Az információ minden jól működő szolgáltatás alapja. Információt fogadunk és nyújtunk, e nélkül elképzelhetetlen bármilyen munkafolyamat elvégzése vagy ügyféligény megfelelő kezelése. Ezért a vállalkozások és szervezetek minden munkatársának közös felelőssége kell legyen a belső irányelvek, eljárási szabályok, illetve a jogszabályok betartása. Mivel a vállalkozás felelős az alkalmazottak munkáját szabályozó standardok megteremtéséért, ezeknek a teljes körű betartásáért, a megfelelőségre való törekvés ellenőrzéséért és az esetleg felmerülő megfelelőségi problémák kiküszöböléséért, ezeket nem csak a munkahelyen, az irodában, hanem az otthoni munkavégzés (un. home office) esetén is érvényesíteni kell.

Kép:_ Pexel

Mik lehetnek a veszélyek?

Tisztában kell lennünk az információbiztonsági veszélyekkel, az információbiztonsági vonal sérülésének lehetséges módozataival. Négy alapvető veszély típusra kell fókuszálni:

1. Adatszivárgás

A legkisebb információ kiszivárgása is alapjaiban határozhatja meg a cégünkbe vetett bizalmat. Adott pillanatban jelentéktelennek tűnő információk értéke különböző események mentén hatalmasat változhat. Az adatszivárgás megelőzésének kulcsa, hogy meghatározzuk, mely információk hol tárolhatók, és milyen körülmények között adhatók ki. Ezek szabályozását követően azok betartásának ellenőrzésére is gondot kell fordítani.

2. Hibás alkalmazás

Nem csak az adatok védelmére, de a felhasználás körülményeinek meghatározására is ki gondolni kell. Még ha a megfelelő munkatárs is kezeli a felelősségi körébe tartozó információkat, a felhasználás célja, módja, meghatározza a felhasználás szabályszerűségét. Gondoljunk csak arra, hogy egy véletlenül (f)elcserélt munkalap, hibásan kitöltött adatlap, vagy egy szándékosan kozmetikázott statisztika milyen hatással lehet a munkafolyamatokra, vagy -továbbiakban- a vállalkozás belső vagy külső megítélésére.

3. Illetéktelen felhasználás

Az információval való visszaélés az egyik legveszélyesebb esetnek számít, ugyanis nincs az a szolgáltatói érdek, mely fontosabb lenne, az adatok illetéktelen felhasználásának elkerülésénél. Ahhoz, hogy kivédhessük, kockázatokon alapuló, következetesen kialakított szabályokat kell megfogalmazni és betartani az információk megfelelő felhasználására.

4. Távolról nem elérhető adatok

Miközben törekszünk kizárni a valós és vélhető veszélyeket, látni kell, hogy a túlszabályozás következménye milyen mértékben segíti az információbiztonság fenntartása a napi munka elvégzését? Bizonyos adatok rendelkezésre állásának hiánya megnehezíti a megfelelő munkafolyamatok maradéktalan elvégzését. Az az információ hiánya éppolyan veszélyes, mint azok nem megfelelő felhasználása, vagy a nem biztonságos tárolása.

Mit tehet a munkáltató?

• Legyen mindig naprakész a vonatkozó, aktuálisan érvényben lévő jogszabályokkal. Ismerje, tudja és értse, hogy ezek a szabályzók konkrétan milyen feladatot jelentenek a vállalat egyes szervezeti egységére és szintjeire nézve, különös tekintettel a távoli munkavégzésre.
• Készítsenek információbiztonsági kockázatértékelést, amely módszeresen rámutat azokra a folyamatokra, területekre és védendő információkra.
• A vállalkozás kommunikációs rendszereinek otthoni (távoli) használatára vonatkozóan alkosson belső céges szabályokat, amely illeszkedik a vonatkozó jogi előírásokhoz és ezen belül a cégvezetés konkrét elvárásaihoz. Kösse szigorú feltételekhez a céges adatokhoz való hozzáférést (például: jelszavas belépés az IT rendszerbe és a számítógéphez is külön, token alkalmazása, jelszavak rendszeres és szabályozott változtatása, laptopok időszakos IT átvilágítása, mobiltelefonok, laptopok szállításával és tárolásával kapcsolatos szabályok stb.)
• Tájékoztassa alkalmazottjait arról, hogy milyen kockázatokkal járhat az információs rendszer vagy az e-mail nem megfelelő használata.
• Következetesen tartassa be a szabályokat, tudatosítsa minden érintett alkalmazott körében ezek fontosságát.
• Ellenőrizze az előírások gyakorlati megvalósulását.

Mit tehet a munkavállaló?

A Vállalat kommunikációs rendszereinek otthoni (távoli) használata során (információ küldése vagy fogadása, illetve tárolása) fontos, hogy az alkalmazott tudja, hogy az általa használt IT eszközök és informatikai rendszerek a vállalkozás (munkáltató cég) tulajdonát képezik és a teljes kommunikáció bármikor vizsgálat tárgyát képezheti, amit a megfelelő és meghatalmazott vezetők végeznek el.

Ne használja a vállalkozás számítógépes vagy kommunikációs rendszereit:

• olyan üzenet elküldésére, amelynek eredményeként a címzett elveszítheti állását vagy sérülhetnek a kommunikációs rendszerek,
• sértő, obszcén vagy tiltakozásra okot adó nyelvezetű tartalom vagy információk küldésére,
• mások rágalmazására vagy kigúnyolására.

A cég szellemi tulajdonának és más bizalmas információinak megőrzése érdekében a következőket ne tegye:

• lényeges információk megvitatása kihangosított telefonon vagy liftben, előtérben, étteremben, repülőgépen, taxiban vagy bárhol, ahol illetéktelenek meghallhatják,
• bizalmas dokumentumok felügyelet nélkül hagyása,
• bizalmas információkat tartalmazó dokumentumok olvasása vagy kidobása nyilvános helyeken úgy, hogy azokhoz illetéktelenek hozzáférhetnek,
• bizalmas beszélgetések folytatása olyan nem biztonságos kommunikációs eszközökön, mint a mobiltelefon vagy a repülőgépen használatos telefon.

Az említett témakörök mindegyike kockázatot rejt magában, és az olyan területek, mint az előterek önkéntelen hallgatózásra adnak alkalmat, a mobiltelefon a kommunikáció nem biztonságos eszköze, a kihangosított telefon pedig előidézi annak a kockázatát, hogy az információhoz azok a munkatársak is hozzájutnak, akikre az nem tartozik.

Kohl Zsuzsanna

Ügyvezető,

FrameWork Hungary Kft.

www.framework.hu