iSecure logo
Blog

Czy chronisz swoje dane w chmurze?

Ułatwienie pracy czy jedynie większe ryzyko otrzymania kary?

Praca w środowisku chmurowym może zaoferować organizacjom wiele korzyści, jak również niesie ze sobą wiele niebezpieczeństw, np.:

– możliwość przechwycenia kont pracowników,

– nieuprawniony dostęp do danych znajdujących się w chmurze,

– nieautoryzowane zmiany czy utrata plików,

– inne naruszenia ochrony danych osobowych.

Wprowadzając odpowiednie polityki oraz procedury nadawania dostępu możemy uniknąć przydzielenia zbyt szerokich uprawnień pracownikowi niższego szczebla czy kontrolować życie konta po odejściu od nas pracownika. Dokumenty powinny być wdrożone po przeprowadzeniu audytu oraz oceny ryzyka, ponieważ dla każdej organizacji inne zabezpieczenia mogą okazać się przydatne.

Niemniej każda organizacja powinna mieć jasne zasady postępowania z nieaktywnymi kontami, nie tylko w chmurze. Zasady te powinny być stosowane, a nie widoczne jedynie na papierze. Wystarczy przypomnieć karę w wysokości 400.000 EUR nałożoną na szpital w Portugalii, w którym lekarze mieli za duży dostęp do danych, a ich konta były aktywne nawet po rozstaniu się z pracodawcą. Podobnie wyglądała sprawa szpitalu w Holandii, w którym pracownicy mieli dostęp do akt medycznych pewnej celebrytki, mimo iż nie powinni mieć do nich wglądu. Zarzucono szpitalowi brak możliwości wykrycia nieautoryzowanego dostępu do plików oraz brak uwierzytelniania dwuskładnikowego.

Stosując odpowiednie zabezpieczenia techniczne i środki organizacyjne w celu ochrony danych znajdujących się w chmurze, możemy uratować nie tylko finanse naszej organizacji, ale również ustrzec się przed negatywnym PR i utratą zaufania przez aktualnych oraz potencjalnych klientów.

Przykładowo można zastosować następujące środki bezpieczeństwa:

– kontrola dostępu, w tym zarządzanie kontami użytkowników,

– firewall i inne zabezpieczenia zapewnione przez dostawcę chmury,

– szkolenie pracowników, by podnieść ich świadomość i uchronić przed własnymi błędami lub zagrożeniami z zewnątrz,

– wdrożenie odpowiednich procedur.

Chrońmy nasze konto

Człowiek od zawsze stanowi najsłabsze ogniwo każdego systemu bezpieczeństwa. Dlatego należy go szkolić oraz ostrzegać przed aktualnymi kampaniami phishingowymi. Pracownik powinien również wiedzieć, jakie są zasady ustalenia silnego hasła i czy może korzystać z narzędzi do zapamiętywania haseł. Ale ochrona dostępu do konta to nie tylko zadanie pracownika. Organizacja powinna zadbać o uwierzytelnianie dwuskładnikowe, które jest dostępne u większości dostawców chmurowych. Jak pokazały powyższe kary, organizacja powinna również świadomie przyznawać dostępy do dysków czy folderów, nadzorować zakres dostępu czy przyznane uprawnienia w środowisku chmurowym. Jest to szczególnie ważne, gdy mamy grupowy dostęp do udostępnionych folderów, aby dokumenty znajdujące się na wspólnym dysku uchronić przed skasowaniem, gdy zawartość jest cenna dla organizacji, a ma do niej dostęp 100 różnych pracowników, w tym pracujących zdalnie. Należy również pamiętać, by regularnie weryfikować uprawnienia dostępowe aktywnych użytkowników czy systematycznie usuwać dostęp do konta po odejściu pracownika.

Sprawdźmy dodatkowe zabezpieczenia na naszym koncie

Często z pakietem chmurowym otrzymujemy domyślne zabezpieczenia od dostawców. Powinniśmy je za każdym razem przejrzeć i uruchamiać dodatkowe, które są nam zapewnione przez dostawcę. Ustawienia bezpieczeństwa i kontroli zapewniane przez dostawcy usług w chmurze często obejmują:

– uwierzytelnianie wieloskładnikowe,

– zarządzanie urządzeniami przenośnymi,

– specjalistyczne narzędzia do zarządzania,

– monitoring aktywności kont,

– ustawienia odpowiednich alertów,

– zabezpieczenia przed utratą danych,

– ochronę przed malware, spamem oraz spoofingiem i phishingiem.

Tak samo jak zabezpieczenie chmury, ważne jest odpowiednie zabezpieczenie komputerów pracowniczych czy naszych punktów dostępowych do Internetu. Często routery mają ustawione domyślne hasła, dzięki czemu niepowołane osoby mogą dostać się do naszej sieci. Trzeba też pamiętać, by mieć odrębną sieć do pracy, a odrębną np. dla gości czy nawet pracowników korzystających z prywatnych urządzeń np. podczas przerw. W związku z powyższym organizacja powinna przeprowadzać regularne przeglądy bezpieczeństwa swoich urządzeń oraz systemów, w tym dbać o ich aktualizację.

Jakie dane przechowujemy w chmurze?

Punkt, który powinien być na samym początku. Przed rozpoczęciem współpracy z dostawcami chmurowymi i wysłaniem danych organizacji do chmury należy zastanowić się, co będziemy w niej trzymać. Musimy mieć świadomość, czyje dane i w jakim zakresie, dla wygody i szybkości pracy, będą dostępne w chmurze, a które niekoniecznie muszą być wysyłane. Gdy już wiemy, jakie dane chcemy wysłać, powinniśmy sobie zadać kolejne pytanie – jak je oficjalnie zaklasyfikować, czy część z nich będziemy regularnie usuwać, jakiej grupie pracowników jaki dostęp przyznamy oraz jak duże uprawnienia będą posiadać użytkownicy chmury. Jeżeli wcześniej nie zaplanujemy procesu przeniesienia danych do chmury, powstanie jedna wielka nieuporządkowana masa danych. A bałagan bywa złym doradcą w zakresie ochrony bezpieczeństwa informacji. Jednak, gdy zorientujemy się, że uprawnienia są zbyt szeroko przyznane lub nie odcięliśmy dostępu byłym pracownikom – może być już za późno.

Dlatego opanujmy chaos plików elektronicznych. Nie przyjmujmy założenia „wrzucam dane do chmury i zapominam o wszystkim”, bo przecież dostawcy rozwiązań chmurowych zapewniają, że ich usługi są bezpieczne. Bezpieczeństwo zależy przede wszystkim od świadomości całej organizacji, wiedzy jakie dane posiada w chmurze i kto ma do nich dostęp. Nie należy także zapominać o pracownikach, dostarczając im odpowiednie narzędzia do pracy, klarowne instrukcje związane z bezpieczeństwem i higieną pracy oraz zapewniając im adekwatne szkolenia i zdrowe, owocowe poniedziałki 😊

Pobierz wpis w wersji pdf

Podobne wpisy:

Co było pierwsze, proces czy cel?

W świecie ciągłej rywalizacji o klienta, zmieniających się przepisów i powstawaniu nowych technologii odmieniających nasz styl życia, które mają na celu polepszyć nam jego jakość, przedsiębiorcy muszą mierzyć się z ciągłą modyfikacją procesów, adaptacją i tworzeniem nowych usług. Mając na uwadze, jak wiele decyzji musi zostać podjętych przez biznes i jak szybko trzeba reagować na […]

Ustawa o sygnalistach w końcu uchwalona – nowe wyzwania pod kątem ochrony danych osobowych

Wstęp Po bardzo długich miesiącach, licznych zmianach, poprawkach, dyskusjach, głośna medialnie ustawa o ochronie sygnalistów w końcu została podpisana przez Prezydenta oraz opublikowana w Dzienniku Ustaw. Ustawa wejdzie w życie w ciągu 3 miesięcy od dnia jej ogłoszenia, tj. 25 września 2024. Organizacje mają zatem niecałe 3 miesiące na dostosowanie się do wymogów ustawy, a […]

Informowanie o zakażeniach zgodne z RODO – COVID-19

W związku z tym, że wielu pracodawców ma ogromny problem z odpowiedzią na pytanie: „Czy można informować pracowników o przypadkach zakażenia koronawirusem?” przygotowaliśmy kolejny poradnik. Przedstawiamy w nim odpowiedzi na to pytanie oraz wyjaśniamy, jak informować o obecności koronawirusa innych pracowników bez naruszania przepisów o ochronie danych osobowych.  Widzimy potrzebę zebrania w jednym miejscu odpowiedzi […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki