Pandemia koronawirusa sprawiła, że wiele firm nie tylko publicznych, ale i prywatnych zdecydowało się pracować w trybie zdalnym. O ile zapewnienie bezpieczeństwa danych w sieci komputerów pracujących w biurze nie stanowi problemu, o tyle sprawa się komplikuje, kiedy pracownik wykonuje swoje obowiązki w domowym zaciszu. Jak przygotować przedsiębiorstwo do pracy zdalnej tak, aby nie ucierpiało na tym bezpieczeństwo informacji?
Jak przygotować się do pracy zdalnej?
Ustalenie zasad pracy w trybie zdalnym, a także ich bezpieczne wdrożenie w instytucji stanowi pewne wyzwanie. Wymaga to podjęcia właściwych działań ze strony kadry zarządzającej oraz zespołu IT. Punktem wyjścia do wprowadzenia home office jest zbadanie, czy dana firma może przejść w całości na pracę z domu, czy tylko częściowo. Jeżeli w grę wchodzi wyłącznie druga opcja, należy zastanowić się, jakie sektory przedsiębiorstwa mogą pracować na odległość.
Następny krok to inwentaryzacja sprzętu, należy sprawdzić wszystkie urządzenia niezbędne do pracy, dokonać przeglądów technicznych i przeprowadzić weryfikację przypisanych odpowiedzialności, uaktualnić oprogramowanie, zweryfikować zabezpieczenia i wprowadzić nowe, typu szyfrowanie dysków, silne hasła uwierzytelniające, dodatkowe zapory sieciowe, ustawić opcję automatycznego blokowania ekranu, zainstalować zdalne oraz bezpieczne połączenia VPN, ograniczyć uprawnienia pracownikom w zakresie modyfikacji i założyć nakładki prywatyzujące na ekran, dzięki czemu ryzyko wglądu w monitor osób postronnych jest niewielkie.
Oprócz komputera należy mieć na uwadze także telefony służbowe, które zazwyczaj są podstawowymi narzędziami do sprawdzania poczty elektronicznej oraz systemów informatycznych, zawierające duże ilości danych. Ten sprzęt także musi być chroniony poprzez blokadę ekranu, opcję szyfrowania danych i możliwość bezpiecznego połączenia się z Internetem firmowym. W przeprowadzeniu tych wszystkich czynności pomoże norma ISO 27001.
Co to jest norma ISO 27001?
To system zarządzania, który ma na celu objęcie bezpieczeństwa danych zdefiniowaną kontrolą zarządczą. Formalna specyfikacja oznacza, iż nakłada ona sprecyzowane wymagania. Instytucje, które twierdzą, iż przyjęły normy ISO27001, mogą oficjalnie zostać poddane audytowi oraz otrzymać certyfikat zgodności.
Wymagania normy ISO 27001
Norma 27001 została sporządzona, aby przedstawić model systemu zarządzania informacją, w taki sposób, aby była bezpieczna. Zawiera ona wymagania, które dotyczą wdrożenia zabezpieczeń, chroniących aktywa informacyjne instytucji. Bezpieczeństwo Informacji oznacza, iż informacja podlega ochronie przed wieloma zagrożeniami tak, aby:
– zminimalizować straty,
– zapewnić ciągłość prowadzenia działalności,
– zwiększyć zwrot nakładów na rozwój oraz czynności o charakterze biznesowym.
Wdrożenie wymagań wyżej opisanej normy wiąże się z doprecyzowaniem polityki systemu zarządzania bezpieczeństwem danych w sieci, określeniem, a także oszacowaniem ryzyka, by następnie zidentyfikować oraz ocenić warianty postępowania z nim. Kolejne działanie to wybór celów stosowania zabezpieczeń oraz przygotowanie deklaracji postępowania. Aby wdrożyć system trzeba opracować oraz wdrożyć plan działania oraz podjąć wyselekcjonowane zabezpieczenia. Normę można stosować we wszystkich typach instytucji.
Jakie są konsekwencje niestosowania się do wymagań ISO 27001?
Negatywne skutki postępowania wbrew wymaganiom ISO 27001 są następujące:
– straty, które wynikają z ewentualnych odszkodowań dla klientów oraz interesariuszy,
– kary pieniężne związane z niestosowaniem przepisów kodeksu prawnego albo regulacji umów cywilno-prawnych,
– konsekwencje podejmowanych czynności na podstawie nieprawdziwych bądź niepełnych danych,
– straty materialne wynikające z zakłóceń ciągłości czynności i nieskoordynowanego postępowania mającego na celu przywrócenie normalnej działalności instytucji (lub przywrócenia działań na podstawowym, minimalnym poziomie),
– skutki, które wynikają z czynności sabotażowych, które mogą być przeprowadzone przez niezadowolonych pracowników,
– brak możliwości realizacji poszczególnych procesów, działalności (ze względu na brak dostępu do potrzebnych w tym celu danych),
– zły PR, utrata reputacji i zaufania wśród klientów oraz interesariuszy.
Popularyzacja pracy zdalnej towarzyszy nam od lat, ale jej wzrost nastąpił w Polsce w marcu 2020 roku, kiedy rozpoczęła się pandemia koronawirusa. Każda instytucja pragnąca przejść na ten etap pracy musi się do tego odpowiednio przygotować, szczególnie w kwestii bezpieczeństwa. W tym celu pomogą wymagania ISO 27001, które zabezpieczą wrażliwe dane przed niekontrolowanym wypłynięciem.