iSecure logo
Blog

Czy chronisz swoje dane w chmurze?

Ułatwienie pracy czy jedynie większe ryzyko otrzymania kary?

Praca w środowisku chmurowym może zaoferować organizacjom wiele korzyści, jak również niesie ze sobą wiele niebezpieczeństw, np.:

– możliwość przechwycenia kont pracowników,

– nieuprawniony dostęp do danych znajdujących się w chmurze,

– nieautoryzowane zmiany czy utrata plików,

– inne naruszenia ochrony danych osobowych.

Wprowadzając odpowiednie polityki oraz procedury nadawania dostępu możemy uniknąć przydzielenia zbyt szerokich uprawnień pracownikowi niższego szczebla czy kontrolować życie konta po odejściu od nas pracownika. Dokumenty powinny być wdrożone po przeprowadzeniu audytu oraz oceny ryzyka, ponieważ dla każdej organizacji inne zabezpieczenia mogą okazać się przydatne.

Niemniej każda organizacja powinna mieć jasne zasady postępowania z nieaktywnymi kontami, nie tylko w chmurze. Zasady te powinny być stosowane, a nie widoczne jedynie na papierze. Wystarczy przypomnieć karę w wysokości 400.000 EUR nałożoną na szpital w Portugalii, w którym lekarze mieli za duży dostęp do danych, a ich konta były aktywne nawet po rozstaniu się z pracodawcą. Podobnie wyglądała sprawa szpitalu w Holandii, w którym pracownicy mieli dostęp do akt medycznych pewnej celebrytki, mimo iż nie powinni mieć do nich wglądu. Zarzucono szpitalowi brak możliwości wykrycia nieautoryzowanego dostępu do plików oraz brak uwierzytelniania dwuskładnikowego.

Stosując odpowiednie zabezpieczenia techniczne i środki organizacyjne w celu ochrony danych znajdujących się w chmurze, możemy uratować nie tylko finanse naszej organizacji, ale również ustrzec się przed negatywnym PR i utratą zaufania przez aktualnych oraz potencjalnych klientów.

Przykładowo można zastosować następujące środki bezpieczeństwa:

– kontrola dostępu, w tym zarządzanie kontami użytkowników,

– firewall i inne zabezpieczenia zapewnione przez dostawcę chmury,

– szkolenie pracowników, by podnieść ich świadomość i uchronić przed własnymi błędami lub zagrożeniami z zewnątrz,

– wdrożenie odpowiednich procedur.

Chrońmy nasze konto

Człowiek od zawsze stanowi najsłabsze ogniwo każdego systemu bezpieczeństwa. Dlatego należy go szkolić oraz ostrzegać przed aktualnymi kampaniami phishingowymi. Pracownik powinien również wiedzieć, jakie są zasady ustalenia silnego hasła i czy może korzystać z narzędzi do zapamiętywania haseł. Ale ochrona dostępu do konta to nie tylko zadanie pracownika. Organizacja powinna zadbać o uwierzytelnianie dwuskładnikowe, które jest dostępne u większości dostawców chmurowych. Jak pokazały powyższe kary, organizacja powinna również świadomie przyznawać dostępy do dysków czy folderów, nadzorować zakres dostępu czy przyznane uprawnienia w środowisku chmurowym. Jest to szczególnie ważne, gdy mamy grupowy dostęp do udostępnionych folderów, aby dokumenty znajdujące się na wspólnym dysku uchronić przed skasowaniem, gdy zawartość jest cenna dla organizacji, a ma do niej dostęp 100 różnych pracowników, w tym pracujących zdalnie. Należy również pamiętać, by regularnie weryfikować uprawnienia dostępowe aktywnych użytkowników czy systematycznie usuwać dostęp do konta po odejściu pracownika.

Sprawdźmy dodatkowe zabezpieczenia na naszym koncie

Często z pakietem chmurowym otrzymujemy domyślne zabezpieczenia od dostawców. Powinniśmy je za każdym razem przejrzeć i uruchamiać dodatkowe, które są nam zapewnione przez dostawcę. Ustawienia bezpieczeństwa i kontroli zapewniane przez dostawcy usług w chmurze często obejmują:

– uwierzytelnianie wieloskładnikowe,

– zarządzanie urządzeniami przenośnymi,

– specjalistyczne narzędzia do zarządzania,

– monitoring aktywności kont,

– ustawienia odpowiednich alertów,

– zabezpieczenia przed utratą danych,

– ochronę przed malware, spamem oraz spoofingiem i phishingiem.

Tak samo jak zabezpieczenie chmury, ważne jest odpowiednie zabezpieczenie komputerów pracowniczych czy naszych punktów dostępowych do Internetu. Często routery mają ustawione domyślne hasła, dzięki czemu niepowołane osoby mogą dostać się do naszej sieci. Trzeba też pamiętać, by mieć odrębną sieć do pracy, a odrębną np. dla gości czy nawet pracowników korzystających z prywatnych urządzeń np. podczas przerw. W związku z powyższym organizacja powinna przeprowadzać regularne przeglądy bezpieczeństwa swoich urządzeń oraz systemów, w tym dbać o ich aktualizację.

Jakie dane przechowujemy w chmurze?

Punkt, który powinien być na samym początku. Przed rozpoczęciem współpracy z dostawcami chmurowymi i wysłaniem danych organizacji do chmury należy zastanowić się, co będziemy w niej trzymać. Musimy mieć świadomość, czyje dane i w jakim zakresie, dla wygody i szybkości pracy, będą dostępne w chmurze, a które niekoniecznie muszą być wysyłane. Gdy już wiemy, jakie dane chcemy wysłać, powinniśmy sobie zadać kolejne pytanie – jak je oficjalnie zaklasyfikować, czy część z nich będziemy regularnie usuwać, jakiej grupie pracowników jaki dostęp przyznamy oraz jak duże uprawnienia będą posiadać użytkownicy chmury. Jeżeli wcześniej nie zaplanujemy procesu przeniesienia danych do chmury, powstanie jedna wielka nieuporządkowana masa danych. A bałagan bywa złym doradcą w zakresie ochrony bezpieczeństwa informacji. Jednak, gdy zorientujemy się, że uprawnienia są zbyt szeroko przyznane lub nie odcięliśmy dostępu byłym pracownikom – może być już za późno.

Dlatego opanujmy chaos plików elektronicznych. Nie przyjmujmy założenia „wrzucam dane do chmury i zapominam o wszystkim”, bo przecież dostawcy rozwiązań chmurowych zapewniają, że ich usługi są bezpieczne. Bezpieczeństwo zależy przede wszystkim od świadomości całej organizacji, wiedzy jakie dane posiada w chmurze i kto ma do nich dostęp. Nie należy także zapominać o pracownikach, dostarczając im odpowiednie narzędzia do pracy, klarowne instrukcje związane z bezpieczeństwem i higieną pracy oraz zapewniając im adekwatne szkolenia i zdrowe, owocowe poniedziałki 😊

Pobierz wpis w wersji pdf

Podobne wpisy:

O ochronie danych osobowych w Nowoczesnej Firmie

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

Ciasteczka nie zawsze smakują najlepiej…

Od pewnego czasu możemy zauważyć, że wchodząc na różne strony internetowe, wyskakują nam okienka, w których jesteśmy proszeni o akceptowanie plików cookies. Pliki cookies, pieszczotliwie nazywane ciasteczkami, służą do prawidłowego działania stron internetowych (praktycznie zawsze), a niekiedy także do zapamiętania naszych preferencji i personalizowania stron w celu wyświetlania dopasowanych treści oraz reklam. W związku z […]

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych?

Upoważnienia do przetwarzania danych osobowych to standardowy temat pojawiający się podczas działań podejmowanych w ramach wdrażania przepisów prawa ochrony danych osobowych w organizacji.  Mimo dość ustrukturyzowanej formuły upoważnienia, pojawia się szereg wątpliwości w kontekście obowiązku wydania samego dokumentu czy jego ostatecznej formy. W artykule postaramy się przybliżyć najważniejsze kwestie związane z upoważnieniami i jednocześnie odpowiedzieć […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki