Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Ryzyko wycieku danych - edukacja jako kluczowy czynnik zmniejszający ryzyko

13-11-2017, 00:28

Znaczenie bezpieczeństwa danych osobowych dla firm, organów publicznych oraz klientów,  wzrasta wraz z nowymi zagrożeniami oraz nowymi regulacjami. Nie chcąc epatować bezprecedensową skalą nadchodzących kar pieniężnych do 20 mln EUR albo do 4% całkowitego rocznego światowego obrotu, wystarczająco rozpropagowaną w ostatnich miesiącach przez liczne media, sugeruję zwrócić uwagę na inne, równie groźne i wymierne konsekwencje naruszeń.

Praktyczne przykłady

Należą do nich roszczenia odszkodowawcze klientów, których wysokość nie może być ograniczona i które mogą przewyższyć kwoty kar administracyjnych, jeżeli wystąpią z nimi masowo osoby dotknięte skutkami naruszeń. Co więcej ryzyko wzrasta, ponieważ rośnie świadomość konsumentów z przysługujących im praw.

Dodatkowo należy również pamiętać o nowym obowiązku zgłaszania incydentów ochrony danych osobowych nie tylko organowi nadzorczemu ale też osobie, której dane dotyczą. To zasadniczo zmieni skalę roszczeń, usunie podstawową barierę – trudności klienta z wykazaniem, że do naruszenia doszło oraz z udowodnieniem jego charakteru, konsekwencji i przybliżonej liczby poszkodowanych osób. Zbiega się to z osiągającą często znaczne rozmiary dotkliwością wynikającą z wpływu nagłośnienia incydentu na reputację instytucji.

Zasięg informacji o masowych wyciekach danych staje się globalny m.in. dzięki dystrybucji wielu newsletterów w dziedzinie ochrony danych, a wrażliwość klientów na takie doniesienia obejmuje wszystkie branże i wynika np. z obawy przed zaciąganiem zobowiązań na rachunki osób, których tożsamość została skradziona.

Dobrze skonfigurowane systemy mogą być niezawodne, jednak przed klawiaturą i monitorem siedzi człowiek, który często okazuje się ogniwem bardziej zawodnym niż system informatyczny. To on wysyła podejrzany załącznik poza firmę, otwiera podejrzany link przysłany spoza firmy, nie sprawdza, czy adres e-mailowy nadawcy wiadomości nie wskazuje na usiłowanie zainfekowania sieci firmowej. Często są to zachowania nieumyślne, które wynikają z braku świadomości natury zagrożeń, sposobów przeciwdziałania im i ich skutków. Należy więc skoncentrować się na zwiększaniu poziomu świadomości ryzyka wśród pracowników.

 

Działania edukacyjne

Obecnie szkolenia przyjmują rozmaite formy, zależne m.in. od liczebności zespołu, budżetu, kanałów komunikacji w ramach firmy. Mogą być prowadzone w formie stacjonarnej lub elektronicznej, które prowadzone przez doświadczonych trenerów mają - moim zdaniem - większą wartość, ponadto przedsiębiorstwa mogą skorzystać z nieoczywistych rozwiązań jak np. quizy i atrakcyjne w formie akcji informacyjnych.

Istotne jest, aby zakres i sposób prezentacji był dostosowany do profilu ich odbiorców. Przedstawianie nadmiernej ilości informacji specjalistycznych kierowanych np. do osób zajmujących się sprzedażą produktów lub obsługą reklamacji nie tylko nie odpowiada ich potrzebom, ale wręcz powoduje, że informacje rzeczywiście potrzebne w ich pracy znikną w natłoku pozostałych. Pracownicy o takich potrzebach zapewne nie docenią informacji o procedurach analizy ryzyka ani o rejestrze czynności przetwarzania. Znacznie cenniejsze, które pozwala uniknąć zagrożeń w wielu sytuacjach, jest np. zalecenie sprawdzania adresu e-mail adresata korespondencji wysyłanej z firmy i ostrzeżenie, że błędy wynikające z wybrania niewłaściwego adresu z kilku podobnych zdarzają się często, a ich skutki bywają bardzo dotkliwe.

Równie wartościowe - ponieważ zapobiega występującym naruszeniom - jest zalecenie unikania automatycznego wybierania opcji „odpowiedz wszystkim”, która powoduje, że korespondencja e-mailowa może trafić do osób, które nie powinny jej otrzymać np. ze względu na zasadę „need-to-know”. To również szerszy problem bezrefleksyjnego przesyłania nadmiaru informacji do obszernej listy adresatów, bez selekcji zakresu przesyłanych wiadomości, która nie tylko zapobiegałaby naruszeniu zasady proporcjonalności ale też usprawniłaby procesy opiniowania i podejmowania decyzji.

Warto też uświadamiać pracowników - na częstych przykładach - że brak selekcji danych i listy adresatów może prowadzić do uzyskania przez osoby nieuprawnione danych, które mogą następnie posłużyć do phishingu, czyli wyłudzenia danych logowania, przez podszycie się pod inną osobę lub instytucję. Nie należy również rezygnować z innych, tylko pozornie trywialnych ostrzeżeń, do których należą np. zalecenia zachowania ostrożności podczas prowadzonych w miejscach publicznych rozmów, których padają nazwiska i nazwy objęte obowiązkiem poufności.

W szkoleniach i akcjach informacyjnych należy posługiwać się językiem prostym i zrozumiałym dla praktyków. Korzystanie ze słownictwa hermetycznego lub adresowanie do pracowników przesadnie obszernych regulacji jest nieskuteczne. Celem nie jest przecież wykazanie, że firma opublikowała regulację wewnętrzną, lecz osiągnięcie skutku w postaci rzeczywistego dotarcia do pracowników z informacją o ryzykach i sposobach zapobiegania im.

 

Nowe rozporządzenie o ochronie danych osobowych, wręcz narzuca obowiązek komunikowania się z osobami – których dane dotyczą - w sposób przyjazny, przystępnym i zrozumiałym językiem, tak aby przekaz do nich kierowany można było odebrać i zrozumieć bez wysiłku. Dlatego prowadzone szkolenia edukacyjne również powinny być prowadzone w sposób zrozumiały dla wszystkich. Przyczyni się to do lepszej organizacji pracy w przyszłości – mówi Marcin Zasrożny, Fundacja Wiedza To Bezpieczeństwo.

 

Autor:

Dr hab., r.pr. Mariusz Krzysztofek, ekspert, audytor i trener  z zakresu ochrony danych osobowych współpracujący z wydawnictwem C.H.Beck.

Artykuł stworzony został na potrzeby kampanii „Potencjalnie niebezpieczni”, którą organizuje Fundacja Wiedza To Bezpieczeństwo.

Fundacja Wiedza To Bezpieczeństwo powstała z inicjatywy osób zawodowo zajmujących się bezpieczeństwem informacji, łączących wiedzę, pasję i doświadczenie z różnych dyscyplin – m.in. prawa, informatyki, zarządzania. Cel, który jej przyświeca to promowanie znaczenia bezpieczeństwa informacji, jako najcenniejszego dobra, jakim dysponuje człowiek oraz strategicznego zasobu każdej organizacji. Działania Fundacji opierają się na: edukacji, integracji środowiska osób odpowiedzialnych za bezpieczeństwo informacji, w tym danych osobowych oraz tych, którzy po prostu interesują się przedmiotową tematyką oraz dostarczaniu organizacjom narzędzi chroniących ich zasoby informacyjne.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *              

Źródło: Patronat medialny