در یک اقتصاد که مالکیت معنوی و داده های اختصاصی اغلب اکثریت بازار شرکت را تشکیل می دهند، ارزش گذاری نادرست اطلاعات محرمانه نه تنها یک مسئله انطباق است - این یک تهدید اختلاف عمیق وجود دارد که از طریق یک سیستم امنیتی یکپارچه شده است، نشت داده های مشتری، یا نقض وظایف فیبری پیشرفته می تواند منجر به مجازات های مالی فاجعه بار، شهرت غیر قابل برگشت شود، و همکاری گسترده ای از طریق ابزارهای مهندسی اطلاعات جعلی، می تواند به خطر انداختن سریع اطلاعات، و یا نقض اطلاعات از دست رفته، آسیب رساندن سریع اطلاعات تجاری.

تعریف و طبقه بندی اطلاعات محرمانه

یکی از رایج ترین نقاط شکست در امنیت شرکت ها تعریف مبهمی از آنچه که "اطلاعات مطمئن" را تشکیل می دهد، دادگاه ها در مورد ادعاهای نادرست ارزیابی می کنند، اغلب به منطقی بودن مراحلی که یک کسب و کار برای محافظت از داده های خود اتخاذ کرده است، اگر اسناد به وضوح مشخص نشده است، اگر دسترسی محدود نیست، یا اگر کارکنان آموزش دیده نمی شوند، حفاظت قانونی که می تواند به طور قابل توجهی از سیستم طبقه بندی رسمی محافظت کند.

اطلاعات محرمانه به طور کلی به چندین دسته مجزا می افتد که هر کدام نیاز به حفاظت خاص دارند:

  • اسرار تجاری.[۱۰] این شامل فرمول ها، الگوریتم ها، فرآیندهای تولید و لیست های مشتری است که ارزش اقتصادی مستقل را از عدم شناخته شدن به طور کلی، اسرار تجاری می تواند به طور نامحدود محافظت شود تا زمانی که رازداری حفظ شود. مثال کلاسیک فرمول کوکاکولا است، اما اسرار تجاری به همان اندازه به یک نرم افزار یا یک روش بازاریابی اختصاصی شرکت اعمال می شود.
  • ] اطلاعات کسب و کار اولویتی [ [FLT 1 ] این شامل سوابق مالی، برنامه های تجاری استراتژیک، مدل های قیمت گذاری، قراردادهای تامین کننده و داده های عملکرد داخلی است. Disclosure از این اطلاعات می تواند اهرم مذاکره، اعتماد به نفس سرمایه گذاران را تضعیف کند و به رقبا یک مزیت ناعادلانه بدهد.
  • اطلاعات قابل شناسایی شخصی (PII) و اطلاعات حفاظت شده سلامت (PHI).[۱۰] با یک وب پیچیده از مقررات حفاظت از داده عمومی (GDPR)، قانون حریم خصوصی مصرف کننده کالیفرنیا (CCPA)، و قانون بیمه درمانی و پاسخگویی (HIPAA)، نقض اطلاعات اجباری، الزامات قانونی و رسیدگی به مقررات دقیق.
  • [اطلاعات و تحقیقات فنی].[۱۰] کد منبع، طرحتیک، مشخصات مهندسی و نتایج تحقیق و توسعه، خون حیاتی فناوری و شرکت های تولیدی است.

برای عملیاتی کردن این دسته ها، شرکت ها باید یک سیاست طبقه بندی داده (FLT:1) را اتخاذ کنند، مثلاً اطلاعات را به عنوان (FLT:2) و یا (FLT:3) برای هر سیستم هدایت کننده و (FLT) فراهم می کند.

ایجاد یک بنیاد حقوقی قوی

توافق نامه های حقوقی به عنوان خط اول دفاع و مکانیسم اجرای اولیه زمانی که یک نقض رخ می دهد بدون قراردادهای به درستی پیش نویس، پیگیری درمان های قانونی به طور قابل توجهی چالش برانگیز تر و گران تر می شود.

عدم توافق نامه های بیمه (NDAs)

NDAs برای هر تعامل که اطلاعات حساس به اشتراک گذاشته شود، چه با کارکنان، پیمانکاران، سرمایه گذاران و یا اهداف بالقوه خرید ضروری است. یک NDA به راحتی به چالش کشیده شده است. مقررات کلیدی باید تعریف دقیق از آنچه که اطلاعات محرمانه را تشکیل می دهد، یک بیانیه روشن از هدف مجاز که ممکن است از آن استفاده شود، و محرومیت های صریح برای اطلاعات است که به طور عمومی شناخته شده، به طور مستقل توسعه یافته، و یا به دست آمده از طرف سوم.

این توافق باید مدت تعهد محرمانه را مشخص کند – به طور معمول دو تا پنج سال برای اطلاعات تجاری و حفاظت دائمی از اسرار تجاری. Jurisdidiction و قوانین حاکم به همان اندازه مهم هستند، به ویژه هنگامی که با احزاب در کشورهای مختلف یا کشورها سروکار دارند، NDA باید به بازگشت یا تخریب محرمانه تمام مواد مربوط به درخواست یا خاتمه رابطه تجاری (در هر دو طرف) و در نهایت اطلاعات مربوط به یکدیگر کمک کند.

قرارداد های اشتغال و پیمان های محدود

قراردادهای استخدام باید به صراحت بیان کنند که هر گونه اختراع، اکتشافات یا کارهای خلاقانه که با استفاده از منابع شرکت یا مربوط به کسب و کار توسعه یافته اند، مالکیت انحصاری کارفرما هستند.این بندها برای ایجاد مالکیت و جلوگیری از اختلافات در مورد مالکیت معنوی بسیار مهم هستند.

بسیاری از موافقت نامه های اشتغالی شامل معاهدات محدود مانند بندهای غیر صلاحیت و غیر قانونی است. چشم انداز قانونی برای این مقررات به طور چشمگیری در ایالات متحده تغییر می کند، کمیسیون تجارت فدرال (FTC) قانونی را پیشنهاد کرده است که اکثر بندهای غیر صلاحیت را ممنوع می کند، و استدلال می کند که آنها رقابت و نوآوری را کاهش می دهند.

مدیریت ریسک و ریسک شخص ثالث

وضعیت امنیتی شما تنها به عنوان ضعیف ترین لینک شما، فروشندگان، پیمانکاران و شرکای تجاری اغلب نیاز به دسترسی به شبکه ها، داده ها و امکانات شما دارند. نقض داده ها در یک فروشنده می تواند حساس ترین اطلاعات شما را افشا کند. ریگوراتیک برای ارزیابی دقیق اطلاعات پایه ای است که باید شامل افزودنی های پردازش داده (DPAs) باشد که مطابق با مقررات مربوط به فروش باشد، نیاز به امنیت کافی برای اطلاع رسانی به اقدامات امنیتی و اطمینان از داده های پایه جامد دارند.

ایجاد یک چارچوب امنیتی عملیاتی

توافق نامه های حقوقی قوانین را تعریف می کنند، اما روش های عملیاتی آنها را اجرا می کنند.یک چارچوب امنیتی قوی تضمین می کند که حفاظت در جریان کار روزانه هر کارمند تعبیه شده است.

اصل حداقل خصوصی سازی

هر کارمند، پیمانکار و سیستم باید حداقل سطح دسترسی لازم برای انجام عملکرد خود را اعطا کند.یک شریک بازاریابی جوان نیاز به دسترسی به حسابرسی مالی شرکت، فایل HR مدیر عامل یا پایگاه داده مشتری حاوی شماره کارت اعتباری، به ویژه کنترل دسترسی مبتنی بر نقش (RBAC) اجازه می دهد تا مدیران برای اختصاص مجوز بر اساس عملکرد دسترسی کار انجام شود.

تدابیر امنیتی فیزیکی

در عصر تهدیدات دیجیتال پیشرفته، امنیت فیزیکی گاهی اوقات نادیده گرفته می شود.۶ اتاق های سرور، مراکز داده و مناطق ذخیره سازی فایل باید قفل و دسترسی به آن را بررسی کنند. پیاده سازی یک سیاست سخت و سخت گیرانه برای تمام اطلاعات شخصی و کنترل های امنیتی کارکنان و داده های معتبر در کشوهای قفل شده زمانی که استفاده نمی شود، باید به راحتی در دسترس باشد.

مدیریت چرخه زندگی

داده ها نباید به طور نامحدود حفظ شوند.حفظ اطلاعات غیر ضروری هزینه های ذخیره سازی را افزایش می دهد، " شعاع بی نهایت" را در صورت نقض گسترش می دهد و کشف الکترونیکی در دادرسی پیچیده می شود، در حالی که یک پیشنهاد فروش ممکن است برای هر دسته از داده ها بر اساس الزامات قانونی و نیازهای تجاری، به عنوان مثال، سوابق مالی ممکن است نیاز به حفظ هفت سال تحت قانون مالیاتی داشته باشد، در حالی که یک پیشنهاد فروشنده ممکن است پس از حذف خودکار و هر کجا که به حذف قرارداد داده می شود.

تکنولوژی مدیریت اطلاعات برای حفاظت از داده ها

فناوری مکانیسم های اجرای خودکار را فراهم می کند که انطباق را مقیاس پذیر می کند.معمار های امنیتی مدرن بر اساس اصل اعتماد ساخته شده اند که فرض می کند هیچ کاربر، دستگاه یا شبکه ای نباید به طور پیش فرض مورد اعتماد قرار گیرد.

رمزگذاری و ماسک داده ها

تمام داده های حساس باید هر دو را در بقیه (بر روی سرورهای، پایگاه داده ها، لپ تاپ ها و دستگاه های تلفن همراه) و در حمل و نقل (یک شبکه داخلی و بیش از اینترنت) رمزگذاری شده است، داده ها به طور موثر برای تکنیک های سرقت داده ها، اجازه می دهد تا توسعه دهندگان کار با تحلیلگران واقعی و داده های در معرض خطر واقعی را کاهش دهند.

پیشگیری از از دست دادن داده ها (DLP) و نظارت بر

راه حل های DLP نظارت بر ترافیک شبکه، ارتباطات ایمیل و فعالیت نهایی برای تشخیص زمانی که داده های حساس در خارج از محیط شرکت منتقل می شود، چه کارمند به طور تصادفی یک صفحه گسترده محرمانه را به گیرنده اشتباه ارسال می کند یا یک مدیر اجرایی ترک، پایگاه داده مشتری را به یک حساب ذخیره سازی خصوصی ارسال می کند، سیستم های DLP می توانند هشدار یا به طور خودکار انتقال را با اطلاعات امنیتی و رویداد (EM) و سیستم های رفتار کاربر (به طور ناگهانی بارگیری کنند.

امنیت نهایی و حفاظت از ایمیل

بسیاری از نقض داده ها با ایمیل فیشینگ شروع می شود. دروازه های امنیتی ایمیل پیشرفته از هوش مصنوعی (EDR) برای شناسایی و مسدود کردن حملات فیشینگ پیچیده، طرح های ایمیل کسب و کار (BEC) و وابستگی های مخرب استفاده می کنند. ابزارهای شناسایی و پاسخ (EDR) به طور منظم نظارت مداوم از لپ تاپ ها و دستگاه های تلفن همراه برای نشانه های بدافزار، باج افزار غیر مجاز یا دسترسی به تأیید چند عامل (MFA) اضافه می کند یک سیستم امنیتی (F) به طور منظم امنیت رمزگذاری شده است.

فرهنگ محرمانه بودن

فناوری و سیاست ها تنها در صورتی موثر هستند که کارکنان آن ها را درک و بپذیرند. فرهنگ نیرویی است که قوانین نوشتاری را به رفتار غریزی تبدیل می کند.

آموزش و آگاهی

آموزش انطباق سالانه که از طریق یک عرشه اسلاید استاتیک تحویل داده می شود به ندرت موثر است.آموزش باید جذاب، خاص نقش و مکرر باشد.استفاده از مطالعات موردی واقعی مربوط به صنعت شما. انجام کمپین های فیشینگ شبیه سازی شده برای تست آگاهی کارکنان و ارائه مشاوره فوری به کسانی که برای شبیه سازی سقوط می کنند، باید نه تنها "چه چیزی" بلکه "چرا" را پوشش دهد - کمک به کارکنان درک می کند که محافظت از شهرت محرمانه شرکت، و سلامت کسب و کسب و کار مالی.

مدیریت چرخه زندگی کارکنان

آگاهی امنیتی روز اول کار شروع می شود و تنها پس از اتمام فرآیند خروج کامل می شود. استخدام های جدید باید توافقنامه های محرمانه را امضا کنند و قبل از دسترسی به سیستم ها آموزش امنیتی را دریافت کنند. فرآیند حذف یک نقطه کنترل به همان اندازه حیاتی است.هنگامی که یک کارمند استعفا می دهد یا خاتمه می یابد، دسترسی به تمام سیستم ها باید بلافاصله لغو شود. IT باید تایید کند که تمام دستگاه ها و داده ها به اطلاع رسانی از اطلاعات محرمانه خود بازگشته اند.

برنامه ریزی حوادث

هیچ برنامه امنیتی کامل نیست، هنگامی که یک نقض یا نشت رخ می دهد، سرعت و اثربخشی پاسخ تعیین می کند که آیا وضعیت به یک بحث کامل تبدیل می شود. A نوشته شده ] طرح پاسخ منظم IR (IRP) [FLT 1 باید روش های خاصی را برای تشخیص، مهار، ریشه کن کردن، و بازیابی طرح باید یک گروه پاسخ روشن با دستورالعمل های مدیریت اطلاعات، و مدیریت اطلاعات، از جمله مسئولیت های مدیریت اطلاعات، و مدیریت اطلاعات، و مدیریت اطلاعات، مدیریت اطلاعات، مدیریت اطلاعات، و مدیریت اطلاعات، از جمله وظایف مدیریت اطلاعات، و مدیریت اطلاعات، مدیریت اطلاعات، و مسئولیت های قانونی را مشخص کند.

هنگام شکست در هنگام پیشگیری

علی رغم بهترین تلاش ها، اختلافات مربوط به اطلاعات محرمانه ممکن است هنوز هم بوجود آید.یک کارمند سابق ممکن است به یک رقیب ملحق شود و از اسرار تجاری خود برای به دست آوردن مزیت ناعادلانه استفاده کند.یک فروشنده ممکن است از نقضی که اطلاعات مشتری شما را افشا می کند، هنگامی که این شرایط اتفاق می افتد، اقدام سریع و قاطع قانونی ضروری است.

تدابیر حفاظتی فوری

پس از کشف یک نقض مشکوک، مشاور حقوقی باید بلافاصله درگیر شود نگرانی و بی پروا نامه درخواست بازگشت داده ها و حسابداری هر گونه افشای فوری؛ مانند زمانی که یک رقیب در مورد راه اندازی یک محصول با استفاده از فن آوری سرقت رفته است، وکلا می توانند به دنبال یک [F:2] دستور موقت [F] باشند.

قوانین دیجیتال و مجموعه شواهد

یک ادعای قانونی موفق بستگی به شواهد قوی دارد. کارشناسان پزشکی دیجیتال می توانند سیستم های کامپیوتری، ایمیل ها و حساب های ابری را تجزیه و تحلیل کنند تا یک جدول زمانی روشن از وقایع ایجاد کنند.آنها می توانند دقیقا مشخص کنند که چه فایل هایی به صورت قانونی، کپی شده یا منتقل شده و با چه کسی این شواهد برای اثبات سوء استفاده در دادگاه و برای ادعاهای مجدد که اطلاعات به دست آمده یا به طور مستقل توسعه یافته است، بسیار مهم است.

نظریه های حقوقی و Remedies

بر اساس آیات قرآن، یک امر به حق و باطل و باطل و باطل و باطل و باطل و باطل و باطل و باطل و باطل و باطل و بی اعتنایی و باطل و بی تردید در قرآن کریم و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات و روایات

اعتماد طولانی مدت و مزایای رقابتی

حفاظت از اطلاعات محرمانه یک تمرین انطباق یک بار نیست، بلکه یک نظم و انضباط عملیاتی مداوم است، زیرا تکنولوژی تکامل می یابد و تغییرات چشم انداز تهدید، سیاست ها، قراردادها و کنترل های فنی باید به طور مداوم بررسی و به روز شود.

کسب و کارهایی که به طور جدی در حفاظت از اطلاعات محرمانه خود سرمایه گذاری می کنند، بیش از فقط از شکایت خودداری می کنند، اعتماد را با مشتریان، شرکا و سرمایه گذاران ایجاد می کنند، از ارزش مالکیت معنوی خود محافظت می کنند، فرهنگی ایجاد می کنند که امنیت مسئولیت همه افراد است، نه فقط بخش IT با ادغام حفاظت از امنیت قوی، کنترل های عملیاتی، فن آوری پیشرفته و فرهنگ محرمانه قوی شما می تواند به طور قابل توجهی خطر موفقیت و محافظت از کسب و کسب و کار شما را کاهش دهد.