Jak bezpieczne są dane firmowe podczas telepracy? Niektóre wytyczne normy ISO/IEC 27002

/ Holenderski / Door

W 2020 r. znaczenie cyfryzacji stało się bardziej widoczne niż kiedykolwiek wcześniej, zwłaszcza dla firm. Nawet jeśli pracownik jest chory w domu lub jest nieosiągalny, współpracownicy mogą nadal uzyskać dostęp do niezbędnych plików dzięki rozwiązaniom cyfrowym i "chmurze". Ponadto podróżowanie jest obecnie zniechęcane, co utrudnia współpracę transgraniczną. System cyfrowy zapewnia zatem łączność, dzięki czemu komunikacja jest kontynuowana bezbłędnie w dowolnym miejscu i czasie. Jednak cała ta cyfrowa praca zdalna, telepraca, praca z domu, home office... nie jest pozbawiona ryzyka. W tym artykule przyjrzymy się znaczeniu bezpieczeństwa informacji podczas telepracy.

człowiek unoszący się między chmurami otoczony raportami i wykresami

ISO/IEC 27001

Norma ISO/IEC 27001 opisuje wymagania wysokiej jakości systemu zarządzania bezpieczeństwem informacji. Załącznik A do tej normy zawiera listę 35 celów i powiązanych z nimi środków, które stanowią minimalny wymóg uzyskania certyfikatu. Tabela ta nie zawiera jednak praktycznego opracowania środków. W tym celu najlepiej jest zapoznać się z normą ISO/IEC 27002: Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji. Na około 100 stronach szczegółowo wyjaśniono 114 środków dla każdego celu. W tym artykule przyjrzymy się bliżej jednemu z tych środków: 6.2.2 Telepraca.

Norma wymaga od organizacji zapewnienia odpowiednich polityk i środków bezpieczeństwa w celu ochrony informacji, do których uzyskano dostęp, które są przetwarzane lub przechowywane podczas telepracy. Telepraca jest definiowana jako dowolna forma pracy wykonywana z dala od biurka, taka jak praca w domu, praca elastyczna lub praca w środowisku wirtualnym.

Bezpieczne fizyczne i wirtualne środowisko pracy

The środowisko fizyczne w którym odbywa się telepraca, musi być bezpieczne, zarówno budynek, jak i środowisko lokalne. Zapobiega to zniszczeniu lub kradzieży (wrażliwych) informacji.
Ta sama kobieta pracująca z dwóch miejsc i połączona z chmurą

Dostęp do wirtualne środowisko pracy jest również powodem do niepokoju. Zdalny Dostęp do wewnętrznych systemów organizacji powinien być zabezpieczony tak, aby tylko upoważnione osoby mogły korzystać z informacji w tych systemach. Rodzina lub przyjaciele, którzy uzyskują dostęp do informacji, przypadkowo lub nieumyślnie, są również uważani za zagrożenie dla bezpieczeństwa informacji. W przypadku urządzeń i sieci wykorzystywanych do telepracy należy podjąć odpowiednie środki dotyczące zapór sieciowych, szyfrowania i ochrony przed złośliwym oprogramowaniem.

Własny laptop czy z pracy?

Należy zapewnić środki, które pozwolą uniknąć (wrażliwych) informacje na urządzeniach prywatnych używane i przechowywane. W rzeczywistości urządzenia te mogą być trudne do kontrolowania przez organizację, częściowo ze względu na przepisy dotyczące prywatności i własności prywatnej (np. RODO). Najlepszą opcją jest przechowywanie informacji w operacyjnym środowisku wirtualnym, takim jak Phronesys.

Ponadto istnieje ryzyko związane z naruszeniem praw własności i licencji (na oprogramowanie). Przykładowo, kilku producentów oprogramowania, w tym Microsoft Office, zabrania osobom fizycznym wdrażania własnych wersji (np. Microsoft Office Home) do użytku komercyjnego. Oznacza to, że nawet podczas telepracy pracownicy są zobowiązani do korzystania z wersji z licencją. licencja komercyjna od pracodawcy. Licencja ta zazwyczaj nie jest instalowana na urządzeniach prywatnych.

Dyrektywa ISO/IEC 27002 preferuje zatem opcję, w której pracodawcy zapewniają swoim pracownikom odpowiednie urządzenia do telepracy i zniechęcają do korzystania z urządzeń prywatnych. W ten sposób mogą lepiej przestrzegać różnych wymogów bezpieczeństwa informacji:

  • Zapewnienie bezpiecznego dostępu zdalnego
  • Wsparcie i konserwacja sprzętu i oprogramowania (licencje)
  • Łatwiejsze monitorowanie bezpieczeństwa bez naruszania prywatności

Protokół i procedury

Oprócz zapewnienia urządzenia do pracy zdalnej, dobrym pomysłem jest również posiadanie protokół w zakresie ochrony danych i bezpieczeństwa informacji podczas telepracy. Może to obejmować następujące elementy:

  • Definicja dozwolonych działań;
  • godziny pracy;
  • klasyfikacja danych, które mogą być przetwarzane;
  • wewnętrzne systemy i usługi, do których telepracownik ma dostęp;
  • wytyczne dotyczące dostępu współlokatorów do urządzenia i informacji.

Ostatecznie istnieje również potrzeba procedury które gwarantują tworzenie kopii zapasowych i ciągłość działania podczas telepracy. Na przykład, należy rozważyć procedury zarządzania prawami zdalnego (dostępu) i autoryzacjami na wypadek, gdyby - w okresie telepracy - czyjeś działania (telepracy) zakończyły się lub ktoś zmienił stanowisko. Powinno to również uwzględniać zwrot sprzętu.

Jest więc wiele czynników, które należy wziąć pod uwagę, chcąc zapewnić bezpieczeństwo informacji biznesowych podczas pracy zdalnej. Rozpocznij proces od analizy ryzyka, aby zidentyfikować i ocenić wszystkie zagrożenia. W zależności od tego, ile i jakie informacje są przetwarzane podczas telepracy, podjęte środki będą bardziej rygorystyczne lub słabsze.

kobieta pisząca na laptopie

Nie jesteście sami

W jaki sposób narzędzie cyfrowe, takie jak Phronesys, pomaga w tych zadaniach?

  • Przeprowadzaj analizy ryzyka za pomocą prostych, gotowych przepływów;
  • Zarządzaj wszystkimi prawami i uprawnieniami w dowolnym miejscu i czasie;
  • Łatwe cyfrowe śledzenie procesów z powiązanymi celami i SMART KPI;
  • Dzięki automatycznie generowanym raportom zyskujesz mnóstwo czasu na analizę i ciągłe doskonalenie;
  • Zawsze przetwarzaj swoje informacje ze spokojem w naszym bezpiecznym środowisku cyfrowym 100%.

Chcesz dowiedzieć się więcej o wszystkich możliwościach Phronesys? Zapoznaj się z naszą moduły lub poprosić o niezobowiązujące demo do! Skontaktuj się z nami bez zobowiązań, aby omówić, w jaki sposób możemy Ci pomóc.

Kontakt z nami.

Powiązane posty