„Hrozba zasvěcených osob“ je ve firmách často přehlížena, ale může být pro zaměstnavatele stejně škodlivá jako hacker nebo podvodník a v době pandemie je ještě zvyšuje. Jednání zaměstnanců přitom nemusí být vůbec úmyslné, přesto mohou způsobit velké škody – například kliknutím na podvodný odkaz v počítači.
Zaměstnanci nemohou být doma monitorováni tak pečlivě, čímž se zvyšuje riziko. Týmy informační bezpečnosti se mohou zároveň soustředit na jiné výzvy (např. musí vyřešit vlastní přechod zaměstnanců na domácí práci a řešit IT problémy, které vyplývají z vlastní povahy práce), a tedy se nemohou věnovat tolik času monitorovací činnosti.
Narůstá také počet oportunistických hackerů, kteří obecně často využívají období krize a zvýšené úzkosti celé populace. Google například od začátku roku zaznamenal 350% nárůst útoků typu phishing.
Zaměstnanci se zároveň mohou cítit více odděleni od kolektivu a firmy, chybí jim jistota v práci, zejména, pokud firma řeší škrty, hrozí propouštění a chybí adekvátní komunikace. To může zvýšit „úmyslnou hrozbu“, kdy zaměstnanci mohou mít větší motivaci poškodit zaměstnavatele.
Jak se mohou zaměstnavatelé chránit?
Zásady pro práci s daty
Je potřeba zavést jasné zásady, které stanoví, jak mají být data ukládána, kdo k nim má přístup a jak nahlásit porušení.
Školení
Poskytněte všem zaměstnancům povinné školení o podvodech typu phishing, o tom, jak hlásit podezřelé aktivity a jak uchovávat data v bezpečí. Zpracovatelům údajů by mělo být poskytnuto důkladnější školení.
Komunikace
Udržování informovanosti zaměstnanců o rizicích a poskytování důležitých informací o bezpečnosti dat je stejně důležité jako komunikace zaměřená na udržení zapojení a morálky. Udržování pravidelného kontaktu může pomoci zaměstnancům cítit se podporováni a může zvýšit pravděpodobnost, že budou hlásit podezřelé činnosti.
Omezení přístupu zaměstnanců k údajům
Počet zaměstnanců, kteří mají přístup k důvěrným údajům, by měl být omezen. Je nutné mít záznam o tom, kdo má přístup a k jakým údajům, a v pracovní smlouvě jasně stanovit, jak by se tyto údaje měly používat, aby bylo možné jasně zjistit porušení. Kromě toho by měl být všem zaměstnancům, kteří odešli nebo byli propuštěni, odstraněn přístup a jejich přihlašovací / e-mailové účty pozastaveny, aby se snížilo riziko nespokojeného bývalého zaměstnance, který se dopustí narušení dat.
Odpovědní zaměstnanci
Zaměstnavatelé by měli mít určený tým, který se těmito riziky zabývá, a měl by být prvním kontaktním místem pro hlášení podezřelých činností nebo porušení.
Akční plán
Přestože preventivní kroky jsou nejlepší, je také důležité mít zaveden plán reakce na porušení, aby bylo možné co nejrychleji zmírnit důsledky jakéhokoli porušení údajů.
Bezpečnostní opatření
Může zahrnovat správný antivirový software, použití zabezpečené sítě a implementaci automatizovaného protokolování počítačových systémů a platforem, aby bylo možné identifikovat ty, kteří mají přístup k datům. Porty USB by měly být uzamčeny, aby data nemohla být přenesena přes USB.
Politika čistého stolu
To platí zejména pro domácí pracoviště, kde mohou zaměstnanci sdílet svůj pracovní prostor s dalšími spolubydlícími a logicky nemusí mít materiály a techniku tak dobře zabezpečené jako v kanceláři. Zaměstnancům by mělo být rovněž sděleno, jak by měli bezpečně nakládat s důvěrnými informacemi, protože je nepravděpodobné, že by měli doma přístup k důvěrným zařízením na skartaci papíru.
Pravidelné přezkoumání
Důležité je, že řízení rizik a dat je trvalým závazkem. Školení a komunikace by měly být pravidelné a politiky by měly být pravidelně přezkoumávány, aby se zajistilo, že jsou aktuální a stále dodržovány zaměstnanci.
-bb-