Odborníci na nařízení GDPR vysvětlují, jak chránit data na cestách

Trendy

Odborníci na nařízení GDPR vysvětlují, jak chránit data na cestách

Jak jsou bezpečná data vaší společnost mimo kancelář. Obecné nařízení o ochraně osobních údajů (GDPR) vejde v platnost tento měsíc a ovlivní všechny organizace po celém světě, které shromažďují či zpracovávají osobní údaje o občanech EU. Zde vám odborníci na soulad s nařízením GDPR poradí, jak ochránit vaši firmu

 

Pokud se vaše společnost spoléhá na vzdálené pracovníky, určitě rozumíte důležitosti zajistit, aby data nebyla zneužita, nesprávně uložena nebo odcizena. Protože ale v tomto měsíci (květen 2018) vstupuje v platnost obecné nařízení o ochraně osobních údajů (GDPR), je také důležité zajistit soulad s jeho přísnými požadavky. V opačném případě hrozí závažné finanční důsledky a poškození pověsti. Jak tedy můžete chránit data v pohybu a přitom si zachovat skutečně flexibilní pracovní sílu.

1. Vzdělávejte své zaměstnance

V jazyce nařízení GDPR je vaše společnost „vlastníkem informací“ a vaši vzdálení zaměstnanci jsou „zpracovatelé informací“. „To znamená, že mají stejně důležitou roli při ochraně bezpečí dat vaší firmy, jako máte vy sami,“ říká John Slaughter, provozní ředitel společnosti Data Comply(1). „Soulad s nařízením GDPR by měl být prioritou jejich každodenních rolí, obzvláště, pokud pracují vzdáleně.“ dodává. „Jasné směrnice pro využívání zabezpečených sítí jsou klíčové, proto je třeba rozpoznávat, kterým záznamům je v zabezpečeném prostředí omezen přístup.“ Firmám radí provádět pravidelná školení, zaměstnance školit opakovaně a ujišťovat se, zda problematice rozumí, a zda jsou jejich postupy aktuální.

Firmy by také měly připomínat zaměstnancům, že veřejné sítě WiFi nejsou bezpečné. „Zaměstnanec by neměl používat internetové bankovnictví ve veřejné síti a neměl by ani přistupovat k důvěrným pracovním dokumentům,“ říká Andy Kays, technický ředitel ve společnosti Redscan, která se specializuje na detekci hrozeb a reakci na ně. „Učte zaměstnance, aby používali pouze zabezpečené bezdrátové přístupové body, nebo se k firemní síti připojovali prostřednictvím zabezpečeného připojení (VPN). Také je vhodné připojovat se k internetu prostřednictvím sítě 4G, která nabízí dobře zabezpečení připojení k poskytovateli služeb.“

2. Vše chraňte heslem

Na základě nařízení GDPR bude pravděpodobně možné vymáhat v případě závažných narušení soukromí pokuty do výše až čtyř procent celosvětového obratu společnosti. Jedinou ochranou je schopnost doložit, že byla data odpovídajícím způsobem šifrována.

„Neprolomitelné zabezpečení neexistuje – hackeři pronikli i do agentury NASA,“ prohlašuje Andrei Hanganu, v Rumunsku žijící autor soupravy dokumentace nařízení GDPR(3). „Silná hesla a odpovídající šifrovací řešení však pomohou zajistit ochranu vašich osobních dat před neoprávněnými uživateli.

Většina firem používá software k šifrování disků a veškerých souborů, které jsou na nich uloženy. To se však nutně netýká vzdálených zařízení. Hanganu doporučuje poskytnout šifrovací software nezbytný pro notebooky, mobilní telefony a osobní stolní počítače – v takovém případě potřebuje uživatel jen kód PIN nebo heslo pro přístup k datům a jejich dešifrování do čitelné podoby. Všichni zaměstnanci by měli být zvyklí vše chránit pomocí hesel.

3. Čistota je důležitá

Virové a malwarové útoky jsou schopné shromažďovat a sledovat data, proto se na ně nařízení GDPR vztahuje také. „Protože je obrana proti malwaru tak náročná, většina firem je přesvědčená, že útok na ni je jen otázkou času,“ tvrdí Nigel Tozer, ředitel marketingu řešení pro oblast EMEA ve společnosti Commvault(4). Doporučuje zajistit ochranu zařízení zaměstnanců používáním nejaktuálnějších operačních systémů a antivirového softwaru.

„Člověk je vždy tím nejslabším článkem v bezpečnostních procesech organizace a důsledky mohou být nedozírné, pokud i jen jediný zaměstnanec klikne na nebezpečný odkaz nebo neaktualizuje systém,“ dodává Andy Kays. „Proto je důležité budovat povědomí o nebezpečích pro kybernetickou bezpečnost prostřednictvím pravidelných školení zaměstnanců, obzvláště v případě vzdálených pracovníků, kteří mohou přistupovat k firemním datům a službám z celé řady zařízení, míst a sítí.“

Firmy mohou také zvážit implementaci pravidelných schůzek s oddělením IT, na které by zaměstnanci přinesli svá mobilní zařízení k bezpečnostní kontrole, aktualizaci a upgradu.

Odborníci na nařízení GDPR vysvětlují, jak chránit data na cestách

Má vaše organizace strategii k zajištění bezpečnosti dat poté, co opustí kancelář?

 

4. Pamatujte na vizuální bezpečnost

„V technologicky pokročilém světe je snadné zapomenout, že stále existují technologicky jednoduché způsoby, jakými lze ukrást vaše firemní data,“ říká Orlagh Kelly, právnička a ředitelka společnosti Briefed, která se specializuje na školení a konzultace v oblasti GDPR(5).

V rámci experimentu, který provedla společnost 3M, byl hacker v převleku schopen získat citlivé informace jednoduše nahlížením na obrazovku přes rameno v 88 procentech případů(6).

„Je třeba zaměstnance učit, aby si dávali pozor, kdo jim může vidět přes rameno, když pracují mimo kancelář,“ prohlašuje Kelly. Není špatný nápad poskytnout zaměstnancům filtry soukromí, které lze aplikovat na obrazovku a zabránit tak nežádoucím pohledům zboku.

5. Orientujte se v omezeních cloudu

Podle studie institutu Ponemon Institute není 44 % dat společností, která jsou uložena v cloudových prostředích spravováno či řízeno oddělením IT. V důsledku toho tedy může využívání cloudových služeb zvýšit pravděpodobnost úniku dat se škodou 20 milionů dolarů až trojnásobně(7).

„Výběr správného poskytovatele cloudu je velmi důležitý,“ říká Nigel Tozer. „Je nutné přesně vědět, jak bude postupovat v případě úniku dat, protože odpovědnost je na obou stranách. Pokud data zůstávají v EU, poskytovatel cloudu by měl zajistit jejich uchovávání v souladu s právními požadavky. Také je třeba ověřit, zda jakákoli data opouštějící EU jsou odpovídajícím způsobem chráněna dle nařízení GDPR.“

Tozer zdůrazňuje, že podle nařízení GDPR je poskytovatel cloudu zpracovatelem dat, zatímco vaše firma je správcem dat. „[To znamená], že je vaší zodpovědností ověřovat způsobilost vašeho poskytovatele a ujistit se, že poskytuje dostatečné záruky pro zavedení odpovídajících technických a organizačních opatření, která splňují požadavky nařízení EU.“

6. Respektujte soukromí svých zaměstnanců

Pokud v současné době používáte nástroje nebo techniku k monitorování produktivity vašich vzdálených pracovníků, budete podle George Harrise, konzultanta v oblasti GDPR pro společnost DMPC Ltd(8), muset zvážit vztah mezi svými dobrými úmysly a ochranou jejich soukromí. „[Sledování zaměstnanců] je ve standardním podnikovém prostředí těžko ospravedlnitelné,“ tvrdí.

S ohledem na nařízení GDPR je složité sledovat zařízení zaměstnance (prostřednictvím záznamu kláves nebo pohybu myši) bez porušení jejich práva na soukromí. Podle prohlášení GDPR Article 29 Working Party: „mohou mít technologie monitorující komunikace […] děsivý dopad na základní práva zaměstnance organizovat a připravovat schůzky se zaměstnanci a důvěrně komunikovat (včetně práva vyhledávat informace)(9).“

7. Mějte připravený plán pro případ úniku dat

„Únik dat se může týkat čehokoli od malwarového útoku směrovaného na notebook zaměstnance, zapomenutého pracovního telefonu ve vlaku nebo neúmyslným odesláním e-mailových záznamů skupině pomocí kolonky Kopie namísto kolonky Skrytá kopie,“ říká James Walker, provozní ředitel společnosti Jaw Consulting UK, která se specializuje na kybernetickou bezpečnost, ochranu dat a osobních údajů(10).

I když je prvním instinktem zahájit kontrolu škod, v rámci nařízení GDPR je naléhavost ještě větší. „Organizace má 72 hodin na to, aby na únik dat upozornila ovlivněné jednotlivce a odpovídající dohlížející orgán, včetně analýzy pravděpodobného dopadu úniku a opatření provedených nebo navrhovaných za účelem minimalizace negativních dopadů,“ dodává Walker.

Vzpomínáte na zmíněnou pokutu do výše čtyř procent obratu? To je to, co můžete riskovat v případě nedodržení předpisu. „Výjimka z tohoto podrobného postupu upozornění je možná v případě, že můžete dokázat, že únik pravděpodobně neohrozí práva a svobody fyzických osob,“ pokračuje Walker. „Pokud prokážete, že byla data odpovídajícím způsobem zašifrována, můžete se dokonce vyhnout požadavku na ohlášení takovéhoto incidentu jako úniku dat.“

 


Zdroje:

(1) https://datacomply.co.uk/

(2) https://www.redscan.com

(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/

(4) https://www.commvault.com /

(5) https://www.briefed.pro/

(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/

(7) https://www.ibm.com/security/data-breach

(8) http://dmpc.ltd.uk/

(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf

(10) https://www.jawconsulting.co.uk