Table of Contents

У економічній сфері, де конфіденційна власність та майнові дані часто є більшою мірою оцінки ринку компанії, неправильне використання конфіденційної інформації не означає питання відповідності - це є існуючою загрозою. Спіри, що виникають внаслідок невідповідності торгових секретів, витоків даних клієнтів, або порушення матеріального мита, можуть призвести до катастрофічних фінансових штрафів, незворотних репутаційних збитків, і повної втрати конкурентної переваги. Швидке перемикання до віддаленої роботи, поширене прийняття хмарних інструментів, а збільшення вишуканості соціальних інженерних атак, які розширили загрозу поверхневу, що регулюється, і є повністю керованими контрактами, що втратили пов'язкові дані.

Визначення та класифікації інформації

Одним з найбільш поширених точок збійної безпеки є визначення рівня, що є «конфіденційною інформацією». Суди, які оцінюють невідповідність претензій, часто виглядають на обґрунтованість кроків, що бізнес взяв на захист своїх даних. Якщо документи не чітко позначені, якщо доступ не обмежений, або якщо працівники не навчаються, правові захисти, які дозволяють значно ослаблювати інформацію. Офіційна система класифікації є построком будь-якої стратегії захисту.

Конфіденційна інформація, як правило, потрапляє в кілька різних категорій, кожен, хто вимагає конкретних безпечних охоронців:

  • Trade Secrets Це включає формули, алгоритми, виробничі процеси та списки клієнтів, які породжують незалежну економічну цінність, не будучи загальновідомимою. На відміну від патентів, торгові секрети можуть бути захищені в невизначений час, як і секретність. Класичний приклад - формула Coca-Cola, але комерційні секрети застосовуються врівні до фірмового алгоритму або методології придбання маркетингової фірми.
  • Пропріетна інформація про бізнес . Це об'єднує фінансові записи, стратегічні бізнес-плани, моделі ціноутворення, контракти постачальника та внутрішні дані про результати. Розкриття цієї інформації може бути об'єктом, що не задовольняє важіль, впевненість інвестора та надати конкурентам несправедливість.
  • Personal Identifiable Information (PII) та Захист інформації про здоров’я (PHI)] Керується складним веб-адресою, включаючи Регламенту захисту даних (GDPR), Акту про конфіденційність споживачів Каліфорнія (CCPA), а також Закон про переносність та підзвітність охорони здоров’я (HIPAA), порушення, пов’язані з персональними даними, що здійснюють обов’язкові вимоги до повідомлень, круті нормативні штрафи та суттєвий судовий вплив.
  • Технічні дані та дослідження Код джерела, схеми, інженерні характеристики, результати досліджень та розробки є життєвим блоком технологічних та виробничих компаній. Сплав даних може дозволити конкурентам обходити роки інвестицій і принести конкурентний продукт на ринок в дробі часу.

Для оперативного використання цих категорій бізнес повинен прийняти ] ]], Confidential, або Високо обмежені. Ця система забезпечує чітке, неоднозначне керівництво кожному співробітнику, як працювати, зберігати, передавати дані, які вони працюють щодня.

Будівництво Сильних правових фондів

Юридичні угоди служать першими лініями захисту та основним механізмом виконання при порушенні. Без належного складання контрактів, згідно з законними засобами стає значно більш складним і дорогим.

Недискусирові угоди (NDAs)

НДА є важливим для будь-якої взаємодії, де конфіденційна інформація буде поділена, чи з працівниками, підрядниками, інвесторами або потенційними цільовими пропозиціями. Погано підготовлена НДА легко оскаржена. Ключові положення повинні включати точне визначення того, що є конфіденційною інформацією, чітке повідомлення дозволеного призначення для якого може бути використана інформація, і чіткі виключення для інформації, яка є загальновідомою, незалежно розробленою, або правою особою, отриманою з третьої сторони.

Угоду необхідно вказати тривалість зобов'язання конфіденційності - це те, що два до п'яти років для інформації про бізнес, і нетиповий захист для торгових секретів. Юрисдикція та управління законними пунктами однаково важливі, зокрема, при спілкуванні з сторонами в різних країнах або країнах. Нарешті, НДА повинна вимагати повернення або засвідченого знищення всіх конфіденційних матеріалів за запитом або при припиненні ділових відносин. Єдиний NDAs (де тільки одна сторона розкриється) і Mutual NDAs (де обидві сторони обмін інформацією) служать різними цілями і повинні бути пошиті відповідно.

Трудові угоди та обмеження

Трудові контракти повинні явно державі, що будь-які винаходи, відкриття, або творчі роботи, розроблені з використанням ресурсів компанії або пов'язаних з бізнесом, є ексклюзивним майном роботодавця. Ці пункти «Об'єднання винаходів» є критичними для встановлення власності та запобігання спорів над інтелектуальною власністю.

Багато трудових угод також включають обмеження, такі як некомпетні та несолідні пункти. Правова ландшафт для цих положень різко пересувається. У Сполучених Штатах Федеральна торгова комісія (FTC) запропонувала правило, що б заборонити більшість некомпетентних пунктів, що вони торгують конкуренцією та інновації. Компанії повинні забезпечити, що будь-які обмежувальні ковенти розумні в географічному обсязі, тривалість та бізнес-ціль, щоб максимізувати ймовірність виконання. У деяких юрисдикціях за межами США такі пункти сильно обмежуються або повністю не посилюються від співробітників.

Управління ризиками та постачальниками

Пост безпеки є тільки міцним, як ваш найсвіжіші посилання. Постачальники, підрядники та бізнес-партнери часто вимагають доступу до ваших мереж, даних та об'єктів. Порушення даних в постачальник може виставити вашу найбільш чутливу інформацію. Роговірний Due diligence є важливим перед на борту будь-якої третьої сторони. Договори повинні включати Додатки обробки даних (DPAs), які відповідають чинним правилам конфіденційності, вимагають, щоб постачальника підтримувати достатні заходи безпеки, і зобов'язувати їх, щоб повідомити вас негайно в разі порушення. Federal Trade Commission (FTC) керівництво по безпеки даних забезпечує тверду базу для оцінки.

Створення рамки оперативної безпеки

Юридичні угоди визначають правила, але операційні процедури, які їх використовують. Надійна безпека забезпечує, що захист вкладається в щоденний робочий процес кожного працівника.

Принцип роботи Львiвного Привiлжу

Кожен співробітник, підрядник, система повинна бути надана абсолютним мінімальним рівнем доступу, необхідний для виконання своєї функції. Асоційований з маркетингу молодшого маркетингу не потребує доступу до фінансового аудиту компанії, головного HR-файлу або бази клієнтів, що містять номери кредитних карток. Контроль доступу (RBAC) дозволяє адміністраторам призначити дозвіл на основі функції роботи. Відгуки про доступ повинні проводитися принаймні в чверті, щоб забезпечити, що дозвіл все ще доречні, особливо коли співробітники змінюють ролі або відправляються на компанію.

Фізичні заходи безпеки

У епоху передових цифрових загроз, фізична безпека іноді нехтується. Серверні номери, центри даних і області зберігання файлів повинні бути замкнені і контроль доступу. Впровадження суворої Чисте положення реєстрації вимагає співробітників для забезпечення всіх чутливих документів у замкнених ящиках, коли не у використанні. Папірні шредери повинні бути доступні для всіх документів, що містяться власна інформація. Візитник колод, працівник значки, політики складних непристойних незнайомців у захищених зонах залишаються фундаментальними контрольами, які запобігають випадкові дані крадіжки і несанкціонований фізичного доступу.

Управління інформаційними ресурсами

Дані не повинні зберігатися в невизначений термін. Забезпечити непотрібні дані збільшує витрати на зберігання, розширює "бластний радіус" у разі порушення, а також ускладнює е-дискусія в судовому спорі. Графік збереження затримки для кожної категорії даних на основі юридичних вимог та бізнес-потребів. Наприклад, фінансові записи можуть знадобитися зберігати протягом семи років під податковим законодавством, а пропозиція постачальника може бути очищена після того, як контракт буде присуджено. Впровадження автоматизованих архівних і видалення процесів, де можливо.

Технології з дистанційним керуванням даних

Технології забезпечують автоматизовані механізми виконання, що забезпечують відповідність масштабу. Сучасні архітектури безпеки будуються за принципом Zero Trust, що припускає, що немає користувача, пристрою або мережі повинні бути довірені за замовчуванням.

Шифрування та маскування даних

Всі чутливі дані повинні бути зашифровані як (на серверах, баз даних, ноутбуках та мобільних пристроях) і в транзиті] (перехресні внутрішні мережі та над інтернетом). Якщо зашифрований пристрій втрачений або вкрадений, дані ефективно недоступні для thief. Методи маскування даних дозволяють розробникам, тестувальникам, аналітикам працювати з реалістичними даними без розкладання фактичних PII, зниження ризику внутрішнього впливу.

Профілактика втрати даних (DLP) та моніторинг

Рішення DLP відеоспостереження, мережевий трафік, електронні повідомлення та кінцева активність для виявлення коли конфіденційні дані передається поза корпоративним середовищем. Чи випадково працівник випадково пересуває конфіденційний лист на неправильний одержувач або відправник виконавчого органу, що завантажує базу даних клієнтів на особистий обліковий запис хмарного зберігання, системи DLP можуть викликати сповіщення або автоматично блокувати передачу. У поєднанні з системою безпеки та управління подіями (SIEM) та Користувачем та Entity Behavior Analytics (UEBA), ці інструменти можуть зашифрувати аномальні візерунки - наприклад, користувач раптом завантажує тисячі файлів або системи доступу за межами їх нормальних робочих годин.

Захист кінцевих точок та захисту електронної пошти

Багато порушень даних починаються з шліфування електронної пошти. Розширені панелі безпеки електронної пошти використовують штучний інтелект для виявлення та блокування складних фішингових атак, бізнес-пошти Compromise (BEC) та шкідливі накладення. Інструмент Endpoint Detection та відповідь (EDR) забезпечують безперервний моніторинг ноутбуків та мобільних пристроїв для знаків шкідливих програм, ransomware або несанкціонованого доступу. Багатофакторна аутентифікація (MFA) додає критичний шар безпеки, що компромісний пароль не є достатньою для систем доступу, що містять конфіденційну інформацію. Cybersecurity and Infrastructure Security Agency[FLT][F:1][F

культура конфіденції

Технології та політики є ефективними, якщо працівники розуміють та обіцяють їх. Культура є силою, яка перетворює письмові правила на інстинктивну поведінку.

Навчання та підготовка

Щорічна підготовка комплаєнсу, що поставляється через статичну палубу слайда, є рідко ефективним. Навчання повинно бути залученням, рольовим специфікаціям і частим. Використовуйте реальний випадок, що вивчається, актуальної для вашої галузі. Провести імітаційні кампанії для тестування обізнаності працівника і забезпечити безпосередній тренерський підхід до тих, хто падає на моделювання. Навчання повинно бути обкладинка не тільки «що», але «нехай» - допоможи співробітникам зрозуміти, що захист конфіденційної інформації захищає свою роботу, репутацію компанії та фінансове здоров'я бізнесу.

Управління життєвим циклом працівників

Просування безпеки починається в день одного з зайнятості та закінчується тільки після завершення процесу виходу. Нові найнятки повинні зареєструватися угоди про конфіденційність та отримати тренінг з безпеки, перш ніж вони надавалися доступ до систем. Процес офлайнінгу є однаково критичним контрольним пунктом. Коли працівник відзначає або припиняється, доступ до всіх систем слід негайно відкликати. ІТ повинен підтвердити, що всі пристрої компанії та дані були повернені. Проведення інтерв’ю для нагадування про відправника своїх поточних зобов’язань щодо конфіденційності та правових наслідків невідповідної інформації компанії.

Планування зворотного зв'язку

Програма безпеки є ідеальним. Коли відбувається порушення або витік, швидкість та ефективність відповіді визначає, чи ситуація закривається в повноцінний спорі. Писана Incident Відповідь Plan (IRP)] повинна окреслити конкретні процедури для виявлення, зберігання, стирання та відновлення. План повинен розробити команду реагування з чіткими ролями та обов'язками, включаючи представників з правових, ІТ, людських ресурсів, зв'язків громадськості та виконавчого керівництва. IRP також повинен включати шаблон зв'язку для позначення постраждалих сторін, регуляторів та правоохоронних органів. Регулярні вправи для стільниці забезпечують, що команда може виконати план під тиском.

Навігація спорів при попередження про незлам

Незважаючи на найкращі зусилля, суперечки про конфіденційну інформацію можуть виникнути ще. Колишній працівник може приєднатися до конкурента і використовувати ваші секрети торгівлі, щоб отримати несправедливість. Постачальник може постраждати порушення, що виводить ваші дані клієнта. Коли ці ситуації виникають, гниль і рішуча правова дія є важливим.

Засоби захисту від вірусів

Після відкриття підозреного порушення юридичний радник повинен бути зайнятий негайно. Радник може випустити цеаза і десист лист вимагає повернення даних і обліку будь-яких розкриття. У термінових випадках, таких як коли конкурент є про запуску продукту за допомогою технології вкраденої технології, адвокати можуть шукати Тимчасовий реставраційний наказ (TRO) і передчасовий ін'юнкційний зв'язок з суду. Ці надзвичайні засоби можуть звільнитися при операціях конкурента і запобігти їх нездатковим.

Колекція цифрових судових та слухових матеріалів

Успішна юридична заява залежить від міцних доказів. Цифрові судові експерти можуть проаналізувати комп'ютерні системи, журнали електронної пошти та хмарні рахунки, щоб встановити чіткий часовий ряд подій. Вони можуть визначити, що файли були доступні, копіюються або передані, і ким. Це свідчить про критичне для досягнення невідповідності в суді та для перерозподілу претензій, які інформація була отримана законно або самостійно розроблена.

Юридичні теорії та засоби правової політики

За рахунок потужних випадків справи, бізнес може стверджувати позови за торгувати секретним повідомленням під дією Захисних секретів (DTSA) або державного законодавства ], що є частиною договору] (для порушення договору про НПЗ або працевлаштування), , що є інструментом для забезпечення відповідальності, що не буде збагачувати грошових коштів (на відміну від реальних втрат і необґрунтованих втрат)

Забезпечення довгострокового довіри та конкурентного права

Захист конфіденційної інформації не є однією з завдань, але постійно діючої оперативної дисципліни. Як технологія розвивається і загроза ландшафту, політики, контракти, і технічні контрольи повинні бути безперервно розглянуті і оновлені. Регулярні перевірки, контроль проникнення і програми навчання співробітників забезпечують, що ваші оборони залишаються ефективними з часом.

Бізнес, який вважає в захист своїх конфіденційних даних, робить більше, ніж просто уникнути судових спорів. Вони будують довіру клієнтів, партнерів та інвесторів. Вони оберігають вартість їх інтелектуальної власності. Вони створюють культуру, де безпека є відповідальність кожного, не тільки ІТ-відділ. За рахунок інтеграції надійних правових захисту, суворих оперативних контролень, передових технологій та сильної культури конфіденційності, ви можете значно зменшити ризик пошкодження спору та захистити довгостроковий успіх вашого бізнесу.