Jak zapewnić bezpieczeństwo danym?

Podczas naszych audytów często pytamy o występowanie incydentów związanych z ochroną danych osobowych czy bezpieczeństwem informacji. Zazwyczaj padają odpowiedzi, że nic takiego nie miało miejsca. Często jednak, już po chwili okazuje się, że takie incydenty się zdarzały i to dość często – po prostu nikt ich nie zauważał. Jak to możliwe?

Większość osób, słysząc o incydentach, ma jednoznaczne skojarzenia z dużym skandalem, krzykliwymi nagłówkami prasowymi i państwowymi kontrolami. Tymczasem większość z nich nie jest aż tak spektakularna, choć niemniej groźna.

Czym w ogóle jest incydent związany z bezpieczeństwem informacji? Otóż, zgodnie z definicją normy PN-ISO/IEC 27001, jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Tyle teoria, a w praktyce…

Korespondencja elektroniczna

Pierwsze miejsce wśród incydentów zdecydowanie zajmuje niewłaściwie zaadresowana poczta elektroniczna. W programach pocztowych niemal wszyscy korzystamy z funkcji zapamiętywania i podpowiadania adresów mailowych – usprawnia nam to pracę i pomaga w wyeliminowaniu ewentualnych błędów przy ich wpisywaniu. Okazuje się jednak, że przez to udogodnienie często tracimy czujność i nie sprawdzamy już podpowiedzianego przez program adresu. Stąd jest już bardzo krótka droga do wysłania wiadomości do niewłaściwego adresata – np. zamiast do Jana Nowaka z firmy X, do podpowiedzianego przez system Jana Nowackiego z firmy Y. Konsekwencje mogą być różne, w zależności od treści przesłanej wiadomości. Lepiej więc zachować ostrożność!

Częstym naruszeniem bezpieczeństwa danych w korespondencji elektronicznej jest również nieukrywanie poszczególnych odbiorców wiadomości w wysyłkach masowych. W przypadku upublicznienia kilku adresów najczęściej nic się nie dzieje. Adresaci nie zwracają na to uwagi lub po prostu nie chcą tracić czasu na bezsensowne, ich zdaniem, zgłoszenia. Osoby, które takiego maila wysłały również nikogo o tym fakcie nie informują i udają, że nic się nie stało – prawdopodobnie z obawy przed karą lub śmiesznością. Jeśli jednak w grę wchodzi mailing do 100 tys. odbiorów, wówczas skala incydentu jest naprawdę poważna. Warto zaznaczyć, że poza oczywistymi konsekwencjami prawnymi, grożą nam również duże straty wizerunkowe. Coraz częściej osoby niezadowolone z tego, jak potraktowano ich dane, szczegółowo informują o tym na forach internetowych, blogach czy w mediach społecznościowych. Warto mieć to na uwadze i przy kolejnej wysyłce maila do większej ilości adresatów skorzystać z opcji „kopii ukrytej” (BCC, UDW).

Utrata nośników danych

Kradzież telefonu czy laptopa, zgubienie pendrive’a to, poza oczywistą stratą materialną, również incydent związany z bezpieczeństwem informacji. Jeśli stracimy zwykły telefon, utrata danych i ryzyko ich wykorzystania jest stosunkowo niewielka – najczęściej jedynymi danymi kontakty z numerami telefonów. Kiedy jednak w grę wchodzą smartfony, sytuacja staje się dużo poważniejsza – katalogi danych, skonfigurowana skrzynka pocztowa, zdjęcia, itp. Warto więc być mądrym przed szkodą i zabezpieczyć znajdujące się na nośnikach dane. Przede wszystkim pamiętajmy o ich szyfrowaniu, używaniu haseł dostępu (zaleca się, aby hasła składały się z dużych i małych liter, cyfr oraz znaków specjalnych), a także zapewnieniu możliwości zdalnego usunięcia danych, np. z telefonu.

Problemem przedsiębiorców jest często brak właściwej kontroli nad sprzętem – pracownicy korzystają ze swoich prywatnych laptopów, telefonów, itp. Jak w takich sytuacjach zadbać o bezpieczeństwo? Przede wszystkim rzetelnie informować pracowników o potencjalnych zagrożeniach oraz stale szkolić z zasad ochrony danych. Zmiana nastawienia i sposobu myślenia o bezpieczeństwie danych to klucz do skutecznego zabezpieczenia firmy przed incydentami.

Edukowanie pracowników może nas wesprzeć również w walce z niefrasobliwością pracowników w zakresie pozostawiania osób postronnych bez nadzoru w miejscach, gdzie mają łatwy dostęp do danych w wersji papierowej (segregatory, teczki) lub też, gdy sami te dane wynoszą i przez roztargnienie je gubią, np. chcąc wykorzystać wolny czas w podróży służbowej, przeglądają firmowe dokumenty, a później zapominają zabrać je z pociągu, autobusu czy dworca.

Nieuprawnione udostępnienie danych

Udostępnianie i przekazywanie danych odbywa się obecnie głównie zdalnie (np. VPN) na podstawie nadanych poszczególnym użytkownikom uprawnień. Niestety, okazuje się, że nadzór nad tymi uprawnieniami często jest bardzo niedoskonały. Najczęstszym uchybieniem jest aktywność kont poszczególnych osób jeszcze długo po tym, jak rozstały się z firmą. Takie zaniedbania już same w sobie są incydentem, a pomyślmy co się może stać, gdy osoba nieuprawniona zechce wykorzystać swój dostęp w złych intencjach?

Zadbajmy więc o właściwy nadzór nad nadawaniem i odbieraniem uprawnień i udostępniajmy poszczególne dane tylko tym osobom, które faktycznie na nich pracują. Uczulmy też naszych pracowników na próby wyłudzeń informacji drogą telefoniczną (np. ktoś podając się za komornika lub pracownika banku prosi o informację o wysokości wynagrodzenia poszczególnych osób). Zanim podamy jakiekolwiek dane przez telefon, upewnijmy się, że nasz rozmówca jest faktycznie tym, za kogo się podaje.

Nieodpowiednie techniki usuwania danych

Powszechną praktyką w niemal każdej firmie jest wyrzucanie podręcznych notatek czy nawet dokumentów do zwykłych koszy na śmieci. Niektórzy zdają się myśleć, kilkukrotne przedarcie kartki sprawi, że z danego dokumentu nic nie będzie można odczytać. Gdyby jednak tak było, zapewne nie powstałyby niszczarki. Tymczasem okazuje się, że nawet tam, gdzie są niszczarki, korzysta się z nich niezwykle rzadko. Trudno zrozumieć dlaczego… Warto wiedzieć, że dane przechowywane w wersji papierowej muszą być pod kontrolą również wówczas, gdy są niszczone. Zdecydowanie polecamy więc niszczarki!

Coraz powszechniejszą formą niszczenia dokumentów, jest wykorzystywanie do tego celu wyspecjalizowanych firm. Zanim jednak zdecydujemy się na konkretną firmę i powierzymy jej nasze dane, warto ją dokładnie sprawdzić. Może się bowiem okazać (a takie przypadki już miały miejsce!), że dane, które miały być spalone lub rozdrobnione, trafią do przydrożnego lasu.

Na koniec warto jeszcze wspomnieć o usuwaniu danych z nośników elektronicznych – telefonów czy komputerów. Często z niewiedzy, wygody lub nawet lenistwa użytkownicy jedynie formatują lub defragmentują urządzenie. Okazuje się jednak, że to jedynie pozorne wykasowanie danych. W praktyce takie dane można łatwo odtworzyć i wykorzystać. Aby właściwie usunąć dane należy skorzystać ze specjalnego oprogramowania do usuwania danych lub dwukrotnie zapisać nośnik treścią niezawierającą danych osobowych, a następnie usunąć całą zawartość.

-
Najpopularniejsze

Najnowsze


Maciej Kaczmarski
16 września 2014
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.