Miten turvassa yrityksesi tiedot ovat toimistosi ulkopuolella? Yleinen tietosuoja-asetus astuu voimaan tässä kuussa ja koskettaa maailmanlaajuisesti kaikkia organisaatioita, jotka keräävät tai käsittelevät EU:n asukkaiden henkilötietoja. Yleisen tietosuoja-asetuksen asiantuntijat kertovat, miten suojaat liiketoimintasi.
Jos yrityksesi hyödyntää etätyöläisiä, tiedät jo, miten tärkeää on taata, ettei tietoja käytetä käytetä tai säilytetä väärin. Tässä kuussa (toukokuu 2018) voimaan astuvan yleisen tietosuoja-asetuksen myötä on kuitenkin tärkeää taata myös, että täytät asetuksen tiukat vaatimukset – tai voit menettää rahan lisäksi myös maineesi. Miten voit siis suojata tietosi tien päällä hyödyntäen silti joustavan työvoiman edut?
1. Kouluta työntekijöitäsi
Tietosuoja-asetuksen kielellä yrityksesi on tiedon omistaja ja etätyöntekijät ovat tiedon käsittelijöitä. ”Tämä tarkoittaa, että heillä on yhtä tärkeä tehtävä yritystietojen suojaamisessa kuin sinullakin”, John Slaughter, Data Complyn toimitusjohtaja, kertoo(1). ”Yleisen tietosuoja-asetuksen noudattamisen on oltava prioriteetti heidän jokapäiväisissä työtehtävissään erityisesti, kun he työskentelevät etänä”, hän jatkaa. ”Selkeät ohjeet suojattujen verkkojen käytöstä ovat äärimmäisen tärkeitä, joten tunnista ja ilmoita, mitkä tiedot on rajoitettu suojattuun ympäristöön.” Hän kehottaa yrityksiä kouluttamaan, lisäkouluttamaan ja arvioimaan työntekijöitä taatakseen, että nämä ymmärtävät tilanteen ja että heidän käytäntönsä ovat ajan tasalla.
Yritysten kannattaa myös muistuttaa työntekijöitään siitä, että julkiset Wi-Fi-verkot ovat kaikkea muuta kuin turvallisia. ”Pankkitoimia ei pitäisi tehdä julkisissa verkoissa, joten luonnollisesti myöskään luottamuksellisia työasiakirjoja ei tule avata niissä”, sanoo Andy Kays, uhkien tunnistukseen ja niihin vastaamiseen erikoistuneen Redscanin tietohallintojohtaja(2). ”Rohkaise työntekijöitä käyttämään vain suojattuja Wi-Fi-yhteyspisteitä tai muodostamaan yhteys yrityksen verkkoon suojatulla yhteydellä (VPN). On myös hyvä idea muodostaa yhteys internetiin 4G:llä (tai sovittimella), joka tarjoaa työntekijöille hyvän ja suojatun yhteyden palveluntarjoajaan.”
2. Suojaa kaikki salasanalla
Yleiseen tietosuoja-asetukseen sisältyy todennäköisesti mahdollisuus sakottaa yrityksiä enintään neljä prosenttia sen maailmanlaajuisesta liikevaihdosta merkittävissä tietoturvaloukkauksissa. Ainoa poikkeus on tilanne, jossa voit osoittaa, että tiedot oli salattu asianmukaisesti.
”Täysin varmaa suojausta ei olekaan – jopa Nasa on ollut tietomurron kohteena”, muistuttaa romanialainen Andrei Hanganu, joka on kirjoittanut EU GDPR Documentation Toolkitin(3). ”Vahvat salasanat ja riittävät salausmenetelmät pitävät kuitenkin arkaluonteiset tiedot turvassa luvattomilta käyttäjiltä.”
Useimmissa yrityksissä on ohjelmistot kiintolevyjen ja kaikkien niillä olevien tietojen salaamiseen, mutta tämä ei automaattisesti kata etälaitteita. Hanganu suosittelee tarjoamaan tarvittavan salausohjelmiston kannettaville tietokoneille, mobiililaitteille ja henkilökohtaisille pöytäkoneille, minkä jälkeen käyttäjä tarvitsee vain PIN-koodin tai salasanan muuntaakseen tiedot luettavaan muotoon. Kaikkien työntekijöiden pitäisi opetella suojaamaan kaikki salasanalla.
3. Varmista suojaus
Virukset ja haittaohjelmahyökkäykset voivat kerätä ja seurata tietoja, joten myös ne kuuluvat yleisen tietosuoja-asetuksen piiriin. ”Koska haittaohjelmilta on niin vaikea suojautua, useimmat yritykset pitävät sellaisen kohteeksi joutumista vain ajan kysymyksenä”, toteaa Nigel Tozer, Commvaultin EMEA Solutions Marketing -johtaja(4). Hän suosittelee takaamaan, että työntekijöiden laitteet on suojattu ajantasaisilla käyttöjärjestelmillä ja virustorjuntaohjelmilla.
”Ihmiset ovat aina heikoin linkki organisaation turvallisuudessa, ja sillä, että yksittäinen työntekijä napsauttaa haitallista linkkiä tai ei päivitä järjestelmäänsä, voi olla vakavat seuraukset”, Andy Kays jatkaa. ”Tämän vuoksi on tärkeää levittää tietoisuutta verkkoturvariskeistä säännöllisellä työntekijäkoulutuksella erityisesti, kun kyseessä ovat etätyöntekijät, jotka voivat käyttää yrityksen tietoja ja palveluita monista laitteista, sijainneista ja verkoista käsin.”
Yritykset voivat harkita myös säännöllisiä tapahtumia IT-osaston kanssa, jolloin työntekijät tuovat mobiililaitteensa säännöllisesti tietoturvatarkistukseen ja päivitettäväksi.
Onko organisaatiollasi strategia tietojen suojaamiseksi toimiston ulkopuolella?
4. Muista visuaalinen tietoturva
”Teknologisesti kehittyneessä maailmassa on helppoa unohtaa, että yrityksen tiedot voidaan varastaa myös ei-teknisillä tavoilla”, sanoo Orlagh Kelly, asianajaja ja Briefed GDPR Training and Consultancy Specialistsin pääjohtaja(5).
3M:n toteuttamassa kokeilussa hakkerina esiintynyt henkilö sai käsiinsä arkaluonteista tietoa yksinkertaisesti työntekijän näyttöä katsomalla 88 prosentissa kokeiluista(6).
”Kannusta työntekijöitä olemaan tietoisia siitä, kuka voi katsella heidän olkapäänsä yli, kun he eivät ole toimistolla”, Kelly neuvoo. Harkitse näyttöihin kiinnitettäviä tietoturvasuojia, jotka estävät näytön luvattoman katselun sivusta.
5. Ymmärrä pilven rajoitteet
Ponemon Instituten tutkimuksen mukaan 44 prosenttia pilviympäristöön tallennetusta yritystiedosta ei ole IT-osaston hallinnassa. Tämän seurauksena tutkimus paljasti myös, että pilvipalveluiden käyttö voi nostaa 20 miljoonan dollarin tietoturvaloukkauksen riskin kolminkertaiseksi(7).
”Oikean pilvipalvelun valitseminen on erittäin tärkeää”, Nigel Tozer kertoo. ”On tiedettävä tarkalleen, miten palveluntarjoaja käsittelee tietoturvaloukkaukset, sillä kummallakin osapuolella on vastuunsa. Jos kaikki tiedot pysyvät EU:ssa, pilvipalveluntarjoajasi tulee taata, että niitä säilytetään lainsäädännöllisten vaatimusten mukaisesti. Varmista myös, että kaikki EU:sta lähtevä tieto suojataan asianmukaisesti yleistä tietosuoja-asetusta ajatellen.”
Tozer huomauttaa, että yleisen tietosuoja-asetuksen mukaan pilvipalvelu voi olla tietojen käsittelijä, mutta yrityksesi on niiden valvoja. ”[Tämä tarkoittaa, että] on sinun vastuullasi tarkistaa tarjoajan tiedot ja varmistaa, että se tarjoaa riittävät takuut tarpeellisten teknisten ja organisatoristen suojien käyttöönotosta uuden EU:n asetuksen mukaisesti.”
6. Kunnioita työntekijöidesi yksityisyyttä
Jos käytät tällä hetkellä työkaluja tai teknisiä menetelmiä etätyöntekijöidesi tuottavuuden seuraamiseen, sinun on löydettävä tapa toteuttaa hyvät aikeesi niin, että heidän yksityisyydensuojansa ei kärsi, kertoo DMPC Ltd:n yleisen tietosuoja-asetuksen konsultti George Harris(8). ”[Henkilökunnan monitorointia] on vaikea perustella tavallisessa liiketoimintatilanteessa”, hän sanoo.
Yleisen tietosuoja-asetuksen standardin noudattaminen tarkoittaa, että työntekijöiden laitteita on vaikea monitoroida (näppäimistön painalluksia tai hiiren liikkeitä seuraavilla ohjelmilla) rikkomatta työntekijän yksityisyydensuojaa. Artiklan 29 mukaisen työryhmän mukaan: ”Teknologioilla, jotka monitoroivat viestintää, voi […] olla pelottava vaikutus työntekijöiden perusoikeuksiin organisoitua, järjestää työntekijöiden kokouksia ja viestiä luottamuksellisesti (mukaan lukien oikeus etsiä tietoa)(9).”
7. Kehitä toimintasuunnitelma tietoturvaloukkauksen varalta
”Tietoturvaloukkaus voi sisältää mitä tahansa kannettavaan vaikuttavasta haittaohjelmasta työpuhelimensa junaan unohtavaan työntekijään tai työntekijään, joka käyttää sähköpostiviestissä kopiotoimintoa (Cc) piilokopion (Bcc) sijaan”, kertoo James Walker, verkkoturvallisuuteen, tietojen suojaamiseen ja yksityisyydensuojaan erikoistuneen Jaw Consulting UK:n toimitusjohtaja(10).
Vaikka vahingonhallinnan käynnistäminen olisikin ensimmäinen ajatuksesi, yleisen tietosuoja-asetuksen alaisuudessa se on tehtävä entistä ripeämmin. ”Organisaatiolla on 72 tuntia aikaa ilmoittaa tietoturvaloukkauksesta sekä yksilöille, joihin loukkaus vaikuttaa, että asianmukaiselle valvontaviranomaiselle, ja siihen on sisällytettävä analyysi loukkauksen todennäköisistä vaikutuksista sekä toteutetut tai ehdotetut menetelmät negatiivisten vaikutusten lieventämiseksi”, Walker sanoo.
Muistatko aiemmin mainitut neljän prosentin sakot? Määräysten noudattamatta jättäminen voi johtaa niihin. ”Yksityiskohtaisen ilmoitusvelvollisuuden poikkeus on tilanne, jossa voit todistaa, ettei loukkaus todennäköisesti aiheuta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille”, Walker jatkaa. ”Tietojen kunnollisen salauksen todistaminen riittää pitkälle, ja se voi jopa poistaa velvollisuuden raportoida tapahtuneesta tietoturvaloukkauksena.”
Lähteet:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
