Bezpieczeństwo informacji a praca zdalna

Praca zdalna świadczona jest na rzecz pracodawcy poza miejscem jej stałego wykonywania, z wykorzystaniem środków elektronicznej komunikacji. Pracownik, świadczący pracę poza zakładem pracy, nie podlega w takim stopniu kontroli pracodawcy, jak osoba realizująca swoje zadania w klasycznym miejscu zatrudnienia.

Atrakcyjność pracy zdalnej jest ściśle powiązana z zachowaniem bezpieczeństwa przetwarzania informacji przez osobę realizującą swoje zadania na odległość. Tu szczególnie istotne staje się konieczność zapewnienia bezpieczeństwa teleinformatycznego.

Zagrożenia bezpieczeństwa informacji w pracy zdalnej

Do najpowszechniejszych zagrożeń bezpieczeństwa informacji w pracy zdalnej należy:

• utrata informacji, która jest przetwarzana przez pracownika w efekcie uszkodzenia komputera;
• utrata informacji i sprzętu skutkiem zainfekowania komputera złośliwym oprogramowaniem;
• kradzież informacji z komputera pracownika przez złośliwe oprogramowanie;
• kradzież przez takie oprogramowanie danych dostępowych do systemu firmy;
• kradzież przez złośliwe oprogramowanie danych osobowych przetwarzanych przez pracownika zdalnego,
• możliwość przeniesienia złośliwego oprogramowania z komputera pracownika do sieci lokalnej firmy, na przykład w trakcie korzystania z połączenia zdalnego.

RODO a praca zdalna

Pracownicy wykonujący pracę zdalną powinni stosować odpowiednie środki zabezpieczeń o charakterze technicznym i organizacyjnym, które zostały określone w artykule 32 rozporządzenia o ochronie danych czyli RODO. Ponadto, powinni uwzględniać ogólne zasady RODO, do których należą:

• integralność oraz poufność – przetwarzanie danych powinno zachodzić w sposób, który zapewnia adekwatne bezpieczeństwo danym osobowym, natomiast osoba przetwarzająca te dane winna zapewnić im ochronę przed niedozwolonym lub niezgodnym z prawem użyciem czy utratą, zniszczeniem bądź uszkodzeniem;
• rozliczalność – pracownik zdalny winien być w stanie wykazać, iż przestrzega najważniejszych zasad RODO, a więc być w stanie udowodnić, iż przyjęte przez niego środki były rzeczywiście wystarczające.

Jakie środki zabezpieczeń powinien zastosować pracownik zdalny?

Pracownik wykonujący swoją pracę poza siedzibą firmy, czyli zdalnie, winien przede wszystkim odpowiednio zabezpieczyć sprzęt, z którego korzysta. Komputer powinien zostać wyposażony:

• w indywidualny login i hasło dostępu do systemu;
• w indywidualny login i hasło dostępu do systemu;
• możliwość nawiązywania połączenia z Internetem oraz z siecią firmy za pomocą bezpiecznego łącza VPN;
• odpowiedni program antywirusowy z firewallem;
• możliwość automatycznego tworzenia kopii zapasowych;
• zaszyfrowany twardy dysk.

Z kolei pracownik zdalny winien bezwzględnie wystrzegać się:

• przesyłania mailem informacji zawierającej istotne dane bez wcześniejszego ich zaszyfrowania;
• przechowywania danych na nośnikach zewnętrznych, które mogą łatwo zostać zgubione, jak przykładowo pendrive;
• używania urządzeń USB nieznanego pochodzenia, gdyż mogą być one zainfekowane złośliwym oprogramowaniem;
• wykonywania pracy w miejscach publicznych, na przykład w kawiarniach internetowych, czy w trakcie podróży, jeśli komputer nie jest wyposażony w specjalny filtr prywatyzujący, zmieniający perspektywę ekranu.

Obowiązki pracodawcy względem pracownika zdalnego a bezpieczeństwo informacji

Powierzanie pracownikowi zdalnemu  służbowych zadań przez pracodawcę wymaga od niego przedsięwzięcia właściwych środków ochronnych i zapobiegawczych. Najlepszym rozwiązaniem jest zapewnienie każdemu pracownikowi zdalnemu odpowiedniego szkolenia z zakresu obowiązującej w przedsiębiorstwie pracodawcy procedury bezpieczeństwa, a także zasad korzystania z narzędzi. Pracodawca powinien wdrożyć dla pracowników zdalnych oświadczenia o zachowaniu poufności, a także upoważnić ich do przetwarzania danych osobowych oraz prowadzić rejestr wydanych upoważnień. Wobec pracy zdalnej winna zostać również wdrożona w firmie Polityka Ochrony Danych Osobowych albo Instrukcja Zarządzania Systemem Informatycznym.

Zabezpieczenia smartfona

Pracownicy zdalni korzystają również z innych urządzeń mobilnych, jak smartfony, na przykład do sprawdzania poczty. Co więcej, często na tych urządzeniach znajduje się bardzo wiele firmowych informacji oraz danych osobowych. Z tego powodu również to urządzenie musi posiadać odpowiednie zabezpieczenia, jak blokada ekranu, możliwość zdalnego zablokowania urządzenia lub usunięcia jego zawartości, brak haseł zapisywanych w pamięci, program antywirusowy, możliwość łączenia się z Internetem i siecią firmy za pomocą bezpiecznego łącza VPN czy automatyczny backup danych.

 Źródło: ISecure – ochrona danych osobowych Warszawa