Polityka bezpieczeństwa informacji to dokument, który warto stworzyć i trzymać w nim wszystkie ważne zapisy dotyczące organizacji pracy, procedur mających na celu zapewnienie bezpieczeństwa dla danych wrażliwych (i nie tylko) w firmie.

Krok po kroku. Jak zabezpieczyć firmowe informacje:

Dzięki niemu łatwo możemy wdrożyć nowych pracowników w panujące w pracy zasady. Łatwo też wskażemy zapis, który opisze sposób działania w sytuacjach, gdzie istnieje ryzyko wycieku informacji lub co gorsza, już to nastąpiło.

1.Co warto wiedzieć na początek?

Domyślamy się, że większość z was nie zna zagadnień prawnych dotyczących polityki bezpieczeństwa danych i tego w jaki sposób należy poinformować klientów o każdorazowym naruszeniu bezpieczeństwa tych danych. W tym celu polecamy skonsultować się z kancelarią prawną specjalizującą się w tym obszarze. Oni doradzą wam najlepiej jak uniknąć niepotrzebnych nerwów i być gotowym na taką sytuację.

Upewnijcie się, że polityka wewnętrzna firmy w tym zakresie i wszystkie procedury spełniają wymogi prawne. Ponieważ przepisy się zmieniają, przygotujcie się na coroczną analizę polityki bezpieczeństwa waszej firmy i wprowadźcie ewentualne, obowiązkowe zmiany. Zapewnijcie pracownikom szkolenia na temat polityki bezpieczeństwa danych i związanych z tym procedur. Jeśli prawo wymaga jeszcze dodatkowych szkoleń dla pracowników, koniecznie je przeprowadźcie. To tak naprawdę jest w waszym najlepszym interesie.

2.Krok drugi – ważne procedury

Procedura zarządzania incydentami związanymi z bezpieczeństwem danych to dokument, który przedstawia się każdemu klientowi. Wyjaśnia on w jaki sposób zostaną powiadomieni o każdorazowym naruszeniu bezpieczeństwa danych. Jest to bardzo ważne. Z jednej strony musi on was zabezpieczać, z drugiej być zrozumiały i fair w stosunku do klienta, który faktycznie doświadczył straty. Tę procedurę również warto skonsultować z prawnikiem.

Procedura tworzenia i przetrzymywania haseł, to kolejny dokument, który należałoby posiadać. Upewnijcie się, że wszyscy pracownicy są przeszkoleni w zakresie tworzenia i stosowania silnych haseł. Sprawdźcie czy wasze systemy dostosowane są do regulacji odnośnie danych wrażliwych (przykładowo wymuszają zmianę hasła co 30 dni przy danych osobowych). Okazjonalnie sprawdzajcie, czy pracownicy rozumieją, jak utworzyć silne hasło i jak bardzo ważne jest stosowanie się do procedur gwarantujących bezpieczeństwo całej sieci.

3.Krok trzeci – przygotowanie planu awaryjnego

Należy stworzyć wewnętrzne procedury w ramach jednego planu działania na wypadek naruszenia prywatności danych. W jego obrębie powinny znaleźć się właśnie definicje sposobu powiadomienia klienta o takim zdarzeniu.

Oprócz wcześniej wspomnianego dokumentu, jakim jest procedura zarządzania incydentami związanymi z bezpieczeństwem danych, przygotujcie drugi plan na użytek wewnętrzny firmy. To w nim jasno sprecyzujecie wszystkie kwestie związane z naruszeniem bezpieczeństwa danych. Dokładnie wskażcie, kto będzie odpowiedzialny za kontakt z klientem i przedstawieniem mu sytuacji, a kto wyjaśni przebieg zdarzenia pracownikom.

Na koniec warto wyznaczyć osoby, które po zażegnaniu kryzysu przygotują odpowiedni raport i przedstawią stan obecnych zabezpieczeń oraz drogę do zapobiegnięcia podobnym sytuacjom w przyszłości.

4.Jak należy postępować, gdy doszło do niepożądanego wydarzenia?

1. Jeśli wykryjecie naruszenie bezpieczeństwa danych, nie panikujcie i w żadnym wypadku nie ignorujcie takiego incydentu. Nawet jeśli wydaje się wam ono czymś marginalnym.
2. Zbierzcie wszystkie informacje dotyczące tego zdarzenia, niezależnie od tego czy jest ono już potwierdzone czy nie. Wystarczy, że istnieje podejrzenie jego wystąpienia.
3. Postępujcie zgodnie z wcześniej ustalonym planem.
4. Poinformujcie odpowiednie instytucje finansowe, rozpoczynając od banku lub firmy, które obsługują firmowe karty kredytowe, a także wszelkie procesy płatności internetowych.
5. Poinformujcie swojego ubezpieczyciela.
6. Jeśli ubezpieczyciel nie zapewnia pomocy prawnej, skontaktujcie się na własną rękę z odpowiednią kancelarią prawną w celu ustalenia, jakie i czyje prawa zostały naruszone. Powinniście uzyskać informację czy prawo nakazuje powiadomić klientów i/lub instytucje państwowe w każdym konkretnym przypadku.
7. Powiadomcie klientów zgodnie z Procedurą zarządzania incydentami związanymi z bezpieczeństwem danych.
8. Upewnijcie się, że w celu usunięcia zdarzenia, podjęto odpowiednie kroki i pozostałe dane są bezpieczne. Jeśli macie jakiekolwiek wątpliwości skonsultujcie się z ekspertem ds. cyberbezpieczeństwa.

5.Podsumowanie

Oczywiście to tylko garść informacji na ten temat. Chcieliśmy w ten sposób zwrócić waszą uwagę na problem i na prewencję. Ta, jak wiadomo jest dużo mniej bolesna od leczenia. Jeśli jednak macie jakieś pytania lub chcielibyście bardziej rozwinąć, któreś z zagadnień, to napiszcie nam w komentarzach. Zachęcamy do tego!

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź AVG antywirus dla firmy. Kompleksowa ochrona dla plików, przelewów i wszystkiego co najważniejsze w firmie.