När företag behandlar kunduppgifter är de ansvariga för att hålla dem säkra enligt Australiens Privacy Act. Om informationen avser någon från Europa gäller även den allmänna dataskyddsförordningen (GDPR). Båda förordningarna kräver att organisationer på lämpligt sätt hanterar den personligt identifierbara information (PII) som de innehar.

Dessutom har den australiensiska regeringen fastställt att företag måste ta itu med den betydande ökningen av dataintrång under de senaste två åren. Mellan juli och december 2021 mottog Office of the Australian Information Commissioner (OAIC) 464 anmälningar om dataintrång - en ökning med sex procent jämfört med föregående period.

För större företag är utmaningen ännu mer kritisk. Sådana företag har ofta flera datalager som används av flera intressenter, och vissa är omedvetna om vilken företagsspecifik kundinformation de har i arkivet. För dessa företag kan ett enda dataintrång orsaka förödelse, särskilt om de inte är tillräckligt utrustade med rätt styrning för att hantera den här typen av information.

Som ett resultat har många företag vidtagit åtgärder för att förhindra dataförlust. Detta är dock inte någon säker lösning. Istället bör företagen skaffa sig ett försprång med en dokumenthanteringslösning som skiljer på affärskritiska data och känslig information som PII så att de kan hanteras på lämpligt sätt.

Med tanke på den ökande förekomsten av dataintrång som involverar PII är det viktigt att överväga att implementera följande bästa praxis:

• Upptäck och klassificera PII: En organisation har tusentals, till och med miljontals, dokument i sina datalager, till exempel nätverksmappar, SharePoint, OneDrive, Microsoft Teams och e-post. Men för att följa sekretesslagstiftningen bör företag inte ha några PII-data lagrade på dessa platser. Framåtblickande organisationer använder en lösning som hjälper företag att hitta PII-data i alla sina databaser och taggar dokument som potentiellt innehåller personnummer och metadata. Därefter kan ett arbetsflöde initieras för att säkerställa att felaktigt arkiverade poster antingen flyttas eller förstörs.
• Implementera modellen för minsta möjliga behörighet: Principen om minsta möjliga privilegium (POLP) fungerar genom att begränsa åtkomsträttigheterna för användare och endast tillåta tillräcklig åtkomst för att utföra den nödvändiga uppgiften. Med definierade åtkomstbehörigheter kan företag undvika att PII hamnar i fel händer och sprids till ett större nätverk.
• Utnyttja övervakning i realtid: Med en smart plattform för dokumenthantering kan företag utnyttja en automatiserad bakgrundstjänst som ständigt kontrollerar om det finns nya filer och ny information. Om någon till exempel sparar ett kreditkortsnummer i kommentarsfältet i en ansökan bör systemet kunna varna personen så att företaget kan agera.
• Undvik att lagra onödig PII: Företag bör förstöra eller avidentifiera PII när den inte längre behövs eller när det inte längre finns någon rättslig skyldighet att lagra den, inklusive tidigare kunddata. Det kan vara till hjälp att automatiskt kunna ange behörigheter för att skydda dokument som innehåller PII. Företag bör också genomföra lämpliga åtgärder och policyer för att undvika att lämna dataspår på osäkra platser eller oavsiktlig radering av data.

Hålla sig före ett föränderligt hotlandskap
Om företag vill minska risken för dataförlust måste de tillämpa överlägsen PII-datahantering. Med rätt lösning kan företag proaktivt hitta och klassificera PII-data, vilket gör det lättare att få insikt i vilka data de har och vidta åtgärder för att effektivt hantera och skydda dem.

M-Files Discovery hittar affärskritisk information i omfattande dokumentarkiv och klassificerar och kategoriserar automatiskt dessa dokument med relevanta metadata. Det kan också hjälpa företag att hitta olika former av PII från olika informationssilos och initiera ett arbetsflöde för att hantera dokument och applikationsdatabaser på rätt sätt.

Kontakta teamet idag för att ta reda på hur M-Files Discovery kan hjälpa din organisation att effektivt hantera och skydda PII mot dataintrång.