Vjerojatno ste svjesni golemog utjecaja koje povrede podataka mogu imati na vaše poslovanje. Posljedice povreda dalekosežne su i ozbiljne, pa je uvijek dobro imati plan za djelovanje u slučaju povreda. Ali, još bolje je pokušati uvesti metode kojima bi se takve povrede – spriječile!
Zakonske prednosti
Ove su mjere relativno jeftine za implementaciju. Vaši će se troškovi uglavnom odnositi na edukaciju zaposlenika, dok će se dobar dio ostalih mjera moći provesti i s trenutnom opremom i ugrađenim značajkama. Za usklađenost s novim metodama uglavnom će od presudne važnosti biti motiviranost zaposlenika i planiranje, a ne toliko same tehničke mjere koje treba provesti.
Ove su mjere također znak da aktivno radite na usklađivanju s Općom uredbom o zaštiti podataka (GDPR-om), a neke od njih su i propisane kao primjer dobre prakse.
Odgovornosti i uloge
Prvi korak koji trebate napraviti jest jasno naznačiti uloge svakog od zaposlenika. Svatko treba znati što mu je činiti, a osobito u kriznim situacijama. Čak i ako niste dužni imenovati službenika za zaštitu podataka (DPO-a), vanjski savjetnici mogli bi vam pomoći u određivanju odgovarajućih uloga i planova.
Temeljito planiranje
Što su podaci s kojima radite osjetljiviji, to morate biti pažljiviji u rukovanju tim podacima. Potrebno je razviti detaljan plan pristupa i obrade tih podataka, i od njega ne odstupati. Jasno navedite koji su zadaci povjereni kojem zaposleniku i kako s podacima treba postupati. Odvojite funkcije gdje bi moglo doći do „sukoba interesa“. Na primjer, DPO ne bi ujedno smio biti na poziciji voditelja sigurnosti unutar tvrtke.
Što se zaštićenih kategorija podataka tiče, možete sa zaposlenicima sklopiti ugovore o tajnosti kako bi se spriječilo curenje tih podataka (ili kako biste barem imali neku mogućnost nadoknade štete od krivca). Nakon što zaposlenik napusti tvrtku, uvijek provjerite svoje politike i planove kako ne bi došlo do „vakuuma“ u kojem se obaveze ne izvršavaju.
Isto tako, ograničite pristup podacima samo zaposlenicima za koje utvrdite da imaju stvarnu potrebu za time. Naizgled praktične, ali sa sigurnosne strane sulude ideje poput dijeljenja vjerodajnica za prijavu ili čak čitavih računala ovdje ne prolaze. To je savršeni recept za probleme, a što je najgore – teško ćete uopće i utvrditi krivicu. Zato se klonite toga i sve definirajte napismeno.
Politike na radnom mjestu
Osnovna stvar kojom trebate započeti jest osigurati da zaposlenici ne mogu zaobići vaše sigurnosne mehanizme kad god požele, npr. obaveze prijave i sl. Ljudi znaju biti jako kreativni kad ih nešto smeta, pa pokušajte tome doskočiti tako da kontrole pristupa učinite što je moguće manje napadnima.
Evo jedan banalan primjer: postavite anti-virusni softver tako da se sam ažurira bez da korisniku dosađuje (jer će ga u suprotnom vjerojatno pokušati isključiti zbog smetnje koje predstavlja). Pokušajte s implementacijom automatskih timera koji bi korisnikovo računalo zaključali ili ga odjavili kako bi se spriječio neovlašteni pristup.
Pažljivo s osjetljivim podacima
Tijekom rada s posebnim kategorijama osobnih podataka, pobrinite se da se ti podaci ne sele na druga računala ili medije – dakle, pohrana na DVD-e, prijenosne uređaje i sl. Do toga često dođe i teško je takvu povredu otkriti. Ne znači nužno da su takvi podaci ugroženi, ali pretjeranim kopiranjem teško ih je u potpunosti ukloniti, što pak predstavlja kršenje zakona.
Računala sa zaštićenim kategorijama osobnih podataka nemojte spajati na Internet ako nije neophodno, i razmislite o enkripciji tvrdih diskova. Podatke svakako morate enkriptirati ako ih šaljete pomoću online kanala, bilo da ih korisnik šalje vama ili vi uslugama u oblaku.
Razmislite o uvođenju dvostruke provjere autentičnosti za mobilne uređaje, i pobrinite se da u slučaju krađe možete na daljinu izbrisati podatke s mobilnog uređaja. Naravno, potrebno je dokumentirati sve uređaje kao i podatke koji se na njima nalaze. Zaposlenike trebate upoznati s načinima brisanja podataka i pravilima pristupa, čime ćete smanjiti eventualnu štetu čak i ako se uređaj izgubi ili ukrade.
Biometrijska autentifikacija zvuči primamljivo, no zbog svoje prirode donosi pregršt problema.
BYOD
Politike rada na vlastitim uređajima (Bring your own device – BYOD) zaposlenicima uglavnom odgovaraju, no za vas bi mogle predstavljati izvor glavobolja. Teško je ograničiti protok podataka jer se ti uređaji nose kući, kao i spriječiti pristup članova obitelji zaposlenika podacima na istom računalu. Postoji softver koji tome može doskočiti, no u manjim tvrtkama je potrebno procijeniti isplativost takvog sustava.
Zašto je rad na vlastitom uređaju sporan? Zato što prema GDPR-u morate u svakom trenutku znati gdje se podaci nalaze, što je teško kad i ako vi niste vlasnici uređaja kojeg nadzirete. Kad do povrede dođe, teže ju je locirati i zaustaviti.
No rast produktivnosti koji BYOD politike donose ipak bi mogao prevagnuti nad eventualnim rizicima koje možete smanjiti. Na kraju bi se računica ipak mogla isplatiti.
Kontrole pristupa
U ovom ćemo se odjeljku pozabaviti softverskim i fizičkim kontrolama pristupa.
Prije svega morate osigurati da vašoj IT infrastrukturi ne može pristupiti tkogod se sjeti. Poslužitelje postavite u sigurnu, zaključanu sobu kojoj mogu pristupiti samo osobe sa stvarnom potrebom. Ako rukujete posebnim kategorijama osobnih podataka, uputno je razmisliti o sustavu koji bi pratio sve pokušaje pristupa. Tu su i alarmi te UPS sustavi da ne dođe do slučajnog gubitka podataka.
Stroga autentifikacija
Prije obrade podataka trebali biste svakom korisniku dodijeliti korisničko ime i lozinku s odgovarajućim dozvolama za pristup podacima. Lozinke bi trebale biti dovoljno sigurne (ili nekoliko riječi, tj. fraza ili najmanje 12 znakova sa simbolima i brojevima). Razmotrite i redovitu promjenu lozinki, mada to povremeno ne upali jer ih zaposlenici počnu zapisivati.
Kako smo gore naveli, dvostruka provjera autentičnosti uvijek je dobra ideja. Sigurnosni tokeni, čitači otiska prsta i sl. također povećavaju sigurnost. Ipak, kod otisaka prstiju pripazite jer su to biometrijski podaci koji se smatraju osjetljivima, čime si zadajete još posla.
Najbolje je na najmanju moguću mjeru svesti broj osoba s pristupom povjerljivim podacima. Samim time u korijenu srezujete broj načina na koji se potencijalno može dogoditi povreda. Uz to, lozinke nikad ne pohranjujte u izvornom obliku bilo na računali, bilo u fizičkom obliku (spisi, papiri, itd.).
Zaključak
Strategiju za postupanje s povredama podataka najbolje je usredotočiti prvo na prevenciju. Dobre organizacijske mjere i politike ponašanja u uredu mogu imati dramatičan utjecaj na sigurnost podataka, i to bez većih ulaganja.
Jasnim organizacijskim preustrojem smanjujete rizik od povreda i gubitaka podataka nastalih nepažnjom ili općenitom neupućenosti. Time i nadzornim tijelima dajete do znanja da ste zaštitu podataka i privatnosti shvatili ozbiljno. No nije cilj da te mjere usvojite samo zbog GDPR-a visokih potencijalnih kazni, već zbog prednosti koje će to donijeti vašem poslovanju.
