Strategia Prawo biznesu

Jak zapewnić bezpieczeństwo danych firmy – 10 metod zapobiegania wyciekom

Agata Koptewicz

Małe i średnie firmy kładą duży nacisk na swoją obecność w Internecie, bo to najszybszy sposób na dotarcie do szerokiej publiczności małym kosztem. Aplikacje webowe (czyli te, które uruchamiasz w przeglądarce) zdobywają przewagę nad tradycyjnymi programami instalowanymi lokalnie na dysku, a papier powoli przestaje być nieodłącznym elementem biurowej codzienności. Jednak gdy konkurencja w sieci rośnie, a biznesowe informacje są na wagę złota, mnoży się też liczba potencjalnych zagrożeń, a zapewnienie bezpieczeństwa danych firmy staje się priorytetem.

Przeczytaj, a zrozumiesz lepiej:

  • dlaczego małe i średnie firmy powinny szczególnie zadbać o bezpieczeństwo danych,
  • w jaki sposób przedsiębiorcy sami narażają się na wyciek cennych informacji,
  • na co zwrócić uwagę, by wybrać bezpieczne oprogramowanie do swojej firmy,
  • jak zarządzać hasłami i dostępami,
  • co zrobić w razie wycieku danych.


Lepiej zapobiegać niż leczyć

Pokażę Ci 10 sposobów na zwiększenie bezpieczeństwa danych firmy przygotowanych przez Fly On The Cloud. Jako oficjalny partner Google wdrażamy w firmach rozwiązania chmurowe – między innymi G Suite, czyli biznesowy wariant Gmaila i powiązanych z nim aplikacji biurowych. Dzięki tym narzędziom pracownicy mogą płynnie współpracować online i zyskują dostęp do swoich plików z dowolnego miejsca na świecie. Oferujemy przy tym szkolenia oraz wsparcie techniczne w języku polskim.

Jedną z zasad, którymi kierują się nasi klienci, jest: „Lepiej zapobiegać niż leczyć”. Profilaktyka zagrożeń opłaca się dużo bardziej niż gaszenie pożarów, które poza szkodami finansowymi przynoszą też straty wizerunkowe.

1. Świadomość niebezpieczeństw

Podejście świeżego start-upu do tematu bezpieczeństwa opiera się zazwyczaj na beztroskim stwierdzeniu: „Jakoś to będzie”. W młodej firmie priorytetem jest zawsze maksymalizacja zysków, nadrobienie wstępnych inwestycji i ewangelizowanie rynku na temat usług wschodzącej marki. Kto chciałby przejąć i wykorzystać dane biznesu, który jeszcze nic nie osiągnął? Na zabezpieczenia przyjdzie jeszcze czas.

Jednak według raportu Ponemon Institute to właśnie małe i średnie firmy coraz częściej stają się celem przestępstw internetowych i ofiarami wycieku danych. Na przedsiębiorcach spoczywa odpowiedzialność nie tylko za informacje kluczowe dla funkcjonowania firmy, ale także za dane osobowe wszystkich klientów, partnerów biznesowych i pracowników.

Podejmując działania prewencyjne, powinieneś uwzględnić ryzyko:

  • włamań na konta,
  • kradzieży tożsamości,
  • wycieków danych,
  • awarii systemów i utraty sprzętu,
  • szkodliwego oprogramowania,
  • wyłudzeń, podszyć etc.

Wszystkie te zagrożenia niosą za sobą poważne konsekwencje, także prawne. Pamiętaj, że w świetle RODO każda firma ponosi odpowiedzialność za informacje, którymi administruje. Nieświadomość nie stanowi okoliczności łagodzącej, a każdy błąd może stać się początkiem końca dla obiecującej organizacji.

2. Zasada ograniczonego zaufania

Przede wszystkim zachowaj czujność – to podstawa wszystkich wysiłków utrzymania cennych informacji pod kontrolą. Jakie pułapki myślenia czekają na przesadnie ufnych przedsiębiorców?:

  • Powierzasz dane podwykonawcy bez wcześniejszego prześwietlenia jego zabezpieczeń;
  • Dajesz wielu użytkownikom dostęp do jednego konta w celu redukcji kosztów;
  • Zezwalasz na wykorzystanie prywatnych urządzeń do celów służbowych bez firmowego profilu;
  • Pozostawiasz kwestię instalacji oprogramowania i zabezpieczeń antywirusowych w gestii pracowników;
  • Korzystasz z darmowych narzędzi, nawet gdy płatna wersja gwarantuje większą ochronę;
  • Odkładasz aktualizację systemów do najbardziej stabilnej wersji na później, aby nie zaburzać codziennego funkcjonowania;
  • Optymistyczne unikasz myślenia o najgorszym scenariuszu i nie masz planu awaryjnego.

Mogłabym ciągnąć tę listę jeszcze przez kilka stron, a i tak nie wyczerpałabym tematu ryzykownych zaniedbań, których przyczyną jest naiwność. Odpowiedzialny przywódca organizacji powinien podchodzić do kwestii zabezpieczeń z tą samą ostrożnością, którą praktykuje, prowadząc samochód – każdy może być zagrożeniem.

3. Polityka cyberbezpieczeństwa na piśmie

Bezpieczeństwo zaczyna się wewnątrz firmy. Aby wprowadzić zasadę ograniczonego zaufania w życie, na początek sporządź regulamin, który określi podstawowe standardy bezpieczeństwa. Taki dokument będzie stanowił ramy postępowania pracowników i podstawę do wyciągania konsekwencji za błędy.

4. Dobór bezpiecznego oprogramowania

Każda aplikacja, która przetwarza dane należące do firmy, powinna gwarantować ich bezpieczeństwo.

Część firm korzysta z oprogramowania lokalnego, które ma dostęp wyłącznie do intranetu. Wówczas odpowiedzialność za bezpieczeństwo infrastruktury spoczywa w całości na administratorach wewnętrznego systemu.

Wielu przedsiębiorców podejmuje decyzję o outsourcingu usług przechowywania i przetwarzania informacji do chmury publicznej. To rozwiązanie zmniejsza koszty i nakład czasu, jaki trzeba poświęcić na obsługę infrastruktury – kwestie konserwacji leżą po stronie dostawcy.

Niezależnie od tego, jaką usługę czy aplikację wybierzesz, kluczowa jest wstępna analiza ryzyka. Podczas formułowania umowy z producentem zwróć szczególną uwagę na:

  • Regiony przetwarzania danych – czyli lokalizację serwerów, na których przechowywane są dane należące do firmy. Jeśli przepisy specyficzne dla Twojej branży wymagają przetwarzania danych klientów na terenie UE, to możesz wybrać 1 z 6 europejskich centrów infrastruktury Google, np. w Niemczech lub Finlandii. W 2021 r. nowe centrum Google powstanie też w Warszawie.
  • Uprawnienia podwykonawców – regulacje dotyczące udostępniania danych podwykonawcom dostawcy usług chmurowych. Możesz zastrzec, aby firma Google (jako dostawca chmury) dawała dostęp do danych tylko podwykonawcom (np. firmom zajmującym się czynnościami konserwacyjnymi w serwerowniach), którzy spełniają określone warunki bezpieczeństwa.
  • Zakres kontroli administracyjnej – czyli to, jak rozkładają się uprawnienia do zarządzania chmurą między klientem a dostawcą.
  • Kary umowne za ewentualne błędy – w umowie możesz określić kwotę kary, którą zapłaci dostawca chmury, jeśli jego niedopatrzenie przyniesie Ci szkody.
  • Procedury skutecznego usuwania danych – zawrzyj w umowie zapis zobowiązujący producenta do permanentnego usunięcia danych Twojej firmy z chmury w momencie zakończenia współpracy.
  • Możliwość odzyskiwania i archiwizacji danych – w szczególnych przypadkach konieczne może okazać się przekazanie archiwalnych danych firmy organom ścigania. Usługi wspomagające postępowanie eDiscovery, takie jak Google Vault, pozwolą Ci długoterminowo przechowywać (i w razie potrzeby eksportować) służbową korespondencję oraz inne dane użytkowników, nawet jeśli usuną je ze swojego konta. Jeśli chcesz zachować kontrolę nad danymi tego typu, upewnij się, że dostawca chmury oferuje oprogramowanie do archiwizacji.

Nie ma uniwersalnej recepty na dobrze skonstruowaną umowę. Wymagania firm wobec chmury różnią się w zależności od branży i regulacji, którym podlegają. Każdą poważną decyzję biznesową powinieneś poprzedzić dokładną analizą ryzyka i uwarunkowań prawnych specyficznych dla Twojej firmy.

5. Szkolenia dla pracowników

Aby ochrona danych stała się zespołowym wysiłkiem, wszyscy muszą poznać zasady gry. Dołóż starań, by ich przestrzeganie weszło ludziom w krew.

Przedstaw informacje o bezpieczeństwie na jednym z etapów wdrażania nowych osób. Nie ograniczaj się do udostępnienia im listy dokumentów, bo przekazywanie dużych porcji informacji na raz rzadko odnosi zamierzony skutek. Zadbaj o 2 elementy kluczowe dla procesu uczenia się:

  • Przystępna forma materiałów – wiedza w postaci prezentacji, konkursów, infografik i filmów zawsze jest lepiej przyswajana niż ściany tekstu.
  • Regularne powtórzenia – aby wskazówki bezpieczeństwa zostały zapamiętane na dobre, trzeba je często powtarzać. Możesz wprowadzić cykliczne konkursy z wiedzy o ochronie danych albo rozwiesić przypomnienia w widocznych miejscach – np. nad lustrami, przy lodówce, czy na wewnętrznej stronie drzwi pomieszczeń biurowych.

6. Odrębne konta

Przeciętna firma korzysta z kilkunastu różnych aplikacji, które usprawniają komunikację wewnętrzną, czynności biurowe, działania marketingowe, obsługę klienta, sprzedaż i procesy kadrowe. Każda z tych aplikacji przetwarza informacje o pracownikach i klientach oraz know-how organizacji.

Mniejsze firmy często stosują jedną groźną praktykę: dawanie jednego loginu i hasła do aplikacji wielu osobom. Każda organizacja szuka sposobów na oszczędzanie, jednak nie polecam robić tego kosztem bezpieczeństwa. Takie podejście rozprasza odpowiedzialność w zespole.

Przykład

Załóżmy, że Twoja firma na co dzień używa oprogramowania do masowej wysyłki maili. Gdy jeden z pracowników popełni błąd, rozsyłając poufne informacje do wszystkich subskrybentów newslettera, a z konta korzysta 8 osób, to znalezienie winowajcy i przyczyny staje się 8 razy trudniejsze.

7. Bezpieczeństwo korespondencji mailowej

Skrzynki pracowników są pełne informacji, które nigdy nie powinny wpaść w niepowołane ręce. Dlatego w warunkach biznesowych połóż szczególny nacisk na zapewnienie poufności korespondencji. Jakie działania stawiają Cię na straconej pozycji w walce z wyciekami?

  • Korzystanie z darmowej poczty – generyczna domena w adresie mailowym nie tylko wygląda nieprofesjonalnie, ale też mówi przestępcom internetowym dużo na temat Twoich zabezpieczeń.
  • Nieodpowiednia konfiguracja – służbowa poczta powinna być pod stałą kontrolą doświadczonego administratora, który wykorzysta wszystkie dostępne w usłudze środki prewencji zagrożeń.

Możesz wypróbować G Suite, czyli biznesowy wariant Gmaila od Google. Oto kilka powodów:

  • Brak spamu – Gmail ma jedne z najskuteczniejszych filtrów niechcianej korespondencji;
  • Wygodna wyszukiwarka – Google specjalizuje się w szukaniu, dlatego nikogo nie dziwi fakt, że w Gmailu można łatwo odnaleźć każdą wiadomość mailową, załącznik czy konwersację na czacie.
  • Gmail w G Suite wspiera zaawansowaną weryfikację nadawców dzięki rekordom DMARC, SPF i DKIM, które może ustawić administrator. Oszuści mailowi usiłują czasami podszyć się pod zaufane domeny, aby wyłudzić wrażliwe informacje, ale odpowiednia konfiguracja poczty skutecznie temu przeciwdziała.

8. Zarządzanie hasłami

Może Ci się wydawać, że hasło zapewnia bezpieczeństwo danych, bo nikt nie zna Cię na tyle dobrze, żeby przewidzieć Twój sposób myślenia podczas zakładania konta. Z drugiej strony jednak na ogół jako hasła używamy ciągu znaków, który będzie łatwy do zapamiętania i możliwy do wpisania w parę sekund, bez zastanowienia. Okazuje się, że gdy chcemy szybko wybrać hasło, to wszyscy myślimy podobnie.

Nawet najbardziej skomplikowane hasło staje się bezużyteczne, jeśli stosujesz je wielokrotnie w różnych serwisach. Wyciek danych z któregokolwiek z nich da przestępcom dostęp do wszystkich Twoich kont.

Najbezpieczniejsze hasła to takie, których sam nie jesteś w stanie zapamiętać. Najlepiej, gdy są długie, pozbawione sensu i generowane przez algorytmy z funkcją randomizującą dla każdego portalu osobno. Tak właśnie działa większość managerów haseł dostępnych online.

Warto zachęcić pracowników do korzystania z takiej aplikacji na wszystkich kontach powiązanych z firmą. Muszą wtedy zapamiętać tylko 2 hasła – do laptopa i główne hasło do managera haseł.

9. Weryfikacja wielostopniowa

Weryfikacja wielostopniowa to metoda dodatkowego zabezpieczania kont przez wprowadzenie elementu pełniącego funkcję „klucza”. Kluczem może być Twój telefon, kod przesyłany na adres mailowy czy nawet specjalne urządzenie USB, które potwierdza Twoją tożsamość. Bez obecności tego dodatkowego elementu samo hasło staje się bezużyteczne, dlatego oszustom dużo trudniej jest przejąć kontrolę nad Twoim kontem.

Wielostopniowa weryfikacja nie zapewnia jednak stuprocentowego bezpieczeństwa. O słabych stronach tego rozwiązania możesz więcej przeczytać tutaj.

10. Plan awaryjny

Niewiele małych i średnich firm zatrudnia osobę, która jest odpowiedzialna wyłącznie za bezpieczeństwo danych. Jeśli stanowisko Inspektora Ochrony Danych w Twojej firmie nie istnieje, możesz samodzielnie przygotować protokół postępowania w przypadku wycieku. Oto punkty, których nie powinno w nim zabraknąć:

  • Pierwsze 24 godziny od incydentu są kluczowe dla ustalenia tego, co się wydarzyło. Musisz ustalić, czy wyciek był wynikiem błędu, ataku hakera, wewnętrznego sabotażu czy może przypadkowego zaginięcia sprzętu.
  • Drugi krok, to analiza informacji. Pracownicy odpowiedzialni za bezpieczeństwo danych powinni zebrać i zabezpieczyć dowody, ocenić ryzyko oraz wypracować strategię dalszego postępowania przedsiębiorstwa.
  • Jeśli wyciekły dane osobowe, zdecyduj, czy konieczne jest zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Nie zawsze jest to wymagane, ale jeśli incydent jest poważny i zagraża bezpieczeństwu właścicieli danych, to zaniechanie tego kroku pociągnie za sobą poważne finansowe konsekwencje.
  • Na koniec ewaluacja i dokumentacja. Sprawdź, czy w wewnętrznym postępowaniu nie wystąpiły jakieś luki, i sporządź raporty, które ułatwią przedstawicielom Urzędu Ochrony Danych Osobowych przeprowadzenie audytu.

Potężne korporacje zazwyczaj nie oszczędzają na bezpieczeństwie, więc to małe i średnie firmy są głównymi ofiarami przestępstw internetowych wycieków danych.

Ryzyko, jakie ponoszą przedsiębiorcy, różni się w zależności od tego, z jakich programów korzystają pracownicy i gdzie przechowywane są dane, którymi operują, wykonując codzienne obowiązki – dlatego każda firma powinna oceniać zagrożenie indywidualnie. Jednak niezależnie od tego, jakie rozwiązania stosujesz w swojej firmie, 10 zasad przedstawionych powyżej da Ci znaczącą przewagę nad przestępcami internetowymi.

Pobierz bezpłatny poradnik
"Program Naprawy Zysków"

Małe kroki, które prowadzą do wielkich zmian.

pcu_form
Zapisując się na kurs, wyrażam zgodę na otrzymywanie newslettera i informacji handlowych od Coraz Lepszej Firmy.
Mogę cofnąć zgodę w każdej chwili. Dane będą przetwarzane do czasu cofnięcia zgody.
Agata Koptewicz

Content Manager we Fly On The Cloud. Służbowo tworzy treści, które uczą, bawią i sprzedają, a hobbystycznie uprawia słowną ekwilibrystykę na granicy dobrego smaku. Prywatnie pełni rolę przewodnika stada dobermanów i uważnie śledzi technologiczne nowiny.