Vállalati kockázatkezelés a home office világában
A home office bevezetésére sok helyen gyorsan, nem kis kapkodással került sor, ami számos információbiztonsági kockázatot vet fel.A vállalkozások jelentős része az elmúlt hetekben kénytelen volt otthoni munkavégzést elrendelni. Az ezzel együtt járó kommunikációs problémákat ráadásul sok esetben eddig nem használt technológiák alkalmazásával tudták csak megoldani. A home office és az új megoldások használata azonban olyan információbiztonsági és adatvédelmi kockázatokkal jár, amelyekre a cégek nem biztos, hogy felkészültek.
A leggyakoribb fenyegetettségek
A Deloitte szakértői szerint a jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következők lehetnek:
- Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélküli) eszközök használata.
- A felhasználó nem biztonságos, azaz jelszóval nem védett WiFi-hálózatra csatlakozik.
- A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen bedőlhet az adathalász e-maileknek.
- A munkavállaló nem multifaktoros azonosítási folyamat által csatlakozik a vállalati rendszerekhez.
- Dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
- Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
- A tartalék eszközök, illetve az alapvető üzletmenet-folytonosságot biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lassulása, a készülékek meghibásodása stb.)
- Az adatvédelemben, informatikai biztonságban jártas személyek (információbiztonsági szakértő, adatvédelmi tisztviselő vagy compliance vezető) nem elérhetők.
- A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
- A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat. Nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, hogy mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.
Hogyan előzhetjük meg a bajt?
A fentiekből látható, hogy számos fenyegetéssel kell számolni, de a kockázatok csökkentése nem feltétlenül összetett vagy költséges. A Deloitte szerint négy alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható:
- Távmunka megszervezése, szabályzatok, eljárásrendek kialakítása.
- A rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.
- Információbiztonsági minimumkövetelmények kialakítása.
- A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, hálózatokra, valamint ezek használatára vonatkozó biztonsági előírások kidolgozása.
Tájékoztatás és tudatosságnövelés
A krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzéseket célszerű tartani. A munkavállalókat rendszeresen tájékoztatni és figyelmeztetni kell a COVID-19-el kapcsolatos dezinformációk terjedésére, illetve az adathalász támadásoknak való megnövekedett kitettségre.
A munkavállalók ellenőrzésével kapcsolatos megfontolások
A munkáltatóknak figyelemmel kell lenniük arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alkalmazása a munkavállalók megfigyelésével vagy ellenőrzésével is járhat, ami további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrenddel, illetve szabályzattal kezelheti megfelelően.
Mit tegyünk visszaélés esetén?
- mondta dr. Bánci Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje."Először is szükséges lehet az incidens jelentése az adatvédelmi hatóság részére a visszaélés tudomásra jutását követően. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is"
- tette hozzá Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója."A fentiekben ismertetett megelőző intézkedések megtétele hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta mind a személyes adatok, mind pedig a munkavállalók védelme érdekében a szükséges technikai és szervezeti intézkedéseket. Emellett az abban megvalósuló adatkezelési folyamatokat a privacy by design és a privacy by default elvének megfelelően alakította ki"
-
Az Amavis fejlesztői egy biztonsági hibáról számoltak be.
-
Az Apple egy biztonsági rést foltozott be az Xcode esetében.
-
Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.
-
A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.
-
A Fortinet egy súlyos sebezhetőségről számolt be.
-
Az Adobe egy biztonsági hibát javított a ColdFusionben.
-
Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.
-
Az Adobe Lightroom egy fontos frissítést kapott.
-
Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.
-
A Windows ismét jelentős mennyiségű hibajavítást kapott.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.