arrow

Bezpieczna praca zdalna? O czym pamiętać projektując zabezpieczenia?

Wraz ze zmianą rzeczywistości, jaką zafundowała nam pandemia wirusa COVID-19 powoli zaczyna nadążać polskie prawodawstwo. Mowa tu oczywiście o wszechobecnej pracy zdalnej i Ustawie z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw, która została opublikowana w Dzienniku Ustaw 6 lutego. Vacatio legis dla tej regulacji wynosi 2 miesiące. Przepisy dotyczące pracy zdalnej w zmienionym kodeksie pracy zaczną obowiązywać więc od 7 kwietnia 2023.

Znowelizowany Kodeks pracy wymaga od Pracodawców by w śród ogromu innych obowiązków pomyśleli również o zasadach kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych (art. 67 ze znaczkiem 24, § 3, punkt 7). O czym więc warto pamiętać paktując zasady bezpiecznej pracy zdalnej?

Trochę na ten temat powiedziało UODO w ramach wydarzenia – Praca zdalna nauczycieli a ochrona danych osobowych – porady dla nauczycieli (nagranie dostępne na stronie UODO: https://uodo.gov.pl/pl/434/1540). Pewne podpowiedzi możemy odnaleźć również w Standardzie ISO 27001, który już od lat wymagał wdrożenia zabezpieczeń w aspekcie telepracy (zabezpieczenie A.6.2.2).

Jako że czasu już niewiele to może trochę konkretniej – pomyślał pewnie każdy z Was? No to poniżej propozycje obszarów, które w mojej ocenie warto rozważyć.

Ochrona danych osobowych Kary UODO
Bezpieczeństwo fizyczne:
  1. Przed skierowaniem pracownika na prace zdalną powinniśmy upewnić się czy ma do tego właściwe warunki – praca zdalna powinna odbywać się w sposób oraz w  miejscu zapewniającym odpowiednie bezpieczeństwo przetwarzanych informacji. W tym ochronę przed zagrożeniem nieuprawnionego dostępu do informacji i zasobów przez inne osoby znajdujące się w pobliżu, np. rodzina i przyjaciele.
  2. Bardzo istotnym jest by wyraźnie zaznaczyć że za ochronę sprzętu wykorzystywanego do pracy zdalnej oraz za zapewnienie bezpieczeństwa informacjom przetwarzanym w ramach pracy zdalnej odpowiada Pracownik i nie jest on uprawniony do udostępnianie sprzętu wykorzystywanego do pracy zdalnej innym osobom.
  3. Po zakończeniu pracy w systemie lub czasowej przerwie Pracownik nie powinien pozostawiać stanowiska pracy bez nadzoru.
  4. Jeżeli do pracy zdalnej niezbędny jest dostęp do dokumentów papierowych o wysokiej poufności to ich wyniesienie powinno wiązać się z pewną formą rejestracji (Chcemy wiedzieć czy wszystko co zostało wyniesione wróciło do firmy).
Bezpieczeństwo teleinformatyczne
  1. Zapewnij bezpieczny sprzęt tj. skonfiguruj go tak by ewentualna jego kradzież nie wiązała się z dużym ryzykiem utraty danych. Każde urządzenia posiadające wbudowaną pamięć masową opuszczające Twoją organizacje powinno posiadać zaszyfrowany dysk twardy (komputery przenośne, pendrive, dyski zewnętrzne). Zabezpiecz dostęp BIOS. Wymuś silne hasło do systemu operacyjnego (12 znaków jest już ok). Zapewnij system antywirusowy (może EDR https://www.grupablue.pl/ochrona-urzadzen-koncowych-edr/ ?). Upewnij się, że pracownicy nie pracują na kontach o podwyższonych uprawnieniach – więcej szczegółów znajdziesz tu https://www.grupablue.pl/bezpieczenstwo-mobilne-i-pracy-zdalnej/ .
  2. Sprzęt wykorzystywany do pracy zdalnej powinien być podłączany wyłącznie do zaufanych będących pod kontrolą Pracownika sieci wifi/ethernet. O ile to możliwe zabroń pracownikom wykorzystywania sieci publicznie dostępnych.
  3. Sprzęt wykorzystywany do pracy zdalnej nie powinien być podłączane do prywatnych urządzeń, typu pamięci masowe, zasoby plikowe, serwery – jak może zabroń takich działań.
  4. Zapewnij bezpieczne (szyfrowane) połączenie pomiędzy komputerem pracownika, a twoją infrastrukturą (VPN + MFA) oraz ogranicz zakres usług dostępny przez VPN dla pracownika (segmentacja sieci).
Bezpieczeństwo organizacyjne
  1. Uświadom pracownika, że praca zdalna nie zwalnia go do przestrzegania zasad jakie wdrożyłeś w swojej organizacji w szczególności związanych ze zgłaszanym incydentów bezpieczeństwa informacji.
  2. Zbierz oświadczenie pracownika potwierdzające, że zapoznał się i akceptuje zasady związane z bezpieczeństw informacji i ochrony danych osobowych w ramach pracy zdalnej.
  3. Zapewnij, że pracownicy są świadomi zagrożeń związanych z pracą zdalną – zrób praktyczne szkolenie 😉
Mam nadzieję, że te kila przemyśleń na temat pracy zdalnej pomoże Ci zaprojektować zabezpieczenia dla twojej organizacji. Jeśli nie, to chętnie pomożemy Ci zaadresować ten temat profesjonalnie.  
Skontaktuj się z nami! arrow
Proces wdrożenia usługi
1
Wybór zakresu usługi IOD i modelu współpracy
2
Formalne powołanie IOD w Organizacji i zgłoszenie tego faktu do Urzędu Ochrony Danych Osobowych
3
Audyt zerowy realizowany przez IOD
4
Bieżące utrzymanie zgodności z RODO w organizacji
Masz pytania dotyczące tej usługi?
Napisz do nas arrow