– Często spotykałem się z tym, że firma była świetnie zabezpieczona od strony infrastruktury, natomiast kwestie „czynnika ludzkiego” były całkowicie pominięte, co narażało właściciela na poważne konsekwencje (od zawirusowania po kompromitujący wyciek danych) – mówi Arkadiusz Zakrzewski, dyrektor pomocy technicznej CORE, dystrybutora programu antywirusowego AVG w Polsce. – Przedsiębiorcy nie mogą zapominać, że pracownik jest ważnym ogniwem zabezpieczeń, a duża część infekcji wynika właśnie z błędu ludzkiego i ignorowania (nieraz podstawowych) zasad bezpieczeństwa.

Rozmowę o tym, by Twoi pracownicy przestrzegali zasad bezpieczeństwa, trzeba zacząć od ich ustanowienia. Dlatego w każdej firmie, niezależnie od wielkości, powinna powstać polityka bezpieczeństwa, czyli zestaw zasad, obowiązujący wszystkich, spisany w czytelnej i zwięzłej formie oraz udostępniony tak, aby każdy mógł się z nim zapoznać.

Polityka bezpieczeństwa będzie stosowana, jeśli pracownicy będą ją znać i rozumieć. Dlatego warto nie tylko rozdać pracownikom oficjalny dokument, ale i proste “listy sprawdzające” obowiązujących zasad.

Obowiązek opracowania polityki bezpieczeństwa dotyczy wszystkich administratorów danych osobowych. W praktyce więc, każdy przedsiębiorca zatrudniający przynajmniej jednego pracownika lub przetwarzający w jakikolwiek sposób dane swoich klientów – osób fizycznych, musi posiadać politykę bezpieczeństwa (podstawa prawna: Rozporządzenie MSWiA z dn. 29 kwietnia 2004 r.

Bartosz Pudo, z Kancelarii Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy

POZNAJ 11 GŁÓWNYCH ZASAD POLITYKI BEZPIECZEŃSTWA W FIRMIE

1. Odpowiednie stosowanie haseł

Hasła na wszystkie urządzenia – ze smartfonami włącznie – muszą być silne, czyli przede wszystkim długie, a najlepiej też skomplikowane. Janek Kowalski nie powinien więc logować się z hasłem “Kowalski” - hasło nie powinno kojarzyć się z jego danymi, musi też (to absolutne minimum) zawierać jedną dużą literę i znak specjalny. Takie hasło należy regularnie zmieniać. Dla bardziej zaawansowanych użytkowników polecamy bardziej skomplikowane techniki tworzenia haseł, np. takich: “jAj3st3mR0chat0Pani!” Hasła nie powinny też być zapisywane w postaci tekstu widocznego dla wszystkich (np. na karteczce przyklejonej do monitora). Dbanie o bezpieczeństwo haseł to absolutnie podstawowy warunek bezpieczeństwa.

2. Rodzaje danych

W polityce bezpieczeństwa należy jasno podzielić dane na kategorie (np. według wpływu na biznes lub według wrażliwości) i określić, jak postępować z każdą z nich. Przykładowo, dane osobowe albo tajemnice handlowe zaliczymy do “danych o dużym wpływie na biznes” lub do “danych o dużej wrażliwości”, które powinny być traktowane ze szczególną ostrożnością.

3. Nadawanie praw dostępu

Nie wszyscy pracownicy muszą mieć dostęp do wszystkich danych. W pewnych przypadkach administrator powinien nadać dostęp tylko dla wybranych osób - co powinno być jasno określone i wymagane. Nie może dochodzić do sytuacji, gdy jeden pracownik pracuje na koncie drugiego kolegi, bo “nie chciało się przełączyć”.

4. Instalowanie oprogramowania

Czasami pracownicy instalują na firmowych komputerach programy do celów prywatnych, dla rozrywki lub dla ułatwienia sobie zadań – bez wcześniejszego uzgodnienia. Może się to skończyć zainfekowaniem komputera, szczególnie jeśli oprogramowanie zostało pobrane z niepewnego źródła. Konsekwencje takiego ataku mogą wykraczać poza jeden komputer. Przestępcy posługują się sprytnym chwytem. Zwykle po zauważeniu problemów z komputerem loguje się na niego użytkownik z większymi uprawnieniami (np. informatyk), co może ułatwić przejęcie kontroli nad kolejnymi maszynami.

5. Zabezpieczenia komputerów

Każdy komputer powinien mieć zaktualizowany system operacyjny i zabezpieczenia takie jak oprogramowanie antywirusowe czy firewall (sporo na ten temat w poradniku). Najlepiej, jeśli na komputerze są wydzielone konta dla pracowników z logowaniem na hasło.

6. Transport danych, urządzenia zewnętrzne, korzystanie z własnych urządzeń (BYOD)

Powinno być jasne, na jakich zasadach pracownikom wolno używać nośników takich jak pendrive'y oraz czy w pracy można używać swoich prywatnych urządzeń. Jeśli tak, zasady korzystania z tych urządzeń powinny być jasno określone.

7. Korzystanie z usług online

Nierzadko zdarza się, że pracownicy ułatwiają sobie pracę przy pomocy usług online, z których korzystają prywatnie. Coraz bardziej powszechnym przykładem jest korzystanie z usług chmurowych do przechowywania pliki, co rodzi ryzyko celowego lub przypadkowego udostępnienia danych osobom niepowołanym. Często pojawiają się też komunikatory (np. stosowane między biurami lub do kontaktów z niektórymi klientami) , takie jak Skype, Google Hangouts, GG czy Facebook Messenger. Polityka bezpieczeństwa powinna określać, na jakich zasadach można korzystać z “prywatnych” usług online, w tym - w jakim zakresie można korzystać z popularnych komunikatorów na urządzeniach firmowych lub na urządzeniach prywatnych do celów służbowych.

8. Oddzielenie danych firmowych od prywatnych

Wszelkie dane firmowe powinny pozostać w firmie. Najbardziej podstawowy przykład to poczta elektroniczna. Przykładowo, pracownicy mogą używać prywatnych kont e-mail - to się zdarza, kiedy pracownik zapomni hasła do służbowego konta i musi coś szybko wysłać albo konto firmowe jest chwilowo niedostępne, a trzeba szybko przesłać informację. Należy jasno wskazać, że bezwarunkowo nie wolno podawać firmowego adresu e-mail na forach, na listach adresowych czy w mediach społecznościowych. Nie należy też korzystać ze służbowego adresu do spraw prywatnych (ani na odwrót).

9. Kopie zapasowe

Jasno określ zasady ich tworzenia, odpowiadając na następujące pytania: Jak często robimy kopie zapasowe? Gdzie robimy kopie zapasowe? Jakie dane są kopiowane? Czy tworzymy kopie w dwóch miejscach? Jeśli tak, to których danych?

10. Proste procedury bezpieczeństwa

Pracownicy muszą być po prostu uważni - ale też warto ich w tym wspomóc odpowiednimi technologiami. W marcu 2015 roku dane dotyczące Obamy, Putina, Merkel i innych ważnych polityków zostały przypadkowo ujawnione przez urzędnika, który zagapił się przy wysyłaniu e-maila. Po prostu wysłał wrażliwe dane pod niewłaściwy adres. Nie doszłoby do tego, gdyby używał technologii RMS (Rights Management Server), która zabezpiecza m.in. przed wysłaniem e-maila pod adres spoza domeny firmowej.

11. Aktualizowanie wiedzy o bezpieczeństwie

Żadne rozwiązanie z zakresu bezpieczeństwa nie wystarczy raz na zawsze, gdyż wraz z nowymi zagrożeniami pojawiają się nowe możliwości zapobiegania im. W firmie powinien istnieć system szkoleń - i to nie tylko wprowadzenie dla nowych pracowników. Ważne są też szkolenia okresowe, pozwalające nie tylko zapoznać pracowników z nowymi zasadami, ale i upewnić się, że znają i przestrzegają tych już obowiązujących.

ODDZIEL SPRAWY FIRMOWE OD PRYWATNYCH

W wielu współczesnych przedsiębiorstwach ważnym elementem będą na pewno zasady korzystania z urządzeń przenośnych (polityka BYOD - Bring Your Own Device). Należy wskazać, na ile pracownicy mogą korzystać ze swoich firmowych urządzeń do celów prywatnych lub odwrotnie - jakie są zasady korzystania do celów firmowych z prywatnych telefonów, tabletów czy laptopów.

Ustal zasady korzystania z poczty firmowej do celów prywatnych. Jeśli chcesz monitorować korespondencję pracowników, zwróć uwagę na ważne zasady.

– Efektywna i zgodna z prawem kontrola korespondencji służbowej może być realizowana wyłącznie w przypadku, gdy monitoringiem objęte zostają służbowe skrzynki poczty elektronicznej pracowników, a pracownicy zostają pouczeni o zakazie wykorzystywania tego narzędzia w celu prowadzenia korespondencji prywatnej – wyjaśnia Bartosz Pudo. – Istotnym jest, iż każda z osób, których korespondencja podlegać ma tego rodzaju kontroli, musi zostać o tym fakcie uprzednio poinformowana. Nie jest natomiast konieczne wyrażenie przez pracownika zgody na takie działania pracodawcy – dodaje.

Co jeszcze warto wiedzieć o polityce bezpieczeństwa w firmie?

Dowiesz się z pierwszej edycji Niezbędnika DI - bezpłatnego magazynu, w którym znajdziesz gotowe odpowiedzi i łatwe do wdrożenia rozwiązania zwiększające bezpieczeństwo Twojej firmy w Internecie. Poradnik opracowali doświadczeni redaktorzy Dziennika Internautów we współpracy z ekspertami z firmy Microsoft oraz licznym gronem ekspertów od bezpieczeństwa i prawa w IT.

Patronat honorowy nad niezbędnikiem objęło Ministerstwo Cyfryzacji, GIODO oraz Krajowa Izba Gospodarcza.