Zabezpieczenia techniczne i organizacyjne pracy zdalnej zgodne z RODO

RODO nie precyzuje, jakich środków technicznych należy użyć, żeby odpowiednio zabezpieczyć dane osobowe. Zabezpieczenia mają być adekwatne do ryzyka związanego z przetwarzaniem danych osobowych, o czym stanowi art. 32 RODO. Jednocześnie, Administrator danych osobowych na podstawie art. 5 RODO ma obowiązek wykazania Urzędowi Ochrony Danych Osobowych, iż przetwarza dane osobowe zgodnie z RODO i w tym zakresie podjął wszystkie niezbędne kroki i narzędzia. Przypomniał o tym Prezes UODO rekomendując zabezpieczenia w systemie pracy zdalnej w dniu 17 marca 2020 r. – LINK.

Zabezpieczenia i środki techniczne zgodne z RODO

• Szyfrowanie

Każde urządzenie, czy to komputer PC, laptop, zewnętrzny nośnik danych (dysk, pendrive), smartfon, które jest wykorzystywane do pracy poza podstawowym obszarem przetwarzania danych osobowych musi być zaszyfrowane!

Szyfrowanie zapewnia ochronę danych przed dostępem osób trzecich w sytuacji np. utraty lub kradzieży urządzenia. Dodatkową zaletą jest, że z chwilą utraty zaszyfrowanego urządzenia nie musisz zgłaszać tego zdarzenia do UODO, a jedynie odnotować ten fakt w wewnętrznym rejestrze przetwarzania danych osobowych.

• Hasła

Odpowiednie zabezpieczenia dostępów do urządzenia, sytemu lub aplikacji to kolejny etap po szyfrowaniu podnoszący odporność na naruszenie danych.

Filozofii tworzenia haseł, poziomu ich skomplikowania, jest wiele. Hasło powinno być silne. Najlepiej złożone z powyżej 15 znaków z użyciem małych i wielkich liter, cyfr, znaków specjalnych. Regularność zmiany takiego hasła nie może być zbyt częsta, bo użytkownicy zaczną je najzwyczajniej zapisywać i to wcale nie w miejscach ukrytych! Osiągniemy wówczas efekt odwrotny od zamierzonego.

Wiele systemów obecnie umożliwia dwuetapową autentykację (2FA), co oznacza, że poza hasłem podstawowym musimy uwierzytelnić się za pomocą dodatkowego czynnika – SMS, e-mail, dodatkowa aplikacja np. w smartfonie. Takie rozwiązanie w znaczący sposób podnosi poziom bezpieczeństwa.

Pierwszym hasłem, jakie możemy ustawić jest BIOS komputera, kolejne to już system operacyjny. Należy pamiętać, że każdy użytkownik musi mieć indywidualny login oraz hasło. Kolejne hasła związane są z systemami, na których pracuje użytkownik, systemy finansowe, ERP, CRM. Dobrą praktyką jest zmiana haseł przed rozpoczęciem pracy zdalnej.

• Automatyczny wygaszacz ekranu

Większość systemów operacyjnych udostępnia szereg dodatkowych, ale bardzo istotnych zabezpieczeń, jakie warto zastosować. Jedną z takich funkcji jest automatyczny wygaszacz ekranu, który po czasie bezczynności użytkownika, np. po 15 minutach, sam uruchomi wygaszacz ekranu zabezpieczony hasłem. Ponowna praca będzie możliwa po uprzednim zalogowaniu się do systemu. Automatyczny wygaszacz minimalizuje ryzyko dostępu do komputera przez osoby trzecie w sytuacji pozostawienia komputera niezablokowanego na dłuższy czas.

• Kopia bezpieczeństwa

Jeden z najważniejszych aspektów bezpieczeństwa! Nie mając kopii, nie mamy do czego wracać. Możliwości wykonywania kopii jest naprawdę wiele, począwszy od nośników typu zewnętrzny dysk, poprzez pendrive, sieć lokalną, na chmurze kończąc. Ważnym jest, aby kopia była WYKONYWANA! (najlepiej automatycznie) oraz bezpieczna. Jeśli wykonujemy ją na nośniku zewnętrznym, to koniecznie szyfrujemy, jeśli do chmury, to ustawmy odpowiednie uprawnienia oraz szyfrowanie. Dobra kopia, to przetestowana kopia. Dane zapisane w kopii bezpieczeństwa muszą być okresowo sprawdzane, czyli odzyskiwane i weryfikowane pod kątem spójności. To jest dopiero gwarancją dobrze wykonanego backupu.

• Antywirus

System antywirusowy, to podstawowe narzędzie zabezpieczające nasz komputer podczas pracy zdalnej. Wzmożona praca zdalna w oparciu o Internet i e-mail powoduje, że ryzyko infekcji wirusem znacznie wzrasta. Pseudo spryciarze chcący dostać się do naszego komputera, ukraść dane, zaszyfrować komputer, żeby wyłudzić pieniądze, nie próżnują. Program antywirusowy musi być w aktualnej wersji oraz posiadać bieżącą bazę wirusów dodatkowo automatycznie i regularnie aktualizowaną.

• Aktualizacje

Bardzo ważną kwestią jest posiadanie aktualnych wersji systemu operacyjnego oraz pozostałych aplikacji. Producenci pracują nieustannie nad ich ulepszaniem i podnoszeniem poziomu bezpieczeństwa, łatając wykryte luki. Zdaję sobie sprawę, że nie każda aktualizacja kończy się 100% powodzeniem, mimo to warto poświęcić swój cenny czas na wgrywanie aktualizacji. Odpowiednia konfiguracja może w znacznej mierze skrócić czas aktualizacji. Wystarczy ustawić opcje pobierania aktualizacji w tle, z informacją o gotowości do instalacji i samemu wybrać odpowiedni czas na ich wgranie.

• VPN

W wielu przypadkach nasza praca zdalna polega na pracy na systemach, programach, danych, które fizycznie znajdują się w siedzibie naszej firmy lub w chmurze. My, wykorzystując Internet, łączymy się do nich z domu. To bardzo dobry, bezpieczny i skuteczny system pracy zdalnej, pod warunkiem, że korzystamy z bezpiecznego połączenia VPN. VPN, to szyfrowane, bezpieczne połączenie pomiędzy naszym komputerem, a firmowym serwerem bazujące na połączeniu Internetowym. Dzięki takiemu rozwiązaniu komunikacja oraz przesyłane przez nas dane pozostają bezpieczne.

• Łącze internetowe

Praca zdalna w znacznej mierze polega na połączeniu Internetowym. W żadnym przypadku nie podłączmy naszych urządzeń – laptopa, smartfonu do niezabezpieczonych sieci WIFI. Koniecznym jest zweryfikowanie domowego urządzenia (router, modem) pod kątem odpowiednich zabezpieczeń, aktualności oprogramowania, haseł. To kor naszej pracy i nie możemy sobie pozwolić na odstępstwa.

• Ochrona ekranu

Nie zawsze nasza praca zdalna będzie odbywała się w odosobnieniu. Co do zasady powinniśmy unikać pracy w miejscach publicznych, czy w obecności osób trzecich. W takich sytuacjach należy ekran laptopa, tabletu, czy smartfonu wyposażyć w nakładkę lub folię zabezpieczającą, która uniemożliwi odczytanie danych z naszego urządzenia osobom postronnym, patrzącym z innego kąta, niż odbiorca treści.

• Uprawnienia

Każdy użytkownik powinien mieć uprawnienia adekwatne do zakresu obowiązków, jakie wykonuje. Użytkownik pod żadnym pozorem nie może mieć uprawnień administratora lokalnego na swoim komputerze. Uprawnienia do komputera, na którym użytkownik pracuje, powinny być tak ustawione, żeby umożliwić użytkownikowi realizację jego obowiązków służbowych, ale niezbyt szeroko, by np. nie mógł instalować dowolnych aplikacji niewiadomego pochodzenia. Brak możliwości wyłączania ochrony antywirusowej jest również dobrym rozwiązaniem. Ograniczyć można porty USB tylko do korzystania z bezpiecznych urządzeń firmowych (dysk zewnętrzny). Jeżeli pracownik łączy się do firmowego serwera, tam również powinien mieć dostęp do systemów i danych dotyczących jedynie zakresu obowiązków, jakie wykonuje. Dobrą praktyka jest okresowa weryfikacja uprawnień.

Zabezpieczenia organizacyjne pracy zdalnej zgodne z RODO

Zabezpieczenia techniczne pracy zdalnej, to nie wszystko. Bardzo ważny jest również aspekt zabezpieczeń organizacyjnych pracy zdalnej, świadomość użytkownika, jego odpowiedzialność za dane osobowe, które zostały mu powierzone do przetwarzania i sankcje, jakie z nieprzestrzegania zapisów RODO wynikają. W zależności od zakresu przetwarzania danych osobowych, każdy pracownik powinien być zapoznany z obowiązującymi w organizacji zasadami oraz wdrożonymi przepisami RODO. Powinien odbyć stosowne szkolenia i przestrzegać wytyczonych zaleceń.

• Miejsce pracy zdalnej

Miejsce wykonywania pracy zdalnej powinno myć możliwie wydzielone i odseparowane od osób trzecich, domowników. Należy unikać możliwości dostępu, a w szczególności nie udostępniać laptopa, tabletu, smartfonu i innych urządzeń firmowych domowników. Nawet przypadkowa sytuacja może doprowadzić do utraty danych lub zablokowania systemu, co uniemożliwi prawidłową realizację pracy zdalnej. Odchodząc od komputera należy zablokować system (Windows – kombinacja klawiszy Win + L). Dzięki prostemu zabiegowi dostęp do komputera dla osób trzecich będzie nie możliwy.

• Dbałość o sprzęt

Bezwzględnie należy dbać o powierzony sprzęt do pracy zdalnej. Wszelkie awarie i usterki należy niezwłocznie zgłaszać do działu IT. Czasami szybka interwencja może zapobiec gruntownemu uszkodzeniu. Użytkownik nie może podłączać do komputera innych, aniżeli służbowe nośniki danych. Na nośnikach zewnętrznych może znajdować się złośliwe oprogramowanie, które może zainfekować komputer, a następnie firmową sieć. Nawet zwyczajnie wyglądający pendrive może okazać się urządzeniem w rodzaju USB KILLER, który bezpowrotnie doprowadzi do sprzętowego uszkodzenia komputera.

• Kontakt z działem IT

Użytkownikowi pracy zdalnej bezwzględnie należy przekazać kontakt do działu wsparcia informatycznego, telefon, e-mail. Należy zobowiązać użytkownika do zgłaszania wszelkich nieprawidłowości związanych z pracą zdalną, nieprawidłowym zachowaniem systemów, czy urządzeń. Użytkownik musi zgłaszać wszelkie komunikaty dotyczące błędów, czy awarii, jakie otrzyma w trybie pilnym. Szybka reakcja służb informatycznych może zapobiec eskalacji problemu.

• Używanie prywatnych urządzeń w pracy zdalnej

Na prośbę użytkownika możliwe jest dopuszczenie do pracy zdalnej na prywatnym komputerze pracownika. Warunkiem jest wcześniejsze doprowadzenie urządzenia do obowiązujących w organizacji zasad bezpieczeństwa przez odpowiednie służby informatyczne.

• Dokumenty

Wszelkie dokumenty powinny być przygotowywane w formie elektronicznej i przechowywane w wyznaczonych do tego przez Administratora danych zasobach firmowych.

Praca zdalna przez chwilę stała się jedyną możliwą do wykonywania dla wielu z nas formą pracy. Wiele firm przeszło swego rodzaju test dla ich systemów informatycznych i procedur, które zostały wdrożone, również w odniesieniu do RODO.

Mam nadzieję, że w tych kilku punktach, które poruszyłem, udało mi się wyznaczyć kierunek, w jakim należy zmierzać, aby osiągnąć dobry rezultat dla wydajnej, stabilnej i bezpiecznej pracy zdalnej. Praca zdalna, czy chcemy, czy też nie, na dobre zagościła w naszej rzeczywistości, a wszystko wskazuje na to, że pozostanie, a wręcz rozwinie się na jeszcze większą skalę. Dobrze jest się do niej przygotować zawczasu.

Skupiłem się głównie na aspektach informatycznych pracy zdalnej, z uwagi, że tym zajmujemy się na co dzień w SPARK-IT. Jeśli będę mógł pomóc w odniesieniu do szeroko rozumianej pracy zdalnej, to pozostaję do dyspozycji. Chętnie odpowiem na pytania, służę radą.

Zdrowy rozsądek, to podstawa.

Serdecznie zapraszam do kontaktu.