©2021亚利桑那州。版权所有。
声音

保护客户数据是关键-但不要忘记员工数据

现在注册

泄露数十万甚至数百万消费者数据的违规行为正成为头条新闻,网络犯罪迅速崛起,为弥补泄漏而努力的步伐一直在保持。

但是,员工数据同样面临风险,其中可能包括家庭住址,社会保险号或电话号码以及其他敏感信息。尽管美国大多数数据保护法都针对客户,但最近宾夕法尼亚州最高法院 裁决 承认普通法规定雇主必须对雇员的个人信息提供合理的照顾。这项决定是在匹兹堡大学医学中心(该州最大的私人雇主)的雇员提起集体诉讼之后,黑客获得了62,000名以前和现在的工人的个人信息。

与医疗保健行业一样,金融服务业也很重 有针对性的 由网络犯罪分子。多年来,公司一直专注于客户级别的网络安全,但没有足够的公司关注更广泛的范围。对员工数据的宽松保护不仅会使员工面临风险,而且还可能给黑客带来方便的后门 所有 服务器上的数据。

有什么风险?

不幸的是,许多企业直到出现网络安全问题时才考虑。官员和董事会成员有时只是假设他们的IT部门已经使用防火墙和防病毒软件来处理它。最近 国家调查 显示只有38%的首席执行官和23%的董事会成员“高度参与”了企业的网络安全。尽管存在严重的财务风险, 2017年所有数据泄露的成本 估计接近20亿美元。现在,网络安全与企业的物理安全同样重要,甚至比其更重要,领导者必须认真对待这一领域,并据此做好业务准备。

金融服务行业特别吸引黑客,因为它们可以处理固有的敏感和有价值的信息。对于会计师而言,这通常包括银行和个人财富帐户信息,可以访问客户信息的不良行为者很可能会很容易地与员工联系。

即使在公司外部,会计师也是网络犯罪分子的理想接入点。在企业会计部门工作的人可能只是黑客需要造成严重破坏的后门。就像有人无意间打开了一封仿冒电子邮件(诈骗者最常见的门户)一样,恶意软件可以在整个系统中传播。

适用哪些法律?

网络安全法仍在不断发展,尤其是在美国,至少 22个州 现在,已经制定了解决数据安全问题的法律,而不仅仅是在发生违规情况时提醒公众。加州最近甚至通过了一项法律,该法律正在与欧盟全面的《通用数据保护条例》进行比较,该条例对美国企业造成了极大影响。

大多数国内法律都关注企业与消费者之间的关系,对于保护员工没有太多可说的。随着网络安全法规的制定,这种情况可能会发生变化,法院开始意识到,企业有责任像UPMC案中的法官一样为员工数据提供“合理的照顾”。尽管它是一个广泛使用的术语,主要用于法律意义,但通常可以通过使用 网络安全框架 由美国国家标准技术研究院(NIST)提供。

根据这些准则将其网络安全政策和程序作为基础的公司可能会被视为符合合理谨慎的标准,至少在发生违规事件时至少可以部分地保护自己免受潜在的诉讼。

雇主现在可以做什么?

大型公司通常可以抵御数据泄露带来的财务影响,而且由于有专门负责网络安全的内部部门,他们有资源来限制它们。但是,中小型企业可能会因违规行为以及由此造成的财务和声誉打击而受到真正的伤害。

许多独立的会计师事务所属于后者。他们可能足够大,可以在其网络上拥有大量有用的数据,但是又不够大,不足以支付自己的IT员工,也没有足够的资源来培训员工。但是,不采取任何措施是不可接受的,尽管依靠第三方供应商可能会提供一种廉价且快速的解决方案,但通常他们只是使用一种适合所有人的防火墙,受密码保护的帐户,仅此而已。

为客户提供数据保护 员工成为重中之重,公司必须积极主动并密切注意自己的网络安全政策和程序。从根本上讲,他们应该对网络上的敏感信息进行审核-会计师肯定已经做得很好。除此之外,还应对员工进行电子邮件中的网络钓鱼诈骗或恶意软件迹象以及正确的密码管理方面的培训。此外,法律顾问可以帮助领导人制定政策,解决适用于各自州和其他更广泛法规(例如GDPR)的网络安全法。

未能正确解决任何这些问题可能不仅对客户和员工,而且对公司本身都将造成严重后果。幸运的是,有了适当的计划和信息,网络攻击就不必不可避免。

对于本文的转载和许可请求, 点击这里.
网络安全 网络攻击 恶意软件 勒索软件
今日的更多信息