Darbas namuose: duomenų apsauga ir saugumas

Bendrasis duomenų apsaugos reglamentas (BDAR) numato, kad kiekviena organizacija privalo imtis tinkamų saugumo priemonių, kurios užtikrintų jų tvarkomų asmens duomenų saugumą. Visgi, BDAR nenumato privalomų saugumo priemonių, kurias turėtume įgyvendinti dirbdami įprastai ar nuotoliu. Tokias priemones turime rasti patys ir nėra vienos taisyklės tinkančios visoms organizacijoms.

BDAR įpareigoja organizacijas atlikti rizikos vertinimą visais atvejais, todėl nuo jo siūlyčiau ir pradėti. Tai leis aiškiai suvokti, kur esame, su kokiomis grėsmės galime susidurti, koks galėtų būti blogiausias scenarijus ir atitinkamai parinkti priemones rizikos mažinimui. Skamba paprastai, bet rizikos vertinimas ir saugumo priemonių parinkimas nėra lengvas procesas. Šiam procesui palengvinti galima naudoti Valstybinės duomenų apsaugos inspekcijos parengtas tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires duomenų valdytojams ir duomenų tvarkytojams.⁠⁠

Mano nuomone, organizuojant darbą nuotoliniu būdu ypatingai atidus dėmesys turėtų būti skiriamas prieigos kontrolei, mobilių įrenginių naudojimui ir darbuotojų mokymams.

Daugelis organizacijų neskiria dėmesio prieigos kontrolės politikai, kuriai įgyvendinti neišvengiamai turime naudoti technines priemones. Kaip svarbiausius aspektus, išskirčiau šiuos:

a) Kiekvienam darbuotojui suteiktas toks prieinamumo lygis, kuris yra būtinas jo (jos) užduotims atlikti.

b) Veikiantis autentifikavimo mechanizmas (bent jau naudotojo prisijungimo vardas ir slaptažodis).

c) Reikalingas dėmesys slaptažodžiams, jų sudarymo ir naudojimo taisyklėms, jų kompleksiškumo lygiui. Prieigų kontrolės sistema turėtų galėti aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka nustatyto kompleksiškumo lygio.

d) Prieigai prie vartotojų paskyrų naudoti dviejų veiksnių autentifikavimą.

Dažniausiai pasitaikanti klaida, sudarant slaptažodžius yra ta, kad esame linkę naudoti tą patį slaptažodį visoms savo paskyroms, nes mums taip tiesiog paprasčiau. Visgi, saugumo prasme tai nėra tinkama praktika. Tokias situacijas puikiai sprendžia slaptažodžių tvarkyklės. Pvz., saugumo sprendimų kompanija Keeper šiuo metu kaip tik siūlo nemokamą slaptažodžių tvarkyklės bandomąją versiją tiems, kas norėtų išbandyti tokio sprendimo funkcionalumą, daugiau informacijos čia⁠.

Organizacijoje turi būti mobiliųjų įrenginių naudojimo taisyklės. Visi įrenginiai naudojami darbui turi būti registruojami ir autorizuojami. Prireikus, organizacija turi galėti nuotoliniu būdu ištrinti duomenis mobiliajame įrenginyje.

Galiausiai, svarbų dėmesį reikėtų skirti darbuotojų mokymams. Visi procesai, procedūros ir politikos turi būti aiškūs ir suprantami visiems jūsų organizacijos nariams. Tai nemenkas iššūkis, todėl organizacijų vadovams ir jų darbuotojams rekomenduoju nebijoti išsakyti nuomonę, kai dokumentacija surašyta pernelyg sudėtinga teisine kalba, o procesai nėra aiškūs. Ekspertams ruošiantiems dokumentaciją - nepamiršti, kad visas taisykles teks įgyvendinti darbuotojams, kurie nebūtinai yra teisininkai, todėl naudojama kalba dokumentacijoje turi būti kiek įmanoma paprastesnė. Rekomenduoju naudoti teisinio dizaino elementus: spalvas, simbolius, paveiksliukus. Turiniui suprasti gelbėja vaizdo įrašai, galima pasitelkti specializuotas mokymų platformas darbuotojų mokymams.

Kiekviena organizacija dirba net tik su asmens duomenimis, bet ir konfidencialia informacija, todėl išlikime saugūs!