SECURINFO.hu | IT biztonság a Home Office-ban a Deloitte szakértőitől

IT biztonság a Home Office-ban a Deloitte szakértőitől

2023. 01. 30.
Adatvédelem, IT biztonság

A vállalkozások jelentős része az elmúlt hetekben kénytelen volt otthoni munkavégzésre átállni. Az ezzel együtt járó kommunikációs problémákat ráadásul sok esetben eddig nem használt új technológia alkalmazásával tudták csak megoldani. A home – office és az új megoldások használata azonban olyan információbiztonsági és adatvédelmi kockázatokkal járnak, amelyekre a cégek nem biztos, hogy felkészültek. A Deloitte szakértői segítségként összegyűjtötték a legfenyegetőbb sérülékenységeket és jelzik egyúttal a védekezés lehetőségeit.

forrás: Piac & Profit

A távoli munkavégzéssel kapcsolatos 10 leggyakoribb fenyegetettség

A jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következőek lehetnek:

Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélkül működő) eszközök használata.
A felhasználó nem biztonságos, azaz jelszóval nem védett wifi hálózatra csatlakozik.
A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen “bedőlhet” az adathalász emaileknek.
A munkavállaló multifaktoros azonosítási folyamat nélkül csatlakozik a vállalati rendszerekhez.
A dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
A tartalék eszközök, illetve az alapvető üzletmenet folytonosságát biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lelassulása, a készülék meghibásodása stb.)
Az adatvédelemben, informatikai biztonságban járatos személyek (információbiztonsági szakértő, adatvédelmi tisztviselő, vagy compliance vezető) nem elérhetőek.
A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat, valamint nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.

Hogyan előzhetjük meg a bajt?

Számos fenyegetéssel kell számolni, ezek megelőzése azonban nem feltétlenül összetett vagy költséges. Mit tehetünk a kockázatok csökkentése érdekében? A Deloitte szakértői szerint 4 alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható. Ezek a lépések a következőek:

1. Távmunka folyamat megszervezése, szabályzatok, eljárásrendek kialakítása

Rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.

2. Információbiztonsági minimumkövetelmények kialakítása

A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, a hálózatokra, illetve ezek használatára vonatkozó biztonsági minimumkövetelményekre vonatkozó előírások meghatározása.

3. Tájékoztatás és tudatosságnövelés

Krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzések megtartása, a munkavállalók rendszeres tájékoztatása és figyelmeztetése COVID-19-el kapcsolatos dezinformációk terjedésére, és azokon keresztül adathalászati támadásoknak való megnövekedett kitettségre és ilyen esetben követendő lépések megtételére.

4. Munkavállalók ellenőrzésével kapcsolatos megfontolások

A munkáltatóknak figyelemmel kell lenniük egyidejűleg arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alklamazása a munkavállalók megfigyelésével, vagy ellenőrzésével is járhat, amely további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrendben és szabályzatban tudja megfelelően kezelni.

Mit tegyünk visszaélés esetén?

Szöllősi Zoltán

Mi a teendő olyan incidens esetén, ahol a munkavállaló elveszti a nála lévő dokumentumokat, hacker támadás áldozatává válik, vagy ha műszaki hiba miatt személyes adatok vesznek el? Először is szükséges lehet az incidens jelentése az adatvédelmi hatóság részére a visszaélés tudomásra jutását követő pár órán belül. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy megfelelően fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is – mondta Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója.

dr. Bánczi Lea
Ügyvéd, Managing Associate

A fentiekben ismertetett megelőző intézkedések megtétele emellett hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta a mind a személyes adatok, mind pedig a munkavállalók védelme érdekében szükséges technikai és szervezeti intézkedéseket és működését, valamint az abban megvalósuló adatkezelési folyamatokat a privacy by design és by default elvének megfelelően alakította ki – tette hozzá dr. Bánczi Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje.

Forrás: deloitte.com

Kapcsolódó cikkek:

Kapcsolódó cikkek

A következő szint betöltve! — Techson MS6-os kamerák

A Techson legkedveltebb kameraszériája még több tudással, funkcióval és ellenállhatatlan intelligenciával hódít. Amire egy kamera csak képes lehet, azt az MS6-os tudja! Ismerd meg a széria lehengerlő funkcióit cikkünkből! Bővebben »

Digitális alvázvizsgálat – kristálytiszta kép, akár radioaktív anyagdetektálással

Az alvázvizsgálat elvégzésében manapság már olyan technikai támogatásra támaszkodhatunk, amely nagyban megkönnyíti, felgyorsítja és kiszélesíti a vizsgálatot. A ZNZ Biztonságtechnika által kínált legújabb megoldás holland fejlesztés és Hollandiában is készül. Bővebben »

Ismerd meg a Ksenia lares 4.0 előnyeit és jellemzőit!

Cikkünben megvizsgáljuk a Ksenia Security IoT platformjának, a lares 4.0-nak előnyeit és néhány olyan funkciót, amelyek egyedülálló megoldássá teszik a piacon. Bővebben »

A Chrome böngésző biztonsági ellenőrzés funkciója – Ne sajnáljuk rá az időt!

A Google Chrome napjaink legnépszerűbb böngészője, amelyikbe olyan lehetőség lett beépítve, amivel megnézhetjük, mennyire vannak biztonságban az adataink. Egyre növekvő kiberkockázat mellett dolgozunk. Az alábbi néhány lépést érdemes időről időre elvégezni.

Gondok a felhőbiztonsággal – Zűrzavar az új felhőalapú biztonsági modellek körül

„Számtalan különféle biztonsági termék használata egy cégen belül, a rosszul beállított szolgáltatások és az új, felhőalapú biztonsági modellek körüli zűrzavar bizalmi válságot hozott létre. Az informatikai szakemberek sokszor jobban aggódnak a vállalatuk digitális értékei miatt, mint az otthonaik biztonságáért.” (Oracle, KPMG)

A home office munkavégzés komplex védelmet igényel

A home office egy olyan hibrid világot teremt, amelyben a biztonsági kockázatok kezelése egyre nagyobb kihívásokat tartogat. Hiszen igen gyakran nem jut kellő figyelem arra, hogy a céges és magánéleti adatkommunikáció és tárolás nem különül el tudatosan.

Kritikus infrastruktúrák védelme. Nem elég a megbízható fizikai biztonság, növekvő kiberfenyegetések

Mennyire kell aggódnunk a nemzeti infrastruktúrákat ért számítógépes vagy fizikai támadás miatt? Chris Price az ifsec Global hasábjain szakértők bevonásával példákon keresztül elemzi a témát. Nézzük, hogy a járvány, a távmunka és az IoT növekedése hogyan veszélyezteti a technológiákat. Az érdekfeszítő cikk persze az európai tapasztalatokra alig tér ki, mégis általánosítható tanulságai vannak.

A munkavállalók szerepe az IT-biztonságban!

A tapasztalatok azt mutatják, hogy az IT biztonsági kérdésekben a felhasználok ismerethiánya egyre jelentősebb kockázatokat jelent. A Micro Focus szakértői azonban arra hívják fel a figyelmet, hogy a megfelelő tudással felvértezve a munkavállalók a fejlett elemző eszközökkel együtt hatékonyan erősíthetik az infrastruktúra védelmét.

Adatbiztonság, adatvédelem – Minden szinten

A XXI. században nem lehet megalapozott döntéseket hozni megfelelő részletezettségű és a lehető legkorábbi időpontban rendelkezésre álló adatok nélkül. A mai korunk olaja az adat. Ez hajtja a gazdaságot, ez alapozza meg a működést és ez teszi leírhatóvá a környezetünkben zajló folyamatokat. Keszler Mátyásnak a VEEAM adatbiztonsággal foglalkozó nemzetközi cég hazai operációért felelős szakemberének gondolatait

Célkeresztben az adatbiztonság

Magánemberek és szervezetek adatvagyonára nézve is a két legnagyobb veszélyt az adattárolók meghibásodása és a kibertámadások jelentik, melyek az adatok végleges elvesztését is eredményezhetik. Alapvető lenne a 3-2-1 adatvédelmi szabály betartása.