Darbas namuose: duomenų apsauga ir saugumas

Praėjusią savaitę virtualaus seminaro metu kalbėjome apie nuotolinį darbą iš asmens duomenų apsaugos ir saugumo pusės. Kad aptartume temą įvairesniais aspektais, padėtume surasti ir pritaikyti efektyviausius techninius saugumo sprendimus duomenų apsaugai, šiame seminare turėjome svečią - Hermitage Solutions ekspertą Marių Kaukėną, kuris su mumis dalijosi saugumo patarimas bei konkrečiais techniniais saugumo sprendimų pavyzdžiais.

Tie, kurie neturėjo galimybės dalyvauti Fondia virtualiame seminare, seminaro įrašą gali peržiūrėti čia.

Bendrasis duomenų apsaugos reglamentas (BDAR) numato, kad kiekviena organizacija privalo imtis tinkamų saugumo priemonių, kurios užtikrintų jų tvarkomų asmens duomenų saugumą. Visgi, BDAR nenumato privalomų saugumo priemonių, kurias turėtume įgyvendinti dirbdami įprastai ar nuotoliu. Tokias priemones turime rasti patys ir nėra vienos taisyklės tinkančios visoms organizacijoms.

BDAR įpareigoja organizacijas atlikti rizikos vertinimą visais atvejais, todėl nuo jo siūlyčiau ir pradėti. Tai leis aiškiai suvokti, kur esame, su kokiomis grėsmės galime susidurti, koks galėtų būti blogiausias scenarijus ir atitinkamai parinkti priemones rizikos mažinimui. Skamba paprastai, bet rizikos vertinimas ir saugumo priemonių parinkimas nėra lengvas procesas. Šiam procesui palengvinti galima naudoti Valstybinės duomenų apsaugos inspekcijos parengtas saugumo priemonių ir rizikos įvertinimo gaires dėl asmens duomenų tvarkymo.

Mano nuomone, organizuojant darbą nuotoliniu būdu ypatingai atidus dėmesys turėtų būti skiriamas prieigos kontrolei, mobilių įrenginių naudojimui ir darbuotojų mokymams.

Daugelis organizacijų neskiria dėmesio prieigos kontrolės politikai, kuriai įgyvendinti neišvengiamai turime naudoti technines priemones. Kaip svarbiausius aspektus, išskirčiau šiuos:

a) Kiekvienam darbuotojui suteiktas toks prieinamumo lygis, kuris yra būtinas jo (jos) užduotims atlikti.

b) Veikiantis autentifikavimo mechanizmas (bent jau naudotojo prisijungimo vardas ir slaptažodis).

c) Reikalingas dėmesys slaptažodžiams, jų sudarymo ir naudojimo taisyklėms, jų kompleksiškumo lygiui. Prieigų kontrolės sistema turėtų galėti aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka nustatyto kompleksiškumo lygio.

d) Prieigai prie vartotojų paskyrų naudoti dviejų veiksnių autentifikavimą.

Dažniausiai pasitaikanti klaida, sudarant slaptažodžius yra ta, kad esame linkę naudoti tą patį slaptažodį visoms savo paskyroms, nes mums taip tiesiog paprasčiau. Visgi, saugumo prasme tai nėra tinkama praktika. Tokias situacijas puikiai sprendžia slaptažodžių tvarkyklės. Pvz., saugumo sprendimų kompanija Keeper šiuo metu kaip tik siūlo nemokamą slaptažodžių tvarkyklės bandomąją versiją tiems, kas norėtų išbandyti tokio sprendimo funkcionalumą, daugiau informacijos čia.

Organizacijoje turi būti mobiliųjų įrenginių naudojimo taisyklės. Visi įrenginiai naudojami darbui turi būti registruojami ir autorizuojami. Prireikus, organizacija turi galėti nuotoliniu būdu ištrinti duomenis mobiliajame įrenginyje.

Galiausiai, svarbų dėmesį reikėtų skirti darbuotojų mokymams. Visi procesai, procedūros ir politikos turi būti aiškūs ir suprantami visiems jūsų organizacijos nariams. Tai nemenkas iššūkis, todėl organizacijų vadovams ir jų darbuotojams rekomenduoju nebijoti išsakyti nuomonę, kai dokumentacija surašyta pernelyg sudėtinga teisine kalba, o procesai nėra aiškūs. Ekspertams ruošiantiems dokumentaciją - nepamiršti, kad visas taisykles teks įgyvendinti darbuotojams, kurie nebūtinai yra teisininkai, todėl naudojama kalba dokumentacijoje turi būti kiek įmanoma paprastesnė. Rekomenduoju naudoti teisinio dizaino elementus: spalvas, simbolius, paveiksliukus. Turiniui suprasti gelbėja video, galima pasitelkti atitikties platformos darbuotojų mokymams.

Rinkoje turime įvairių platformų kurias galima lengvai pritaikyti savo organizacijai. Pvz., galite nemokamai išbandyti mūsų renginio partnerio Hermitage Solutions Cyber Security Academy kursą apie saugų darbą iš namų.

Kiekviena organizacija dirba net tik su asmens duomenimis, bet ir konfidencialia informacija, komercinėmis paslaptimis, todėl išlikime saugūs!