Spis Treści
Od czasu wybuchu pandemii COVID-19 praca zdalna dla wielu Polaków stała się codziennością, a ostatnio doczekała się nawet uregulowania w kodeksie pracy. Taka forma wykonywania obowiązków zawodowych ma istotny wpływ na ochronę przetwarzanych danych w firmach, urzędach i instytucjach. Pracodawcy wraz z pracownikami wykonującymi pracę zdalną muszą więc zapewnić odpowiedni poziom bezpieczeństwa danych – najczęściej poprzez wdrożenie właściwych procedur i systematyczne szkolenia.
Podpisana w styczniu br. przez prezydenta nowelizacja Kodeksu Pracy wprowadziła możliwość wykonywania pracy częściowo lub całkowicie w miejscu wskazanym przez pracownika każdorazowo uzgodnionym z pracodawcą lub na jego polecenie. Na pracodawców zostały nałożone obowiązki zapewnienia pracownikowi:
- materiałów do wykonywania pracy zdalnej,
- instalacji, serwisu, konserwacji narzędzi do pracy lub pokrycie kosztów z tym związanych,
- szkoleń i pomocy technicznej niezbędnej do wykonywania pracy.
Praca zdalna a ochrona danych
Jedną z najbardziej istotnych regulacji dotyczących pracy zdalnej są obowiązki odnoszące się do ochrony danych osobowych zawarte w art. 67 KP.
Dotyczą one zasad tworzenia przez firmy odpowiednich procedur ochrony danych oraz instrukcji postępowania i szkoleń w tym zakresie. Budując taki system ochrony danych, można skorzystać ze wskazówek zawartych w normach serii ISO/IEC 27000.
– „Przygotowując procedury bezpieczeństwa, trzeba uwzględnić zagrożenia, jakie pojawiają się w trakcie wykonywania pracy zdalnej np. kradzież telefonu czy laptopa, zainfekowanie szkodliwym oprogramowaniem, użycie niechronionych sieci bezprzewodowych. Nie wolno też zapominać o zagrożeniach pojawiających się w fizycznym miejscu świadczenia pracy zdalnej, choćby możliwość podejrzenia przez osoby trzecie informacji na monitorze. Warto przeprowadzić ocenę ryzyka uwzględniającą wszystkie etapy wykonywania pracy poza terenem organizacji, zarówno w miejscu świadczenia pracy zdalnej czy podczas podróży. Identyfikacja potencjalnych zagrożeń pozwala opracować właściwą politykę bezpieczeństwa” – wyjaśnia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa DEKRA.
Tworząc założenia takiej polityki, należy zwrócić uwagę na następujące kwestie dotyczące bezpieczeństwa przetwarzanych danych:
- zasady bezpiecznej komunikacji, w tym dostępu do systemów organizacji przy wykorzystaniu mechanizmów uwierzytelniania. Warto uwzględnić również słabości jednoczynnikowych mechanizmów uwierzytelniania i rozważyć wprowadzenie dwuczynnikowego uwierzytelniania (2FA),
- zasady zabezpieczenia przed nieuprawnionym dostępem do informacji lub zasobów ze strony osób trzecich (rodzina czy znajomi) przebywających w miejscu pracy zdalnej,
- zasady zabezpieczenia przed nieuprawnionym dostępem osób trzecich w miejscach publicznych oraz bezpiecznego wykorzystania sieci domowych i publicznych, w tym wymogi dotyczące takich sieci,
- zasady konfiguracji urządzeń w przypadku pracy poza siedzibą organizacji,
- zasady użycia urządzeń prywatnych do wykonywania obowiązków służbowych.
Pracownicy muszą być świadomi zagrożeń
Jednak samo stworzenie procedur nie okaże się wystarczającym zabezpieczeniem dla przetwarzanych danych, jeśli pracownicy nie będą ich znali i przestrzegali. Trzeba pamiętać, że cyberprzestępcy wykorzystują coraz to nowsze metody, by wejść w posiadanie wrażliwych danych.
– „Dlatego niezwykle istotnym elementem jest prowadzenie cyklicznych szkoleń pracowników uwzględniających nie tylko zabezpieczenia proceduralne, ale również techniczne. Program szkolenia powinien również uwzględniać aktualne zagrożenia i rodzaje ataków, z którymi mogą spotkać się pracownicy wykonujący prace zdalną” – dodaje Tomasz Szczygieł.
* * *
DEKRA jest globalnym liderem na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Z jasną, ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata DEKRA łączy najlepszych ludzi, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes na lepsze.
Działająca od niemal 100 lat na świecie – i od ponad 20 lat w Polsce – DEKRA stawia obecnie na dynamiczny rozwój usług z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz na usługi wspierające zrównoważony rozwój organizacji i elektromobilność.
Świadomi zagrożeń i wyzwań współczesnego świata klienci DEKRA korzystają z rozwiązań, które dają im rzetelną wiedzę i praktyczne narzędzia, takie jak m.in. certyfikacja ISO 27001 i ISO 22301, czy specjalistyczne audyty (np. audyt bezpieczeństwa systemu informacyjnego dla operatorów usług kluczowych). Dzięki połączeniu wiedzy i doświadczenia ekspertów lokalnych i międzynarodowych mają oni dostęp do wszystkich potrzebnych informacji i usług z jednego, obszernego i elastycznego źródła.