Hogyan védekezzünk adatvédelmi visszaélések ellen otthoni munkavégzés idején?

2020. 04. 03., 10:45

A vállalkozások jelentős része az elmúlt hetekben kénytelen volt otthoni munkavégzésre átállni. Az ezzel együttjáró kommunikációs problémákat ráadásul sok esetben eddig nem használt új technológia alkalmazásával tudták csak megoldani. A home office és az új megoldások használata azonban olyan információbiztonsági és adatvédelmi kockázatokkal járnak, amelyekre a cégek nem biztos, hogy felkészültek. A Deloitte szakértői segítségként összegyűjtötték, melyik a tíz legfenyegetőbb sérülékenység és hogyan lehet elkerülni a bajt?

Melyek a távoli munkavégzéssel kapcsolatos leggyakoribb fenyegetettségek?

A jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következők lehetnek:

  1. Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélkül működő) eszközök használata.
  2. A felhasználó nem biztonságos, azaz jelszóval nem védett wifi hálózatra csatlakozik.
  3. A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen "bedőlhet" az adathalász e-maileknek.
  4. A munkavállaló multifaktoros azonosítási folyamat által csatlakozik a vállalati rendszerekhez.
  5. A dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
  6. Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
  7. A tartalék eszközök, illetve az alapvető üzletmenet folytonosságát biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lelassulása, a készülék meghibásodása stb.)
  8. Az adatvédelemben, informatikai biztonságban járatos személyek (információbiztonsági szakértő, adatvédelmi tisztviselő, vagy compliance vezető) nem elérhetők.
  9. A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
  10. A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat, valamint nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.

Hogyan előzhetjük meg a bajt?

Számos fenyegetéssel kell számolni, ezek megelőzése azonban nem feltétlenül összetett vagy költséges. Mit tehetünk a kockázatok csökkentése érdekében? A Deloitte szakértői szerint 4 alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható. Ezek a lépések a következők:

1. Távmunka folyamat megszervezése, szabályzatok, eljárásrendek kialakítása

Rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.

2. Információbiztonsági minimumkövetelmények kialakítása

A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, a hálózatokra, valamint ezek használatára vonatkozó biztonsági minimumkövetelményekre vonatkozó előírások meghatározása.

3. Tájékoztatás és tudatosságnövelés

Krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzések megtartása, a munkavállalók rendszeres tájékoztatása és figyelmeztetése a COVID-19-el kapcsolatos dezinformációk terjedésére, és azokon keresztül adathalászati támadásoknak való megnövekedett kitettségre, és ilyen esetben követendő lépések megtételére.

4. Munkavállalók ellenőrzésével kapcsolatos megfontolások

A munkáltatóknak figyelemmel kell lenniük egyidejűleg arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alkalmazása a munkavállalók megfigyelésével, vagy ellenőrzésével is járhat, amely további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrendben és szabályzatban tudja megfelelően kezelni. 

Mit tegyünk visszaélés esetén?

Mi a teendő olyan incidens esetén, ahol a munkavállaló elveszti a nála lévő dokumentumokat, hacker támadás áldozatává válik, vagy ha műszaki hiba miatt személyes adatok vesznek el?

„Először is szükséges lehet az incidens jelentése az adatvédelmi hatóság részére a visszaélés tudomásra jutását követő pár órán belül. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy megfelelően fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is” – mondta dr. Bánci Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje.

„A fentiekben ismertetett megelőző intézkedések megtétele emellett hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta a mind a személyes adatok, mind pedig a munkavállalók védelme érdekében szükséges technikai és szervezeti intézkedéseket és működését, valamint az abban megvalósuló adatkezelési folyamatokat a privacy by design és by default elvének megfelelően alakította ki” – tette hozzá Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója.

LETÖLTHETŐ DOKUMENTUMOK

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2023. 05. 25., 16:55
Hosszú ideje a vállalkozás világában élők is sokat tanulhattak a VOSZ Páholy első három rendezvényén, ahol a résztvevőknek lehetősége van a tanulás mellett egymás és a másik vállalkozás tevékenységének megismerésére. Nagyon készülünk az év további rendezvényeire is – mondta Micski Marianna, a VOSZ Heves vármegyei elnöke a vosz.hu-nak.

  BIZNISZPLUSZ PODCAST

2023. 05. 29., 17:20
epizód: 2023 / 8   |   hossz: 22:26
Az Építési Vállalkozók Országos Szakszövetségének elnökével áttekintettük az építőipar első negyedévi visszaesésének okait, és arra is megkértük, hogy vázolja az ágazat továbbiakban várható sorsát. Bár nem minden szakmabeli járt rosszul az utóbbi időben, „sok pozitívumot nehezen tudna mondani“. Az elnök tisztázta a nemzeti tüzépek körül halmozódó félreértéseket, és azt is elárulta, hogy milyen modern éptőipari megoldásokat kedvelnek az embereket, illetve melyek felfutását reméli.
Dr. Baracsi Katalin internetjogászt az általa cégek kollektívái számára tartott online jogi tréningek kapcsán a legfontosabb, az embereket leginkább aggasztó problémákról kérdeztük. A szakértő maga is meglepőnek tartja, hogy hányszor találkozik olyan emberrel, aki még mindig nincs tisztában az interneten elkövethető bűncselekmények súlyával. Sőt, azzal sem, hogy online egyáltalán lehet bűnt elkövetni. Ha mindez nem lenne elég, azt is viszonylag kevesen tudják, hogy mit tehet meg a céges IT-eszközökkel és a rajta felhalmozódott adatokkal a dolgozó, illetve maga a vállalat. Utóbbi egyébként nem árt, ha jó előre leszögezi, hogy mire lehet használni a céges számítógépet és mire nem.
Ebben az epizódban bebizonyítjuk, hogy szemléletváltással sokkal olajozottabb és jóval jövedelmezőbb szervezetté válhat bármely vállalkozás. A gyengeség szemléletet felváltó erősség szemlélet megváltást jelenthet a cégeknek, akik olyan erőforrástömegre bukkannak meglévő kollektívájukban, amire jó eséllyel nem is számítottak. Arról, hogy vezetőképzéssel, csapatépítéssel és mindezek tudományosan megalapozott stratégiáival hogyan lehet sikerre ítélni egy üzletet, az [eureka] Consulting and Games fehérgalléros ügyfélkörrel dolgozó üzleti tanácsadó cég társalapítójával, Bódi Gabriellával beszélgettünk.

  NÉPSZERŰ HÍREK

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS