あなたは、会社が保有する機密データを特定して場所を特定するために、情報の「調査」を実施しました。次に、ビジネス目的で何を保持する必要があるかを決定しました。次のステップは何ですか? Start with Security によると、データへのアクセスを賢明に制御するために制限を設ける時期が来ています。
それは新しい概念ではありません。時間外に職場にアクセスできないようにドアに鍵がかかっており、人々が勝手に工場のフロアに立ち入ることはできません。また、会社の機密情報を不正な目から保護することもできます。 「秘伝のタレ」のレシピをウェブサイトに掲載しないのは、そのためです。
顧客や従業員の機密データにも同様の注意を払っていますか?スタッフ全員が、あなたが保管しているすべての機密情報に無制限にアクセスする必要があるわけではありません。より良い方法は、業務に必要な従業員にアクセスを許可し、他の従業員をアクセスさせないよう、賢明な管理を導入することです。また、限られた数の信頼できる従業員にのみ、管理アクセス (ネットワークにシステム全体の変更を加えたり、デスクトップ コンピュータに特定の変更を加えたり (新しいソフトウェアのインストールなど) を行う技術的能力) を付与することも賢明です。私たちは、FTC の和解、非公開の調査、企業から寄せられた質問に基づいて一連の例を作成し、データへのアクセスを賢明に制御するためのヒントを提供しました。
機密データへのアクセスを制限します。
従業員が業務の一環として個人情報を使用する必要がない場合、個人情報にアクセスする必要はありません。機密書類の場合、合理的なアクセス制御は施錠されたキャビネットと同じくらい簡単です。ネットワーク上のデータについては、機密ファイルやデータベースを閲覧できるユーザーを制限する個別のユーザー アカウントが効果的なオプションです。
例: 人材紹介会社のスタッフは、社会保障番号が含まれることがある人事ファイルを確認します。職業安定所は、すべての従業員が鍵付きの机の引き出しを備えていることを確認しています。さらに、この政府機関は、従業員が一日の終わりに退社する際にすべての機密書類を確保することを義務付ける「クリーンデスク」ポリシーを採用しており、同社はこのポリシーを定期的なウォークスルーで監視しています。人材紹介会社は従業員が個人情報を含む文書を施錠して保管するよう措置を講じているため、権限のない人物がデータにアクセスする可能性は低くなります。
例: 中小企業の従業員は 1 つのワークステーションを共有します。給与計算を担当するスタッフは、パスワードで保護された従業員情報データベースにアクセスできます。配送担当のスタッフは、顧客アカウントのデータベースにパスワードで保護されたアクセス権を持っています。ビジネス ニーズに基づいてアクセスを制限することで、同社は不正使用のリスクを軽減しました。
例: ある企業は、ユーザーが個人の医療情報を含むプロファイルを作成できるアプリを提供しています。このシステムにより、IT スタッフ、営業担当者、人事担当者、サポート スタッフなどのすべての従業員が顧客プロファイルにアクセスできるようになります。同社は、業務遂行に機密データを必要としないスタッフに機密データへのアクセスを許可することにより、機密性の高い情報を危険にさらす可能性がある状況を生み出しました。
管理アクセスを制限します。
システム管理者はネットワーク設定を変更できますが、スタッフの誰かが必要な変更を行う権限を持っていることが重要です。しかし、銀行が中央金庫への組み合わせを少数の人にのみ提供するのと同じように、企業もそれに応じて管理者権限を制限する必要があります。リスクは明らかです。信頼できない管理者、または管理者権限を持つ従業員が多すぎると、システムを安全に保つために実行した手順が取り消される可能性があります。
例: テクノロジー企業では、全従業員が同じログインを使用しています。ログインには管理者権限があり、指定された IT スタッフがシステム全体の変更を行うことができます。しかし、その同じログインは、会社の受付係、営業アシスタント、および夏季インターンによって使用されています。より賢明なアプローチは、企業がその従業員が職務を遂行するために必要な権限のみを持つ異なるログインを要求することです。
ビジネスにおける教訓は、「バックステージパス」を機密情報に制限することです。機密データへのアクセスは、職務遂行上必要なスタッフに限定してください。