Η μετατόπιση του παραδείγματος προς την τηλεργασία ξεκίνησε ακόμη και πριν ξεσπάσει η πανδημία COVID-19. Έκτοτε, οι τοπικές και εθνικές οδηγίες έχουν περιορίσει μεγάλο μέρος του πληθυσμού στα σπίτια τους. Ως αποτέλεσμα, πολλές επιχειρήσεις συνέχισαν να λειτουργούν χρησιμοποιώντας ένα κατανεμημένο εργατικό δυναμικό και ορισμένες, όπως το Shopify και το Twitter, έχουν κάνει μόνιμη την τηλεργασία.
Η πρόσφατη υγειονομική κρίση οδήγησε την ελληνική κυβέρνηση αλλά και πολλές κυβερνήσεις στην Ευρώπη και αλλού να επιβάλλουν (αντί μέχρι πρότινος να προτείνουν) στο δημόσιο τομέα αλλά και στις ιδιωτικές εταιρείες τη χρήση τηλεργασίας. Κι ενώ οι εργασιακές σχέσεις σε κάθε περίπτωση περιγράφονται σε νομοθετήματα, η ασφάλεια αυτής της μορφής οργάνωσης μιας εταιρείας δεν συζητείται συχνά.
Αυτές οι νέες συνθήκες απαιτούν διαφορετική στάση ασφαλείας από την εργασία από τα κεντρικά γραφεία. Ειδικά όταν πρόκειται για τη διατήρηση της ασφάλειας δεδομένων που απαιτεί ο GDPR.
Τι είναι η τηλεργασία
Ως τηλεργασία θεωρείται η εργασία από απόσταση (δηλαδή χωρίς φυσική παρουσία στον χώρο της εργασίας) με χρήση των απαραίτητων τεχνολογιών πληροφορικής και επικοινωνιών. Η τηλεργασία δεν είναι επάγγελμα από μόνη της, αλλά αποτελεί μορφή οργάνωσης της εργασίας. Συγκεκριμένα, η τηλεργασία παρέχει ευελιξία όσον αφορά στον χώρο και τον χρόνο εκτέλεσης μιας εργασίας.
Η εκτέλεση της εργασίας πρέπει να πραγματοποιείται εκτός του χώρου της επιχείρησης σε τακτική βάση και για συνεχόμενο χρονικό διάστημα. Έτσι, η τυχόν επικοινωνία του εργαζομένου με το γραφείο του κατά τη διάρκεια των διακοπών δεν εμπίπτει στην έννοια της τηλεργασίας και ο εργαζόμενος αυτός δεν θεωρείται τηλεργαζόμενος.
Τώρα είναι η κατάλληλη στιγμή για να ενημερώσετε τις πολιτικές ασφάλειας πληροφοριακών συστημάτων
Πολλοί υπάλληλοι που δεν είναι εξοικειωμένοι με θέματα ασφάλειας δεδομένων ενδέχεται να μην κατανοήσουν πώς μια απλή απόσπαση από την πλευρά τους θα μπορούσε να οδηγήσει σε παραβίαση δεδομένων που εκθέτει τα προσωπικά δεδομένα που χρεώνεστε για προστασία. Αυτές οι παραβιάσεις δεδομένων δεν μπορούν μόνο να υπονομεύσουν την εμπιστοσύνη των πελατών στην εταιρεία σας, αλλά και να οδηγήσουν σε δαπανηρά πρόστιμα στο GDPR.
Μια πολιτική κυβερνοασφάλειας για τηλεργασία που καθοδηγεί τους υπαλλήλους σας για το πώς να διατηρήσουν τα δεδομένα της επιχείρησής σας ασφαλή είναι ένα σημαντικό εργαλείο στην προστασία δεδομένων. Εάν δεν έχετε, θα πρέπει να δημιουργήσετε μια. Εάν έχετε πολιτική αλλά δεν την έχετε ενημερώσει από τότε που όλοι άρχισαν να εργάζονται από το σπίτι, αυτή είναι η ώρα να το κάνετε. Ένα καλό μέρος για να ξεκινήσετε είναι η εξέταση του πλαισίου κυβερνοασφάλειας του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) των ΗΠΑ, το οποίο καλύπτει 5 τομείς, οι οποίοι αποτελούν βασικά συστατικά ενός επιτυχημένου πλαισίου ασφάλειας στον κυβερνοχώρο:
1. Αναγνωρίζω: Θα πρέπει να εκτιμήσετε το επίπεδο κινδύνου ασφάλειας στον κυβερνοχώρο για συστήματα, περιουσιακά στοιχεία, δεδομένα και δυνατότητες.
2. Προστατεύω: Θα πρέπει να αναπτύξετε και να εφαρμόσετε τις κατάλληλες διασφαλίσεις για να περιορίσετε ή να περιορίσετε τον αντίκτυπο ενός πιθανού συμβάντος παραβίασης της ασφάλειας στον κυβερνοχώρο.
3. Ανιχνεύω: Θα πρέπει να έχετε τη δυνατότητα να εντοπίζετε γρήγορα περιστατικά παραβίασης ασφάλειας στον κυβερνοχώρο.
4. Απαντώ: Εάν προκύψει επίθεση στον κυβερνοχώρο, η εταιρεία πρέπει να έχει τη δυνατότητα να περιορίσει τον αντίκτυπο.
5. Ανακτώ: Τέλος, θα πρέπει να έχετε ένα σχέδιο για να επαναφέρετε τυχόν δυνατότητες ή υπηρεσίες που επηρεάστηκαν από συμβάντα ασφάλειας στον κυβερνοχώρο.
Ελάχιστες προϋποθέσεις εφαρμογής τηλεργασίας
Για την ασφαλή κι αποτελεσματική εφαρμογή τηλεργασίας μια Εταιρεία πρέπει να έχει εξασφαλίσει τα ακόλουθα:
1. Ασφαλή Υποδομή (δίκτυα, υπολογιστές και φορητά μέσα, λογισμικό)
2. Τεχνικά και οργανωτικά μέτρα ασφάλειας (μεταξύ αυτών σύνταξη Πολιτικής Ασφάλειας Τηλεργασίας)
3. Συνεχή εκπαίδευση του προσωπικού
4. Διαδικασία εσωτερικού ελέγχου ασφάλειας της τηλεργασίας
5. Επικαιροποίηση αρχείου δραστηριότητας επεξεργασίας δεδομένων προσωπικού χαρακτήρα, επικαιροποίηση συστήματος συμμόρφωσης κατά GDPR και εκτίμηση αντικτύπου επεξεργασίας δεδομένων (DPIA).
Βαρετές αλλά αποτελεσματικές συμβουλές: εκπαιδεύστε τους υπαλλήλους σας
Το ανθρώπινο σφάλμα είναι μια από τις κύριες αιτίες παραβίασης δεδομένων. Η ασφάλεια στον κυβερνοχώρο είναι αρκετά δύσκολη όταν όλοι βρίσκονται σε ένα γραφείο σε ένα δίκτυο που ελέγχετε. Το να βασίζεστε στους υπαλλήλους σας να λαμβάνουν αμέσως και να ελέγχουν όλες τις νέες πολιτικές και εργαλεία ασφάλειας στον κυβερνοχώρο που εφαρμόζετε ενώ εργάζονται από το σπίτι είναι πολύ πιο δύσκολο.
Θα πρέπει να σχεδιάζετε τη διεξαγωγή εκπαιδευτικών συνεδριών σχετικά με τη νέα πολιτική τηλεργασίας με ολόκληρη την εταιρεία. Η εκπαίδευση πρέπει να περιλαμβάνει τα νέα εργαλεία και τις διαδικασίες ασφαλείας που θα χρησιμοποιούν στην καθημερινή τους εργασία.
Τελικές σκέψεις για την κυβερνοασφάλεια και την τηλεργασία
Για να το διατυπώσουμε σε 4 βήματα, τα πιο σημαντικά πράγματα που μπορείτε, εσείς να κάνετε για να παραμείνετε συμμορφωμένοι με το GDPR, ενώ η ομάδα σας εργάζεται από το σπίτι είναι:
1. Ενημερώστε τις πολιτικές ασφάλειας πληροφοριακών συστημάτων για να αντικατοπτρίσετε τη νέα πραγματικότητα «δουλεύοντας από το σπίτι». Συντάξτε μια νέα Πολιτική Ασφάλειας Τηλεργασίας.
2. Εκπαιδεύστε τους υπαλλήλους σας και βεβαιωθείτε ότι η ομάδα πληροφορικής (και ο Υπεύθυνος Προστασίας Δεδομένων, DPO) είναι έτοιμη να τους υποστηρίξει.
3. Διατηρήστε τα δεδομένα κρυπτογραφημένα κατά τη μεταφορά και σε ηρεμία (in transit and at rest).
4. Περιορίστε την πρόσβαση σε ειδικές κατηγορίες δεδομένων (ευαίσθητα δεδομένα) και διατηρήστε τις συνδέσεις σας ασφαλείς με ένα εταιρικό VPN.
* Ο συγγραφέας δηλώνει ότι δεν υπάρχει σύγκρουση συμφερόντων. Ο συγγραφέας δεν έλαβε οικονομική υποστήριξη για την έρευνα, τη συγγραφή και / ή τη δημοσίευση αυτού του άρθρου.
** Ο Γιάννης Σ. Καλαντζάκης είναι entrepreneur υπηρεσιών υγείας, πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (DPOaaS) & σύμβουλος επιχειρήσεων σε θέματα ιατρικού τουρισμού, ποιότητας και διαχείρισης δεδομένων προσωπικού χαρακτήρα (GDPR). #IOwnMyHealthData.