跳到主要内容

数据隐私问题斑点

尽管大多数地区都有陈述隐私的关键话题,但在练习许多人不知不觉之外的时候。对于今天的CIO,可以转化为严重的法律,道德和社会影响。下面是我的“收藏”常用漏洞,以及收紧您的政策和程序的提示。

让我们生实心

差距: 没有良好的身体安全,您所有员工在保护网络方面的努力都是毫无意义的。例如,在某些地区,服务器被放置在多方易于访问的多次使用壁橱中。另一个物理安全问题是管理员所调用的 - 他们的办公室没有锁定的场景。在这种情况下,认识工作人员的进取学生经常将其办事处解锁可以轻松地创造一个情况,确保他们离开办公室30分钟或更长时间—足够的时间访问等级,财务和其他个人数据。

解决方案: 对于初学者,服务器和网络设备应锁定在专用网络壁橱或服务器室中。在行政办公室中,在短暂的间隔之后设置工作站以自动锁定,优选地小于5分钟,但不是那么短的管理员每次必须重新登录时都会诅咒您。解锁办公室的问题是棘手的,需要一些创造力,需要一些创造力你的部分。一个解决方案是让您的设施部门在门上放置体面的“更近”,然后要求他们仍然被锁定。管理员可以使用门台以保持门在那里保持门;当他们离开时,他们只是踢出停车,门会牢牢锁定它们。

通过交换机

差距: 获得私人信息访问的最简单方法之一是通过社交工程—我称之为“我想知道Jane Smith的家庭住址”方案。让我们假设我在镇上是新的,并希望参加镇上高中的学生的地址。首先,我搜索学校的网站以获取名称(名称经常出现在学校体育名单和报纸上在线发布)。如果我发现Jane Smith,我致电学校,与办公室的行政助理联系,并表明我是简的父亲。然后我解释了这个家庭最近搬家了,并要求助理验证学校是否通过读回我在数据库中录制的内容。你可能不想相信这项工作。然而,在一个几乎完全这样的测试中,我知道的记者停止了工作人员,就像她开始披露一样。

解决方案: 如果您认为它无法发生在您所在的地区,请获得许可运行此类测试并为自己检查。如果您发现这是一个问题区域,是时候为员工接听电话的一些培训了。

在线披露

差距: 从历史上看,大多数学校都使用邮寄邮件发送了父母/学生目录和新闻通讯。今天,大多数学校不会在线发布父母/学生目录;但是,他们将发布学校的时事通讯。这里的问题在于学校有时包括在通讯的打印版本中包含目录更新,然后在将Web上放置到普通公众时无意中释放到普通的公众。通过标准电子邮件无意识别披露也是一种真正的可能性。在登陆收件人的服务器之前,大多数电子邮件都未加密并通过各种公共服务器。如果您的地区经常在网上转移私人信息,您可能会与各种未知方分享该信息。

解决方案: 虽然没有用于防止在网站上发布的敏感信息的银弹,但一种方法是在工作前的工作人员评论更改之前有一个指定的“隐私权倡导者”。在电子邮件安全问题上,可能的解决方案包括不使用电子邮件,一个政治困难的举动;实施私人内部电子邮件系统;或开发最大化隐私的电子邮件政策—例如,规定机密电子邮件只能发送到内部电子邮件地址,并且没有用户可以向外部帐户自行转发敏感数据。

下一步

保持数据私有意味着不断监控您支持的工作人员的活动,并创建新的政策,新培训和新解决方案。作为一个起点,我挑战你关闭我上面所指出的漏洞。接下来,坐下十五分钟,想象一些人可以从组织中获取私人信息并密切关注这些漏洞。每三个月为您的员工选择一个创意人员,执行相同的十五分钟锻炼。你永远不会关闭每个差距,但你会急剧提高你的情况。

Eric Svetcov,Cissp是Palint Technology,Inc。的总裁,以及旧金山的圣伊格纳里斯学院备前总监。

抹除

在捐赠PC之前擦除您所在地区的私人数据的三种方式,或将其发送到最终休息的地方。

  • 适用于Windows和Intel / AMD Linux用户,Darik的Boot和Nuke(dban.sourceforge.net. )是一个免费程序,清除从软盘启动的计算机的硬盘。如果您的大多数系统没有软盘驱动器,您的IT人员可以构建DBAN亭(任何带有软盘驱动器和自由IDE和电源线的INTEL / AMD PC),并通过一个系统运行所有驱动器。
  • Mac用户通过OS X V10.3可以利用Shred-IT等低成本程序( www.shredit.com. )。使用Mac OS X V10.3,可以使用10.3 CD的实用程序擦除驱动器。但是,准备好需要一段时间。
  • 将术语写入您的硬件购买RFP,该RFP将供应商负责适当处理机器,这包括擦拭硬盘干净。