Meni Zapri

Posojanje gesel je večja kršitev

  • 10. jan. 2019

Nervoza, ki jo je povzročil GDPR, se je umirila, vseeno pa ostaja pri uporabnikih še vedno veliko vprašanj in neznank, kako se spopasti z varovanjem osebnih podatkov. Dejstvo je, da odnos do osebnih podatkov postaja pomembna tema tako v zasebnem kot tudi v poslovnem življenju. Ugled podjetij bo vse bolj odvisen od tega, kakšen odnos imajo do osebnih podatkov zaposlenih in svojih strank.  

Katere so najpogostejše kršitve?

Ena pogostejših kršitev je nepravilna uporaba pooblastil in nedosledno omejevanje dostopa do programov in aplikacij, v katerih podjetja zbirajo osebne podatke. Informacijska varnost predvideva, da organizacije uvedejo sistem pooblastil, na podlagi katerih je jasno, v katere podatke in dokumente sta določenemu zaposlenemu dovoljena vpogled in obdelava. Vsak zaposleni mora torej imeti svoje uporabniško ime in geslo ter omejene dostope, ki so skladni z njegovim delom. In ena hujših kršitev je, če tega v organizacijah ni. Tudi v računovodstvih se velikokrat dogaja, da do osebnih podatkov posameznikov dostopa več ljudi z istim uporabniškim imenom in geslom.

Kako lahko zmanjšamo ali omilimo tovrstna tveganja?

Smiselno je, da do elektronsko shranjene dokumentacije dodelimo dostope le osebam, ki podatke potrebujejo za svoje delo, pri čemer naj uporabljajo vsak svoje uporabniško ime  in geslo.

Inšpektorji v podjetjih vse pogosteje preverjajo urejenost pooblastil in dostopov do elektronskih dokumentov in različnih aplikacij oziroma programov. Pri tem pa preverjajo tudi, ali si zaposleni gesla posojajo.

V Minimaxu lahko računovodje brezplačno omogočijo svojim strankam, podjetnikom varen vpogled v podatke in dokumente podjetja.

Kaj lahko naredi vsak zaposleni za večjo varnost?

Pomembno je, da podjetje neprestano opominja zaposlene na varovanje osebnih podatkov. To lahko naredi s pomočjo pisnih pravilnikov, v praksi pa so se najbolje izkazala interna izobraževanja.

Za varnost podatkov v podjetju lahko največ naredijo zaposleni sami. Naštejmo nekaj ukrepov, ki zahtevajo le doslednost zaposlenih.

Zaposleni naj:

  • odgovorno ravnajo s svojimi gesli, digitalnimi potrdili in jih ne delijo z nikomer,
  • spoštujejo politiko čiste mize, pri kateri pazijo, da na mizi ne puščajo dokumentov z osebnimi podatki (pogodbe ali drugo dokumentacijo Za uničevanje dokumentov z občutljivimi podatki naj uporabljajo »uničevalec dokumentov« in jih ne odlagajo v koš za papir,
  • ne puščajo dokumentov v skupnem tiskalniku, temveč naj jih odnašajo sproti,
  • bodo pozorni na pravilo praznega zaslona – naj vedno zaklenejo zaslon, ali si nastavijo ohranjevalnik zaslona, ko zapustijo svoje delovno mesto,
  • računalnike zaklepajo z gesli, ki jih poznajo le sami,
  • bodo pri odhodih na teren pozorni, kje puščajo rokovnike računalnike, USB ključke, na katerih so zapisani podatki o fizičnih osebah.
  • bodo seznanjeni, kdaj in na kakšen način sporočati varnostne incidente. Smiselno je, da zaposleni incident prijavo nadrejenemu takoj in ne čakajo na skrajni rok 72 ur.

Kako pravilno ravnati z gesli:

  • Uporabiti kombinacijo znakov, ki vsebuje velike in male črke, številke ali posebne znake.
  • Menjava gesla naj bo na vsakih 6 mesecev.
  • Geslo ne sme vsebovati imena in priimka.

Še za konec

Odtekanje in kraja podatkov predstavlja vse večje tveganje za vsako podjetje, saj se kibernetski kriminalci zavedajo vrednosti podatkov. Res je, da je glede na podatke iz raziskave kar 75 % primerov, ko so za krajo podatkov krivi zunanji (hekerji), vendar pa so v kar 25 %  glavni krivci zaposleni. Eden  glavnih krivcev za odtekanje podatkov iz podjetij je posojanje gesel. Po podatkih raziskave kar 49 % zaposlenih deli svoje geslo s kolegi in 52 % jih ne razume tveganja, ki pri tem nastane.

V javnosti lahko večkrat slišimo, da so podatki nova nafta in dejstvo je, da smo šele na začetku poti zbiranja in raziskovanja podatkov. Zato je smiselno in pomembno, da začnemo s podatki čim prej ravnati odgovorno.

Kako se vi zavedate tveganja?

Vir:

1 Verizon, Data Breach Investigations Report (2017)
2 IS Decisions, Insider Threat Persona Study (2017)

Sorodne vsebine

Brezplačni članki, e-priročniki, posnetki in spletni seminarji.