Cum puteti preveni incalcarile securitatii datelor personale produse de angajati
Studiile au aratat ca incalcarile securitatii datelor personale pot fi produse si de catre angajatii unei organizatii. Este important de retinut faptul ca angajatii care cauzeaza incalcari ale datelor personale pot fi clasificati in trei tipuri:
1. Insiderul neintentionat
Acest tip de angajati provoaca o incalcare a securitatii datelor prin actiuni neintentionate, cum ar fi:
a. Dezvaluirea accidentala a informatiilor sensibile pe internet (de exemplu, pe un site web, pe canal de social media sau transmiterea eronata catre un destinatar necunoscut/neautorizat)
b. Facand clic pe adrese URL din e-mailuri (atac de phishing)
c. Depozitarea/pastrarea necorespunzatoare, improprie si riscanta a documentelor si a altor inregistrari fizice
d. Pierderea dispozitivelor mobile (de exemplu, smartphone-uri, laptopuri etc.) care contin informatii sensibile
2. Angajatul neglijent
Acestea sunt persoane care ignora pur si simplu avertismentele de securitate. in 2013, Google a cerut cercetatorilor sa studieze comportamentul utilizatorilor de internet. Studiul a aratat ca 25 milioane de avertismente SSL pe Chrome au fost ignorate in proportie de 70,2%. Acest aspect s-a datorat lipsei de cunostinte tehnice a utilizatorilor. Drept urmare, Google a simplificat limba folosita in avertismentele browserului.
3. Angajatul rau intentionat (cu intentii malitioase)
Acestia sunt persoanele care fura in mod intentionat informatii delicate, senzitive in timp ce desfasoara activitati ce presupun prelucrarea datelor cu caracter personal (de exemplu, detalii despre cartea de credit, parole, etc.). in multe cazuri, acestia sunt fosti angajati nemultumiti, care simt ca trebuie sa se razbune pe angajatorii lor pentru o nedreptate perceputa.
Ce masuri trebuie sa intreprinda organizatiile pentru a preveni incalcarea securitatii datelor personale de catre angajati?
1. Efectuati cu atentie verificarile de fond
Verificarile de fond reprezinta o parte normala a procesului de angajare. Daca doriti sa aflati mai multe despre un potential salariat, trebuie sa contactati fostii sai angajatori. Uneori, o simpla verificare Google poate dezvalui informatii importante despre o persoana.
2.Construiti relatii de incredere cu angajatii
Daca doriti ca angajatii companiei dumneavoastra sa faca o munca excelenta sau sa depaseasca asteptarile dvs., trebuie sa le castigati increderea. Cum? in loc sa dati doar ordine, puneti in schimb intrebari. Oferiti feedback sincer. Indepliniti-va promisiunile (de exemplu, un bonus sau o crestere salariala pentru o performanta excelenta). Recunoasteti cand faceti greseli. Nu cereti angajatilor sa faca lucruri pe care nici dumneavoastra nu le-ati putea face singur.
Cand angajatii capata incredere in dumneavoastra, ei tind sa fie mai fericiti si mai dispusi sa ofere o munca excelenta unei organizatii. in plus, nu vor dori sa faca nimic care sa dauneze companiei.
3. Educati-va angajatii cu privire la securitatea cibernetica
Potrivit lui Michael Kaiser, director executiv al National Cyber Security Alliance (NCSA), "este imperativ ca organizatiile de toate dimensiunile sa insufle in randul angajatilor rolul esential pe care il joaca in pastrarea locului de munca sigur si in siguranta".
Conform unui Studiu realizat in anul 2017 de catre compania Dell privind utilizatorii finali "72% dintre angajati sunt dispusi sa impartaseasca informatii sensibile, confidentiale sau reglementate".
Studiul a aratat ca, in majoritatea cazurilor, angajatii in cauza nu aveau motive rau intentionate. Doar ei "incercau sa-si faca treaba cat mai eficient si mai eficient posibil".
In opinia lui Michael Kaiser, educarea angajatilor in ceea ce priveste securitatea informatica nu inseamna simplul fapt ca salariatii companiei dumneavoastra participa uneori la diferinte forme de educare, simpozioane, conferinte, seminarii,workshop-uri etc, ci educarea trebuie sa faca din securitatea informatica o initiativa culturala continua, colaborativa".
4. Securitatea cibernetica necesita eforturi de echipa
Este extrem de important sa amintim faptul ca toti angajatii unei companii joaca un rol crucial in securitatea informatica.
Pentru a va ajuta sa reamintiti angajatilor dumneavoastra bunele practici privind securitatea informatica, trebuie sa partajati cu acestia urmatoarea lista de verificare:
Instruiti angajatii dumneavoastra sa utilizeze parole complexe, unice, pentru fiecare cont pe care il gestioneaza. Parolele nu ar trebui sa fie distribuite niciodata intre utilizatorii de conturi;
Limitati utilizarea conturilor partajate in randul angajatilor. in cazurile in care este necesar un cont partajat (de ex. un cont de administrator), instruiti angajatii sa utilizeze metode de autentificare suplimentare pentru a distinge si identifica fiecare utilizator;
Utilizarea autentificarii cu doi factori poate ajuta la prevenirea incalcarilor securitatii datelor personale. Acest lucru este adesea ignorat, dar poate proteja conturile deoarece utilizatorii trebuie sa utilizeze un token de securitate sau un dispozitiv suplimentar pentru a finaliza autorizarea.
5. Maximizati instrumentele de securitate cibernetica pentru a facilita accesul in sistem
Este imposibil sa monitorizati in permanenta toti angajatii care acceseaza sistemul. Organizatiile trebuie sa dispuna de instrumente de securitate cibernetica pentru a ajuta personalul dvs. sa previna producerea de incalcari ale securitatii datelor personale. Iata cateva din instrumentele de securitate importante pe care organizatiile ar trebui sa la detina:
A. Program antivirus
Toate sistemele informatice ar trebui sa aiba instalat un program antivirus. Aceasta este, desigur, procedura standard de operare pentru organizatii. Astazi, exista mai multe programe antivirus disponibile pe piata. Iata cateva dintre cele mai populare programe antivirus: Norton by Symantec, BullGuard, Panda, Bitdefender, MacKeeper, Avira, McAfee, Kasperski, TrendMicro, Intrusta, etc.
b. Firewall
Investiti intr-un firewall deoarece acesta va monitoriza tot traficul de retea al organizatiei dumnneavoastra. Nu este 100% eficient, dar poate ajuta la eliminarea anumitor amenintari si este capabil sa blocheze anumite site-uri pe care le detecteaza ca fiind periculoase pentru vizitatori.
c. Managementul parolelor
Asa cum am precizat anterior, utilizarea parolelor puternice este importanta. Schimbarea periodica a parolelor (de exemplu, in fiecare an sau la fiecare 6 luni) poate adauga un alt nivel adecvat de securitate. Cu toate acestea, poate fi dificil sa tineti totul organizat intr-o companie, mai ales daca aveti un numar foarte mare de salariati. Din fericire, exista sisteme de management ale parolelor disponibile practic pentru toate tipurile de sisteme de operare.
d. VPN (Virtual Private Network)
O retea VPN este o solutie securizata si privata, in care traficul dvs. de retea este criptat, astfel incat persoanele din afara sa nu poata vedea ce se intampla in computerele organizatiei. In piata sunt furnizori VPN dedicati care va pot ajuta.
6. Instruiti angajatii
Chiar daca organizatia dumneavoastra detine cele mai recente componente hardware si software, acest lucru nu este suficient. De asemenea, nu este suficient daca aveti experti dedicati, care se se ocupa de problemele de securitate cibernetica. Angajatii companiei dumneavoastra ar trebui, de asemenea, instruiti de acesti experti cu privire la modul de evitare a incalcarii securitatii datelor personale. Acestia trebuie sa aiba cunostinta, de exemplu, despre phishing si alte modalitati prin care infractorii cibernetici pot accesa datele fara ca ei sa stie.
Stabiliti reguli, proceduri de a trece periodic in revista noile actualizari, tendinte din piata si de a urmari modul in care angajatii dumneavoastra se ocupa de securitatea informatica. Uneori, incurajarea acestora de a pune intrebari poate ajuta la identificarea potentialelor probleme ale sistemului.
Toate organizatiile sunt predispuse atacurilor cibernetice. Este mai mult decat necesar sa va asigurati prima linie de aparare - angajatii companiei dumneavoastra.
1. Insiderul neintentionat
Acest tip de angajati provoaca o incalcare a securitatii datelor prin actiuni neintentionate, cum ar fi:
a. Dezvaluirea accidentala a informatiilor sensibile pe internet (de exemplu, pe un site web, pe canal de social media sau transmiterea eronata catre un destinatar necunoscut/neautorizat)
b. Facand clic pe adrese URL din e-mailuri (atac de phishing)
c. Depozitarea/pastrarea necorespunzatoare, improprie si riscanta a documentelor si a altor inregistrari fizice
d. Pierderea dispozitivelor mobile (de exemplu, smartphone-uri, laptopuri etc.) care contin informatii sensibile
2. Angajatul neglijent
Acestea sunt persoane care ignora pur si simplu avertismentele de securitate. in 2013, Google a cerut cercetatorilor sa studieze comportamentul utilizatorilor de internet. Studiul a aratat ca 25 milioane de avertismente SSL pe Chrome au fost ignorate in proportie de 70,2%. Acest aspect s-a datorat lipsei de cunostinte tehnice a utilizatorilor. Drept urmare, Google a simplificat limba folosita in avertismentele browserului.
3. Angajatul rau intentionat (cu intentii malitioase)
Acestia sunt persoanele care fura in mod intentionat informatii delicate, senzitive in timp ce desfasoara activitati ce presupun prelucrarea datelor cu caracter personal (de exemplu, detalii despre cartea de credit, parole, etc.). in multe cazuri, acestia sunt fosti angajati nemultumiti, care simt ca trebuie sa se razbune pe angajatorii lor pentru o nedreptate perceputa.
Ce masuri trebuie sa intreprinda organizatiile pentru a preveni incalcarea securitatii datelor personale de catre angajati?
1. Efectuati cu atentie verificarile de fond
Verificarile de fond reprezinta o parte normala a procesului de angajare. Daca doriti sa aflati mai multe despre un potential salariat, trebuie sa contactati fostii sai angajatori. Uneori, o simpla verificare Google poate dezvalui informatii importante despre o persoana.
2.Construiti relatii de incredere cu angajatii
Daca doriti ca angajatii companiei dumneavoastra sa faca o munca excelenta sau sa depaseasca asteptarile dvs., trebuie sa le castigati increderea. Cum? in loc sa dati doar ordine, puneti in schimb intrebari. Oferiti feedback sincer. Indepliniti-va promisiunile (de exemplu, un bonus sau o crestere salariala pentru o performanta excelenta). Recunoasteti cand faceti greseli. Nu cereti angajatilor sa faca lucruri pe care nici dumneavoastra nu le-ati putea face singur.
Cand angajatii capata incredere in dumneavoastra, ei tind sa fie mai fericiti si mai dispusi sa ofere o munca excelenta unei organizatii. in plus, nu vor dori sa faca nimic care sa dauneze companiei.
3. Educati-va angajatii cu privire la securitatea cibernetica
Potrivit lui Michael Kaiser, director executiv al National Cyber Security Alliance (NCSA), "este imperativ ca organizatiile de toate dimensiunile sa insufle in randul angajatilor rolul esential pe care il joaca in pastrarea locului de munca sigur si in siguranta".
Conform unui Studiu realizat in anul 2017 de catre compania Dell privind utilizatorii finali "72% dintre angajati sunt dispusi sa impartaseasca informatii sensibile, confidentiale sau reglementate".
Studiul a aratat ca, in majoritatea cazurilor, angajatii in cauza nu aveau motive rau intentionate. Doar ei "incercau sa-si faca treaba cat mai eficient si mai eficient posibil".
In opinia lui Michael Kaiser, educarea angajatilor in ceea ce priveste securitatea informatica nu inseamna simplul fapt ca salariatii companiei dumneavoastra participa uneori la diferinte forme de educare, simpozioane, conferinte, seminarii,workshop-uri etc, ci educarea trebuie sa faca din securitatea informatica o initiativa culturala continua, colaborativa".
4. Securitatea cibernetica necesita eforturi de echipa
Este extrem de important sa amintim faptul ca toti angajatii unei companii joaca un rol crucial in securitatea informatica.
Pentru a va ajuta sa reamintiti angajatilor dumneavoastra bunele practici privind securitatea informatica, trebuie sa partajati cu acestia urmatoarea lista de verificare:
Instruiti angajatii dumneavoastra sa utilizeze parole complexe, unice, pentru fiecare cont pe care il gestioneaza. Parolele nu ar trebui sa fie distribuite niciodata intre utilizatorii de conturi;
Limitati utilizarea conturilor partajate in randul angajatilor. in cazurile in care este necesar un cont partajat (de ex. un cont de administrator), instruiti angajatii sa utilizeze metode de autentificare suplimentare pentru a distinge si identifica fiecare utilizator;
Utilizarea autentificarii cu doi factori poate ajuta la prevenirea incalcarilor securitatii datelor personale. Acest lucru este adesea ignorat, dar poate proteja conturile deoarece utilizatorii trebuie sa utilizeze un token de securitate sau un dispozitiv suplimentar pentru a finaliza autorizarea.
5. Maximizati instrumentele de securitate cibernetica pentru a facilita accesul in sistem
Este imposibil sa monitorizati in permanenta toti angajatii care acceseaza sistemul. Organizatiile trebuie sa dispuna de instrumente de securitate cibernetica pentru a ajuta personalul dvs. sa previna producerea de incalcari ale securitatii datelor personale. Iata cateva din instrumentele de securitate importante pe care organizatiile ar trebui sa la detina:
A. Program antivirus
Toate sistemele informatice ar trebui sa aiba instalat un program antivirus. Aceasta este, desigur, procedura standard de operare pentru organizatii. Astazi, exista mai multe programe antivirus disponibile pe piata. Iata cateva dintre cele mai populare programe antivirus: Norton by Symantec, BullGuard, Panda, Bitdefender, MacKeeper, Avira, McAfee, Kasperski, TrendMicro, Intrusta, etc.
b. Firewall
Investiti intr-un firewall deoarece acesta va monitoriza tot traficul de retea al organizatiei dumnneavoastra. Nu este 100% eficient, dar poate ajuta la eliminarea anumitor amenintari si este capabil sa blocheze anumite site-uri pe care le detecteaza ca fiind periculoase pentru vizitatori.
c. Managementul parolelor
Asa cum am precizat anterior, utilizarea parolelor puternice este importanta. Schimbarea periodica a parolelor (de exemplu, in fiecare an sau la fiecare 6 luni) poate adauga un alt nivel adecvat de securitate. Cu toate acestea, poate fi dificil sa tineti totul organizat intr-o companie, mai ales daca aveti un numar foarte mare de salariati. Din fericire, exista sisteme de management ale parolelor disponibile practic pentru toate tipurile de sisteme de operare.
d. VPN (Virtual Private Network)
O retea VPN este o solutie securizata si privata, in care traficul dvs. de retea este criptat, astfel incat persoanele din afara sa nu poata vedea ce se intampla in computerele organizatiei. In piata sunt furnizori VPN dedicati care va pot ajuta.
6. Instruiti angajatii
Chiar daca organizatia dumneavoastra detine cele mai recente componente hardware si software, acest lucru nu este suficient. De asemenea, nu este suficient daca aveti experti dedicati, care se se ocupa de problemele de securitate cibernetica. Angajatii companiei dumneavoastra ar trebui, de asemenea, instruiti de acesti experti cu privire la modul de evitare a incalcarii securitatii datelor personale. Acestia trebuie sa aiba cunostinta, de exemplu, despre phishing si alte modalitati prin care infractorii cibernetici pot accesa datele fara ca ei sa stie.
Stabiliti reguli, proceduri de a trece periodic in revista noile actualizari, tendinte din piata si de a urmari modul in care angajatii dumneavoastra se ocupa de securitatea informatica. Uneori, incurajarea acestora de a pune intrebari poate ajuta la identificarea potentialelor probleme ale sistemului.
Toate organizatiile sunt predispuse atacurilor cibernetice. Este mai mult decat necesar sa va asigurati prima linie de aparare - angajatii companiei dumneavoastra.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
20Ian2019
Procedura de efectuare a investigatiilor de control ale autoritatii
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
13Nov2018
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPCDP)
de Laurentiu Petre
13 Nov 2018
13Nov2018
Proces-verbal de constatare/sanctionare incheiat de personalul de control
de Laurentiu Petre
13 Nov 2018
13Nov2018
Comunicarea actelor si efectuarea investigatiilor la sediul ANSPDCP
de Laurentiu Petre
13 Nov 2018
Un produs marca