Vállalati kockázatkezelés a home office világában

A home office bevezetésére sok helyen gyorsan, nem kis kapkodással került sor, ami számos információbiztonsági kockázatot vet fel.
 

A vállalkozások jelentős része az elmúlt hetekben kénytelen volt otthoni munkavégzést elrendelni. Az ezzel együtt járó kommunikációs problémákat ráadásul sok esetben eddig nem használt technológiák alkalmazásával tudták csak megoldani. A home office és az új megoldások használata azonban olyan információbiztonsági és adatvédelmi kockázatokkal jár, amelyekre a cégek nem biztos, hogy felkészültek.
 
A leggyakoribb fenyegetettségek
 
A Deloitte szakértői szerint a jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következők lehetnek:
 
  • Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélküli) eszközök használata.
  • A felhasználó nem biztonságos, azaz jelszóval nem védett WiFi-hálózatra csatlakozik.
  • A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen bedőlhet az adathalász e-maileknek.
  • A munkavállaló nem multifaktoros azonosítási folyamat által csatlakozik a vállalati rendszerekhez.
  • Dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
  • Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
  • A tartalék eszközök, illetve az alapvető üzletmenet-folytonosságot biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lassulása, a készülékek meghibásodása stb.)
  • Az adatvédelemben, informatikai biztonságban jártas személyek (információbiztonsági szakértő, adatvédelmi tisztviselő vagy compliance vezető) nem elérhetők.
  • A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
  • A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat. Nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, hogy mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.
 
Hogyan előzhetjük meg a bajt?
 
A fentiekből látható, hogy számos fenyegetéssel kell számolni, de a kockázatok csökkentése nem feltétlenül összetett vagy költséges. A Deloitte szerint négy alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható:
 
  • Távmunka megszervezése, szabályzatok, eljárásrendek kialakítása.
  • A rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.
  • Információbiztonsági minimumkövetelmények kialakítása.
  • A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, hálózatokra, valamint ezek használatára vonatkozó biztonsági előírások kidolgozása.
 
Tájékoztatás és tudatosságnövelés
 
A krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzéseket célszerű tartani. A munkavállalókat rendszeresen tájékoztatni és figyelmeztetni kell a COVID-19-el kapcsolatos dezinformációk terjedésére, illetve az adathalász támadásoknak való megnövekedett kitettségre.
 
A munkavállalók ellenőrzésével kapcsolatos megfontolások
 
A munkáltatóknak figyelemmel kell lenniük arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alkalmazása a munkavállalók megfigyelésével vagy ellenőrzésével is járhat, ami további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrenddel, illetve szabályzattal kezelheti megfelelően.
 
Mit tegyünk visszaélés esetén?
 

"Először is szükséges lehet az incidens jelentése az adatvédelmi hatóság részére a visszaélés tudomásra jutását követően. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is"

- mondta dr. Bánci Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje.
 

"A fentiekben ismertetett megelőző intézkedések megtétele hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta mind a személyes adatok, mind pedig a munkavállalók védelme érdekében a szükséges technikai és szervezeti intézkedéseket. Emellett az abban megvalósuló adatkezelési folyamatokat a privacy by design és a privacy by default elvének megfelelően alakította ki"

- tette hozzá Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója.
Vélemények
 
  1. 3

    Az SQLite kapcsán két sebezhetőségre derült fény.

  2. 4

    Az Autodesk Maya egy súlyos sérülékenységet tartalmaz.

  3. 3

    A Maze.A zsarolóprogram fájlok titkosítása mellett adatokat is kiszivárogtat a fertőzött számítógépekről.

 
Partnerhírek
Módosított pályázati kiírás - az „Év információvédelmi szak- és diplomadolgozata - 2020” cím elnyerésére

A Hétpecsét Információbiztonsági Egyesület 2020 évre is meghirdeti az „Év információvédelmi szak- és diplomadolgozata - 2020” címet.

667%-kal nőtt a koronavírushoz kapcsolódó támadások száma – az ESET meghosszabbítja ingyenes akcióját

A koronavírus terjedése miatt egyre nagyobb mértékben támaszkodunk digitális megoldásokra a mindennapi életünk során.

hirdetés
Közösség
1