Data Security: Do you know what your staff are doing online?

Ian Kilpatrick, chairman of Wick Hill Group, explains why senior managers now need to be more involved in data security and offers his top tips

The networking environment has changed radically in recent times. In today’s world of increasing wireless use, widespread 'bring your own device' policies (BYOD), more home working, more remote access, more consumer devices and the huge popularity of social media, the network is becoming ever more distributed. In this situation, security breaches are inevitable, as is evidenced by the regular reporting of breaches at major organisations.

These breaches are of course only the tip of a large cyber-insecurity iceberg. As we have seen from many of the post-mortems, and increasingly senior level sackings – see today’s example of the Judges who have now lost their positions - many of the problems relate to poor management rather than a fundamental failure of business security across the organisation.

There is now a growing groundswell of change in the way we approach and look at data security. Clearly, in a world where breaches, and the associated consequences, are inevitable, relying solely on, or blaming, the information security team is no longer viable. With the business cost of a breach now directly impacting business reputations and bottom lines, security needs to come from a bottom-up approach as well as from the CEO down.

Security has often been seen as a business disabler, rather than enabler. It is sometimes seen as a costly nuisance, to be avoided if it impacts projects delivery or performance. The responsibility for all security is often left to the security team. This attitude is now sharply changing in many organisations (particularly those with significant retail or B2B profiles), with a root and branch review of security taking place at many of them.

We’re all (or should be) aware that security is the responsibility of everyone in the organisation, top-to-bottom or vice-versa. But sometimes, in the heat of trying to achieve tactical business objectives, that responsibility gets overlooked.

We are in a time of rapid and brutal change in cyber risks and cyber security failures. Below are reminders of some of the areas we need to revisit and review from time to time, to ensure we’re protecting the company and everyone’s jobs, including our own.

Starting from the premise that, as all the high profile cases have shown (and the significantly greater number of unreported failures), it is now not possible to guarantee defence against data breach. However, it is still possible to defend critical data against breach, if that data is identified and defended.

  • Define goals

The first place to look is at what is actually important. “Everything” is the wrong answer. Priority one is what is business critical or business threatening. This is a much smaller departmental and organisational list. Then decide what risk profile, and associated costs, you are prepared to accept in order to defend key data, given that the perimeter will be breached. That, almost certainly, will throw up some interesting discussions.

  • Protect the key data

Decide how to protect key data, rather than just defending all assets and all of the perimeter. Breach defences need to be in place, alongside consolidation and regular reporting, as breaches are now taking longer and longer to detect.

  • Risk analysis and risk acceptance

Before any mobile device, access, application, new technology or service is added to the company network, it should be signed off as accepted by the Board, and the proposing department or users, with a risk analysis as part of the sign-off.

  • Planning and deployment

Planning for deployment should include security implementation and acceptance of the risk. Security needs to be deployed with the solution, not post event.

Deployment of security for mobile devices and remote access is a key element in protecting networks today. Web applications (and indeed the cloud) present some specific risk points.

  • Policies

Given that there is a shift from a belief in security to acceptance that there will/could be a breach, policies need to change to encompass this. Policies need to be clearly enunciated, not just contained in a policy document.

Given the rapid shift in risks based around wireless, mobility and social media, co-opting some younger staff members onto the team can provide enlightening insights into what the risks really are.

  • Education and staff involvement

Security processes need to be clear, as do the consequences of not following them. It’s not sufficient to have security policies, if it is clear to staff that you aren’t managing them and that, actually, nothing will happen if they don’t follow the correct security procedures. This is an easy thing to say, but much harder in practice. Given the jaded view, sometimes deservedly so, of IT security in some organisations, it is a difficult culture change to now embrace security as everyone’s responsibility. Training needs to reflect that.

  • Monitoring and feedback

It is crucial to not only monitor, but also to be seen to be monitoring mobile security measures. High visibility and regular feedback to all staff, on both success and failure, are very important. Reinforcement across all levels means that security awareness can infiltrate the DNA of an organisation.

  • Analysis

All the relevant stakeholders, need to have regular reporting of the security landscape, so they are aware of the level of threat, and the levels of risk that they have accepted. Ideally, the Board should also have a disaster plan to implement, in the case of failure. That would certainly guarantee to focus an individual director’s mind on security issues!

×

Subscribe

Our BQ Bulletin emails will land in your inbox at 7.30am, Monday to Friday, with a mix of the latest local business news, national news, and features to inspire you. Sign up here!

User registration

Gentile Utente,
ai sensi dell'art. 13 del D.Lgs. 196/2003 recante disposizioni a tutela delle persone e degli altri soggetti trattamento dei dati personali, desideriamo informarLa che i dati personali da Lei comunicati al momento della registrazione sul Sito e della compilazione dell'ordine saranno utilizzati da al fine di svolgere le operazioni da Lei richieste. I dati da Lei comunicati saranno infatti inseriti in un archivio anagrafico clienti al momento della prima registrazione sul Sito, con digitazione di un codice identificativo ed una password che dovrà essere da Lei conservata ed utilizzata per le successive operazioni

I dati forniti saranno trattati direttamente da per le seguenti finalità:
- per l'elaborazione e trasmissione delle comunicazioni previste dalle condizioni del contratto;
- per l'invio di fatture commerciali

In merito alle modalità di trattamento, si precisa che gli indicati trattamenti potranno essere eseguiti soltanto dai responsabili e dagli incaricati autorizzati da usando supporti cartacei o informatici e/o telematici. In ogni caso il trattamento avverrà con modalità idonee a garantirne la sicurezza e la riservatezza in conformità con la disciplina vigente. I dati conferiti non saranno oggetto di diffusione a terzi, salvo per la gestione stessa dei dati da parte di soggetti specializzati ed incaricati da .
In ottemperanza alla suddetta Normativa, di seguito riepiloghiamo le metodologie applicate per il trattamento dei dati da parte della nostra Società che implicano raccolta, conservazione ed elaborazione dei dati in nostro possesso e gli scopi che perseguiamo con ciascuna di esse:
Marketing e Strategie Commerciali: elaborazione dei dati da Lei forniti e di quelli desunti dalle Sue navigazioni in rete allo scopo di definire delle statistiche inerenti gli interessi da Lei manifestati nei confronti dei Prodotti e Servizi offerti da per finalità di marketing e/o attività promozionali in genere;
Gestione amministrativa: raccolta, conservazione ed elaborazione dei dati per scopi amministrativo - contabili, compresa l'eventuale trasmissione per posta elettronica di informative e/o fatture commerciali;
In particolare, per quanto concerne, le modalità del trattamento dei dati, gradiamo comunicare che tutti i dati sono conservati in un apposito archivio tenuto sotto costante controllo e continuo aggiornamento da parte di personale adeguatamente formato. Inoltre è stata redatta una procedura operativa interna (Documento Programmatico Sulla Sicurezza - DPSS). In tale documento viene definito più nel dettaglio il metodo utilizzato per l'applicazione di adeguate misure di sicurezza per la protezione e la riservatezza dei dati. Per completezza, desideriamo infornarla che il conferimento dei dati personali è necessario nella misura in cui essi sono utilizzati per l'esecuzione da parte della nostra Società di obblighi contrattuali e/o di legge.
Dati di navigazione Il sito web raccoglie informazioni tecniche relative all'hardware e al software utilizzati dai visitatori, autonomamente attraverso l'ausilio di strumenti per l'analisi dei file di collegamento. Tali informazioni riguardano:

- indirizzo IP
- tipo di browser
- Internet service provider
- sistema operativo
- nome di dominio e indirizzi di siti Web dai quali ha effettuato l'accesso o l'uscita (referring/exit pages)
- informazioni sulle pagine visitate dai lettori all'interno del sito
- orario d'accesso
- permanenza sulla singola pagina
- analisi di percorso interno (clickstream)
- risoluzione video
- tipo di connessione
- nazione da cui l'utente si collega
- presenza di plugin java installati

Tali informazioni non forniscono dati personali del lettore, ma solo dati di carattere tecnico/informatico che sono raccolti ed utilizzati in maniera aggregata ed anonima al solo scopo di migliorare la qualità del servizio e fornire statistiche concernenti l'uso del sito, suddetti dati vengono cancellati subito dopo l'elaborazione.
Registrazione
Nell'ambito del processo di registrazione, il lettore è tenuto a scegliere una propria user ID ed una password. Inoltre il lettore è tenuto a fornire specifiche informazioni che dovranno essere corrette ed aggiornate. Il lettore non può scegliere la user ID di un'altra persona con l'intento di utilizzarne l'identità. Inoltre non può utilizzare la user ID di un'altra persona senza la sua espressa autorizzazione. E' inoltre vietato l'uso di user ID che l'editore, discrezionalmente, riterrà lesivi di diritti di terzi, o comunque offensivi o scurrili. La password scelta dai lettori al momento della registrazione ai servizi e inserita nel relativo modulo o form di registrazione è personale e non può essere ceduta. I lettori sono tenuti a custodire con la massima diligenza e a mantenere riservata la password al fine di prevenire l'utilizzo del servizio da parte di terzi non autorizzati. Essi saranno pertanto responsabili di qualsiasi utilizzo, compiuto da terzi autorizzati o non autorizzati, dei suddetti identificativi nonchè di qualsiasi danno arrecato al titolare del blog, all'editore e/o a terzi, in dipendenza della mancata osservanza di quanto sopra.
Il lettore non può inviare, distribuire o in ogni modo pubblicare negli spazi abilitati a tale scopo contenuti che presentino rilievi di carattere diffamatorio, calunniatorio, osceno, pornografico, abusivo, o a qualsiasi titolo illegale.
Il lettore si impegna a non assumere atteggiamenti violenti o ad aggredire verbalmente gli altri lettori, astenendosi dall'utilizzo di termini calunniosi, e a non interrompere intenzionalmente le discussioni con messaggi ripetitivi, con messaggi privi di significato o con azioni finalizzate alla vendita di prodotti o servizi.
Il lettore si impegna ad utilizzare un linguaggio rispettoso, tenendo conto che la comunità cresce solo se i suoi membri si sentono ben accetti e rispettati. Il lettore si impegna a non utilizzare termini violenti o che discriminino sulla base della razza, religione, genere, inclinazioni sessuali, disabilità fisiche o mentali e altro. L'uso di linguaggio violento sarà motivo per la sospensione immediata e per l'espulsione definita a tutti o a parte dei servizi del sito.

Accedendo al sito e ai relativi servizi, il lettore si obbliga a:
a.non utilizzare il sito o il materiale in esso inserito per perseguire scopi illegali
b.non utilizzare il sito in modo da interrompere, danneggiare o rendere meno efficiente una parte o la totalità di esso o in modo da danneggiare in qualche modo l'efficacia o la funzionalità del sito;
c.non utilizzare il sito per la trasmissione o il collocamento di virus o qualsiasi altro materiale che in qualche modo possa creare pregiudizio in ogni sua forma;
d.non utilizzare il sito in modo da costituire una violazione di persone o ditte (compresi, ma ad essi non limitati, i diritti di copyright o riservatezza).
e.non utilizzare il sito per trasmettere materiale a scopo pubblicitario e/o promozionale senza il permesso scritto dell'editore.

Il mancato rispetto di queste regole comporta la violazione di queste condizioni generali di utilizzo e può determinare l'immediato annullamento dell'account del soggetto autore della violazione. In caso di effettivo o potenziale utilizzo non autorizzato del proprio account, il lettore è invitato a segnalarlo, fornendo ogni dettagliata notizia in merito alla violazione, e dando comunicazione di perdita, sottrazione non autorizzata, furto, della propria password e delle proprie informazioni personali. Il lettore è consapevole che deve avere compiuto i 18 anni di età per iscriversi al servizio, anche se persone di ogni età possono accedere allo stesso. I minori di anni 18 devono essere assistiti ed autorizzati dagli esercenti la potestà di genitore. Il lettore è pienamente responsabile per ogni azione intrapresa attraverso il suo account, sia direttamente sia attraverso terzi da lui autorizzati. Ogni utilizzo abusivo, fraudolento o in ogni caso illegale è causa dell'immediato annullamento dell'account, ad insindacabile giudizio dell'editore o del gestore del sito, fermo restando l'esercizio di ogni azione legale da parte degli aventi diritto.
Con l'accettazione della presente il lettore dichiara la veridicità di tutte le dichiarazioni rese in fase d'iscrizione al sito.
La informiamo, inoltre, che ogni interessato può esercitare i diritti di cui all'art. 7 del D.Lgs. 196/2003: In relazione al trattamento di dati personali:

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Per esercitare i diritti previsti all'art. 7 del D.Lgs. 196/2003 e sopra riassunti l'utente dovrà rivolgere richiesta scritta indirizzata a


Rimozione
Se non desiderate essere contattati in futuro, potete chiederlo collegandoVi o inviando una mail all'indirizzo inff@mail indicando l'indirizzo e-mail (o tutti gli indirizzi facenti capo ad un dominio, nella vostra disponibilità) e/o fax di cui volete l'esclusione.

Titolare del trattamento dei dati è - per l'elaborazione e trasmissione delle comunicazioni previste dalle condizioni del contratto;
- per l'invio di fatture commerciali

In merito alle modalità di trattamento, si precisa che gli indicati trattamenti potranno essere eseguiti soltanto dai responsabili e dagli incaricati autorizzati da usando supporti cartacei o informatici e/o telematici. In ogni caso il trattamento avverrà con modalità idonee a garantirne la sicurezza e la riservatezza in conformità con la disciplina vigente. I dati conferiti non saranno oggetto di diffusione a terzi, salvo per la gestione stessa dei dati da parte di soggetti specializzati ed incaricati da .
In ottemperanza alla suddetta Normativa, di seguito riepiloghiamo le metodologie applicate per il trattamento dei dati da parte della nostra Società che implicano raccolta, conservazione ed elaborazione dei dati in nostro possesso e gli scopi che perseguiamo con ciascuna di esse:
Marketing e Strategie Commerciali: elaborazione dei dati da Lei forniti e di quelli desunti dalle Sue navigazioni in rete allo scopo di definire delle statistiche inerenti gli interessi da Lei manifestati nei confronti dei Prodotti e Servizi offerti da per finalità di marketing e/o attività promozionali in genere;
Gestione amministrativa: raccolta, conservazione ed elaborazione dei dati per scopi amministrativo - contabili, compresa l'eventuale trasmissione per posta elettronica di informative e/o fatture commerciali;
In particolare, per quanto concerne, le modalità del trattamento dei dati, gradiamo comunicare che tutti i dati sono conservati in un apposito archivio tenuto sotto costante controllo e continuo aggiornamento da parte di personale adeguatamente formato. Inoltre è stata redatta una procedura operativa interna (Documento Programmatico Sulla Sicurezza - DPSS). In tale documento viene definito più nel dettaglio il metodo utilizzato per l'applicazione di adeguate misure di sicurezza per la protezione e la riservatezza dei dati. Per completezza, desideriamo infornarla che il conferimento dei dati personali è necessario nella misura in cui essi sono utilizzati per l'esecuzione da parte della nostra Società di obblighi contrattuali e/o di legge.
Dati di navigazione Il sito web raccoglie informazioni tecniche relative all'hardware e al software utilizzati dai visitatori, autonomamente attraverso l'ausilio di strumenti per l'analisi dei file di collegamento. Tali informazioni riguardano:

- indirizzo IP
- tipo di browser
- Internet service provider
- sistema operativo
- nome di dominio e indirizzi di siti Web dai quali ha effettuato l'accesso o l'uscita (referring/exit pages)
- informazioni sulle pagine visitate dai lettori all'interno del sito
- orario d'accesso
- permanenza sulla singola pagina
- analisi di percorso interno (clickstream)
- risoluzione video
- tipo di connessione
- nazione da cui l'utente si collega
- presenza di plugin java installati

Tali informazioni non forniscono dati personali del lettore, ma solo dati di carattere tecnico/informatico che sono raccolti ed utilizzati in maniera aggregata ed anonima al solo scopo di migliorare la qualità del servizio e fornire statistiche concernenti l'uso del sito, suddetti dati vengono cancellati subito dopo l'elaborazione.
Registrazione
Nell'ambito del processo di registrazione, il lettore è tenuto a scegliere una propria user ID ed una password. Inoltre il lettore è tenuto a fornire specifiche informazioni che dovranno essere corrette ed aggiornate. Il lettore non può scegliere la user ID di un'altra persona con l'intento di utilizzarne l'identità. Inoltre non può utilizzare la user ID di un'altra persona senza la sua espressa autorizzazione. E' inoltre vietato l'uso di user ID che l'editore, discrezionalmente, riterrà lesivi di diritti di terzi, o comunque offensivi o scurrili. La password scelta dai lettori al momento della registrazione ai servizi e inserita nel relativo modulo o form di registrazione è personale e non può essere ceduta. I lettori sono tenuti a custodire con la massima diligenza e a mantenere riservata la password al fine di prevenire l'utilizzo del servizio da parte di terzi non autorizzati. Essi saranno pertanto responsabili di qualsiasi utilizzo, compiuto da terzi autorizzati o non autorizzati, dei suddetti identificativi nonchè di qualsiasi danno arrecato al titolare del blog, all'editore e/o a terzi, in dipendenza della mancata osservanza di quanto sopra.
Il lettore non può inviare, distribuire o in ogni modo pubblicare negli spazi abilitati a tale scopo contenuti che presentino rilievi di carattere diffamatorio, calunniatorio, osceno, pornografico, abusivo, o a qualsiasi titolo illegale.
Il lettore si impegna a non assumere atteggiamenti violenti o ad aggredire verbalmente gli altri lettori, astenendosi dall'utilizzo di termini calunniosi, e a non interrompere intenzionalmente le discussioni con messaggi ripetitivi, con messaggi privi di significato o con azioni finalizzate alla vendita di prodotti o servizi.
Il lettore si impegna ad utilizzare un linguaggio rispettoso, tenendo conto che la comunità cresce solo se i suoi membri si sentono ben accetti e rispettati. Il lettore si impegna a non utilizzare termini violenti o che discriminino sulla base della razza, religione, genere, inclinazioni sessuali, disabilità fisiche o mentali e altro. L'uso di linguaggio violento sarà motivo per la sospensione immediata e per l'espulsione definita a tutti o a parte dei servizi del sito.

Accedendo al sito e ai relativi servizi, il lettore si obbliga a:
a.non utilizzare il sito o il materiale in esso inserito per perseguire scopi illegali
b.non utilizzare il sito in modo da interrompere, danneggiare o rendere meno efficiente una parte o la totalità di esso o in modo da danneggiare in qualche modo l'efficacia o la funzionalità del sito;
c.non utilizzare il sito per la trasmissione o il collocamento di virus o qualsiasi altro materiale che in qualche modo possa creare pregiudizio in ogni sua forma;
d.non utilizzare il sito in modo da costituire una violazione di persone o ditte (compresi, ma ad essi non limitati, i diritti di copyright o riservatezza).
e.non utilizzare il sito per trasmettere materiale a scopo pubblicitario e/o promozionale senza il permesso scritto dell'editore.

Il mancato rispetto di queste regole comporta la violazione di queste condizioni generali di utilizzo e può determinare l'immediato annullamento dell'account del soggetto autore della violazione. In caso di effettivo o potenziale utilizzo non autorizzato del proprio account, il lettore è invitato a segnalarlo, fornendo ogni dettagliata notizia in merito alla violazione, e dando comunicazione di perdita, sottrazione non autorizzata, furto, della propria password e delle proprie informazioni personali. Il lettore è consapevole che deve avere compiuto i 18 anni di età per iscriversi al servizio, anche se persone di ogni età possono accedere allo stesso. I minori di anni 18 devono essere assistiti ed autorizzati dagli esercenti la potestà di genitore. Il lettore è pienamente responsabile per ogni azione intrapresa attraverso il suo account, sia direttamente sia attraverso terzi da lui autorizzati. Ogni utilizzo abusivo, fraudolento o in ogni caso illegale è causa dell'immediato annullamento dell'account, ad insindacabile giudizio dell'editore o del gestore del sito, fermo restando l'esercizio di ogni azione legale da parte degli aventi diritto.
Con l'accettazione della presente il lettore dichiara la veridicità di tutte le dichiarazioni rese in fase d'iscrizione al sito.
La informiamo, inoltre, che ogni interessato può esercitare i diritti di cui all'art. 7 del D.Lgs. 196/2003: In relazione al trattamento di dati personali:

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Per esercitare i diritti previsti all'art. 7 del D.Lgs. 196/2003 e sopra riassunti l'utente dovrà rivolgere richiesta scritta indirizzata a


Rimozione
Se non desiderate essere contattati in futuro, potete chiederlo collegandoVi o inviando una mail all'indirizzo info@bqlive.co.uk indicando l'indirizzo e-mail (o tutti gli indirizzi facenti capo ad un dominio, nella vostra disponibilità) e/o fax di cui volete l'esclusione.

Titolare del trattamento dei dati è

Fields marked with an asterisk (*) are required

Click here to read our privacy statement