Когда я передаю свои личные данные бизнесу или организации, я ожидаю от них определенной степени осмотрительности при обработке этой информации.

Последний взлом кредитного бюро Equifax является прекрасным примером недоверия, которое усиливается, когда компании не относятся серьезно к безопасности данных своих клиентов.

Это так же важно, если не более важно, для некоммерческих организаций.

Каждое пожертвование, сделанное в пользу некоммерческой организации, включает информацию, которая помещается в профиль донора - имя донора, дату рождения, адрес, номер телефона, данные кредитной карты и другую конфиденциальную личную информацию. Все это хранится в различных формах некоммерческого программного обеспечения . Чем больше данных вы обрабатываете, тем выше риск взлома.

Доноры доверяют некоммерческим организациям защиту своей информации, поэтому вашей некоммерческой организации важно поддерживать это доверие. Вот пять советов по кибербезопасности, которые вы должны реализовать как можно скорее, чтобы обеспечить безопасность данных вашей некоммерческой организации.

1. Автоматизируйте все обновления программного обеспечения.

Согласно Data Privacy Monitor , большинство нарушений безопасности данных происходит из-за человеческой ошибки:

В прошлом году мы определили человеческую ошибку как основную причину инцидентов (37 процентов), за ней следуют фишинг / вредоносное ПО (25 процентов), внешняя кража устройства (22 процента) и кража сотрудников (16 процентов). В этом году, однако, фишинг / хакерство / вредоносное ПО заняли первое место, на их долю приходится примерно 31 процент инцидентов ... Однако, когда мы более внимательно рассмотрели основные проблемы, которые позволили произойти фишинговым / хакерским / вредоносным инцидентам, они часто могли быть каким-то образом связано с человеческой ошибкой.

Мы несовершенные существа. Мы забываем вещи, откладываем важные дела и тем самым открываемся для будущих проблем.

Если полагаться на то, что ваши сотрудники будут устанавливать регулярные обновления программного обеспечения, которые обычно включают улучшенные меры кибербезопасности, это может ослабить вашу безопасность. Эти отложенные обновления создают бреши в вашем аппарате безопасности, оставляя ваши данные потенциально уязвимыми для хакеров.

Чтобы решить эту проблему, лучше не полагаться на своих сотрудников в реализации этих обновлений, а лучше автоматизировать процесс. Если возможно, установите обновления на ночь, чтобы не прерывать работу вашего сотрудника в течение дня, что является наиболее вероятной причиной, по которой ваши сотрудники вообще откладывают их.

2. Исправьте процесс входа в систему.

Хотя может быть удобно, чтобы ваши сотрудники использовали одну и ту же регистрационную информацию для определенных программ, поскольку многие поставщики программного обеспечения взимают плату «за пользователя», все это делает ваши данные уязвимыми, которые труднее отследить.

С отдельными учетными записями для всех сотрудников, использующих программу или базу данных, гораздо проще отслеживать входы в систему, изменения и даже удаление данных, вплоть до отдельных лиц.

Некоторые ИТ-специалисты рекомендуют давнюю практику регулярной смены паролей для защиты от внешних захватчиков, но оказывается, что это не обязательно сильно мешает злоумышленникам, согласно Wired :

Исследователи Карлтона математически демонстрируют, что частая смена паролей лишь немного мешает таким злоумышленникам - вероятно, недостаточно, чтобы компенсировать неудобства для пользователей.

По правде говоря, если вы потратите время на создание паролей, которые трудно угадать, их трудно запомнить, поэтому в большинстве случаев сотрудники просто вносят небольшие изменения в уже запомненный пароль.

Это не значит, что пароли никогда не должны меняться, но гораздо важнее убедиться, что пароли сотрудников надежны с самого начала. Чтобы создавать надежные пароли, рекомендуйте своим сотрудникам использовать такие инструменты, как Password Meter, чтобы проверить надежность своих новых паролей перед их изменением.

Что касается частоты смены паролей, FTC рекомендует менять пароли по необходимости, а не по регулярному графику:

Итак, стоит ли вам когда-нибудь менять свой пароль? Иногда бывает. Если у вас есть основания полагать, что ваш пароль был украден, вам следует изменить его и убедиться, что вы изменили его во всех своих учетных записях, где вы используете тот же или похожий пароль. Если вы поделились своим паролем с другом, измените его. Если вы видели, как кто-то оглядывается через ваше плечо, когда вы набираете пароль, измените его. Если вы думаете, что только что дали свой пароль фишинговому сайту, измените его. Если ваш текущий пароль ненадежен, измените его.

Другими словами, если он не сломан, нет необходимости его ремонтировать.

3. Реализуйте протоколы мобильных устройств.

Все ваши сотрудники носят в карманах мощные компьютеры, которые могут получить доступ почти ко всему, что может делать компьютер, - это создает потенциальные слабые места в безопасности вашей некоммерческой организации.

Хотя неразумно запрещать использование мобильных телефонов на работе или в служебных целях, важно настроить для этого протоколы.

Эти протоколы могут включать:

• Попросите сотрудников установить защиту паролем для своего устройства и, если она у них уже есть, убедиться, что их трудно угадать. Например, если ваши сотрудники используют 4-значные пин-коды для доступа к своим устройствам, внедрите требование о 6-значном пароле для доступа к сети вашей организации.
• Требуйте от сотрудников установки приложений безопасности, выбранных вашей организацией для защиты данных вашей некоммерческой организации, когда сотрудники используют общедоступные сети.
• Требуйте от сотрудников использовать безопасные почтовые приложения или службы шифрования при работе с конфиденциальными данными организации на личных устройствах.

Эти меры предосторожности защитят ваши данные некоммерческой организации от человеческих ошибок, особенно с учетом того, что все мы, как правило, проводим много времени за своими мобильными устройствами.

4. Ограничьте доступ сотрудников к данным.

Хотя мы все беспокоимся о внешних угрозах для нашей технологии, часто упускается из виду частота внутренних утечек и утечек данных.

Согласно данным Harvard Business Review и IBM Cybersecurity Intelligence Index за 2016 год , 60% всех взломов и атак были совершены инсайдерами. Три четверти этих внутренних нарушений были совершены со злым умыслом, и только четверть из них произошли по вине «непреднамеренных участников» или, другими словами, случайно.

Невозможно полностью изолировать себя от внутренних нарушений, но вы можете ограничить вероятность того, что это произойдет, если вы предоставите доступ к данным только тем, кто действительно в них нуждается.

Хотя удобно просто предоставить доступ ко всем системам всем сотрудникам, все это увеличивает шансы того, что данные окажутся там, где их не должно быть. Бывают случаи, когда сотрудникам потребуется информация, к которой у них нет доступа, но эта информация должна предоставляться только в индивидуальном порядке, а не через пустой чек.

К счастью, большинство вариантов программного обеспечения для некоммерческих организаций предлагают административные средства управления, которые ограничивают доступ к определенным областям и функциям, предоставляя вам этот контроль для ограничения доступа определенных сотрудников.

5. Ограничьте административные права на компьютерах.

Необязательно использовать все административные функции на рабочих компьютерах, поскольку каждое исключение потребует помощи вашей ИТ-команды. Однако есть методы, позволяющие сохранить контроль над основными вычислительными функциями, но при этом предоставить вашим сотрудникам некоторую свободу действий.

PCWorld составил руководство , чтобы поддерживать контроль над вашими рабочими компьютерами под управлением Windows, делая ваших сотрудников счастливыми. Это руководство выпущено в 2012 году, однако его предложения по-прежнему применимы к современным системам Windows.

Они рекомендуют предоставить определенные административные привилегии, оставив базовые функции вашей ИТ-команде. У ваших сотрудников по-прежнему есть возможность изменять определенные настройки на своих компьютерах в соответствии со своими потребностями, включая установку новых программ. Однако вы можете ограничить определенные функции, такие как удаление или отключение проприетарного программного обеспечения, такого как антивирусные инструменты, брандмауэры и программы мониторинга.

Но сохранение контроля над проприетарным программным обеспечением устраняет угрозу того, что сотрудники отключат (злонамеренно или случайно) функции безопасности, которые защищают данные вашей некоммерческой организации.

Другие советы и ресурсы для некоммерческих организаций

Безопасность данных вызывает все большую озабоченность, и мы все несем ответственность за хранение конфиденциальной информации вдали от тех, кто будет использовать эти данные для менее благородных целей. Какие политики вы внедрили в своей некоммерческой организации для защиты своих данных? Дайте мне знать в разделе комментариев ниже!

Если вам понравилась эта статья, в некоммерческом технологическом блоге Platforms есть множество других полезных списков советов, руководств и ресурсов. Ознакомьтесь с другими сообщениями в блоге:

• 3 совета по улучшению ваших некоммерческих маркетинговых кампаний в социальных сетях
• Основное руководство по переходу на мобильные устройства для некоммерческих организаций
• 3 ценных совета для успешной некоммерческой маркетинговой кампании для миллениалов