Jeszcze nie tak dawno przechowywaliśmy różne ważne dokumenty w opasłych teczkach, specjalnych archiwach, ze specjalnie strzeżonym dostępem.
Kradzieże dokumentów były związane z włamaniem się do pomieszczenia w których przechowywane były informacje, w zależności od upływu czasu, na mniej lub bardziej pożółkłym papierze. Dobrym zabezpieczeniem okazywały się grube mury, zamki i solidny stróż. Dzisiejsze gromadzenie informacji w formie elektronicznej stworzyło nowe wyzwania dla tych wszystkich, którzy uwolnieni od ciężaru i przestrzeni archiwów musza skupiać swój wysiłek na zabezpieczeniu się na wypadek przestępstw dokonywanych w białych rękawiczkach, bez użycia łomu czy palnika. Łatwość przenoszenia danych, brak ograniczeń związanych z miejscem ich przechowywania oraz czasem odnalezienia tego, co jest w danej chwili potrzebne, spowodował lawinowy wzrost ich kradzieży z bardzo,często katastrofalnymi, następstwami.
Przyjazne urządzenie jakim stał się komputer, laptop, tablet czy smartfon usypia naszą czujność podczas pracy, a pozostawiony przez chwilę bez opieki może być powodem wycieku wielu wrażliwych danych. Warto więc w pracy z tymi urządzeniami przestrzegać trzech podstawowych zasad:
- Zabezpieczenie dostępu do komputera
- Tworzenie kopii zapasowych
- Instalacja programu antywirusowego
Zasady i obowiązki użytkowania systemu funkcjonującego w firmie zawarte są w polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.
Dobrze opracowana polityka bezpieczeństwa zawiera:
- Wykaz budynków, pomieszczeń lub ich części, w których przetwarzane są dane;
- Wykaz zbiorów jakie przetwarza administrator wraz ze wskazaniem programów służących do ich przetwarzania;
- Opis stosowanych środków bezpieczeństwa technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych;
- Funkcjonalność systemu informatycznego umożliwiającą dla każdej osoby, której dane osobowe są przetwarzane, odnotowywanie daty pierwszego wprowadzenia danych do systemu oraz identyfikację użytkownika wprowadzającego dane.
Instrukcja zarządzania systemem informatycznym w szczególności zawiera:
- Procedury nadawania uprawnień do przetwarzania danych w systemie informatycznym. Opisuje kto jest odpowiedzialny za nadawanie uprawnień, jak wygląda cały proces przygotowawczy użytkownika do pracy w systemie informatycznym przetwarzającym dane osobowe;
- Stosowane metody i środki uwierzytelnienia oraz procedury ich zarządzania i użytkowania;
- Postępowanie podczas rozpoczynania pracy w systemie informatycznym oraz kończenia lub jej zawieszania;
- Procedury tworzenia i przechowywania kopii zapasowych;
- Sposób, miejsce i okres przechowywania elektronicznych nośników zawierających dane osobowe oraz kopie zapasowe;
- Sposób zabezpieczeń przed szkodliwym oprogramowaniem i wirusami komputerowymi oraz procedury postępowania użytkowników w przypadku zidentyfikowania określonego typu zagrożeń;
- Odnotowywanie informacji o udostępnieniach danych odbiorcom, zawierające informacje komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione;
- Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Zachęcam do dokładnego zapoznania się z tymi dokumentami przed ich podpisaniem. Zawierają dodatkowe warunki korzystania z systemu, których przestrzeganie jest obowiązkiem wszystkich pracowników. Przy integracji systemów przesyłania danych z bazami centralnymi znalezienie miejsca potencjalnego wycieku nie jest stosunkowo trudne. Warto więc stosować się do zaleceń instrukcji i polityki we własnym, dobrze pojętym, interesie.