Jeśli czytasz ten tekst, to prawdopodobnie z powodu epidemii, Twoi pracownicy pracują zdalnie, albo wkrótce zaczną.
Myślisz zapewne, że ta sytuacja może odbić się negatywnie na bezpieczeństwie danych w Twojej firmie. Tak rzeczywiście jest, ale możesz się przed tym zabezpieczyć. Praca zdalna nie musi oznaczać zwiększonego ryzyka naruszenia RODO, czy zagrożenie dla bezpieczeństwa informacji w ogóle, jeśli dobrze ją przygotujesz. Bezpieczna praca zdalna jest możliwa.
Dziś wskażę Ci zagrożenia i zdradzę kilka sposobów, jak im zaradzić.
Mam świadomość niepewności, jaką przeżywasz teraz jako przedsiębiorca. Chcę, aby przynajmniej temat bezpieczeństwa danych przy pracy zdalnej nie spędzał Ci snu z powiek.
Ramowa polityka bezpiecznej pracy zdalnej
Zasoby
Praca zdalna tak, jak każdy proces, opiera się na pewnych zasobach. Na pierwszy rzut oka, pracownik po prostu bierze laptopa do domu i tyle. Ale to dopiero początek.
W praktyce tych zasobów jest o wiele więcej.
Po pierwsze – choć to brzmi trochę niehumanitarnie, człowiek też jest zasobem, który podlega ryzykom. Błędy pracownika, jego nieuwaga, niestosowanie się do zasad lub po prostu ich nieznajomość, może skutkować naruszeniem bezpieczeństwa informacji w Twojej firmie.
Ale nie chodzi tylko o pracowników. Ty, jako właściciel czy prezes, też jesteś zasobem i to kluczowym.
Jeśli nie przekażesz pracownikom zasad ochrony danych i nie będziesz egzekwował ich stosowania, to o bezpieczeństwie danych nie ma mowy.
Po drugie mamy Dane/informacje – czyli ten zasób, który mamy chronić. Jeśli spojrzysz na pozostałe zasoby, to zauważysz, że one są nośnikiem tych danych.
Dalej mamy sprzęt i tu wspomniany wcześniej laptop, smartfon, tablet. Także nośniki danych takie, jak pendrivey czy dyski zewnętrzne.
Zasobem będzie też oprogramowanie np. klient poczty email, taki jak Outlook czy Thunderbird. Także poczta online, czy inne oprogramowanie instalowane lokalnie lub webowe. Mogą to być komunikatory, CRM, systemy ERP, oprogramowanie do zarządzania projektami, oprogramowanie księgowe, czy systemy bankowości elektronicznej. Twoim zasobem będzie również oprogramowanie antywirusowe. Albo szerzej – zapewniające bezpieczeństwo urządzeń i danych. Tu zresztą można by długo wymieniać… Przyjmijmy, że to każda aplikacja, z której korzystacie do pracy w firmie.
Incydenty
Te zasoby, o których sobie powiedzieliśmy, należy zabezpieczyć. Robimy to po to, aby ograniczyć możliwość wystąpienia incydentu lub złagodzić jego ewentualne skutki.
Zacznijmy sobie od naszego laptopa.
Co złego może się stać?
Kradzież laptopa
Laptop może zostać ukradziony w wielu okolicznościach, np.:
- pracownik korzysta z tego laptopa w miejscu publicznym i zostawia go na chwilę bez opieki. Może Ci się to wydawać absurdalne, ale wierz mi – tak się dzieje.
Na stacjach paliw, podczas przerwy w podróży, w kawiarni, biurach co-workingowych i podobnych miejscach rzesze osób „na chwilę” zostawiają laptopa. Idą „tylko” po kawę lub „tylko” do toalety. Ja byłem świadkiem takich sytuacji niejednokrotnie.
Regularnie zdarza się, że te osoby proszą mnie, bym rzucił okiem na laptopa podczas ich nieobecności, chociaż jestem dla nich zupełnie obcą osobą. A złodziejowi wystarczy tylko chwila. - laptop może zostać ukradziony również z bagażnika samochodu. Wspomnę tylko o przypadkach zostawiania sprzętu w samochodzie na widoku np. na fotelu pasażera, czy na tylnej kanapie. Rozsądek podpowiada, żeby tego nie robić. Jednak zdarza się to nagminnie.
A czym to właściwie grozi? Scenariuszy może być bardzo wiele – prawdopodobnie na kilka dni szkolenia. Ja się ograniczę się do kilku przykładów.
Odchodzimy na chwilę od komputera, ktoś go najzwyczajniej w świecie kradnie. Najmniej dotkliwym dla Twojej firmy skutkiem w tej sytuacji mogą być straty finansowe, związane z utratą sprzętu.
Ale może być gorzej:
- załóżmy, że na komputerze były jakieś niezwykle istotne dla Twojej firmy dane – np. dane techniczne jakiegoś produktu, strategia marketingowa, lista kontrahentów, dane finansowe i była to jedyna kopia tych danych w całej firmie – konsekwencje takiej straty mogą zabić Twój biznes, a na pewno doprowadzić do poważnego kryzysu.
Nawet, gdy masz kopię danych i możesz je odtworzyć, to wyobraź sobie co się stanie, gdy te dane wyciekną: - Twoje dane finansowe, to zapewne gratka dla konkurencji,
- podobnie np. projekty produktów, czy strategiczne plany,
- jeśli wyciekną dane osobowe, to znowu konsekwencje mogą być różne (kontrola PUODO zakończona karą, utrata reputacji firmy, pozwy cywilne od osób, których dane wyciekły).
(Nie)bezpieczna praca z dokumentami
Podobne skutki może przynieść zbyt nonszalanckie postępowanie z dokumentami.
Co prawda nie przypominam sobie, abym kiedykolwiek widział, że ktoś rozkłada się z papierami w kawiarni, ale nie wykluczam tego.
Wbrew pozorom sporo zagrożeń dla dokumentów pracownika jest w jego domu:
- kawa wylana na biurko,
- dziecko, które chce sobie porysować,
- kot, który ma ochotę na zabawę.
Nieświadomy pracownik, może również odruchowo wyrzucić niepotrzebny mu już dokument do śmieci, zamiast zmielić w niszczarce.
Konsekwencje będą podobne jak w przypadku utraty, czy uszkodzenia laptopa.
Ujawnienie danych podczas rozmowy telefonicznej
Jeżdżąc często pociągami, ale również przybywając w innych miejscach publicznych, często bywam mimowolnym świadkiem służbowych rozmów. Wiele osób nie ma świadomości, że miejsce publiczne, jest….. PUBLICZNE.
Głośne rozmowy telefoniczne i poruszanie w nich tematów, mogących stanowić tajemnicę przedsiębiorstwa to coś na co powinieneś uczulić swoich pracowników.
Konsekwencje? Podobne jak wcześniej wymienione. Można dodać do tego, że rozmowy mają jednak nieco inny charakter, niż twarde dane np. w dokumentach. Pojawiają się w nich imiona, nazwiska informacje prywatne. Dla przestępcy mogą stanowić doskonały materiał do wykonania wiarygodnej próby podszycia się i przeprowadzenia ataku phishingowego.
Domowy… komputer służbowy
Komputer w domu jest często dobrem rodzinnym, a nie osobistym. Niestety taką rolę może spełnić również służbowy laptop, telefon czy tablet.
Może dojść zatem do sytuacji, w której pracownik trochę popracuje, a później da swoje pociesze urządzenie do zabawy. Trochę YouTube’a, trochę Netflixa i Facebooka, trochę niebezpiecznych stron internetowych.
I już mamy wirusa, ransomware, kradzież danych i konsekwencje, o których już sobie mówiliśmy.
Prywatne zasoby wykorzystywane w celach służbowych
Korzystanie z prywatnych zasobów w celach służbowych – czyli mówimy tu o sytuacjach typu „prześlę sobie firmowe pliki na prywatną pocztę na o2 i ogarnę to na własnym komputerze w domu”.
Tu powinieneś wziąć pod uwagę, że zasoby Twojej firmy to coś, nad czym masz dużą kontrolę.
No przynajmniej powinieneś mieć.
Darmowa poczta, czy komputer pracownika to są zasoby, o których w praktyce nie wiesz nic, albo niewiele. Nie znasz ich poziomu zabezpieczeń, a więc powinieneś założyć, że nie są zabezpieczone w żaden sposób.
Idąc tym tokiem myślenia – wyciek danych, czy utrata danych są bardzo prawdopodobne. O konsekwencjach już wspominaliśmy. Najlepszym zabezpieczeniem w takich sytuacjach jest zakaz korzystania z prywatnych maili, komputerów, prywatnych kont na serwisach do przechowywania plików typu Dropbox. Pamiętaj jednak o tym, że same zakazy nic nie dadzą. Przede wszystkim musisz zapewnić pracownikom zasoby, aby mogli swobodnie wykonać swoje zadania bez konieczności szukania rozwiązań na własną rękę i narażania firmy na niebezpieczeństwo.
Fałszywe wiadomości email
Dalej mamy fałszywe wiadomości email. Oczywiście one się również zdarzają w sytuacjach pracy w biurze. Jednak przy pracy zdalnej, potencjał ich wykorzystania w firmie jest o wiele większy. Uczul na to swoich pracowników.
Przyzwyczailiśmy się już do maili z załączonymi (tak zwanymi) niezapłaconymi fakturami, które tak naprawdę są wirusami, trojanami, ransomware i innymi szkodliwymi programami.
To samo tyczy się innych prób oszustwa.
Teraz przestępcom będzie o wiele łatwiej wysłać do twojego pracownika maila, który będzie wyglądał, jakbyś wysłał go Ty.
Np. z treścią „W załączniku wysyłam Ci zestawienie w Excelu. Sprawdź szybko i odeślij – potrzebuję za 10 minut.”
Zadziała Twój autorytet, presja czasu i pracownik to otworzy. Nie muszę wspominać, że plik excel, nie będzie plikiem excel.
Oczywiście nadawca maila/ jego treść zależeć będą od sprytu, inwencji i celu przestępcy. Mogą być bardzo różne.
To, co je łączy, to wykorzystanie ludzkich słabości, aby zmusić odbiorcę do wykonania pewnych czynności, zgodnie z wolą przestępcy.
Atakujący żerują na dość prostych schematach:
- wzbudzić zaufanie odbiorcy,
- działać jako autorytet,
- przestraszyć,
- wzbudzić ciekawość,
- wykorzystać fakt, że wiele maili czytamy bardzo pobieżnie.
Teraz świetnym pretekstem może być wysłanie maila dotyczącego koronawirusa:
- spreparowana wiadomość od służb sanitarnych z wezwaniem na badania kontrolne,
- informacja o tym, że z powodów epidemiologicznych, nie wysyłają pisma pocztą i że jest ono w załączniku.
Jedno nierozważne kliknięcie i jest problem.
A konsekwencje? –Wyciek danych, utrata danych, zaszyfrowanie danych i żądanie okupu za ich odszyfrowanie, wyłudzenie danych dostępowych do bankowości elektronicznej, wyłudzenie przelewu na konto przestępcy, itd.
Jak się przed tym zabezpieczyć?
Człowiek jest najsłabszym elementem bezpieczeństwa danych w firmie. Zapewne już to słyszałeś. Może brzmieć to jak frazes. Muszę jednak o tym wspomnieć. Śledząc informacje dotyczące bezpieczeństwa informacji, a także obserwując sytuacje u Klientów widzę, że większość przypadków naruszenia bezpieczeństwa informacji, to wynik czynnika ludzkiego. Można mieć najlepsze procedury i najlepsze zabezpieczenia, a przestępca wykorzysta czynnik ludzki i pokona naszą linię obrony w najsłabszym punkcie.
Nie oszukujmy się przy tym – człowiek pozostanie najsłabszym ogniwem. Grunt, by to najsłabsze ogniwo było odpowiednio silne.
Pracownik musi mieć świadomość trzech elementów:
- zagrożeń jakie występują w tym przypadku pracy zdalnej,
- skutków, jakie mogą się pojawić, gdy to zagrożenie wystąpi i zrealizuje się np. jeden ze scenariuszy, o których wspominałem,
- świadomość rozwiązań – tu mam na myśli wszelkiego rodzaju zabezpieczenia i sposoby postępowania, o których mówimy w tym materiale i które znajdziesz w udostępnionej przez nas polityce.
Twoją rolą jako pracodawcy, właściciela czy prezesa firmy jest, aby pracownicy byli świadomi.
Ty musisz stworzyć zasady np. w postaci polityk, czy procedur, z których pracownicy będą mogli korzystać. Co do zasady warto włączyć pracowników w tworzenie takich dokumentów. To pozwala połączyć bezpieczeństwo z komfortem pracy. Przy okazji, jeśli pracownicy będą współautorami takiej procedury, to będą czuć większe zobowiązanie do jej stosowania. Nie będzie takiej presji, że „szef coś narzucił”.
To oczywiście tylko dygresja – mamy wyjątkową sytuację, w Twojej firmie również może być teraz stan wyjątkowy, a w takich chwilach dyktatura może być lepszym rozwiązaniem niż demokracja.
Wróćmy do sedna. Zasady jakie tworzymy w formie polityk, czy procedur powinny nam określić organizacyjne i techniczne aspekty przetwarzania danych. Czyli w jaki sposób postępować i czego używać, aby było bezpiecznie. Należy wziąć przy tym pod uwagę, że nie jesteśmy w stanie przewidzieć wszystkich sytuacji. Podkreślaj na każdym kroku, aby pracownik w razie wątpliwości związanych z bezpieczeństwem danych zwracał się do Ciebie, czy do działu IT.
Zabezpieczenia w pracy zdalnej – wybrane element
Bezpieczeństwo danych, to temat szeroki. Łączy ze sobą dziedziny takiej jak prawo, informatyka, bezpieczeństwo fizyczne, przeciwpożarowe itd. Powstały o nim opasłe tomy książek. W sieci oferuje się wiele szkoleń. Dostępne są tematyczne studia.
Nie ma możliwości, abym omówił to w jednym artykule. Dam Ci jednak kilka wskazówek.
Jak bezpiecznie obchodzić się ze sprzętem IT w pracy zdalnej?
Uczul pracowników (i siebie samego) na:
- odpowiednie obchodzenie się ze sprzętem, aby uniknąć jego utraty.
Sprzęt w miejscach publicznych musi być pod stałym nadzorem użytkownika. Nie zostawiamy go w samochodzie, ani w widocznym miejscu typu fotel pasażera, czy kanapa, ani nawet w bagażniku.
Tym bardziej, jeśli zdarzy nam się pracować np. w drodze na stacji paliw..
Nie zostawiamy laptopa na stoliku, bo „tylko na chwilę” idziemy po kawę czy do toalety. Złodziejowi wystarczy tylko kilka sekund, - odpowiednie warunki użytkowania. Np. laptopy nie bardzo lubią, gdy wylewa się na nie kawa, herbata lub woda. Najlepiej trzymać płyny z dala od komputera, a jeśli popijamy na stanowisku pracy, to z odpowiednio zamykanych naczyń,
- przechowywanie urządzeń w miejscach niedostępnych dla dzieci, zwierząt a najlepiej wszystkich domowników. Dziecko pracownika lub jego kot, czy pies nie będzie znał zasad obchodzenia się z firmowym sprzętem.
Bezpieczna praca zdalne z dokumentami
Podobne zasady będą się donosiły również do dokumentów:
- jeśli pracownik bierze dokumenty z firmy, to nie zostawia ich bez nadzoru poza domem.
- w domu trzyma je na wierzchu, tylko gdy z nimi pracuje. Później odpowiednio zabezpiecza przed zagrożeniami ze strony dzieci, psa, kota, innych domowników.
- A co robimy z niepotrzebnymi dokumentami – na pewno nie mogą być wyrzucane do śmieci. Jeśli pracownik posiada niszczarkę o odpowiedniej klasie, to niepotrzebne dokumenty niszczy za jej pomocą. Jeśli nie ma takiej niszczarki, to przechowuje je do czasu, kiedy będzie miał możliwość zniszczenia ich w firmie.
- może warto ograniczyć wynoszenie papierów z firmy i lepiej je zeskanować i trzymać w formie elektronicznej?
Zabezpieczenie danych w pracy zdalnej
Zapewnienie fizycznego bezpieczeństwa to nie wszystko. Nawet jeśli nie wylejesz szklanki wody na laptopa, nie oznacza to, że przetwarzane na nim dane są bezpieczne.
Dlatego należy zastosować również zabezpieczania przed cyber-zagrożeniami:
- szyfrowanie danych – est ratunkiem w przypadku utraty urządzenia, na którym przetwarzamy ważne dane. Zabezpiecza nas przed dostępem do danych przez nieuprawnione osoby.
Szyfrowanie brzmi poważnie, ale tak naprawdę, nie jest to nic nadzwyczajnego. Zaszyfrowanie danych na laptopie to wręcz standardowa funkcja systemu Windows 10 Pro i wyższych. Jeśli używasz tych wersji, to możesz skorzystać z wbudowanego oprogramowanie BitLocker.
Jeśli w używanych przez Ciebie wersjach Windowsów nie ma Bitlockera, to możesz skorzystać z darmowego oprogramowanie VeraCrypt.
VeraCrypt przyda Ci się również do zaszyfrowanie pendrivów.
System Android na smartfonie ma opcję szyfrowania danych w standardzie – skorzystaj z niej. - rozsądnym zabezpieczeniem będzie również wykonywanie kopii zapasowych danych. Idealnym rozwiązaniem jest użycie oprogramowania, które to automatyzuje – wykonuje kopię zapasową i wysyła ją np. na Twój firmowy serwer.
Jeśli jednak potrzebujesz rozwiązani „na już”, to dobre będzie nawet ręczne robienie backupu, choćby na pendrive, czy dysk zewnętrzny. Oczywiście nie zapominaj tu o szyfrowaniu.
Kopia zapasowa może uratować Cię w przypadku awarii urządzenia lub jego utraty. - antywirus. Nic oczywiście nie zastąpi rozsądku użytkownika, ale warto go wspomagać. Obecnie, posiadanie antywirusa nie stanowi specjalnego obciążenia dla firmy. Od dłuższego czasu użytkownicy Windowsa otrzymują takie rozwiązanie wbudowane w system, albo możliwe do pobrania i zainstalowania.
To rozwiązanie może jednak nie wystarczyć.
Antywirus Microsoftu jest w porządku i to wszystko, co można o nim powiedzieć.
Zapewnia on bowiem tylko podstawową ochronę antywirusową, a to jest bardzo mało w stosunku do współczesnego oprogramowania, służącego ochronie komputera.
Ja osobiście używam oprogramowania Bitdefender, który posiada sporo narzędzi wspomagający kompleksową ochronę komputera. Prócz podstawowej funkcji antywirusowej znajdziesz tam np. narzędzia zabezpieczające przed phishingiem, ransomware, zabezpieczenie przed spamem, moduł antykradzieżowy, narzędzia chroniące twoja kamerę internetową i mikrofon, narzędzie do bezpiecznego usuwania plików i ich szyfrowania i wiele innych. Podsumowując – kombajn. Przy tym bardzo dobrze wypadający w niezależnych testach i tani w porównaniu z konkurencją – szczególnie w przypadku zakupu licencji wielostanowiskowych. - skorzystaj z VPN. Nie wnikając w szczegóły techniczne, VPN szyfruje połączenie z internetem, chroni prywatność i czyni użytkownika niewidocznym w internecie, bo wszystkie jego działania widoczne są jakby odbywały się nie z sieci w której pracuje rzeczywiście, a z serwera VPN, z którym się łączy.
Jedną z zalet VPN jest ochrona użytkownika i transmisji danych w słabo zabezpieczonych sieciach. Jeśli pracownik skorzysta np. ze zhakowanego hotspotu w kawiarni, to dzięki VPN poziom bezpieczeństwa znacznie wzrośnie. Oczywiście nie należy korzystać z sieci publicznych, ale o tym później. Co do zasady proponuję, aby wszystkie połączenia odbywały się przez VPN. Należy założyć, że domowy router pracownika, też nie spełnia wysokich standardów bezpieczeństwa. A nawet jeśli teoretycznie jest dobrze skonfigurowany, to VPN daje nam kolejną warstwę ochrony.
To może brzmieć trochę skomplikowanie, ale w rzeczywistości skomplikowane nie jest. Osobiście korzystamy w firmie z NordVPN. Usługa jest banalnie prosta do skonfigurowania. Wystarczy zainstalować aplikację, która jest dostępna na większość popularnych systemów – nawet na Android TV, jakby ktoś chciał.
Później wystarczy właściwie tylko logowanie, wybór serwera, jedno kliknięcie i łączymy się przez VPN.
Koszt usługi, gdy piszę ten tekst, wynosi 112 euro na 3 lata. W ramach tego 6 urządzeń w jednej chwili może korzystać z połączenia VPN. Ofertę znajdziesz na stronie NordVPN.
Być może masz już w firmie postawiony własny serwer VPN – wtedy dopilnuj, aby wszyscy pracownicy łączyli się za jego pomocą z siecią firmową i internetem.
- zadbaj, aby pracownicy korzystali tylko z zaufanych sieci WI-FI, albo hotspotu w telefonie – nie jest to alternatywa dla VPN – tylko kolejna linia obrony.
Jak nie dać się nabrać na fałszywy email?
Należy szczególnie uważać na fałszywe maile. Nie ma 100% reguły na ich rozpoznanie, ale jest kilka dobrych praktyk:
- Trzeba zwrócić uwagę na poprawność gramatyczną i sensowność treści. Jeśli wiele masowych ataków pochodzących z zagranicy, a tekst tych maili jest tłumaczony na polski za pomocą Google Translator. Na pierwszy rzut oka jest sensowny, ale jeśli dogłębnie go przeanalizować, to okazuje się, że nie do końca brzmi sensownie po polsku.
- Podobnie z ortografią. Treści maili od przestępców, wielokrotnie zawierają błędy ortograficzne, których nie spodziewamy się po naszym korespondencie np. współpracowniku, kliencie, banku, czy urzędzie,
- Jeśli mail wygląda jak przesłany przez osobę którą znasz, to trzeba przeanalizować dokładnie, czy styl wypowiedzi jest taki sam. Czy zostały użyte charakterystyczne dla tej osoby zwroty, albo wprost przeciwnie.
Przykładowo – mój kolega z pracy zazwyczaj zaczyna maila do mnie od „Hej Stary”, a dziś otrzymuję takiego maila rozpoczętego od „Cześć Rafał”. To jest już podejrzane.
Oczywiście, o jakikolwiek wątpliwościach pracownicy powinni Cię informować. - Trzeba weryfikować nadawców maili. Atakujący często korzystają z darmowych skrzynek pocztowych i nawet nie starają się tego zamaskować.
Urząd skarbowy, operator telekomunikacyjny, czy inna instytucja nie wyśle wiadomości z gmaila. Posiadanie własnej domeny i korzystanie z kont email w tej domenie jest już standardem biznesowym, więc Twoi kontrahenci też w większości będą w ten sposób korespondować z Tobą i Twoimi pracownikami.
Więc wiadomości z darmowych kont powinny być traktowane jako szczególnie podejrzane.
Prawidłowy adres email nadawcy nie powinien jednak usypiać czujności. Przestępcy potrafią spreparować wiadomości tak, że wyglądają one jak wysłane z zupełnie innego konta niż w rzeczywistości. Twoi pracownicy mogą więc otrzymać maila, który będzie wyglądał, jakbyś Ty go wysłał.
- Uczul pracowników na maile związane z kwestiami finansowymi faktury, zmiany numeru konta, konieczność dopłaty choćby drobnych sum, zablokowanie konta bankowego, czy inne kwestie związane z logowaniem się do konta, egzekucje komornicze, nadpłaty czy niedopłaty w urzędzie skarbowym – to wszystko są kwestie, które szczególnie chętnie wykorzystują przestępcy. Nieuwaga może spowodować, że fałszywa wiadomość, spowoduje utratę prawdziwych pieniędzy.
- Takie maile, choć oczywiście nie tylko takie, mogą zawierać odnośniki do kliknięcia i należy sprawdzić, czy one rzeczywiście prowadzą do bezpiecznego miejsca. Oczywiście nie należy w nie klikać. Można natomiast najechać kursorem i sprawdzić jaki rzeczywisty adres się wyświetli. Przeglądarka Chrome, Firefox, albo klient poczty Thunderbird pokazują ten adres w lewym dolnym rogu. Pracownik powinien przeanalizować adres, a w przypadku jakichkolwiek wątpliwości nie klikać i zgłosić ten fakt Tobie.
Wcześniej wspomniany Bitdefender Total Security zabezpieczy Twoja firmę przed częścią takich ataków, ale po pierwsze trzeba czasu, aby dane zagrożenie uwzględnić, a po drugie dotyczyć to będzie tylko masowych zagrożeń. Jeśli atak będzie wymierzony w Twoją firmę – pozostaje Ci zdrowy rozsądek. - nie wolno otwierać podejrzanych załączników.
To są oczywiście tylko dość ogólne wskazówki, ale stosowanie się do nich pozwoli znacznie zwiększyć bezpieczeństwo przy pracy z pocztą email. Ważne, aby wspominanie praktyki stosować bardzo dokładnie i nie uśpić czujności. I jeszcze raz – każda wątpliwość pracownika, powinna być zgłoszona Tobie lub odpowiedniemu pracownikowi i działowi w firmie.
Należy również podjąć kroki, by te wątpliwości weryfikować z nadawcą innymi kanałami np. telefonicznie. Oczywiście dzwoniąc na numer nadawcy, który już znamy lub jesteśmy w stanie zweryfikować, a nie na numer telefonu podany w fałszywym mailu.
Bezpieczna komunikacja audio-video w pracy zdalnej
Skoro dotarliśmy już do telefonu – uwaga na rozmowy telefoniczne w miejscach publicznych lub przy osobach nieuprawnionych. Uczul pracowników, aby rozmawiali o sprawach służbowych tylko w okolicznościach, w których treść takiej rozmowy nie będzie celowo lub przypadkowo podsłuchana.
Jeśli w Twojej firmie w trakcie zdalnej pracy będziecie korzystać z telekonferencji, to warto zastosować kilka reguł. Należy zadbać o otoczenie w którym prowadzi się telekonferencje. Wszyscy uczestnicy telekonferencji powinni sprawdzić, co obejmuje obiektyw kamery. Oczywiście chodzi o to, aby nie obejmował za dużo – zarówno ze względu na tajemnicę przedsiębiorstwa jak i prywatność pracownika. Niektóre aplikacje do prowadzenie telekonferencji mają możliwość rozmycia tła. To wartościowa funkcjonalność, ale nie zawierzaj (tylko) jej bezpieczeństwa danych.
Oprócz bezpiecznego otoczenia, należy też zadbać o poufność na komputerze, czy innym urządzeniu za pomocą którego prowadzi się telekonferencję. Szczególnie jeśli w jej trakcie będzie udostępniany pulpit lub okna konkretnych aplikacji.
Tak więc – pulpit powinien być czysty. Przed rozpoczęciem telekonferencji należy zamknąć wszystkie aplikacje, prócz tych, które będą wykorzystywane. Dlaczego? Bo nawet nazwa pliku umieszczonego na pulpicie może zdradzić tajemnice przedsiębiorstwa lub naruszyć ochronę danych osobowych.
Jeszcze łatwiej o naruszenie poufności jeśli przypadkowo pokażemy kontrahentowi okno naszego oprogramowania do prowadzenia księgowości lub okno poczty email.
Korzystanie z narzędzi do telekonferencji wiąże się z przetwarzaniem danych osobowych uczestników i tu konieczne jest zadbanie o zgodność z przepisami dotyczącymi ochrony danych osobowych.
My w firmie korzystamy z dwóch rozwiązań, które mogę polecić
Pierwsze z nich jest rozwiązaniem oparty o naszą firmowa chmurę. Zakładam jednak, że teraz średnio masz czas na wdrożenia i możesz potrzebować czegoś dobrego i na już.
Polecę Ci więc ClickMeeting. Choć jest to narzędzie o międzynarodowym zasięgu, to jest polskim produktem. Działa w naszym systemie prawnym i tym samym nie ma problemu, aby podpisać z nimi umowę powierzenia przetwarzani danych osobowych. Zgodność z RODO, to jednak nie jest jedyna zaleta tej usługi. Przede wszystkim jest wspaniałym narzędziem do komunikacji i prowadzenia webinarów.
Sprawdź za darmo Clickmeeting
Ostatnia wskazówka, jaką Ci dziś dam – to właściwie powtórka, tego co już mówiłem. Uczul swoich pracowników, aby bezwzględne informowali Ciebie lub odpowiedni dział w Twojej firmie o zgubieniu/zniszczeniu dokumentów, komputerów, smartfonów, nośników, o wszelkich podejrzanych mailach, telefonach, próbach phishingu, itp. Ty musisz mieć kontrolę nad bezpieczeństwem, a więc również nad incydentami. Pamiętaj, że sytuacja z koronawirusem nie zawiesza obowiązywania RODO. Musisz stosować się do zasad rozporządzenia – także w przypadku naruszeń związanych z ochroną danych osobowych.
Podsumowanie
Zdaję sobie sprawę, że ani ten artykuł, ani dokument, który udostępniam, nie odpowie na wszystkie problemy związane z bezpieczeństwem danych podczas pracy zdalnej.
Ogromna większość firm pracowała do tej pory tradycyjnie i nie zakładała przejścia na pracę zdalną. Sytuacja zaskoczyła wielu i trzeba działać doraźnie.
Jeśli dokument który udostępniamy nie poruszy jakichś zdalnych działań, które Twoim zdaniem wymagają opisania, to daj znać w komentarzu lub napisz mi maila.
Ja go poprawię, uzupełnię i udostępnię.
Sprawdź narzędzia, które polecaliśmy w tym artykule (i nie tylko)
Polityka bezpiecznej pracy zdalnej – Ureguluj zasady bezpiecznej pracy zdalnej
VeraCrypt – Szyfruj dyski komputera i nośniki danych
NordVPN – Łącz się bezpiecznie z internetem przez VPN (link afiliacyjny)
BitDefender – Chroń komputery i telefony przed wirusami i innymi zagrożeniami
ClickMeeting – Komunikuj się bezpiecznie i zgodnie z prawem z współpracownikami, kontrahentami i klientami (link afiliacyjny)
7zip – Kompresuj dane, twórz szyfrowane archiwa, darmowa i lepsza (prywatna opinia) alternatywa dla np. WinRAR

Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.