Na základě ustanovení zákona o zpracování osobních údajů musí firmy zavést dostatečná technická a organizační opatření, aby byla zajištěna náležitá úroveň bezpečnosti. Mnoho organizací dále podléhá řadě smluvních závazků a specifickým pravidlům pro určitá odvětví. Podniky proto musí brát v úvahu smluvní ustanovení týkající se kyberbezpečnosti, která budou použita v souvislosti s informacemi a daty (například jak budou ukládány či jakým způsobem a kdy budou odstraněny nebo zničeny).
---
Mnoho zaměstnavatelů muselo kvůli současnému stavu změnit způsob výkonu práce svých zaměstnanců. Kromě jiných negativních aspektů představuje práce z domova kybernetická rizika pro celkové fungování daných společností. To jen umocňuje fakt, že doma lidé nemají “po ruce” technickou podporu IT specialistů, používají vlastní technická zařízení jako mobilní telefony a notebooky, nemají k dispozici dostatečné IT řešení či programy a firmy nemohou na 100 % zajistit, že se poblíž těchto zařízení nebudou pohybovat cizí osoby.
Článek 32, jež je součástí nařízení GDPR, výslovně stanovuje, že správce a zpracovatel provedou „vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku“. Potenciální hrozby je tedy nezbytné náležitou cestou ošetřit.
Přestože neexistuje univerzální návod, shrnujeme tipy pro pár konkrétních oblastí, na které je vždy nutné myslet. Tato doporučení jsou zároveň zcela v souladu s tím, co již k otázce práce z domova vydaly některé evropské úřady na ochranu osobních údajů:
1. Zabezpečte prvně svá zařízení
Je nutné se ujistit, že používaná zařízení budou uzamčena, pokud je jejich majitel potřebuje z jakéhokoliv důvodu nechat bez dozoru. Dále by měla být vypnuta, uzamčena nebo jinak pečlivě uložena, pokud nejsou v danou chvíli používána. V případě ztráty či odcizení by měla existovat možnost vymazat vybraná data na dálku.
Rovněž je nezbytné zajistit, aby byl software daného přístroje vždy plně aktualizován a jeho obsah pravidelně zálohován. Implementace efektivního řízení přístupu (například vícefaktorové ověřování a silná hesla) a šifrování dále omezuje přístup k datům uložených na daném zařízení.
V neposlední řadě je pro zabezpečení možné využívat speciální fólie na displeje, které omezují zorný úhel dalších osob. Jejich cílem je zabránit tomu, aby citlivé údaje na displeji notebooku viděl někdo cizí.
2. Dodržujte příslušné zásady týkající se používání e-mailu
Pro zasílání pracovních e-mailů je potřeba používat pouze firemní e-mailové účty, nikoliv osobní. Je také dobré si minimálně dvakrát zkontrolovat, zdali je e-mail odesílán správnému příjemci. V současné době také dochází ke zvýšenému počtu útoků typu phishing [1], kdy příjemcům chodí zprávy typu falešných nabídek čerpání dotací a podpůrných programů, které poskytuje mnoho evropských vlád na ochranu pracovních míst a podniků.
3. Zajistěte svým zaměstnancům firemní cloudové a síťové přístupy
Mezi elementy, které zvyšují úroveň ochrany citlivých údajů, patří také aktualizované firemní zásady a školení. Rovněž je třeba zajistit, aby pracovníci používali pouze důvěryhodné sítě nebo cloudové služby příslušné organizace, ve které pracují a bezpečné připojení k firemní síti (například připojení přes VPN). Všechna lokálně uložená data by následně měla být dostatečně a bezpečně zálohována, pokud zaměstnanci potřebují pracovat bez cloudového nebo síťového přístupu.
4. Nenechávejte papírové záznamy volně k nahlédnutí
Písemnosti s důležitými záznamy je mimo kancelář možné chránit například tím, že budou uchovány v uzamčené kartotéce či zásuvce. V případě nepotřebnosti by měla firma zajistit jejich bezpečnou likvidaci, aby z místa, kde zůstaly ležet, nemohly být odcizeny a následně zneužity.
Dále je vhodné vést záznamy o tom, kdy byly které dokumenty přeneseny domů, aby byl zachován přehled o umístění důležitých listin.
Zaměstnanci, kteří pracují s jednorázovými citlivými dokumenty, by pak měli mít možnost tyto dokumenty standardním způsobem zničit (například zapůjčením skartovacího stroje) a nijak je nehromadit.
---
Obecně platí, že zavedení příslušných firemních postupů je pouze prvním krokem. Musí s nimi být seznámeni všichni zaměstnanci, ideálně formou interaktivního školení. Jejich znalosti by měly být pravidelně prověřovány. Pro opakovaná školení je doporučené vyžívat reálné scénáře na kterých by bylo ilustrováno, jak by se zaměstnanci měli zachovat v konkrétních situacích. I v oblasti kyberbezpečnosti totiž platí, že se metody útoků postupně mění a jsou mnohem sofistikovanější než dříve. Firmy by tedy měly být vždy o krok napřed a vhodnými postupy nejen plnit zákonnou povinnost správce či zpracovatele osobních údajů, ale především chránit svá firemní data.
Na závěr je dobré poznamenat, že tyto zavedené, dodržované a zcela funkční postupy organizacím bohužel nestačí. Obdobné principy by měly mít nastavené i jejich dodavatelé, případně další zpracovatelé osobních údajů. Proto je žádoucí vést s nimi otevřenou komunikaci a požádat tyto subjekty o potvrzení, že jsou příslušné postupy zavedeny a dodržovány i na jejich straně.
[1] Tzv. „phishing“ je podvodná technika používaná na internetu k získávání citlivých údajů (hesla, čísla kreditních karet, apod.) v elektronické komunikaci. K nalákání uživatelů komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, online platebních portálů, úřadů státní správy nebo od IT administrátorů.
Diskuze k článku ()