Securitatea Informației și Protecția Datelor cu Caracter Personal în contextul telemuncii și utilizării echipamentelor IT personale.

Pentru ușurința prezentării celor de mai jos, vom cataloga Datele cu Caracter Personal drept date confidențiale aparținând organizației dumneavoastră și vom încerca să explicăm câteva măsuri de bază pentru protejarea lor, în conformitate cu legislația și standarde actuale. Prin date confidențiale înțelegem acele date care pierdute, incomplete, dezvăluite unor persoane neautorizate pot cauza pagube însemnate din punct de vedere juridic, financiar sau de imagine. Aceste date necesită inventariere corectă și completă, marcare distinctă, manipulare procedurată și asigurarea confidențialității, integrității și disponibilității.

Asigurați-vă că toți angajații au semnat contracte sau anexe conform legislației in vigoare privind telemunca. Aceste documente constituie baza pentru măsurile ulterioare, atât tehnice cât și organizatorice.

Conștientizarea angajaților este cheia succesului inițiativei privind Securitatea Informațiilor în general, inclusiv în programele de telemuncă. Tehnologiile sunt suficient de avansate încât să ofere un nivel rezonabil de protecție atunci când sunt corect implementate, dar ultima acțiune, cea care poate duce la pierderi sau dezvăluiri de date importante, aparține tot utilizatorului. Aveți în vedere comunicări în acest sens către angajați, fie prin emailuri care sa conțină, spre exemplu, Top 10 acțiuni de tipul „În siguranță / Periculos”, sau prezentarea acestui Top 10 într-o conferință audio sau video lunară.

Image for post
Image for post
Top 10

Acordați atenție relației contractuale cu partenerii, atât furnizori cât și clienți. Există posibilitatea ca unii dintre ei să nu fie de acord total sau parțial cu telemunca și atunci sunt necesare soluții specifice. Aveți în vedere acordul privind nivelul serviciilor furnizate și posibilitatea neatingerii obiectivelor stabilite la semnarea contractului. Obțineți acordul explicit al acestora și solicitați instrucțiuni clare privind Securitatea Informației și Protecția Datelor cu Caracter Personal, după caz.

De asemenea, solicitați ajutorul Managerului IT sau companiei care vă oferă suport IT pentru îmbunătățirea sau crearea de soluții tehnice noi pentru telemuncă. Acest ajutor este esențial, pentru că anumite soluții gratuite sau foarte ieftine la început pot fi nescalabile sau pot duce în timp la costuri foarte mari de administrare și întreținere.

Recomandările următoare au fost întocmite urmând bune practici IT și cerințe standardizate conform ISO27001 și CIS Controls.

Printre exemple se regăsesc soluții Open-source. Deși asigură funcționalitatea necesară, există anumite riscuri privind mentenanța și suportul. Majoritatea soluțiilor Open-source oferă și varianta cu suport și mentenanță plătite și recomandăm orientarea spre aceste versiuni. Încurajăm și donațiile către soluțiile Open-source folosite, pentru a asigura finanțarea necesară dezvolatării continue.

Fie că angajatul folosește propriul calculator sau își transporta acasă calculatorul folosit la birou, sfaturile și instrucțiunile următoare vor fi de folos.

În majoritatea cazurilor, orice calculator mai nou de 5 ani se poate achita cu succes de sarcinile zilnice ale lucrătorilor de acasă: aplicații de tip office, email, mesagerie instantanee(chat), CRM sau ERP, aplicații specifice financiar-contabile, pentru resurse umane sau din zona juridică. Un aport sensibil de performanță, la costuri minimale, îl reprezintă instalarea unui SSD și a minim 8GB RAM, în cazul în care acestea nu sunt deja prezente.

Am încercat sintetizarea unor cerințe minimale, accesibile oricarei organizații care beneficiază de suport IT intern sau externalizat. O mare parte din aceste recomandări pot fi implementate si de utilizatori cu cunoștințe medii generale IT. Recomandăm însă solicitarea ajutorului unor specialiști IT, în special pentru măsurile privind criptarea, anumite setări sau implementări incorecte putând duce la pierderea ireversibilă a datelor.

Așadar, un set minimal de recomandări pentru calculatorul de acasă, fie personal sau apaținând organizației:

  • Creați conturi de utilizator unice și cu privilegii limitate pentru fiecare persoana. Protejați-vă contul de lucru cu o parolă complexa, de minim 12 caractere pe care sa o schimbați periodic. Evitați folosirea acelorlași parole pentru conturile personale și cele profesionale, de preferat fiind folosirea unei parole unice per serviciu.

Rețeaua de acasă este o țintă în creștere și măsuri de protecție sunt necesare:

  • Schimbarea parolelor standard pentru administrarea echipamentelor este esențială. Folosiți parole unice, complexe, diferite de cele utilizate pentru alte platforme online.

Pentru multe IMM, infrastructura existentă va rămâne de bază pentru desfășurarea activităților, inclusiv telemuncă. Venim și aici cu un set de recomandări pentru îmbunătățirea măsurilor privind Securitatea Informației:

  • În cazul în care soluțiile interne folosite de firmă rămân active și trebuie accesate de la distanță, folosiți exclusiv conexiuni VPN securizate pentru a le accesa de acasă. Există soluții Open-source capabile să ofere protecția necesară. Este esențial să utilizați soluții actuale, fără vulnerabilități cunoscute, care includ tehnologii criptografice moderne: AES256, SHA256 sau mai mare. Spre exemplu, implementările OpenVPN oferă flexibilitatea și protecția necesare. Evitați utilizarea de protocoale învechite, cu vulnerabilități cunoscute și ușor de exploatat. PPTP este un astfel de serviciu învechit.

Încheiem cu câteva sfaturi privind utilizarea în general a tehnologiei și Internetului:

Tehnicile de inginerie socială se rafinează și atacurile sunt mai bine țintite. Nu deschideți emailuri nesolicitate, nu urmați instrucțiuni care solicită imperativ și urgent acțiuni potențial periculoase: transmiterea de informații despre parteneri sau colegi, efectuarea de transferuri financiare, introducerea datelor de acces(conturi de utilizator și parole) pentru confirmarea anumitor servicii, accesarea unui link sau a unei aplicații de control de la distanță pentru “remedierea unei situații foarte urgente și periculoase”.

Responsabilitatea protejarii datelor aparține tuturor celor implicați și ignorarea sau incălcarea unei măsuri aparent minore poate avea efecte dezastruoase pentru organizație.

Written by

Securitatea Informatiei

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store