Ich arbeite in einem Büro in Großbritannien mit etwa 120 Mitarbeitern. Wir alle haben Zugriff auf das „öffentliche Laufwerk“, das ein LAN ist, in dem wir uns die Arbeit teilen können. Da sind auch Sachen drauf wie Bilder von der Weihnachtsfeier etc. Es ist ziemlich groß.
Ein Kollege hat mir kürzlich erzählt, dass er einen Ordner voller Lebensläufe aller Mitarbeiter gefunden hat. Einige kannte er nicht, also müssen es Leute sein, die sich beworben und keinen Job bekommen haben. Er erzählte mir auch Dinge über die frühere Arbeit anderer Leute. Ich hatte auch einen anderen Kollegen sagen hören, dass er einmal sein eigenes Interview-Feedback gefunden hatte, mit Kommentaren und allem.
Verstößt das gegen Datenschutzgesetze?
Ich sollte beachten, dass mein Beruf es erforderlich macht, dass meine Mitarbeiter meine Telefonnummer kennen, aber wahrscheinlich nicht meine Adresse. Aber was ist mit den anderen Informationen. Fairerweise sind es keine personenbezogenen Daten, aber ist es nicht unfair, diese öffentlich zu machen?
Hinweis: Ich frage nicht, ob die Person, die diese Informationen gefunden hat, eine Datenschutzverletzung begangen hat, sondern ob das Unternehmen dies getan hat, indem es sie überhaupt auf das öffentliche Laufwerk gestellt hat.
Um zunächst Ihre Frage zu beantworten, ob dies eine Datenschutzverletzung ist, ist dies absolut gemäß DSGVO. Die DSGVO-Definition einer „Verletzung personenbezogener Daten“ ist die folgende. Personenbezogene Daten werden breit definiert und umfassen Daten, die eine natürliche Person anhand von Elementen wie Namen und Faktoren identifizieren, die für die wirtschaftliche Identität einer Person spezifisch sind. Ich interpretiere "wirtschaftlich", um die Beschäftigungsgeschichte einzuschließen.
Verletzung personenbezogener Daten“ eine Verletzung der Sicherheit, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt;
Sie haben nicht darum gebeten, aber ich werde Ihnen einige bewährte Best Practices für die Informationssicherheit mitteilen, die hoffentlich einen ähnlichen Vorfall in der Zukunft abmildern können.
Am wenigsten privilegierter Zugriff
Am wenigsten privilegierter Zugriff bedeutet, dass nur Personen, die Zugriff auf ein bestimmtes Asset (z. B. diese Daten) benötigen, um ihre Arbeit auszuführen, Zugriff gewährt wird. Anscheinend wurde diese bewährte Methode in diesem Fall nicht befolgt, da Benutzer ohne legitime geschäftliche Notwendigkeit Zugriff auf hochsensible Daten erhielten, auf die sie keinen Zugriff haben sollten. Sie wissen wahrscheinlich nicht genau, wie lange diese Daten auf der Netzwerkfreigabe offengelegt wurden und ob diese Daten bereits exfiltriert / anderweitig missbraucht wurden.
Für die Zukunft nach diesem Vorfall lohnt es sich wahrscheinlich , eine Durchsichtsprüfung der Benutzer und ihres genauen Zugriffs auf Daten durchzuführen. Um diese Aktivität zu begleiten, benennen Sie eine begrenzte Anzahl von Datenverwaltern, deren Pflicht es ist, den Zugang zu diesen Daten zu gewährleisten. Um Management-Buy-in zu erhalten, können Sie diesen Vorfall und seine potenziellen Auswirkungen auf das Unternehmen (Bußgelder, Klagen usw.) nutzen. Unter der Annahme, dass das Management rational und vernünftig ist, sollten sie sich darum kümmern.
Datenkennzeichnung und -klassifizierung
Es ist eine bewährte Sicherheitspraxis , Daten basierend auf ihrer Sensibilität zu klassifizieren, wobei eine Sensibilitätsüberlegung die möglichen nachteiligen Auswirkungen ist, wenn sie kompromittiert werden sollten (wie es in Ihrem Fall der Fall war). Ihr Unternehmen ist jetzt mit 120 Mitarbeitern ziemlich klein, aber wenn es expandiert, wird es tendenziell wichtiger, eine ordnungsgemäße Datenverwaltung aufrechtzuerhalten. Abhängig von Ihrer Stellung und Rolle im Unternehmen können Sie mit der Unternehmensleitung / Ihrem Vorgesetzten eine Verbesserung der Datenklassifizierung vorschlagen.
Dies erfordert keinen komplexen Aufwand, und ein Datenklassifizierungsschema, das so einfach ist wie öffentliche vs. vertrauliche Daten, kann ausreichen. Unabhängig davon sollten alle Entscheidungen dokumentiert und vom Management in einem Richtliniendokument, das allen Interessengruppen bekannt gemacht wird, unterzeichnet werden.
Reaktion auf Sicherheitsvorfälle und Erkennung von Datenexfiltration
In diesem Fall wurden Sie von Ihrem Kollegen auf den Sicherheitsvorfall aufmerksam gemacht. Informelle Benachrichtigungsmethoden mögen funktionieren, wenn Organisationen noch nicht ausgereift sind, aber wenn Unternehmen wachsen, ist es fast immer von Vorteil, formelle Verfahren zur Identifizierung, Eindämmung, Behebung und Meldung von Sicherheitsvorfällen an die Unternehmensleitung aus meiner Arbeitserfahrung festzulegen. Als Teil der Verfahren zur Reaktion auf Sicherheitsvorfälle sollten Mittel wie DLP vorhanden sein, um die unbefugte Übertragung oder Offenlegung von Unternehmensdaten zu erkennen.
Verschlüsselung sensibler Daten
Abhängig von Ihrem Bedrohungsmodell, dem Wert dieser Daten für das Management und der technologischen Leistungsfähigkeit Ihrer Unternehmens-IT sollten Sie möglicherweise darüber nachdenken, solche sensiblen Daten zu verschlüsseln, damit Einzelpersonen sie nicht lesen können, selbst wenn sie unbefugten Zugriff darauf erhalten. Wenn Sie sich für diesen Weg entscheiden, finden Sie im Folgenden einige bewährte Implementierungsmethoden:
Verwenden Sie ein sicheres Verschlüsselungsprotokoll wie AES oder RSA mit einer langen privaten Schlüssellänge, um die Entschlüsselung durch böswillige Akteure so schwierig wie möglich zu machen.
Richten Sie Verfahren und Kontrollen ein, um den Entschlüsselungsschlüssel zu schützen, z. B. durch geteiltes Wissen oder Kontrolle
Rotieren Sie den Verschlüsselungs-/Entschlüsselungsschlüssel regelmäßig oder immer dann, wenn Sie vermuten, dass er kompromittiert ist
Beschränken Sie den Zugriff auf den Verschlüsselungsschlüssel auf die Mindestanzahl von Verwaltern, die Zugriff darauf benötigen, um ihre Aufgaben zu erfüllen.
Da Sie in Großbritannien ansässig sind, ist dies ein großes Problem für Ihr Unternehmen, insbesondere angesichts der neuen DSGVO-Änderungen.
Alle persönlichen Informationen sollten geschützt werden, einschließlich Adresse, Telefonnummern und sogar alle Beschäftigungsverläufe.
Andere Mitarbeiter sollten auf keinen Fall auf persönliche Kommentare, Interviewkommentare und insbesondere keine persönlichen Daten zugreifen können, die sicher sein sollten. Melden Sie dies sofort Ihrem Vorgesetzten/Ihrer Personalabteilung, sonst werden Sie ein massives Problem haben, wenn irgendetwas davon außerhalb des Unternehmens veröffentlicht wird ...
Wie Sie bereits erwähnt haben, können Sie die Kommentare/das Feedback in einer Tabelle anzeigen. Obwohl nicht persönlich ... Dies könnte einige andere potenzielle Probleme innerhalb des Unternehmens verursachen, z. B. Mobbing, Beschwerden und einfach unnötige Diskussionen im Allgemeinen.
chillen
Twyxz
Holzfäller
chillen
Aidan Connelly
Bob