Vedlejší efekt GDPR bezpečnost firemních dat

20. 4. 2018 | Zdroj: BusinessInfo.cz

V posledních měsících se toho o nařízení o ochraně osobních údajů napsalo a namluvilo mnoho. Pro drtivou většinu společností představují nové požadavky tohoto nařízení především zvýšené administrativní náklady a nezbytné úpravy v rámci vnitřních procesů ve společnosti. Na druhou stranu se dá na novém nařízení najít i něco pozitivního.

Všechny nás totiž donutí k určité inventuře a zamyšlení nad tím, jaká data nám ve společnosti leží a jak se o ně staráme. A nemusí se nutně jednat pouze o data z kategorie osobních údajů, ale i z dalších informací, které v rámci svého podnikání denně využíváme. Jsou taková data v bezpečí? Kdo k nim má přístup? A jaké jsou nejčastější prohřešky proti bezpečnosti dat?

Heslo jako základ

Velice častým problémem v rámci nakládání s firemními daty je nízké zabezpečení v rámci firemní IT infrastruktury. Zajištění počítačů a firemní sítě heslem je dnes již naprostá samozřejmost. Problém může ovšem nastat v pravidlech pro nastavování hesel. Buď jsou používaná hesla moc jednoduchá, nebo nedochází k jejich pravidelné změně.

Podle nedávné statistiky serveru jecas.cz patří mezi jedna z nejčastěji užívaných hesel v České republice slovo „heslo“ nebo heslo v podobě „123456“. Asi i naprostému laikovi musí být na první pohled zřejmé, že takové heslo nesplňuje zrovna vysokou míru zabezpečení a jejich uhodnutí je otázkou vteřin.

Nastavení firemní politiky hesel je tak jedním ze základních kroků, který může společnost učinit za účelem posílení bezpečnosti svých dat v rámci informačních technologií. Heslo by nemělo být tvořeno smysluplným slovem, mělo by obsahovat velké a malé písmeno, číslici a zvláštní znak, jako je například vykřičník, tečka, pomlčka. Pokud bude mít heslo uvedené parametry a bude mít alespoň 8 nebo lépe 10 znaků, lze ho považovat za bezpečné.

Nepodceňujte práva

Dalším nezbytným krokem k zajištění bezpečnosti v rámci IT vybavení společnosti je omezení práv uživatelů, které jim znemožňuje do svěřených počítačů instalovat jakékoli programové vybavení, které nebylo společností schváleno. Omezení přístupu na určitý typ webových stránek hraje také jistou roli. Především stránky určené ke stahování nelegálních kopií filmů či hudby nebo stránky s erotickou tematikou často znamenají vysoké riziko, že se do počítače kromě nelegálních kopií dostane i nejrůznější ransomware, spyware, malware či jiné nežádoucí softwarové nástroje ohrožující bezpečnost firemních dat.

Člověk nepřítel

Pravděpodobnost kybernetických útoků je ale stále nižší než možnost, že vám data zcizí vaši vlastní lidé. Bohužel je v České republice stále zakořeněný nešvar, kdy zaměstnanci mají pocit, že data, s nimiž přišli do kontaktu během svého působení ve společnosti, jsou vlastně tak trošku také jejich. Důsledkem tohoto pocitu je pak velice častá situace, kdy zaměstnanci při odchodu ze společnosti potají nahrají na disk nebo jiné úložiště většinu dokumentů, které v rámci svého působení ve společnosti vytvořili. A velmi často si k tomu vezmou i seznam klientů či jinou klíčovou databázi, která pro společnost představuje konkurenční výhodu nebo náskok před ostatními.

Omezení datového extraktu způsobeného odcházejícím zaměstnancem je velice složité po technické stránce. Proto se nabízí možnost uzavření určité dohody nebo jednostranného prohlášení, že si zaměstnanec neodnáší neoprávněně žádná data ze společnosti, a pokud se takové prohlášení ukáže jako nepravdivé, čeká na hříšníka vysoká pokuta. Bohužel i v případě, že si společnost takové prohlášení opatří, je velice těžko dokazatelné, že si daný zaměstnanec data odnesl, a vymahatelnost škody je v takovém případě značně komplikovaná.

Pravidlo čistého stolu

Blížící se účinnost nového nařízení o ochraně osobních údajů tak lze využít nejen k ochraně osobních údajů zpracovávaných v rámci společnosti, ale obecně i k posílení bezpečnosti všech dat, se kterými společnost pracuje. V rámci této malé inventury či bezpečnostního auditu stojí určitě za úvahu i ukládání a zpracování informací v tištěné podobě. Ne všude je běžné dodržovat „clean desk policy“, tedy zásadu čistého pracovního stolu, na kterém by po odchodu z kanceláře měl zůstat maximálně vypnutý počítač a pár psacích potřeb. Z pohledu manažera společnosti je nutné si uvědomit, kdo má k jakým informacím přístup. A zda se tedy nemůže stát, aby neoprávněná osoba v podobě návštěvy, nebo dokonce klienta zanechaného bez dozoru ve vaší kanceláři se mohla dostat k důvěrným informacím, které jsou pro úspěch vaší společnosti klíčové.

Proto je možná vhodné nebrat nové nařízení o ochraně osobních údajů jenom jako čiré zlo, ale i jako důvod a příležitost k posílení bezpečnosti a optimalizaci vnitřních procesů, aby společnost drobnou nedbalostí neztratila cenné informace a obchodní tajemství. 

Převzato z časopisu Komora. Autor článku: Radomír Pivoda, Pavleka Partners.

TIP: Speciál BusinessInfo.cz ke GDPR

Tisknout Vaše hodnocení:

Štítky článků

Související články

Diskuse k článku

+ Nový příspěvek