Zavarujete osebne podatke

Splošna uredba o varstvu podatkov določa, da morajo upravljavci in obdelovalci podatkov sprejeti ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti osebnih podatkov, ki ustreza konkretnemu tveganju.

Navedene informacije opredeljujejo osnovne previdnostne ukrepe, ki bi jih morale upoštevati organizacije, ki obdelujejo osebne podatke (tj. upravljavci in obdelovalci podatkov). Njihov namen ni zagotoviti popolnega seznama ukrepov, ki jih je mogoče izvesti za varstvo osebnih podatkov v vseh okoliščinah. Upravljavci in obdelovalci podatkov morajo te ukrepe prilagoditi okoliščinam (ob upoštevanju stanja tehnike, konteksta obdelave in tveganja za posameznike).

Povezava
32. člen Splošne uredbe o varstvu podatkov

EUR-Lex

Povezava
Zavarovanje v MSP

ENISA

Varnost: kaj je na kocki?

Posledice pomanjkanja varnosti so lahko resne: podjetjem se lahko poslabša podoba, izgubijo zaupanje svojih potrošnikov, plačati morajo visoke vsote denarja, da si opomorejo po varnostnem incidentu (na primer po kršitvi varnosti podatkov), ali pa morajo prenehati opravljati svojo dejavnost. Varovanje osebnih podatkov je v interesu posameznikov in organizacij, ki obdelujejo podatke.

Za oceno tveganj, ki jih povzroča vsako dejanje obdelave, je najprej priporočljivo opredeliti morebiten vpliv na pravice in svoboščine zadevnih posameznikov. Medtem ko morajo organizacije varovati svoje podatke (osebne ali ne) zaradi lastnega interesa, se naslednje informacije osredotočajo na varstvo podatkov posameznikov

Varnost podatkov ima tri glavne elemente: zaščita celovitosti, razpoložljivosti in zaupnosti podatkov. Zato bi morale organizacije oceniti tveganja v zvezi z:

  1. nepooblaščenim ali nenamernim dostopom do podatkov – kršitev zaupnosti (npr. kraja identitete po razkritju plačilnih list vseh zaposlenih v podjetju);
  2. nepooblaščenimi ali nenamernimi spremembami podatkov – kršitev integritete (npr. lažna obtožba osebe zaradi kršitve ali kaznivega dejanja zaradi spremembe dnevnikov dostopa);
  3. izgubo podatkov ali izgubo dostopa do podatkov – kršitev razpoložljivosti (npr. neodkritje interakcije z zdravili zaradi nezmožnosti dostopa do pacientovega elektronskega kartona).

Priporočljivo je tudi, da se opredelijo viri tveganja (tj. kdo ali kaj bi lahko bil vzrok posameznega varnostnega incidenta?), pri čemer se upoštevajo notranji in zunanji človeški viri (npr. skrbnik IT, uporabnik, zunanji napadalec, konkurent) ter notranji ali zunanji nečloveški viri (npr. poškodbe zaradi vode, nevarni materiali, neciljni računalniški virus).
S to opredelitvijo virov tveganja boste lahko prepoznali morebitne grožnje (tj. katere okoliščine bi lahko omogočile varnostni incident) v zvezi s podpornimi sredstvi (npr. strojno opremo, programsko opremo, komunikacijskimi kanali, papirjem itd.), ki so lahko:

  • uporabljana na neprimeren način (npr. zloraba pravic, napaka pri ravnanju);
  • spremenjena (npr. zajetje programske ali strojne opreme – keylogger, namestitev zlonamerne programske opreme);
  • izgubljena (npr. kraja prenosnega računalnika, izguba USB ključa);
  • opazovana (npr. opazovanje zaslona na vlaku, geolokacija naprav);
  • poslabšana (npr. vandalizem, naravno poslabšanje);
  • preobremenjena (npr. polna skladiščna enota, zavrnitev storitvenega napada);
  • nedostopna (npr. v primeru izsiljevalske programske opreme).

Priporočljivo je tudi:

  • določitev obstoječih ali načrtovanih ukrepov za obravnavanje vsakega tveganja (npr. nadzor dostopa, varnostne kopije, sledljivost, varnost prostorov, šifriranje);
  • ocenitev resnosti in verjetnosti tveganj na podlagi zgornjih elementov (primer lestvice, ki se lahko uporabi za oceno: zanemarljivo, zmerno, znatno, visoko);
  • izvajanje in preverjanje načrtovanih ukrepov, če se obstoječi in načrtovani ukrepi štejejo za ustrezne, ter zagotavljanje njihovega izvajanja in spremljanja;
  • izvajanje redne varnostne revizije: rezultat vsake revizije bi moral biti akcijski načrt, katerega izvajanje bi bilo treba spremljati na najvišji ravni organizacije.

Splošna uredba o varstvu podatkov uvaja pojem „ocene učinka v zvezi z varstvom podatkov“, ki je obvezna za vsako obdelavo osebnih podatkov, ki bi lahko povzročila veliko tveganje za posameznike. Ocena učinka v zvezi z varstvom podatkov mora vsebovati ukrepe, predvidene za obravnavanje ugotovljenih tveganj, vključno z zaščitnimi ukrepi, varnostnimi ukrepi in mehanizmi za zagotavljanje varstva osebnih podatkov.

V praksi

  • Če želite imeti jasnejši pregled nad varnostnimi tveganji, lahko na primer ustvarite preglednico o obvladovanju tveganj in jo redno posodabljate. Ta preglednica lahko vključuje materialna in človeška tveganja, povezana s strežniki, računalniki ali prostori. Zadostno pričakovana tveganja lahko pomagajo ublažiti posledice v primeru incidenta.

Organizacijski ukrepi

Ozaveščanje uporabnikov

Bistveno je, da se zaposleni ali uporabniki, ki obdelujejo osebne podatke, seznanijo s tveganji, povezanimi z zasebnostjo, ter so obveščeni o ukrepih, sprejetih za obravnavanje tveganj in morebitnih posledic v primeru neuspeha.

V praksi

Ozaveščanje uporabnikov je lahko v obliki:

  • predavanj o ozaveščanju;
  • rednih posodobitev postopkov v zvezi s funkcijami zaposlenih oz. uporabnikov;
  • interne komunikacije, preko e-poštnih opomnikov itd.

Drug previdnostni ukrep je dokumentiranje operativnih postopkov, njihovo posodabljanje in enostavna dostopnost vsem zadevnim uporabnikom. Konkretno bi bilo treba vsako dejavnost obdelave osebnih podatkov, ne glede na to, ali gre za upravne postopke ali preprosto uporabo aplikacije, pojasniti v jasnem jeziku in jo prilagoditi vsaki kategoriji uporabnikov v dokumentih, na katere se lahko sklicujejo.

Vzpostavitev notranje politike

Ozaveščenost notranjih uporabnikov podatkov se lahko izvede v obliki dokumenta, ki bi moral biti zavezujoč in vključen v notranje predpise. Notranja politika bi morala vključevati zlasti opis pravil o varstvu podatkov in varnosti.

Drugi organizacijski ukrepi

  • Izvajajte pravilnik o razvrščanju dokumentov, ki določa več ravni in zahteva označevanje dokumentov in e-poštnih sporočil, ki vsebujejo zaupne podatke.
  • Na vsaki strani papirnega ali elektronskega dokumenta, ki vsebuje občutljive podatke,  napravite vidno in izrecno izjavo.
  • Izvajajte usposabljanja na področju informacijske varnosti in ozaveščanja. Občasne opomnike lahko zagotovite prek e-pošte ali drugih notranjih komunikacijskih orodij.
  • Zagotovite podpis pogodbe o zaupnosti ali vključite posebno klavzulo o zaupnosti v zvezi z osebnimi podatki v pogodbe z zaposlenimi in drugimi osebami, ki obdelujejo podatke.

Tehnični ukrepi

Zavarovanje opreme

Zaupanje v zanesljivost vaših informacijskih sistemov je ključno vprašanje, izvajanje ustreznih varnostnih ukrepov, ki jih Splošna uredba o varstvu podatkov določa kot obvezne, pa je eden od načinov za zagotavljanje zaupanja.

Zlasti je priporočljivo zavarovati:

  • strojno opremo (npr. strežnike, delovne postaje, prenosne računalnike, trde diske);
  • programsko opremo (npr. operacijske sisteme, poslovno programsko opremo);
  • komunikacijske kanale (npr. optična vlakna, Wi-Fi, internet);
  • papirnate dokumente (npr. tiskani dokumenti, kopije);
  • prostore.

Zavarovanje delovnih postaj

Pri zavarovanju delovnih postaj se lahko upoštevajo naslednji ukrepi:

  • zagotovite mehanizem za samodejno zaklepanje sej, če se delovna postaja za določeno časovno obdobje ne uporablja;
  • namestite požarni zid in omejite odpiranje komunikacijskih vrat na tiste, ki so nujno potrebni za pravilno delovanje aplikacij, nameščenih na delovni postaji;
  • uporabljajte redno posodobljeno protivirusno programsko opremo in izvajajte politiko rednega posodabljanja programske opreme;
  • konfigurirajte programsko opremo za samodejno posodabljanje varnosti, kadar je to mogoče;
  • spodbujajte shranjevanje uporabniških podatkov na varnostno kopijo, ki je dostopna prek omrežja organizacije, in ne na delovnih postajah. Če se podatki shranjujejo lokalno, uporabnikom zagotovite možnost sinhronizacije ali varnostnega kopiranja in jih usposobite za njihovo uporabo;
  • omejite povezavo mobilnih medijev (USB ključ, zunanji trdi diski itd.) z bistvenimi napravami;
  • onemogočite samodejno delovanje iz izmenljivih medijev.

Česa ne storiti

  • uporabljati zastarelih operacijskih sistemov;
  • podeliti skrbniških pravic uporabnikom, ki nimajo znanj s področja informacijske varnosti.

Pojdite še dlje

  • prepovejte uporabo prenesenih aplikacij, ki ne prihajajo iz varnih virov;
  • omejite uporabo aplikacij, za katere se zahtevajo pravice na ravni skrbnika;
  • varno izbrišite podatke na delovni postaji, preden jo prerazporedite drugemu posamezniku;
  • v primeru, da je delovna postaja ogrožena, poiščite vir in morebitne sledi vdora v informacijski sistem organizacije, da se ugotovi, ali so bili ogroženi drugi elementi;
  • izvajajte varnostno spremljanje programske in strojne opreme, ki se uporablja v informacijskem sistemu organizacije;
  • posodobite aplikacije, kadar so ugotovljene in odpravljene kritične ranljivosti;
  • z načrtovanjem tedenskega samodejnega preverjanja brez odlašanja namestite ključne posodobitve operacijskega sistema;
  • vsem uporabnikom posredujte ustrezen potek delovanja in seznam oseb, s katerimi je treba stopiti v stik v primeru varnostnega incidenta ali nenavadnega dogodka, ki vpliva na informacijske in komunikacijske sisteme organizacije.

V praksi

  • Vaša pisarna ima koncept odprtega prostora in imate veliko zaposlenih, pa tudi veliko obiskovalcev. Zahvaljujoč samodejnemu zaklepanju seje nihče zunaj podjetja ne more dostopati do računalnika zaposlenega na odmoru ali videti, na čem dela. Poleg tega požarni zid in posodobljen protivirusni program ščitita brskanje vaših zaposlenih po internetu in omejujeta tveganje vdora v vaše strežnike. Več kot je ukrepov, težje je za osebe z zlonamernim namenom ali malomarnim zaposlenim povzročiti škodo.

Varovanje prostorov podjetja

Dostop do prostorov je treba nadzorovati, da se prepreči ali upočasni neposreden, nepooblaščen dostop do papirnih datotek ali računalniške opreme, zlasti strežnikov.

Kaj je treba storiti

  • namestite alarme za vdor in jih redno preverjajte;
  • namestite detektorje dima in opremo za gašenje požarov ter jih letno preverjajte;
  • zaščitite ključe in alarmne kode, ki se uporabljajo za dostop do prostorov;
  • razmejite območja v stavbi glede na tveganje (npr. zagotovite namenski nadzor dostopa za računalniško sobo);
  • vodite seznam posameznikov ali kategorij posameznikov, ki imajo dovoljenje za vstop na posamezno območje;
  • določite pravila in sredstva za nadzor  dostopa obiskovalcev vsaj tako, da obiskovalce zunaj javnih prostorov spremlja oseba iz organizacije;
  • fizično zaščitite računalniško opremo s posebnimi sredstvi (namenski protipožarni sistem, dvig opreme pred morebitnimi poplavami, rezervna oskrba z električno energijo in/ali klimatska naprava itd.).

 

Česa ne storiti

Premajhna dimenzija ali zanemarjanje vzdrževanja okolja v strežniški sobi (klima, UPS itd.). Okvara teh naprav pogosto povzroči zaustavitev strojev ali odprtje dostopa do prostorov (cirkulacija zraka), kar dejansko nevtralizira varnostne ukrepe.

Pojdite še dlje

Morda bi bilo primerno voditi evidenco o dostopu do prostorov ali pisarn z gradivom, ki vsebuje osebne podatke, ki bi lahko resno negativno vplivali na zadevne posameznike. Obvestite uporabnike podatkov o izvajanju takega sistema, potem ko obvestite predstavnike osebja in se z njimi posvetujete.

Prav tako je treba zagotoviti, da je na območjih z omejenim dostopom dovoljen vstop le pooblaščenemu osebju. Na primer:

 

  • znotraj omejenih območij se zahteva, da vsi posamezniki nosijo vidno sredstvo za identifikacijo (izkaznica);
  • obiskovalci (tehnično podporno osebje itd.) bi morali imeti omejen dostop. Zabeležiti je treba datum in uro njihovega prihoda in odhoda;
  • redno pregledujete in posodabljajte dovoljenja za dostop, da zaščitite območja in jih po potrebi odstranite.

V praksi

  • Vaše podjetje je specializirano za e-trgovino. Osebne podatke strank, ki gostujejo na strežnikih, hranite v ločenih prostorih. Za zagotovitev dostopa do teh podatkov je vhod v te prostore zaščiten z bralnikom kartic. Požar izbruhne zaradi kratkega stika. Po zaslugi detektorja dima so gasilci hitro opozorjeni in izguba podatkov je omejena.

Preverjanje pristnosti uporabnikov

Za zagotovitev, da uporabniki dostopajo samo do podatkov, ki jih potrebujejo, bi jim bilo treba dodeliti enolično identifikacijsko oznako in bi se morali pred uporabo računalniških zmogljivosti avtentificirati.
Mehanizmi za doseganje avtentikacije osebe so razvrščeni glede na to, ali vključujejo:

  • kar vemo, npr. geslo;
  • kaj imamo, npr. pametno kartico;
  • značilnost, ki je unikatna za osebo, na primer način podpisovanja.

Izbira mehanizma je odvisna od konteksta in različnih dejavnikov. Avtentikacija uporabnika se šteje za močno, če uporablja kombinacijo vsaj dveh od teh kategorij.

V praksi

  • Za dostop do varne sobe z zaupnimi podatki lahko namestite bralnik kartic („kaj imamo“) skupaj s kodo za dostop („kar vemo“).

Upravljanje dovoljenj

V skladu s potrebami bi bilo treba uvesti različne ravni profilov dovoljenj. Uporabniki bi morali imeti dostop le do podatkov, ki jih potrebujejo (potreba po vedenju).
Dobra praksa za avtentikacijo in upravljanje dovoljenj:

  • določite enoličen identifikator za vsakega uporabnika in prepovejte skupno rabo računov. V primeru, da je uporaba generičnih ali skupnih identifikatorjev neizogibna, zahtevajte notranjo validacijo in izvajajte sredstva za njihovo sledenje (logi);
  • uvedite dovolj močna pravila za uporabo kompleksnih gesel (npr. vsaj 8 znakov, velikih črk in posebnih znakov);
  • varno shranjujte gesla;
  • odstranite zastarela dovoljenja za dostop;
  • redno izvajajte pregled (npr. vsakih šest mesecev);

Česa ne storiti

  • ustvarjati ali uporabljati račune v skupni rabi več oseb;
  • dati skrbniške pravice uporabnikom, ki jih ne potrebujejo;
  • uporabniku podeliti več privilegijev, kot je potrebno;
  • pozabiti odstraniti začasna dovoljenja, izdana uporabniku (npr. za zamenjavo);
  • pozabiti izbrisati uporabniške račune oseb, ki so zapustile organizacijo ali zamenjale delovna mesta.
     

Pojdite še dlje

Vzpostavite, dokumentirajte in redno pregledujte vse politike nadzora dostopa, ki se nanašajo na postopke, ki jih izvaja organizacija, kar bi moralo vključevati:

  • postopke, ki se sistematično uporabljajo ob prihodu, odhodu ali spremembi nalog osebe z dostopom do osebnih podatkov;
  • posledice za posameznike z zakonitim dostopom do podatkov v primeru neizpolnjevanja varnostnih ukrepov;
  • ukrepe za omejitev in nadzor dodeljevanja in uporabe dostopa do obdelave.

V praksi

  • Ko se novi zaposleni pridruži podjetju, morate ustvariti nov namenski uporabniški račun z močnim geslom. Zaposleni ne bi smeli deliti svojih poverilnic med seboj, še posebej, če nimajo dodeljenih enakih pravic. V primeru, da spremenijo položaj, morate pregledati njihova dovoljenja za dostop do določenih datotek ali sistemov.

Psevdonimizacija podatkov

Psevdonimizacija je obdelava osebnih podatkov na način, da osebnih podatkov ni več mogoče pripisati določeni fizični osebi brez uporabe dodatnih informacij. Take dodatne informacije je treba hraniti ločeno, zanje pa morajo veljati tehnični in organizacijski ukrepi.

V praksi psevdonimizacija pomeni zamenjavo neposredno identifikacijskih podatkov (ime, priimek, osebna številka, telefonska številka itd.) v podatkovnem nizu s posredno identifikacijskimi podatki (vzdevek, zaporedna številka itd.). Omogoča obdelavo podatkov posameznikov, ne da bi jih bilo mogoče neposredno identificirati. Vendar pa je zaradi dodatnih podatkov mogoče izslediti identiteto teh posameznikov. Psevdonimizirani podatki so še vedno osebni podatki in so predmet Splošne uredbe o varstvu podatkov. Psevdonimizacija je za razliko od anonimizacije tudi reverzibilna.

Psevdonimizacija je eden od ukrepov, ki jih priporoča Splošna uredba za varstvo podatkov za omejitev tveganj, povezanih z obdelavo osebnih podatkov.

Povezava
32. člen Splošne uredbe o varstvu podatkov

EUR-Lex

Šifriranje podatkov

Šifriranje je proces, ki vključuje pretvorbo informacij v kodo, da se prepreči nepooblaščen dostop. Te informacije je mogoče ponovno prebrati le s pravilnim ključem. Šifriranje se uporablja za zagotavljanje zaupnosti podatkov. Šifrirani podatki so še vedno osebni podatki. Zato se šifriranje lahko šteje za eno od tehnik psevdonimizacije.
Poleg tega se lahko za zagotovitev celovitosti podatkov uporabljajo zgoščevalne funkcije. Digitalni podpisi ne zagotavljajo le integritete, temveč omogočajo tudi preverjanje izvora informacij in njihove pristnosti.

 

Anonimizacija podatkov

 

Osebni podatki se lahko anonimizirajo tako, da posameznik ni določljiv oz. ni več določljiv. Anonimizacija je postopek, ki vključuje uporabo niza tehnik, s katerimi se osebni podatki anonimizirajo tako, da ni mogoče identificirati osebe na kakršen koli način, za katerega se razumno pričakuje, da bo uporabljen.

Ko se anonimizacija pravilno izvaja, vam lahko omogoči uporabo podatkov na način, ki spoštuje pravice in svoboščine posameznikov. Anonimizacija namreč odpira možnost ponovne uporabe podatkov, ki prvotno ni dovoljena zaradi osebne narave podatkov in lahko tako organizacijam omogoči, da podatke uporabljajo za dodatne namene, ne da bi posegale v zasebnost posameznikov. Anonimizacija omogoča tudi shranjevanje podatkov po obdobju hrambe.

Ko je anonimizacija pravilno izvedena, Splošna uredba o varstvu podatkov ne velja več za anonimizirane podatke. Vendar je treba upoštevati, da anonimizacija osebnih podatkov v praksi ni vedno mogoča ali enostavna. Oceniti je treba, ali je mogoče anonimizacijo uporabiti za zadevne podatke in jo uspešno vzdrževati, ob upoštevanju posebnih okoliščin obdelave osebnih podatkov. Za uspešno izvajanje anonimizacije v skladu s Splošno uredbo o varstvu podatkov bi bilo pogosto potrebno dodatno pravno ali tehnično strokovno znanje.

Kako preveriti učinkovitost anonimizacije?

Evropski organi za varstvo podatkov določajo tri merila za zagotovitev, da je nabor podatkov resnično anonimen:

  1. Izločanje: informacij o posamezniku v naboru podatkov ne bi smelo biti mogoče izločiti.
  2. Možnost povezovanja: v zvezi z istim posameznikom ne bi smelo biti mogoče povezati ločenih delov podatkov. 
  3. Sklepanje: ne bi smelo biti mogoče z gotovostjo sklepati na informacije o posamezniku.

V praksi

  • Izločanje: v podatkovni zbirki življenjepisov, kjer sta bila samo ime in priimek osebe nadomeščena s številko (ki ustreza samo tej osebi), je še vedno mogoče izločiti določeno osebo na podlagi drugih značilnosti. V tem primeru se osebni podatki obravnavajo kot psevdonimizirani in ne kot anonimizirani.
  • Povezovanje: preslikovalna tabela, ki vsebuje naslove posameznikov, se ne more šteti za anonimno, če druge zbirke podatkov, ki obstajajo drugje, vsebujejo iste naslove z drugimi podatki, ki omogočajo identifikacijo posameznikov.
  • Sklepanje: če domnevno anonimni nabor podatkov vsebuje informacije o davčni obveznosti anketirancev na vprašalnik in so vsi moški anketiranci, stari od 20 do 25 let, neobdavčeni, je mogoče sklepati, da je določen anketiranec obdavčljiv ali ne, če sta znana njihova starost in spol.
Povezava
Mnenje št. 05/2014 o tehnikah anonimizacije

WP29

Posebne okoliščine

Varnostni ukrepi za delo na daljavo

V okviru dela na daljavo je treba zagotoviti varnost obdelanih podatkov ob spoštovanju zasebnosti posameznikov.

Kaj je treba storiti:

  • Izdajte varnostno politiko dela na daljavo ali vsaj nabor minimalnih pravil, ki jih je treba spoštovati, in ta dokument posredujte zaposlenim v skladu z vašimi notranjimi predpisi;
  • Če morate spremeniti poslovna pravila svojega informacijskega sistema, da se omogoči delo na daljavo (npr. sprememba pravil o odobritvi, dostop za skrbnika na daljavo itd.), upoštevajte tveganja in po potrebi sprejmete ukrepe za ohranitev ravni varnosti;
  • Opremite vse delovne postaje vaših zaposlenih z vsaj požarnim zidom, protivirusno programsko opremo in orodjem za blokiranje dostopa do zlonamernih spletnih mest. Če lahko zaposleni uporabljajo lastno opremo, jim zagotovite smernice za njeno zavarovanje (glej „Varnostni ukrepi za BYOD“);
  • Nastavite VPN, da se izognete neposredni izpostavljenosti vaših storitev internetu, kadar je to mogoče. Omogočite dvofaktorsko preverjanje pristnosti VPN, če je mogoče;
  • Svojim zaposlenim zagotovite seznam komunikacijskih in sodelovalnih orodij, primernih za delo na daljavo, ki zagotavljajo zaupnost izmenjav in skupnih podatkov. Izberite orodja, ki jih nadzirate in zagotovite, da zagotavljajo vsaj najsodobnejšo avtentikacijo in šifriranje komunikacij ter da se podatki v tranzitu ne uporabijo za druge namene (izboljšanje izdelkov, oglaševanje itd.). Nekatera potrošniška programska oprema lahko uporabniške podatke prenese tretjim osebam in je zato še posebej neprimerna za uporabo v podjetjih. 

Varnostni ukrepi za BYOD (prinesite svojo napravo)

Z razvojem BYOD, zlasti v MSP, meja med poklicnim in zasebnim življenjem izginja. Tudi če BYOD sam po sebi ne predstavlja obdelave osebnih podatkov, je še vedno treba zagotoviti varnost podatkov.

Kratica „BYOD“ (angl. Bring Your Own Device) pomeni „Prinesite svojo napravo“ in se nanaša na uporabo osebne računalniške opreme v poklicnem okolju. Primer tega bi bil zaposleni, ki za povezavo s službenim omrežjem podjetja uporablja osebno opremo, kot je računalnik, tablični računalnik ali pametni telefon.
Možnost uporabe osebnih orodij je predvsem vprašanje izbire delodajalca in nacionalne zakonodaje. Splošna uredba o varstvu podatkov zahteva, da je raven varnosti osebnih podatkov, ki se obdelujejo, enaka, ne glede na uporabljeno opremo. Delodajalci so odgovorni za varnost osebnih podatkov svojega podjetja, tudi kadar so shranjeni na terminalih, nad katerimi nimajo fizičnega ali pravnega nadzora, vendar so njihovo uporabo odobrili za dostop do virov IT podjetja.

Tveganja, pred katerimi je bistveno zaščititi vašo organizacijo, segajo od enkratnega napada na razpoložljivost, celovitost in zaupnost podatkov do splošnega ogrožanja informacijskega sistema podjetja (vdor, virus itd.).

Kontrolni seznam

Primer, kakšen bi lahko bil kontrolni seznam za izboljšanje ravni varnosti v vaši organizaciji:

  • Redno obveščanje in izobraževanje zaposlenih o tveganjih, povezanih z zasebnostjo
  • Oblikovanje notranje zavezujoče politike
  • Izvajanje vgrajenega in privzetega varstva podatkov
  • Zagotoviti, da so obdelani podatki ustrezni, ustrezni in omejeni na to, kar je potrebno (najmanjši obseg podatkov)
  • Izvajanje politike razvrščanja informacij za zaupne podatke
  • Izvajanje usposabljanja za informacijsko varnost in ozaveščanje, skupaj z rednimi opomniki
  • Podpis sporazuma o zaupnosti s svojimi zaposlenimi ali vključitev posebnih klavzul o zaupnosti
  • Zagotovitev samodejnega zaklepanja seje, posodobljen požarni zid in protivirusni program, varnostno kopiranje za uporabnike
  • Omejitev fizičnih povezav (USB ključ, zunanji trdi diski itd.) na nujno potrebne
  • Varovanje prostorov podjetja (npr. alarmi za vdor, detektorji dima, zaščiteni ključi, ločen prostor glede na tveganje, dovoljenja za dostop do določenih območij, namenski sistem za gašenje požarov);
  • Dodelitev edinstvenega identifikatorja uporabnikom
  • Zahtevanje preverjanja pristnosti za dostop do računalniških zmogljivosti
  • Upravljanje dovoljenj (npr. ločeni profili glede na potrebe, edinstveni identifikator, močna gesla)
  • Izdaja politike varnosti pri delu na daljavo
  • Odstranjevanje zastarelih dovoljenj za dostop
  • Izvajanje rednih pregledov dodeljenih pravic
  • Psevdonimizacija ali anonimizacija podatkov za omejitev ponovne identifikacije posameznikov
  • Šifriranje podatkov za preprečevanje nepooblaščenega dostopa
  • Namestitev VPN za delo na daljavo
  • Zaščita osebnih naprav, ki se uporabljajo za delo (BYOD)