Dołącz do czytelników
Brak wyników

Dla przedsiębiorcy

3 czerwca 2019

Kultura bezpieczeństwa w firmie na co dzień

0 97

Porozmawiajmy o bezpieczeństwie danych, które przepływają w Twojej organizacji. Nie będzie o RODO. Nie będzie definicji. Ale będzie za to prosto i z podziałem na najważniejsze obszary.

Procedury bezpieczeństwa

Procedury bezpieczeństwa w każdej organizacji mogą być inne, dlatego nie będę przytaczał przykładowych. Opowiem natomiast, dlaczego warto je stosować, jak o nich informować i jak ich przestrzegać.

Tworzenie procedur współpracy jest pomocną metodą organizacji procesów wewnątrz firmy. Dzięki nim nowy współpracownik szybko zapoznaje się z obowiązującą kulturą pracy, dowiaduje się, co należy zrobić, aby się rozliczyć, jak wziąć urlop, jak postarać się o dofinansowanie szkolenia dla swojej grupy. Systematyzuje to pracę, tworzy przejrzyste zasady współpracy i postępowania w cyklu życia organizacji. Aby procedury były skuteczne, należy pamiętać, że muszą one być aktualne. Potrzebujesz zatem osoby, która będzie odpowiedzialna za utrzymanie porządku w bazie wiedzy. Pamiętaj –  miejsce wszystkich procedur powinno być łatwo dostępne dla wszystkich współpracowników.

Każdy z twoich współpracowników powinien znać lub przynajmniej wiedzieć, w jakim miejscu znajdują się procedury związane z bezpieczeństwem. Należy pamiętać, że w procesie tworzenia takich procedur trzeba się skupić na tym, aby informacje były zawsze aktualne, możliwie krótkie i proste w zrozumieniu – nie rozpisujmy się, dzielmy na punkty, ustalajmy proste tytuły. Przykład poniżej:

 

Procedura kopiowania danych na nośnik pendrive w systemie Windows:

  1. Zabezpiecz swój pendrive hasłem dostępu poprzez BitLocker (Prosta instrukcja: jak zabezpieczyć pendrive za pomocą BitLocker).
  2. Skopiuj dane na pendrive.
  3. Upewnij się, że są to prawidłowe dane.
  4. Sprawdź, czy skopiowane dane są nadal dostępne w pierwotnym miejscu, z którego je pobrałeś.
  5. Bezpiecznie usuń pendrive z systemu Windows.

#kopiowanie pendrive #bitlocker #dane pendrive

 

Zasady w kilku punktach i wszystko jasne. Nie użyłem słowa Zaszyfruj, zamiast tego bardziej zrozumiałe: Zabezpiecz. Nie każdy przecież musi być cyfrowym geekiem. Możemy nawet podać współpracownikowi link do Prosta instrukcja jak zabezpieczyć pendrive za pomocą BitLocker. W przykładzie użyłem zwrotu Prosta instrukcja... – aby odbiorca poczuł się swojo i wiedział, że zajmie mu to prawdopodobnie chwilę. Dodatkowo na końcu podajemy #hashtagi, które ułatwią wyszukanie odpowiednich procedur.

Wprowadzanie nowych procedur powinno być zawsze ogłoszone na forum publicznym organizacji, na przykład w wewnętrznym biuletynie, podczas spotkania lub po prostu w formie plakatu na korytarzu. Pamiętaj, pisanie procedur bez ich upowszechniania mija się z celem. Nie twórzmy procedur pro forma i tylko po to, aby je mieć.

 

Drukowanie, kserowanie i przekazywanie dokumentów

Często pomijany jest aspekt drukarek i kserokopiarek w procesie bezpieczeństwa danych. Tymczasem to bardzo duży błąd, ponieważ urządzenia to potencjalnie słabe punkty ochrony danych i wycieku informacji z firmy. Jeśli zamierzasz wydrukować wrażliwe dokumenty na wspólnej drukarce sieciowej, to zadbaj o to, aby je odebrać natychmiast – jest to dla Ciebie priorytet numer 1.

Kolejnym ważnym przypadkiem jest utylizacja urządzeń oraz ich serwisowanie. Często są to nowoczesne urządzenia z dyskami twardymi, na których znajdują się przesłane, skserowane dokumenty, nawet te usunięte można odczytać za pomocą specjalistycznego oprogramowania – często mogą to być całe pliki lub przynajmniej ich fragmenty. Co robić? Osoba odpowiedzialna za sprzęt techniczny w organizacji powinna być świadoma tych zagrożeń i być przygotowana na to, aby wykonać odpowiednie operacje zabezpieczające możliwy wyciek danych z firmy.

Pamiętaj, że drukarka sieciowa w dzisiejszych czasach jest tak naprawdę kolejnym komputerem, ma swój system. Wyobraź sobie sytuację, że w firmie masz jedną drukarkę sieciową, która jest dostępna dla wszystkich stacji roboczych. Do systemu można się włamać, można przechwytywać zdalnie przesyłane dokumenty, uzyskać dostęp do stacji roboczych, czy też rozesłać groźne oprogramowanie w lokalnej sieci. Istnieją sposoby minimalizacji ryzyka oraz podsystemy bezpieczeństwa, które zabezpieczają tego typu problemy.

Kolejnym ważnym aspektem w przepływie wrażliwych dokumentów jest ich miejsce przechowywania. Jeśli są to dokumenty cyfrowe, powinny być zawsze zaszyfrowane z odpowiednim poziomem dostępu. Jeśli są to dokumenty w formie papierowej, nie przechowuj ich po zakończeniu pracy na biurku, chowaj przynajmniej do szafki, a najlepiej  i najbezpieczniej korzystaj z szafek na klucz lub szyfr – wcale nie popadam w paranoję – lepiej się zabezpieczyć niż później tłumaczyć się z tego jak dokumenty, które otrzymałeś, znalazły się na biurku innego współpracownika – lepiej mieć spokojny, zdrowy sen i świadomość, że postępowaliśmy zgodnie z ustalonymi procedurami bezpieczeństwa.

Na koniec dodam, że dokumenty, które już nie są potrzebne i nie muszą być archiwizowane, powinny być skutecznie niszczone lub zwrócone do osoby, od której je otrzymaliśmy. W przypadku cyfrowych dokumentów postępujemy podobnie, usuwamy trwale w formie zaszyfrowanej.

 

Laptop, telefon

  1. Logowanie do systemu operacyjnego powinno być zabezpieczone co najmniej hasłem, a najlepiej przez biometrię.
  2. Blokuj zawsze ekran przed odejściem od komputera!
  3. Szyfruj swoje dyski. Każdy z systemów udostępnia swoje sposoby szyfrowania. Gdy zginie Ci laptop, zostanie skradziony lub oddasz go do serwisu, zminimalizujesz w ten sposób ryzyko wycieku danych.
  4. Często w telefonie przechowujemy zapis naszego codziennego życia (zdjęcia, SMS-y). Warto je zabezpieczyć przed nieproszonymi użytkownikami. Jeśli masz włączone synchronizacje danych, zabezpiecz dostęp do Twojego konta poprzez hasło i np. specjalny kod dostępu wysyłany na urządzenie. Usługodawcy gwarantują takie metody zabezpieczeń, wystarczy z nich skorzystać.

 

Hasła dostępu

  1. Hasła zawsze powinny być skomplikowane, złożone z wielu znaków – w systemach operacyjnych możesz skorzystać z automatycznie generowanych haseł. Obecnie hasła, które sami generujemy ręcznie są prawdopodobnie bardzo łatwe do złamania przy pomocy metody Brute Force – w sieci dostępne są miliony tego typu haseł, które wyciekły na przestrzeni kilkunastu lat i wciąż pojawiają się nowe.
  2. Nie zapisuj haseł w plikach, które nie są zaszyfrowane i nie zapisuj ich na kartce papieru.
  3. Zapisuj hasła w dedykowanej usłudze, która zabezpiecza Twoje dane za pomocą Twojego klucza prywatnego.
  4. Zapisuj na dedykowanym szyfrowanym dysku, gdzie prywatny klucz dostępu do tych haseł posiadasz tylko Ty.
  5. Możesz skorzystać z wielu narzędzi do przechowywania wrażliwych treści np. jednym z nich jest KeePass, który zdobył wiele nagród i jest polecanym oprogramowaniem do przechowywania haseł i innych ważnych danych.

 

Komunikacja Instant messaging – pamiętaj!

  1. Bezpłatne komunikatory internetowe, dostępne publicznie nie gwarantują wystarczającego bezpieczeństwa przesyłanych danych.
  2. Jeśli chcesz przesyłać wrażliwe dane firmowe lub prywatne, korzystaj z zaufanych narzędzi do szyfrowanej komunikacji biznesowej (np. BASTION Chat), lub szyfruj te dane przed wysłaniem.
  3. Twoje dane przesyłane przez komunikatory mogą być lepiej zabezpieczone, gdy  tylko Ty będziesz w posiadaniu swoich kluczy prywatnych. Pamiętaj, że szyfrowanie po stronie serwera nie jest wystarczającym zabezpieczeniem.
  4. W usługach publicznych nigdy nie masz pewności, czy do prowadzonej rozmowy nie jest wpięta niepożądana trzecia strona. Jest to możliwe, jeśli ktoś uzyska nieautoryzowany dostęp do serwera zewnętrznego usługodawcy.
  5. Jeśli w Twojej organizacji ważna jest szybka komunikacja real-time (instant messaging) zastanów się dobrze, zanim wybierzesz usługę publicznie dostępną. Zalecamy korzystać z usług, które są dedykowane i nastawione na bezpieczeństwo w biznesie.

 

Szkolenia i motywacja

  1. Buduj w swojej organizacji procedury bezpieczeństwa i informuj o nowo powstałych, aktualizuj je.
  2. Przeprowadzaj systematyczne szkolenia z zakresu Ochrony Danych Osobowych oraz świadomego podejścia do korzystania z sieci Internet.
  3. Propaguj wśród współpracowników ideę i zasady bezpiecznej komunikacji.

 

Służę konsultacjami i pomocą we wdrażaniu procedur bezpieczeństwa w firmach i instytucjach – pytaj śmiało: lukasz.klejnberg@bastion.chat

Łukasz Klejnberg - specjalizuje się w systemach real-time i zaawansowanych technologiach szyfrowania danych. Wieloletni programista i administrator sieci, także i w sektorze bankowym. Wicemistrz Polski w Tai Chi, pasjonat fotografii analogowej. Twórca komunikatora biznesowego BASTION.Chat przeznaczonego do bezpiecznej, grupowej komunikacji firmowej.

Przypisy