnen, wenn er an Bord geholt wird – bevor er Zugang zu Geschäftsgeheimnissen oder Kundendaten erhält. Dies verhindert zwar nicht jeden Fall von Datenverlust, bietet Ihnen jedoch einen gewissen Rechtsschutz für den Fall, dass es auftritt.
Stellen Sie sicher, dass die NDA-Laufzeit ausreichend lang ist, um Sie auch nach dem Ausscheiden des Mitarbeiters zu schützen
Schritt 2. Führen Sie eine Diskussion über die Datensicherheit, wenn jemand eingestellt wird
Geben Sie neuen Mitarbeitern das Handbuch oder die Broschüre mit Ihrem Sicherheitsprotokoll. Erwarten Sie jedoch nicht nur, dass sie es lesen und verstehen, sondern erklären Sie es ihnen während des Onboarding-Prozesses deutlich.
- Erklären Sie jedem Mitarbeiter, dass die Aufrechterhaltung der Datensicherheit Teil seiner Stellenbeschreibung ist.
- Sprechen Sie alle relevanten Gesetze und internen Richtliniendokumente durch.
- Denken Sie daran, dass dies alle Mitarbeiter umfassen sollte, einschließlich Mitarbeiter in Außenstellen und Saison- oder Zeitarbeitern.
Schritt 3. Führen Sie ein Austrittsgespräch durch, wenn ein Mitarbeiter ausscheidet
Erinnern Sie sie während dieses Gesprächs an ihre Geheimhaltungsvereinbarung und an ihre Verpflichtungen im Zusammenhang mit sensiblen Informationen, auf die sie möglicherweise Zugriff hatten. Bitten Sie sie außerdem, ihre Firmengeräte, Sicherheitsausweise, Schlüssel usw. zurückzugeben.
Lassen Sie auch alle Sicherheitsberechtigungen und Passwörter von der IT widerrufen
Methode 4 von 5: Informieren von Dritten und Besuchern
Schritt 1. Nehmen Sie Klauseln über sensible Informationen in Verträge mit Dritten auf
Wenn Sie Geschäfte mit externen Parteien wie Anbietern und Lieferanten tätigen, stellen Sie sicher, dass diese sich ihrer Verantwortung zum Schutz sensibler Informationen bewusst sind. Stellen Sie außerdem sicher, dass Sie sich darüber im Klaren sind, wann Sie sie über als privat eingestufte Informationen informieren müssen.
- Es empfiehlt sich, in diesen Klauseln die Formulierung „alle nicht-öffentlichen Informationen“zu verwenden – auf diese Weise müssen Sie nicht jedes einzelne Stück sensibler Daten kennzeichnen.
- Möglicherweise müssen Sie auch Ihre Dienstanbieter NDAs unterschreiben lassen, wenn sie in sensible Informationen eingeweiht werden.
Schritt 2. Geben Sie Daten nur bei Bedarf frei
Stellen Sie genau wie bei Ihren Mitarbeitern sicher, dass alle Dritten Sie nur dann Informationen an Dritte weitergeben, wenn dies für deren Arbeitsfähigkeit unbedingt erforderlich ist. Dies wird als "Least-Privilege"-Richtlinie bezeichnet.
- Stellen Sie außerdem sicher, dass Informationen nur sicher ausgetauscht werden, beispielsweise über verschlüsselte Netzwerke oder in privaten Meetings.
- Überprüfen Sie regelmäßig die Zugangsdaten und den Zugriff, die Ihren Dritten gewährt wurden, und stellen Sie sicher, dass Sie genau wissen, wer sie verwendet.
Schritt 3. Lassen Sie die Besucher bei Bedarf NDAS unterschreiben
Wenn ein Besucher Ihres Unternehmens möglicherweise Zugang zu sicheren Informationen hat, lassen Sie ihn beim Einchecken eine Geheimhaltungsvereinbarung unterzeichnen. Speichern Sie diese NDAs für Besucher in einer Datei, solange sie gültig sind, falls eine Person später gegen die Vereinbarungen verstößt.
Wenn beispielsweise ein Vertreter Ihres Lieferanten Ihre Einrichtung besichtigt und einen Einblick in einen nicht öffentlichen Herstellungsprozess erhält, wäre es eine gute Idee, ihn eine NDA unterzeichnen zu lassen
Schritt 4. Beschränken Sie den Besucherzugriff auf sichere Informationen
Während eine NDA Ihnen einen Rechtsweg einräumen kann, wenn ein Besucher private Informationen bespricht, ist es am besten, diesen überhaupt keinen Zugriff auf diese Daten zu gewähren. Legen Sie eine Richtlinie fest, die verhindert, dass Besucher Bereiche betreten, in denen sichere Informationen gespeichert sind, und überwachen Sie, wo sie sich auf dem Gelände aufhalten.
Zum Beispiel könnten Sie einen Mitarbeiter haben, der Besucher begleitet, um sicherzustellen, dass sie nicht in gesperrte Bereiche gehen
Methode 5 von 5: Speicherung und Entsorgung vertraulicher Informationen
Schritt 1. Seien Sie sich bewusst, wie sensible Informationen in Ihr Unternehmen gelangen
Um sensible Informationen zu schützen, müssen Sie die Einstiegspunkte kennen. Beurteilen Sie, woher diese Informationen stammen, woraus sie bestehen und wer Zugriff darauf haben könnte. Einige potenzielle Quellen können sein:
- Sie erhalten beispielsweise Informationen von Bewerbern, Kunden, Kreditkartenunternehmen oder Banken.
- Diese Informationen können über Ihre Website, E-Mail, Post, Registrierkassen oder Ihre Buchhaltung in Ihr Unternehmen gelangen.
Schritt 2. Speichern Sie sowohl digitale Informationen als auch Papierkram sicher
Datensicherheit erfordert einen zweigleisigen Ansatz. Sie müssen nicht nur Ihre Computersysteme schützen, sondern auch sicherstellen, dass alle Unterlagen sorgfältig gesichert sind.
- Stellen Sie sicher, dass alle Unterlagen in verschlossenen Aktenschränken aufbewahrt werden und nur autorisierten Mitarbeitern Zugriff gewährt wird, die diese Informationen rechtmäßig benötigen.
- Stellen Sie neben der Sicherung Ihrer digitalen Daten vor Ort sicher, dass der gesamte Cloud-Speicher eine Multi-Faktor-Authentifizierung und -Verschlüsselung verwendet.
Schritt 3. Bewahren Sie digitale Informationen sorgfältig auf
Vermeiden Sie es, wenn möglich, sensible Daten auf Computern mit Internetzugang zu speichern. In Fällen, in denen Sie diese Informationen auf einem Computer mit Internetverbindung benötigen, stellen Sie sicher, dass sie sicher verschlüsselt sind. Du kannst auch:
- Verwenden Sie sichere Server, einschließlich Cloud-Speicher.
- Verschlüsseln (oder Hash) von Client-Passwörtern.
- Passwörter regelmäßig aktualisieren.
- Halten Sie die Sicherheitssoftware auf dem neuesten Stand.
- Achten Sie auf Software-Schwachstellen.
- Steuern Sie den USB-Zugriff.
- Sichern Sie Informationen an einem sicheren Ort.
Schritt 4. Entsorgen Sie den Papierkram, indem Sie ihn vernichten
Werfen Sie alte Anwendungen oder Client-Dateien nicht einfach in den Papierkorb. Investieren Sie stattdessen in hochwertige Aktenvernichter mit Querschnitten und stellen Sie sicher, dass sie im Büro leicht zugänglich sind. Entsorgen Sie dann die zerkleinerten Papiere in vertraulichen Abfalleimern.
Denken Sie daran, alte Aktenschränke auszuräumen, bevor Sie sie verkaufen oder wegwerfen
Schritt 5. Löschen Sie Festplatten vollständig, bevor Sie Geräte entsorgen
Verwenden Sie ein sicheres Dienstprogramm zur Datenvernichtung, um sicherzustellen, dass Sie alle Informationen auf dem Computer, Telefon oder Tablet vernichten. Verlassen Sie sich nicht nur auf die Neuformatierung der Festplatte – das reicht nicht aus, um alle Daten vollständig zu löschen, selbst wenn Sie sie anschließend überschreiben.