Pelaku bisnis yang cerdas mencari cara untuk mengurangi risiko pelanggaran data pada perusahaan mereka. Banyak perusahaan mengacu pada keluhan dan perintah FTC, yang masing-masing berisi penjelasan rinci tentang perilaku yang diduga melanggar UU FTC. Ini mungkin merupakan janji yang salah mengenai kehati-hatian yang harus diambil perusahaan saat menangani data sensitif konsumen. Dalam kasus lain, hal ini mungkin merupakan pola kegagalan yang, jika digabungkan, mengarah pada pencurian dan penyalahgunaan informasi rahasia pelanggan.
Namun ini bukan satu-satunya cara untuk mempelajari pendekatan kami terhadap keamanan data. Siaran pers FTC, publikasi panduan bisnis, video, pidato, lokakarya, laporan, lebih dari 150 postingan blog bisnis yang berpusat pada keamanan, dan komunikasi lainnya memberikan saran praktis tentang cara menegakkan undang-undang FTC. Salah satu sumber informasi praktis adalah “Memulai dengan Keselamatan,” buku panduan langkah demi langkah kami yang menyaring pembelajaran dari kasus-kasus FTC menjadi 10 hal dasar yang dapat dikelola dan diterapkan pada bisnis dengan ukuran berapa pun.
Dunia usaha telah meminta kami untuk terus memberikan panduan, itulah sebabnya kami mengumumkan inisiatif baru, Tetaplah pada keamanan. Selama beberapa bulan ke depan, kami akan menerbitkan postingan blog bisnis setiap hari Jumat yang berfokus pada masing-masing dari 10 prinsip Mulai Aman. Kali ini, kami akan menggunakan serangkaian asumsi untuk menggali lebih dalam langkah-langkah yang dapat diambil perusahaan untuk melindungi data sensitif yang mereka miliki. Kami akan memberi Anda tips yang mudah diterapkan untuk membantu perusahaan Anda tidak hanya memulai dengan keamanan, namun juga berkomitmen terhadap keamanan untuk memperkuat pertahanan Anda.
Dari mana kita mendapatkan milik kita Tetaplah pada keamanan Contohnya? Pertama, dari lebih dari 60 pengaduan dan mosi yang diajukan ke Federal Trade Commission (FTC), termasuk penyelesaian dan tuntutan hukum baru yang diumumkan sejak penerbitan Start Safe.
Sumber daya penting lainnya yang kami miliki Tetaplah pada keamanan Contohnya termasuk pengalaman perusahaan dari seluruh negeri. Kami mendengar tantangan sehari-hari yang Anda hadapi dalam melindungi informasi sensitif dan belajar dari pendekatan praktis yang Anda ambil untuk mengatasi tantangan keamanan data.
Selain itu, ada pelajaran yang bisa dipetik dari investigasi yang ditutup oleh karyawan tanpa mengambil tindakan lebih lanjut. Meskipun kami tidak mengungkapkan identitas orang-orang yang menjadi sasaran kasus ini kecuali ada surat penutupan publik, kami yakin masih ada lagi yang bisa kami lakukan untuk menjelaskan kepada perusahaan lain prinsip-prinsip umum yang memandu pemikiran kami ketika kami memutuskan untuk menutup penyelidikan ini. .
Pertanyaan awal yang sering kami terima dari perusahaan adalah apakah ada tema berulang yang muncul selama investigasi yang akhirnya ditutup tanpa penegakan hukum. Satu hal yang kami perhatikan adalah bahwa praktik perusahaan-perusahaan ini sering kali sejalan dengan dasar-dasar keamanan yang masuk akal yaitu “mulai dengan keamanan”. Misalnya, perusahaan biasanya memiliki prosedur yang efektif untuk melatih karyawannya, menjaga keamanan informasi sensitif, mengatasi kerentanan, dan merespons ancaman baru dengan cepat.
Berikut beberapa topik lain yang muncul yang memberikan wawasan tentang mengapa investigasi terhadap pelanggaran yang mungkin pernah Anda dengar tidak selalu mengarah pada penegakan FTC:
- Ada lebih (atau kurang) cerita ini daripada yang terlihat.
Sama seperti Anda, staf FTC membaca berita. Kami selalu melihat cerita tentang pelanggaran data dan potensi kerentanan. Namun pemberitaan di surat kabar hanyalah awal dari penyelidikan yang mungkin dilakukan, dan terkadang kita mengetahui bahwa ada lebih banyak berita yang ada daripada yang diberitakan pada awalnya. Misalnya, sebuah laporan berita mungkin menarik perhatian pada fakta bahwa pelanggaran telah terjadi, namun tidak fokus pada fakta bahwa data tersebut dienkripsi – sebuah faktor yang secara signifikan mengurangi risiko infeksi pada konsumen. Atau mungkin orang dalam yang diduga menyatakan bahwa perusahaan tidak membuang data konsumen lama dengan aman, namun perusahaan telah memberikan bukti yang dapat dipercaya bahwa perusahaan tersebut memang melakukan hal tersebut. Oleh karena itu, dalam beberapa kasus, mungkin terdapat asap, namun penyelidikan lebih lanjut tidak mengungkapkan adanya api. - Ke depan bukanlah penggunaan sumber daya yang baik.
Kami menganggap FTC sebagai lembaga federal kecil yang – dalam situasi yang tepat – dapat mengerahkan kekuatan penegakan hukum yang kuat. Namun kami selalu sadar akan perlunya menjadi pengelola uang pembayar pajak yang baik. Terkadang praktik yang dilakukan perusahaan mungkin menimbulkan kekhawatiran pada awalnya, namun ada faktor lain yang menunjukkan bahwa penegakan hukum tidak akan menjadi kepentingan publik. Misalnya, dalam beberapa kasus, sebuah usaha kecil mungkin mengumpulkan sejumlah kecil informasi yang tidak sensitif. Dalam kasus seperti ini, jika terjadi pelanggaran, kemungkinan besar kami tidak akan mengeluarkan sumber daya yang terbatas untuk menyelidikinya. - Kami bukan agensi yang tepat.
Mengingat yurisdiksi FTC yang luas atas sebagian besar praktik bisnis, kami adalah polisi utama dalam hal keamanan data. Tapi kami bukan satu-satunya polisi yang menangani kasus ini. Oleh karena itu, kami bekerja sama dengan lembaga lain yang memiliki misi terkait – Departemen Kehakiman, Departemen Kesehatan dan Layanan Kemanusiaan, Biro Perlindungan Keuangan Konsumen, Komisi Komunikasi Federal, dan Administrasi Keselamatan Lalu Lintas Jalan Raya Nasional, dan masih banyak lagi. . Terkadang, dugaan insiden atau praktik tersebut lebih relevan dengan penegakan hukum lainnya. Jika demikian, kami dapat merujuk permasalahan tersebut ke lembaga lain dan memberikan bantuan apa pun yang diizinkan oleh hukum untuk kami berikan. Ini hanyalah salah satu cara kami menghindari duplikasi, menyederhanakan penyelidikan, dan memastikan pendekatan yang konsisten terhadap keamanan data. - Risiko terhadap data teoritis.
Selama beberapa tahun terakhir, kami melihat peningkatan jumlah peneliti yang berfokus pada masalah privasi dan keamanan. Ini adalah perkembangan yang disambut baik. Kami melihat studi terbaru – baik penelitian yang dipresentasikan di PrivacyCon atau di tempat lain – untuk mendidik diri kita sendiri tentang teknologi baru dan menentukan praktik investigasi. Namun tidak semua penelitian mengarah pada penegakan hukum. Kadang-kadang, ketika peneliti mengarahkan perhatian kita pada praktik-praktik yang menciptakan kerentanan, risiko eksploitasi kerentanan untuk menyebabkan kerugian bagi konsumen lebih bersifat teoretis daripada kemungkinan besar. Misalnya, mungkin terdapat kerentanan pada perangkat seluler yang memerlukan alat yang sangat canggih untuk mengeksploitasinya, dan meskipun demikian, data hanya dapat disusupi jika peretas memegang ponsel konsumen. Jika demikian, kemungkinan besar kami akan lolos dari penyelidikan daripada melanjutkan.
Berikutnya dalam seri Stick with Security: Langkah awal untuk memulai keamanan