Personally Identifiable Information (PII) — это тип данных, позволяющий идентифицировать человека. Он включает в себя личную информацию, такую как имя, пол, адрес, социальное страхование, номера паспорта или телефона, а также адреса электронной почты. Благодаря усилиям по цифровизации во всем мире, большинство компаний в настоящее время собирают или хранят PII, будь то их собственные сотрудники или клиенты, покупающие их продукты или услуги.

PII также является наиболее ценным типом данных и поэтому наиболее востребован киберпреступниками. Согласно отчёту о стоимости утечки данных 2020, выпущенному IBM и Ponemon Institute, PII была скомпрометирована в 80% всех утечек данных, что сделало её типом записей, которые чаще всего теряются или крадутся. PII клиента также была самым дорогостоящим типом данных, скомпрометированных в результате утечки данных, в среднем 150 долларов за запись.

Как следствие, новая волна законодательства о защите данных, инициированная Общим регламентом ЕС о защите данных (GDPR), сделала защиту PII обязательной по закону, и любая компания, которая этого не делает, сталкивается с большими штрафами.

Решения по предотвращению потери данных (DLP) стали важным строительным блоком любых усилий по обеспечению соответствия и стратегий защиты данных. Сосредоточившись на защите самой PII, а не системы, в которой она хранится, DLP добавляет дополнительный уровень защиты от утечек данных, особенно тех, которые могут быть вызваны халатностью или двуличием сотрудников. Давайте подробнее рассмотрим, как защитить PII с помощью DLP.

Управляйте движением PII

Наиболее важной особенностью решений DLP является их способность управлять перемещениями PII. В решениях DLP используются мощные инструменты контентного и контекстного сканирования для поиска в сотнях типов файлов для PII, блокировки и ограничения их передачи на основе политик при обнаружении.

Компании могут запретить сотрудникам копировать, печатать или передавать PII через неавторизованные сторонние службы, такие как сайты обмена файлами, личные электронные письма, популярные приложения для обмена сообщениями, облачные службы или виртуальные коворкинг-пространства. Решения DLP — эффективный способ обуздать халатность сотрудников и гарантировать, что PII не передаётся по незащищённым каналам.

Знайте точно, где находится PII

Одна из основных проблем с защитой PII заключается в том, что большинство компаний не знают, как сотрудники используют и хранят файлы, содержащие PII, при выполнении своих повседневных задач. PII может передаваться между сотрудниками или храниться локально на жёстких дисках, а затем забываться.

Это особенно опасно для соблюдения нормативных требований, поскольку большинство правил защиты данных требуют, чтобы PII хранилась столько времени, сколько необходимо для первоначальной цели, с которой она была собрана. Субъекты данных во многих странах теперь также имеют право требовать, чтобы их данные, чаще всего PII, были удалены из записей компании. Если информация, которая должна была быть удалена по запросу субъекта данных или потому, что она больше не нужна, будет найдена в сети компании во время аудита или станет общедоступной после нарушения данных, компании могут быть оштрафованы за несоблюдение.

Решения DLP могут использоваться для поиска локально сохранённых данных во всей сети компании для файлов, содержащих PII в целом, а также отдельные PII, которые организации может потребоваться удалить по соображениям соответствия. Когда PII обнаруживается на компьютере, могут быть предприняты действия по исправлению, такие как удаление или шифрование.

Отслеживайте движения PII

Решения DLP позволяют организациям внимательно следить за перемещением PII в корпоративную сеть и из неё. Мониторинг PII помогает компаниям обнаруживать уязвимости в своих стратегиях защиты данных и то, как сотрудники используют PII при выполнении своих задач.

Поскольку все попытки нарушения политик автоматически регистрируются, организации могут выявлять ненадлежащие методы безопасности и организовывать обучение для решения конкретных проблем, с которыми сотрудники сталкиваются при выполнении повседневных задач. Это может помочь повысить эффективность обучения сотрудников и стратегии защиты данных, снизив общие затраты на то и другое.

Защищайте PII при удалённой работе

Большинство законов о защите данных требуют, чтобы компании постоянно защищали PII, а это означает, что применение политик безопасности не может прерываться. Таким образом, PII должен иметь такой же уровень защиты, когда сотрудники работают из дома, и когда они находятся в офисе.

Некоторые решения DLP, такие, как Endpoint Protector, применяются на уровне компьютера, поэтому их политики продолжают действовать, даже когда устройство уносится из офиса. Мало того, они будут продолжать защищать данные независимо от того, подключён компьютер к Интернету или нет.

В заключение

PII — наиболее целевой тип данных в мире, и теперь компании обязаны защищать их. Решения DLP предлагают простой способ отслеживания и контроля его перемещений, ограничивая использование и передачу персональной информации сотрудниками, помогая снизить количество инцидентов нарушения безопасности.