Nem teljesen igaz, de azért alapvetően a felhasználók a legnagyobb kockázat egy szervezet informatikai biztonsága szempontjából.
Természetesen nem szándékosan, de az emberi hibák az egyik leggyakoribb tényező az adatszivárgásokban is. Könnyen feltörhető jelszavak, gondatlan megosztások, figyelmetlen levelezések, laptop/telefon elhagyása, vagy egy nem biztonságos hálózat használata (nyilvános WiFi) – csak néhány példa…
Éppen emiatt fontos, hogy minden felhasználó legyen tisztában a veszélyekkel, kockázatokkal, következményekkel, a GDPR elvárásaival.
Mindenkinek rendelkeznie kell legalább az alapvető ismeretekkel az adatvédelem aktuális bevált gyakorlatairól („best practice”), és tisztában kell lennie az ezzel kapcsolatos személyes felelősségével.
Íme néhány „top tipp” ennek a kockázatnak a csökkentésére.
- Alkalmazzon adatvédelmi tisztviselőt (DPO)
Igen, persze „hazabeszélünk”…
De, ha belegondolnak, az adatvédelmi tisztviselő alkalmazása nem csak a felhasználók képzését segíti, bár nyilván ez az egyik legfontosabb előnye. A vállalkozása igényei függvényében kinevezhet adatvédelmi tisztviselőt szervezeten belülről, vagy szerződhet külső szolgáltatóval erre. Egy ilyen szakértő felelhet például az Ön szervezetének adatvédelmi felméréséért, a biztonsági stratégiák végrehajtásáért, és kapcsolattartási pontként szolgálnak az üzleti vállalkozás és az illetékes hatóságok között is.
Feladata lehet a tanácsadás és az alkalmazottak oktatása a GDPR aktuális gyakorlatairól, vagy hogy mindenki tisztában legyen az adatvédelem terén betöltött szerepével és felelősségével.
Ha komoly, képzett és gyakorlott szakértőt választ, az jelentősen csökkentheti a vonatkozó kockázatát, és üzleti előnyöket is jelenthet! Bővebben…
- A szervezeti szokások része legyen az informatikai biztonság szem előtt tartása
Számos módon hozhat létre olyan „vállalati kultúrát” ahol az adatvédelem és az IT biztonság a napi rutin része lesz. Minden felhasználónak világos és egyértelmű útmutatást kell kapnia például, hogy miként hozhat létre erős jelszavakat, ezeket milyen gyakran cserélje, hogy ne használjon egy jelszót több helyen, stb.
Manapság egyre inkább távolról dolgoznak a kollégáink. Emiatt is, segíteni kell őket abban, hogy vigyázzanak a készülékeikre, hogy soha ne osszanak meg érzékeny dokumentumokat vagy információkat nem biztonságos hálózatokon.
Ideális esetben a céges és magán eszközök élesen el lennének választva. Igen, a telefonok is, ahol például a céges és a magán levelezés két külön eszközön történne…
Be kell mutatni mindezekről azt is, hogy miért fontos! Nem szabad lenézni a felhasználókat! Ha megértik a mögöttes okokat, jogszabályokat vagy valós veszélyeket, sokkal nagyobb valószínűséggel tartják be az elvárásokat.
- Rendszeresek és tömörek legyenek az ilyen tréningek
Rendszeres képzéseket kellene tartani, és a napi munkát érintő konkrét segítséget kellene nyújtani az adatbiztonság és a GDPR gyakorlatáról. Segédeszközök bőven találhatók, például video-k, online eszközök, poszterek, stb. formájában, hogy egy picit érdekesebb vagy interaktívabb legyen egy-egy ilyen tréning.
- Készítsen tájékoztató dokumentumokat, és tegye ezeket elérhetővé, küldje el azokat a felhasználóknak
Biztonsági, vagy GDPR kérdések nem csak a tréningen merülhetnek fel, hanem a napi munka során is. Készüljön egy olyan „kisokos” (PDF, intranet, stb.), ahol a leggyakoribb kérdésekre a kollégák gyorsan választ kaphatnak, és ez legyen állandóan elérhető számukra.
- Adatvédelmi incidens tréningek
Bármilyen jól készülünk és bármennyit oktatunk, adatvédelmi incidensek mindig lesznek. Például egy rossz címre küldött e-mail is tartalmazhat olyan személyes adatokat, amit nem lett volna szabad oda küldeni. Vagy egy ellopott céges notebook. Vagy egy nem megfelelően törölt adathordozó a szervizben/selejtezésben.
Mindenképpen tudnia kell a kollégáknak az informatikai incidens esetén követendő eljárást – protokollt. Kit kell értesíteni, mikor kell értesíteni, ki nyilatkozhat, külsős félnek mit válaszolhatunk, stb.
Az ilyen esetekre jól kidolgozott tréningek vannak, ezek jelentősen segíthetik a felhasználóinkat abban, hogy ha már megtörtént a baj, akkor az ne legyen még nagyobb, hogy azt gyorsan, hatékonyan és szakszerűen tudjuk kezelni.