Práce zaměstnanců na dálku zvyšuje firemní rizika, jako jsou podvody či únik důvěrných informací. Firmy by se proto měly dodatečně zajistit a nastavit systém, který jim pomůže rizika minimalizovat.
„Hrozba zasvěcených osob“ je ve firmách často přehlížena, ale může být pro zaměstnavatele stejně škodlivá jako hacker nebo podvodník a v době pandemie je ještě zvyšuje. Jednání zaměstnanců přitom nemusí být vůbec úmyslné, přesto mohou způsobit velké škody – například kliknutím na podvodný odkaz v počítači.
Zaměstnanci nemohou být doma monitorováni tak pečlivě, čímž se zvyšuje riziko. Týmy informační bezpečnosti se mohou zároveň soustředit na jiné výzvy (např. musí vyřešit vlastní přechod zaměstnanců na domácí práci a řešit IT problémy, které vyplývají z vlastní povahy práce), a tedy se nemohou věnovat tolik času monitorovací činnosti.
Narůstá také počet oportunistických hackerů, kteří obecně často využívají období krize a zvýšené úzkosti celé populace. Google například od začátku roku zaznamenal 350% nárůst útoků typu phishing.
Zaměstnanci se zároveň mohou cítit více odděleni od kolektivu a firmy, chybí jim jistota v práci, zejména, pokud firma řeší škrty, hrozí propouštění a chybí adekvátní komunikace. To může zvýšit „úmyslnou hrozbu“, kdy zaměstnanci mohou mít větší motivaci poškodit zaměstnavatele.
Jak se mohou zaměstnavatelé chránit?
Zásady pro práci s daty
Je potřeba zavést jasné zásady, které stanoví, jak mají být data ukládána, kdo k nim má přístup a jak nahlásit porušení.
Školení
Poskytněte všem zaměstnancům povinné školení o podvodech typu phishing, o tom, jak hlásit podezřelé aktivity a jak uchovávat data v bezpečí. Zpracovatelům údajů by mělo být poskytnuto důkladnější školení.
Komunikace
Udržování informovanosti zaměstnanců o rizicích a poskytování důležitých informací o bezpečnosti dat je stejně důležité jako komunikace zaměřená na udržení zapojení a morálky. Udržování pravidelného kontaktu může pomoci zaměstnancům cítit se podporováni a může zvýšit pravděpodobnost, že budou hlásit podezřelé činnosti.
Omezení přístupu zaměstnanců k údajům
Počet zaměstnanců, kteří mají přístup k důvěrným údajům, by měl být omezen. Je nutné mít záznam o tom, kdo má přístup a k jakým údajům, a v pracovní smlouvě jasně stanovit, jak by se tyto údaje měly používat, aby bylo možné jasně zjistit porušení. Kromě toho by měl být všem zaměstnancům, kteří odešli nebo byli propuštěni, odstraněn přístup a jejich přihlašovací / e-mailové účty pozastaveny, aby se snížilo riziko nespokojeného bývalého zaměstnance, který se dopustí narušení dat.
Odpovědní zaměstnanci
Zaměstnavatelé by měli mít určený tým, který se těmito riziky zabývá, a měl by být prvním kontaktním místem pro hlášení podezřelých činností nebo porušení.
Akční plán
Přestože preventivní kroky jsou nejlepší, je také důležité mít zaveden plán reakce na porušení, aby bylo možné co nejrychleji zmírnit důsledky jakéhokoli porušení údajů.
Bezpečnostní opatření
Může zahrnovat správný antivirový software, použití zabezpečené sítě a implementaci automatizovaného protokolování počítačových systémů a platforem, aby bylo možné identifikovat ty, kteří mají přístup k datům. Porty USB by měly být uzamčeny, aby data nemohla být přenesena přes USB.
Politika čistého stolu
To platí zejména pro domácí pracoviště, kde mohou zaměstnanci sdílet svůj pracovní prostor s dalšími spolubydlícími a logicky nemusí mít materiály a techniku tak dobře zabezpečené jako v kanceláři. Zaměstnancům by mělo být rovněž sděleno, jak by měli bezpečně nakládat s důvěrnými informacemi, protože je nepravděpodobné, že by měli doma přístup k důvěrným zařízením na skartaci papíru.
Pravidelné přezkoumání
Důležité je, že řízení rizik a dat je trvalým závazkem. Školení a komunikace by měly být pravidelné a politiky by měly být pravidelně přezkoumávány, aby se zajistilo, že jsou aktuální a stále dodržovány zaměstnanci.
-bb-
The new era also brings new threats to employers
The teleworking of employees increases company risks, such as fraud or leaks of confidential information. Companies should therefore additionally secure and set up a system to help them minimise the risks.
The "threat of insiders" is often overlooked in companies but it can be as harmful to employers as a hacker or fraudster, and the risk is even greater during a pandemic. The actions of employees may not be at all intentional but can still cause great damage - for example, clicking on a fraudulent link on a computer.
Employees cannot be monitored so closely at home, which increases the risk. In addition, information security teams may have to focus on other challenges (e.g. their own transition of employees to home office and solving IT problems that arise from the nature of their work); thus they cannot devote so much time to monitoring activities.
There is also a growing number of opportunistic hackers who often take advantage of times of crisis and generally increased anxiety of the population. For example, since the beginning of the year, Google has seen a 350% increase in phishing attacks.
At the same time, employees may feel more separated from the team and the company: they lack job security, especially if the company is dealing with cuts; there is also the risk of redundancies and a lack of adequate communication. This can increase the "intentional threat" in which employees may have a greater incentive to harm employers.
How can employers protect themselves?
Principles for working with data
There is a need to establish clear policies setting out how data is to be stored, who has access to it and how to report breaches.
Training
Provide all employees with mandatory training on phishing scams, how to report suspicious activity, and how to keep data safe. More thorough training should be provided to data processors.
Communication
Maintaining employees' awareness of risks and providing important information about data security is as important as communication aimed at maintaining involvement and morale. Keeping in regular contact may help employees feel they are being supported and increase the likelihood of their reporting any suspicious activity.
Restrictions on employees' access to data
The number of employees with access to confidential data should be limited. It is necessary to have a record of who has access to what data and to state clearly in the employment contract how this data should be used so that any breach can be clearly identified. All employees who have left the company or been laid off should have their access removed and their login/e-mail accounts terminated so as to reduce the risk of a disgruntled former employee committing a data breach.
Responsible employees
Employers should have a designated team to address these risks and should be the first point of contact for reporting suspicious activity or violations.
Action plan
Although preventive action is best, it is also important to have a breach response plan in place so that the consequences of any data breach can be mitigated as quickly as possible.
Security precautions
These include proper antivirus software, use of a secure network, plus the implementation of automated logging of computer systems and platforms to identify those who have access to the data. USB ports should be locked so that data cannot be transferred via USB.
Clean table policy
This is especially true for home workplaces, where employees possibly share their workspace with flatmates and logically may not have materials and equipment as well secured as in the office. Employees should also be told how to handle confidential information securely, as it is unlikely that they will have access to confidential paper shredding equipment at home.
Regular review
It is important risk and data management be an ongoing commitment. Training and communication should be regular, and policies frequently reviewed to ensure they are up-to-date and adhered to by employees.
-bb-