Zabezpieczanie danych pracodawcy, które nagle znalazły się w kuchni i salonie w domu pracownika.

Praca zdalna to nie tylko znak ostatniego półrocza

Zjawiska takie jak praca zdalna i praca z domu wzrosły wykładniczo w ciągu ostatniej dekady. Badanie Apricorn z 2018 roku wykazało, że 100 procent ankietowanych wówczas osób zarządzających w IT zauważyło, że mają pracowników, którzy pracują zdalnie przynajmniej przez pewien czas.

Pandemia COVID-19 i wynikająca z niej blokada zmusiły kolejną bardzo dużą liczbę pracowników do opuszczenia znanego im terytorium o do pracy w pełnym wymiarze godzin z domu. Podczas gdy niektóre firmy już dawno przyjęły strategie pracy zdalnej w ramach zwiększonej elastyczności, inne stawiały opór ze względu na ryzyko związane z bezpieczeństwem danych i działaniami dotyczącymi zgodności.

Niepokojące jest to, że nowsza (2020) ankieta przeprowadzona przez Apricorn wykazała, że ponad połowa (57%) brytyjskich pracodawców IT nadal uważa, że pracownicy zdalni narażają swoją organizację na ryzyko naruszenia danych. Pracownicy niezamierzenie narażający dane na ryzyko pozostają główną przyczyną naruszenia bezpieczeństwa danych, a zgubione lub zagubione urządzenia są dopiero drugą co do wielkości przyczyną kłopotów z danymi „na home office”.

Problem istnieje

Niektórzy już wracają do pracy a wielu kwestionuje, że praca zdalne może stać się nową normą. Niezależnie od tego co będzie, już dziś praca zdalna niesie ze sobą szereg wyzwań związanych z ochroną danych: czy to zwiększone ryzyko ataków z zewnątrz, czy też tendencja pracowników do łagodzenia praktyk bezpieczeństwa podczas pracy z domu. Niezależnie od przypadku wrażliwe informacje opuszczające granice ścian biura zawsze będą bardziej narażone niż wtedy, gdy są bezpiecznie zabezpieczone w sieci firmowej.

Każda organizacja powinna uwzględniać wykorzystanie własnego sprzętu IT pracowników do pracy mobilnej i zdalnej w swojej strategii bezpieczeństwa informacji. Jeśli firmy chcą zabezpieczyć dane w ruchu, konieczne jest, aby szyfrowanie i kontrola punktów końcowych były stosowane na wszystkich urządzeniach, niezależnie od tego, czy są to laptopy, telefony komórkowe czy urządzenia wymienne, takie jak USB.

Dane powinny być szyfrowane

Niezależnie od tego, czy pracujesz z domu, czy nie, RODO tak samo nakazuje zabezpieczanie danych: po pierwsze pod kątem zgodności (art. 32); po drugie, aby złagodzić wpływ na organizację, która doznała naruszenia (art. 34). Ponadto artykuł 83 RODO pozwala złagodzić kary jeżeli firma postępowała odpowiedzialnie i podjęła skuteczne działania ograniczające szkody poniesione przez osoby, których dane dotyczą. Niejedna firma przekonała się już, że ma silniejszą pozycję do obrony w przypadku naruszenia, jeśli będzie w stanie wykazać stosowanie praktyk szyfrowania.

Firmy dostrzegają wartość szyfrowania, ale jest to proces ciągły i musi obejmować wszystkie urządzenia. Ponieważ tak wiele danych wykracza teraz poza granice firmy, konieczne jest zwrócenie uwagi na znaczenie szyfrowania w ochronie poufnych informacji, przy jednoczesnym zapewnieniu personelowi elastyczności wymaganej do pracy zdalnej.

Wartość szyfrowania

Szyfrowanie sprzętowe zapewnia znacznie większe bezpieczeństwo niż szyfrowanie programowe, a urządzenia pamięci masowej USB z szyfrowaniem sprzętowym i uwierzytelnianiem za pomocą PIN oferują dodatkowe, znaczące korzyści. Brak oprogramowania eliminuje ryzyko keyloggera i nie ogranicza użycia do określonych systemów operacyjnych. Wszystkie procesy uwierzytelniania i szyfrowania odbywają się w samym urządzeniu, więc hasła i kluczowe dane nigdy nie są udostępniane komputerowi hostowi. To sprawia, że szczególnie nadaje się do użytku w ściśle regulowanych sektorach, takich jak obrona, finanse, rząd i opieka zdrowotna.