Jak bezpieczne są dane Twojej firmy przechowywane poza biurem? W tym miesiącu wchodzi w życie rozporządzenie o ochronie danych osobowych (RODO), które wpłynie na każdą organizację na świecie gromadzącą lub przetwarzającą dane osobowe mieszkańców Unii Europejskiej. W naszym artykule specjaliści ds. zgodności z RODO radzą, jak chronić firmę
Jeśli Twoje przedsiębiorstwo zatrudnia pracowników zdalnych, z pewnością już wiesz, jak ważne jest zabezpieczenie danych przed niewłaściwym wykorzystaniem, przekazaniem w niepowołane ręce i przywłaszczeniem. Z uwagi na wejście w życie w tym miesiącu (maj 2018 r.) rozporządzenia o ochronie danych osobowych (RODO) równie ważne jest jednak zadbanie o zgodność ze ścisłymi wymogami tego aktu — w przeciwnym razie mogą zostać nałożone surowe kary pieniężne, a ponadto może ucierpieć reputacja firmy. Jak zatem możesz chronić dane poza biurem, a jednocześnie nie rezygnować z zalet prawdziwie elastycznego personelu?
1. Dbaj o szkolenie pracowników
Posługując się sformułowaniami z rozporządzenia, Twoja firma jest „właścicielem informacji”, a jej zdalny personel to „podmioty przetwarzające dane”. „Oznacza to, że rola takich pracowników w ochronie danych firmy jest równie duża, jak Twoja” — wyjaśnia John Slaughter, dyrektor zarządzający w firmie Data Comply(1). „Przestrzeganie RODO powinno stanowić dla nich priorytet w codziennej pracy, zwłaszcza wykonywanej zdalnie” — dodaje. „Przejrzyste wytyczne dotyczące korzystania z bezpiecznych sieci mają zasadnicze znaczenie, dlatego trzeba określić, które rejestry wymagają bezpiecznego środowiska”. Slaughter radzi, by firmy regularnie szkoliły pracowników i sprawdzały ich wiedzę oraz aktualizowały szkolenia, aby zagwarantować, że personel rozumie te kwestie oraz że praktyki są zawsze aktualne.
Warto też przypominać pracownikom, że publiczne sieci Wi-Fi nie są w żadnym wypadku bezpieczne. „Ludzie nie powinni korzystać z banku za pośrednictwem sieci publicznej. Ta sama zasada dotyczy poufnych dokumentów firmy” — wyjaśnia Andy Kays, dyrektor ds. technicznych w firmie Redscan, specjalizującej się w wykrywaniu i eliminowaniu zagrożeń(2). „Zachęcaj pracowników, by korzystali wyłącznie z zabezpieczonych sieci Wi-Fi lub łączyli się z siecią firmy za pomocą bezpiecznego połączenia (VPN). Warto też korzystać z Internetu za pomocą standardu 4G (lub klucza dostępowego), co gwarantuje pracownikom dobre, bezpieczne połączenie z dostawcą usługi”.
2. Zabezpieczaj wszystko hasłem
Rozporządzenie umożliwi nałożenie za poważne naruszenia ochrony danych kar pieniężnych w wysokości nawet 4% rocznego globalnego obrotu firmy. Jedynym wyjątkiem są przypadki, gdy firma jest w stanie wykazać, że dane były właściwie zaszyfrowane.
„Nie ma czegoś takiego jak całkowite zabezpieczenie — nawet agencja NASA padła ofiarą hakerów” — twierdzi Andrei Hanganu z Rumunii, autor GDPR Documentation Toolkit —zbioru szablonów dokumentów wymaganych na mocy unijnego rozporządzenia(3). „Silne hasła i odpowiednie szyfrowanie mogą jednak pomóc zabezpieczyć dane osobowe przed nieuprawnionymi użytkownikami”.
Większość firm ma oprogramowanie do szyfrowania nośników i wszelkich zapisanych na nich plików, ale nie obejmuje ono automatycznie urządzeń zdalnych. Hanganu zaleca zainstalowanie wymaganego oprogramowania szyfrującego na laptopach, urządzeniach mobilnych i komputerach stacjonarnych — wówczas wystarczy, że użytkownik wpisze kod PIN lub hasło, a uzyska dostęp do danych odszyfrowanych i nadających się do odczytu. Wszyscy pracownicy powinni wyrobić sobie nawyk zabezpieczania wszystkiego hasłem.
3. Nie daj się wirusom
Wirusy i złośliwe oprogramowanie są w stanie zbierać i śledzić dane, co oznacza, że one również są objęte standardem RODO. „Bardzo trudno jest chronić się przed złośliwym oprogramowaniem, dlatego wiele firm nie zastanawia się czy padną jego ofiarą, a raczej kiedy do tego dojdzie” — twierdzi Nigel Tozer, dyrektor ds. marketingu rozwiązań w regionie EMEA w firmie Commvault(4). Radzi, aby zadbać o zabezpieczenie urządzeń pracowników najaktualniejszymi systemami operacyjnymi i oprogramowaniem antywirusowym.
„Ludzie zawsze są najsłabszym ogniwem w łańcuchu zabezpieczeń organizacji, a kliknięcie złośliwego linku lub zaniedbanie aktualizacji systemu przez jednego pracownika może być katastrofalne w skutkach” — dodaje Andy Kays. „Dlatego ważne jest, aby w ramach regularnych szkoleń pracowników zwiększać świadomość zagrożeń czyhających w cyberprzestrzeni. Dotyczy to zwłaszcza pracowników zdalnych, którzy mogą korzystać z danych i serwisów firmy z wielu urządzeń i lokalizacji oraz za pośrednictwem różnych sieci”.
Warto też, by firmy rozważyły organizowanie regularnych spotkań z działem IT, podczas których pracownicy oddawaliby swoje urządzenia do okresowych kontroli bezpieczeństwa, aktualizacji i uaktualnień.
Czy Twoja organizacja ma strategię zabezpieczania danych poza biurem?
4. Nie zapomnij o zabezpieczeniu ekranu
„W świecie zaawansowanych technologii łatwo zapomnieć, że nadal istnieją prymitywne sposoby kradzieży danych firmy” — przypomina Orlagh Kelly, prawnik i dyrektor generalny w firmie Briefed, specjalizującej się w szkoleniach i doradztwie w zakresie RODO(5).
W przeprowadzonym przez koncern 3M eksperymencie działający pod przykrywką haker w 88% przypadków uzyskał dostęp do poufnych informacji wyłącznie przez tak zwany „shoulder surfing” (patrzenie na czyjś ekran)(6).
„Zachęcaj pracowników, by zwracali uwagę, kto widzi ekran ich komputera, gdy pracują poza biurem“ — sugeruje Kelly. Warto pomyśleć o filtrach prywatyzujących, które nakłada się na ekran, by uniemożliwić osobom znajdującym się z boku dostrzeżenie wyświetlanych treści.
5. Pamiętaj, że chmura ma swoje ograniczenia
Według badania Ponemon Institute 44% danych firmy przechowywanych w środowiskach chmurowych nie jest zarządzanych ani kontrolowanych przez dział IT. Badanie sugeruje także, że w rezultacie korzystanie z usług chmurowych może trzykrotnie zwiększać prawdopodobieństwo obwarowanego karą 20 mln $ naruszenia ochrony danych(7).
„Bardzo istotny jest wybór właściwego dostawcy chmury” — wyjaśnia Nigel Tozer. „Trzeba dokładnie znać jego procedury w przypadku naruszenia ochrony danych, ponieważ odpowiedzialność spoczywa na obu stronach. Jeśli wszystkie dane pozostają w obrębie UE, dostawca usług chmurowych powinien zapewnić utrzymanie ich w sposób zgodny z odpowiednimi wymogami prawnymi. Warto też upewnić się, że wszelkie dane przekazywane poza granice UE są odpowiednio chronione, zgodnie z wymogami RODO”.
Tozer zwraca uwagę, że według postanowień RODO, dostawca chmury jest podmiotem przetwarzającym dane, ale to Twoja firma jest ich administratorem. „[To oznacza, że] to na firmie spoczywa obowiązek zweryfikowania kompetencji dostawcy i upewnienie się, że zapewnia on wystarczające gwarancje wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych zgodnych z nowym unijnym rozporządzeniem”.
6. Szanuj prywatność swoich pracowników
Jeżeli Twoja firma używa obecnie narzędzi lub technologii monitorujących wydajność pracowników zdalnych, musisz zastanowić się, jak znaleźć równowagę między dobrymi chęciami a potrzebą ochrony prywatności personelu — uczula George Harris, doradca DMPC Ltd ds. RODO(8). „[Monitorowanie personelu] trudno uzasadnić w standardowej sytuacji biznesowej” — wyjaśnia.
W świetle standardu RODO nie lada wyzwaniem jest monitorowanie urządzeń pracownika (poprzez rejestrowanie naciskanych klawiszy lub śledzenie ruchu myszy) bez naruszania ich prawa do prywatności. Zdaniem Grupy Roboczej Art. 29 RODO: „Technologie monitorujące komunikację mogą […] zniechęcać pracowników do korzystania z podstawowych praw do organizacji, organizowania spotkań pracowników i poufnego porozumiewania się (w tym prawa do poszukiwania informacji)(9)”.
7. Opracuj plan działania na wypadek naruszenia ochrony danych
„Naruszenie ochrony danych może oznaczać wiele rzeczy — od złośliwego ataku na czyjegoś laptopa po pozostawienie telefonu służbowego w pociągu, a nawet przypadkowe przesłanie dokumentów do grupy odbiorców z opcją »cc« zamiast »bcc«” — wyjaśnia James Walker, dyrektor zarządzający w firmie Jaw Consulting UK, specjalizującej się w ochronie i poufności danych(10).
Pierwszym odruchem jest minimalizowanie szkód, a po wejściu w życie RODO ta potrzeba będzie jeszcze pilniejsza. „Organizacja ma 72 godziny, by powiadomić o naruszeniu zarówno osoby, których dane naruszono, jak i odpowiedni organ nadzorczy. Musi to uwzględniać analizę potencjalnych konsekwencji naruszenia oraz podjęte lub proponowane środki zminimalizowania jego negatywnych skutków” — wyjaśnia Walker.
Pamiętasz, jak wspominaliśmy o czteroprocentowych karach? Właśnie tyle może kosztować firmę nieprzestrzeganie rozporządzenia. „Wyjątkiem od tej szczegółowej procedury powiadamiania jest sytuacja, gdy firma jest w stanie wykazać, że naruszenie najprawdopodobniej nie będzie skutkowało zagrożeniem praw i wolności osób fizycznych” — mówi Walker. „Przedstawienie dowodów na właściwe zaszyfrowanie danych dużo zmienia i może nawet wyeliminować wymóg zgłaszania takiego incydentu”.
Źródła:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
