Bezpieczeństwo informacji w firmie
Bezpieczeństwo informacji w firmie, na obecnej fali zainteresowania RODO, skupia się przede wszystkim na ochronie danych osobowych. Często pomijanym elementem systemu bezpieczeństwa jest ochrona wszystkich danych – również tych, które pozornie nie mają wartości, a w rzeczywistości mogą stanowić przewagę konkurencyjną firmy.
Ochrona danych osobowych w firmie
W treści RODO wielokrotnie możemy spotkać się ze stanowiskiem, że ochrona danych osobowych jest podstawowym prawem każdego obywatela Unii Europejskiej. Ze względu na bardzo szybki rozwój technologii, prawo nie zawsze będzie jednak nadążało za nowymi sposobami używania takich danych. Co ważne, nie określa się już nawet w sposób zamknięty, czym dane osobowe są. W związku z rozwojem dziedzin takich jak biometria behawioralna, obecnie możemy zidentyfikować konkretną osobę na podstawie sposobu pisania na klawiaturze, czy specyficznych ruchów myszką. Jeśli weźmiemy również pod uwagę rozwój cyberataków typu APT, konieczne staje się chronienie wszystkich danych.
Polityka bezpieczeństwa informacji
W każdej organizacji gromadzone są ogromne ilości danych. To nie tylko dane osobowe, ale również informacje dotyczące wykorzystywanej technologii, porozumień handlowych czy podejmowanych działań marketingowych. Wiele z nich, z punktu widzenia działania organizacji, są najważniejsze. Ich ujawnienie, mogłoby spowodować utratę pozycji rynkowej. Z tego powodu, takie informacje oznaczane są klauzulą tajemnicy przedsiębiorstwa, a dostęp do nich ma ograniczona liczba osób.
Zarządzanie danymi w firmie (choćby poprzez wspomnianą klauzulę poufności) łączy się z pojęciem bezpieczeństwa informacji. Jest to proces, który ma na celu zapewnić, że dane gromadzone i przetwarzane w organizacji nie zostaną utracone, upublicznione w niekontrolowany sposób, lub zmienione. System bezpieczeństwa musi obejmować zarówno systemy informatyczne, które narażone są na awarie lub ataki hakerskie, ale także zabezpieczenia miejsc pracy, aby do danych miały dostęp wyłącznie osoby do tego uprawnione.
Bezpieczeństwo informacji w firmie, utrzymane na odpowiednim poziomie nie jest zadaniem łatwym. Aby zbudować odpowiedni do potrzeb organizacji system bezpieczeństwa, niezbędna jest analiza jej otoczenia, posiadanych informacji oraz roli jaką odgrywają w budowaniu jej przewagi konkurencyjne. Dopiero w oparciu o zdobytą w analizie wiedzę istnieje możliwość stworzenia polityki bezpieczeństwa informacji czyli zasad i procedur bezpieczeństwa wraz planem ich wdrożenia i egzekwowania.
Należy pamiętać, że raz wdrożone procedury nie będą zawsze skuteczne. Rozwój technologii przynosi także nowe zagrożenia. Niezwykle ważne jest, aby aktualizować swoj system, stale monitorować wprowadzane zasady zabezpieczania informacji, oraz modyfikować je wraz z pojawiającymi się nowymi zagrożeniami.
Wzrost cyber-zagrożeń i ich wpływ na ochronę danych osobowych
Zagrożenia w cyberprzestrzeni
O tym jak niebezpieczne może być nieaktualne lub wadliwe oprogramowanie można było przekonać się w 2017 roku. W maju właściciele wielu firma na całym świecie, mieli okazję poznać nowy rodzaj zagrożenia w cyberprzestrzeni. Atak przeprowadzony za pomocą oprogramowania WannaCry był największym tego typu. Choć w Polsce uderzył w sposób ograniczony infekując „zaledwie” 1235 komputerów (tyle adresów IP zarejestrował CERT Polska), to w skali świata było to już ponad 200 tysięcy komputerów z systemem Windows. Ofiarami ransomware padły między innymi brytyjska służba zdrowia, hiszpański operator telekomunikacyjny Telefonica, czy indyjskie linie lotnicze Shaheen Airlines.
Szyfrowanie dysku przez tego rodzaju program możliwy był przede wszystkim z jednego powodu – WannaCry wykorzystał znaną, i co ważniejsze, naprawioną lukę w systemie Windows. Tyle tylko, że Microsoft załatał dziurę poprzez patch, który powinien zainstalować się automatycznie podczas aktualizacji systemu. Chyba że taka aktualizacja była wyłączona, lub system operacyjny nie był już wspierany – jak w przypadku Windows XP. Może się wydawać, że ochrona danych w pierwszej kolejności powinna dotyczyć aktualizacji systemu lub jego wymiany na bezpieczną wersję, jednak jak pokazuje przykład, często zaniedbane zostają nawet tak podstawowe kwestie bezpieczeństwa sieci w istotnych dla społeczeństwa organizacjach.
Zabezpieczenie danych osobowych w praktyce
Mimo że przepisy RODO mogą dla wielu osób stanowić nowość, zasady przetwarzania opierające się na zapewnieniu danym poufności, nienaruszalności, autentyczności i dostępności funkcjonują w obrębie systemów bezpieczeństwa już od wielu lat.
Głównym założeniem RODO jest podejście oparte na szacowaniu ryzyka dla danego procesu przetwarzania danych osobowych i dobrania adekwatnych środków bezpieczeństwa. Inaczej przecież należy zabezpieczyć system medyczny zawierający informacje o dawkach leków dla danego pacjenta, a inaczej operację zbierania danych w ramach ankiety pozakupowej. W pierwszym przypadku naruszenie integralności oraz autentyczności danych może spowodować poważne konsekwencje dla zdrowia pacjenta, a nawet jego śmierć. W drugim zaś – co najwyżej upublicznienie np. adres e-mail.
W związku z tym każdorazowo środki bezpieczeństwa należy dobierać indywidualnie, zgodnie z charakterem przetwarzanych danych w kontekście danej firmy czy podmiotu. Za dobór tych środków odpowiada Administrator Danych Osobowych. Oczywistym jest, że w wielu przypadkach nie będzie on w stanie rzetelnie i obiektywnie ocenić zagrożeń i środków, jakie powinny zostać wprowadzone w jego organizacji. Głównym zadaniem Administratora Danych Osobowych (a więc właściciela lub zarządu firmy) jest wszak skuteczne prowadzenie działalności, a nie mozolne pochylanie się nad zagadnieniami związanymi z bezpieczeństwem.
Z tego powodu w wielu wypadkach konieczne staje się skorzystanie z pomocy specjalistów, którzy na podstawie analizy ryzyka będą w stanie wskazać obszary zagrożenia bezpieczeństwa wymagające lepszego zabezpieczenia.
Sytuacja komplikuje się jednak, jeśli Administrator nie dysponuje środkami na przeprowadzenie pełnego audytu, wraz z analizą i szacowaniem ryzyka, a następnie wdrożeniem adekwatnych zabezpieczeń. W takiej sytuacji pozostaje mu zadbanie o kilka podstawowych elementów systemu bezpieczeństwa.
Umowa o poufności
Najbardziej newralgicznym punktem jest człowiek. Około 70% incydentów związanych z bezpieczeństwem i naruszeniem ochrony danych wynika z działań obecnych lub byłych pracowników. Nawet najlepsze zabezpieczenia i procedury w niczym nam nie pomogą, jeśli nie będą realnie stosowane. O ile system komputerowy możemy zabezpieczyć przy pomocy konkretnych narzędzi, tak na działania personelu mamy ograniczony wpływ. Dlatego tak ważnym staje się jasne zobowiązanie pracownika do zachowania danych w tajemnicy i przestrzegania narzuconych reguł i procedur. W tym celu można podpisać z pracownikami, którzy mają dostęp do ważnych danych, umowę o poufności. Tego rodzaju zobowiązanie, oprócz efektu psychologicznego chroni również Administratora w przypadku dochodzenia źródła wycieku i wskazuje na to, że zachował odpowiednią staranność.
Szyfrowanie dysku lub pamięci przenośnej
Za każdym razem kiedy zapisujemy dane na pendrivie lub wynosimy służbowy komputer z pracy, drastycznie wzrasta ryzyko utracenia przechowywanych na nich danych. W końcu pendrivie łatwiej jest ukraść, niż dane zabezpieczone na serwerze, a laptop pozostawiony na tylnej kanapie zaparkowanego samochodu staje się łakomym kąskiem dla złodzieja. Dlatego właśnie powinniśmy nauczyć się szyfrować nasze dane. Obecnie istnieją narzędzia, również darmowe, które w stosunkowo szybki i prosty sposób pozwalają na tworzenie zaszyfrowanych kontenerów czy nawet całych dysków. Jest to zabezpieczenie, które bez wątpienia można stosować bez podejmowania nadmiernych wysiłków, a które znacząco poprawia bezpieczeństwo danych.
Poznaj zasady tworzenia i zarządzania hasłami
Blokady i hasła do komputera
Każdy z nas chociaż raz miał okazję lub był świadkiem sytuacji, w której bez problemu można było uzyskać nieuprawniony dostęp do zasobów komputera, np. współpracownika, który odszedł od stanowiska pracy. Taka sytuacja może wydawać się nieszkodliwa, jednak chodzi przede wszystkim o wyeliminowanie nawyku pozostawiania komputera niezabezpieczonego. Administrator Danych Osobowych może narzucić odgórnie, np. wprowadzenie hasłowanego wygaszacza ekranu. O wiele lepszym sposobem jest jednak uczulenie pracowników na to, aby wstając od biurka zawsze blokowali swój komputer. Nie jest to bardzo problematyczne i szybko staje się nawykiem, a zwykłe hasło do komputera może znacząco wpłynąć na poziom bezpieczeństwa w naszej firmie.
Podobnie sprawa powinna wyglądać z urządzeniami mobilnymi. Ze względu na to, że współczesne telefony spełniają podobną funkcję jak komputery, zawsze powinny być zabezpieczone co najmniej pinem. Zabezpieczenia na telefon obejmują również programy antywirusowe lub zewnętrzne systemy do zarządzania sprzętem (np. przez administratora z siedziby firmy), jednak w pierwszej kolejności powinniśmy skupić się na zabezpieczeniu sprzętu przed nieuprawnionym dostępem.
Powyższe działania oczywiście nie rozwiązują kwestii zapewnienia bezpieczeństwa informacji w firmie. Należy jednak pamiętać, że budowanie systemu bezpieczeństwa powinno rozpocząć się właśnie od podstawowych czynności – przeszkolenia pracowników, aktualizacji starego sprzętu, czy też zabezpieczenia go przed nieuprawnionym dostępem.
Sprawdź również:
- Bezpieczeństwo w cyberprzestrzeni. RODO zwiększy ochronę danych
- Zgoda na przetwarzanie danych osobowych dziecka
- Nowa ustawa o ochronie danych osobowych coraz bliżej