Blue Energy
Bezpieczna praca zdalna? O czym pamiętać projektując zabezpieczenia?

Bezpieczna praca zdalna? O czym pamiętać projektując zabezpieczenia?

Wraz ze zmianą rzeczywistości, jaką zafundowała nam pandemia wirusa COVID-19 powoli zaczyna nadążać polskie prawodawstwo. Mowa tu oczywiście o wszechobecnej pracy zdalnej i Ustawie z dnia 1 grudnia 2022 r. o zmianie ustawy – Kodeks pracy oraz niektórych innych ustaw, która została opublikowana w Dzienniku Ustaw 6 lutego. Vacatio legis dla tej regulacji wynosi 2 miesiące. Przepisy dotyczące pracy zdalnej w zmienionym kodeksie pracy zaczną obowiązywać więc od 7 kwietnia 2023.

Znowelizowany Kodeks pracy wymaga od Pracodawców by w śród ogromu innych obowiązków pomyśleli również o zasadach kontroli przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych (art. 67 ze znaczkiem 24, § 3, punkt 7). O czym więc warto pamiętać paktując zasady bezpiecznej pracy zdalnej?

Trochę na ten temat powiedziało UODO w ramach wydarzenia – Praca zdalna nauczycieli a ochrona danych osobowych – porady dla nauczycieli (nagranie dostępne na stronie UODO: https://uodo.gov.pl/pl/434/1540). Pewne podpowiedzi możemy odnaleźć również w Standardzie ISO 27001, który już od lat wymagał wdrożenia zabezpieczeń w aspekcie telepracy (zabezpieczenie A.6.2.2).

Jako że czasu już niewiele to może trochę konkretniej – pomyślał pewnie każdy z Was? No to poniżej propozycje obszarów, które w mojej ocenie warto rozważyć.

Bezpieczeństwo fizyczne:

Przed skierowaniem pracownika na prace zdalną powinniśmy upewnić się czy ma do tego właściwe warunki – praca zdalna powinna odbywać się w sposób oraz w miejscu zapewniającym odpowiednie bezpieczeństwo przetwarzanych informacji. W tym ochronę przed zagrożeniem nieuprawnionego dostępu do informacji i zasobów przez inne osoby znajdujące się w pobliżu, np. rodzina i przyjaciele.
Bardzo istotnym jest by wyraźnie zaznaczyć że za ochronę sprzętu wykorzystywanego do pracy zdalnej oraz za zapewnienie bezpieczeństwa informacjom przetwarzanym w ramach pracy zdalnej odpowiada Pracownik i nie jest on uprawniony do udostępnianie sprzętu wykorzystywanego do pracy zdalnej innym osobom.
Po zakończeniu pracy w systemie lub czasowej przerwie Pracownik nie powinien pozostawiać stanowiska pracy bez nadzoru.
Jeżeli do pracy zdalnej niezbędny jest dostęp do dokumentów papierowych o wysokiej poufności to ich wyniesienie powinno wiązać się z pewną formą rejestracji (Chcemy wiedzieć czy wszystko co zostało wyniesione wróciło do firmy).

Bezpieczeństwo teleinformatyczne

Zapewnij bezpieczny sprzęt tj. skonfiguruj go tak by ewentualna jego kradzież nie wiązała się z dużym ryzykiem utraty danych. Każde urządzenia posiadające wbudowaną pamięć masową opuszczające Twoją organizacje powinno posiadać zaszyfrowany dysk twardy (komputery przenośne, pendrive, dyski zewnętrzne). Zabezpiecz dostęp BIOS. Wymuś silne hasło do systemu operacyjnego (12 znaków jest już ok). Zapewnij system antywirusowy (może EDR https://www.grupablue.pl/ochrona-urzadzen-koncowych-edr/ ?). Upewnij się, że pracownicy nie pracują na kontach o podwyższonych uprawnieniach – więcej szczegółów znajdziesz tu https://www.grupablue.pl/bezpieczenstwo-mobilne-i-pracy-zdalnej/ .
Sprzęt wykorzystywany do pracy zdalnej powinien być podłączany wyłącznie do zaufanych będących pod kontrolą Pracownika sieci wifi/ethernet. O ile to możliwe zabroń pracownikom wykorzystywania sieci publicznie dostępnych.
Sprzęt wykorzystywany do pracy zdalnej nie powinien być podłączane do prywatnych urządzeń, typu pamięci masowe, zasoby plikowe, serwery – jak może zabroń takich działań.
Zapewnij bezpieczne (szyfrowane) połączenie pomiędzy komputerem pracownika, a twoją infrastrukturą (VPN + MFA) oraz ogranicz zakres usług dostępny przez VPN dla pracownika (segmentacja sieci).

Bezpieczeństwo organizacyjne

Uświadom pracownika, że praca zdalna nie zwalnia go do przestrzegania zasad jakie wdrożyłeś w swojej organizacji w szczególności związanych ze zgłaszanym incydentów bezpieczeństwa informacji.
Zbierz oświadczenie pracownika potwierdzające, że zapoznał się i akceptuje zasady związane z bezpieczeństw informacji i ochrony danych osobowych w ramach pracy zdalnej.
Zapewnij, że pracownicy są świadomi zagrożeń związanych z pracą zdalną – zrób praktyczne szkolenie 😉

Mam nadzieję, że te kila przemyśleń na temat pracy zdalnej pomoże Ci zaprojektować zabezpieczenia dla twojej organizacji. Jeśli nie, to chętnie pomożemy Ci zaadresować ten temat profesjonalnie.

Skontaktuj się z nami!

Proces wdrożenia usługi

Wybór zakresu usługi IOD i modelu współpracy

Formalne powołanie IOD w Organizacji i zgłoszenie tego faktu do Urzędu Ochrony Danych Osobowych

Audyt zerowy realizowany przez IOD

Bieżące utrzymanie zgodności z RODO w organizacji

Masz pytania dotyczące tej usługi?

Napisz do nas

Powiązane artykuły na blogu

Co z tymi sygnalistami? – pierwsze kary i trzecia odsłona projektu ustawy o ochronie sygnalistów.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.

Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO

11 stycznia pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych. Kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.

„Kontrola” najwyższą formą zaufania – o tym dlaczego warto audytować swoich procesorów?

28 lutego br. na stronie UODO pojawiła się informacja o administracyjnej karze pieniężnej. Została ona nałożona na Spółkę Fortum Marketing and Sales Polska. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 4 911 732 zł.

Czytaj dalej

Zobacz więcej artykułów