Praca zdalna i związane za nią ryzyko
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/Praca zdalna i związane za nią ryzyko

Praca zdalna i związane za nią ryzyko

Wraz z wejściem w rok 2022 nie widać perspektywy na powrót pracowników do biur. Firmy i managerowie o dużych umiejętnościach adaptacyjnych przygotowali zasoby, systemy komunikacji, dzięki którym praca zdalna przebiega efektywnie. Niewiele firm zadbało jednak o aktualizację procedur zapewniających, że bezpieczeństwo informacji pozostanie na wysokim poziomie, zgodnie z wcześniej wyznaczonymi standardami.

 

Z pomocą wymagań ISO/IEC 27001 dotyczących zarządzania ryzykiem dla bezpieczeństwa informacji, organizacje mogą pozwolić sobie na pełne wykorzystanie możliwości pracy zdalnej przy najmniejszym akceptowalnym ryzyku. Stosowanie systemowego podejścia zapewnia, że niespodziewane zdarzenia nie wpłyną negatywnie na osiąganie celów strategicznych oraz finansowych Twojego przedsiębiorstwa.

 

Zagrożenia związane z pracą zdalną

 

Najbardziej oczywiste zagrożenia dla bezpieczeństwa danych przetwarzanych w firmie wiążą się z działaniami online - dokumenty w chmurze, załączniki do wiadomości e-mail i dane innych firm są zagrożone. Przy tak dużej ilości informacji udostępnianych cyfrowo obszary ataków znacznie się poszerzyły.

 

Główne wyzwania dla bezpieczeństwa pracy zdalnej:

  • Kradzież bądź utrata urządzeń;
  • Utrata danych na urządzeniach zdalnych: Brak procedur tworzenia kopii zapasowych i odzyskiwania danych na urządzeniach zdalnych może zwiększyć szkody spowodowane incydentem utraty danych;
  • Nieautoryzowany dostęp do systemów informatycznych organizacji;
  • Przechwycenie danych podczas transmisji między firmą a urządzeniem;
  • Naruszenie wymogów prawnych: Poza otoczeniem firmy trudniej jest zapewnić przestrzeganie przez pracowników przepisów prawa (np. RODO) i klauzul umownych związanych z ochroną danych;
  • Niskie zaangażowanie pracowników zdalnych w praktyki bezpieczeństwa: Mniejszy kontakt z pracownikami zdalnymi może sprawić, że będą mniej skłonni do przestrzegania praktyk bezpieczeństwa.

 

Odpowiednio zaplanowana i wdrożona Polityka stosowania urządzeń mobilnych, może pomóc zarządzać tymi zagrożeniami. Pomoże pracownikom zrozumieć ich obowiązki podczas pracy w domu i określi potrzeby organizacji w zakresie bezpieczeństwa danych. Brak podejścia systemowego może spowodować, znaczny wzrost kosztów ochrony danych lub pozostawić krytyczne obszary bez odpowiedniej ochrony.

 

Wdrożenie Polityki stosowania urządzeń mobilnych ISO/IEC 27001 Załącznik A

 

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji (SZBI). Ma ona zastosowanie w organizacjach dowolnej wielkości i branży. Jeżeli organizacje umożliwiają pracę zdalną pracownikom, musizą podjąć odpowiednie kroki zapewniające, że zasoby informacyjne są bezpieczne. Bez zabezpieczeń, pracownicy oraz systemy informatyczne firmy są znacznie bardziej narażone na cyberataki.

 

Norma wskazuje etapy stanowiące solidną podstawę bezpiecznej pracy zdalnej.

 

Należą do nich:

  • Zdefiniowanie podstawowej struktury SZBI: Pomaga jasno określić, dlaczego praca zdalna jest ważna i jakie wymagania musi spełniać poza obowiązującym prawem (np. zgodność z RODO), a także cele, które powinna osiągnąć;
  • Zarządzanie ryzykiem: Pomaga zidentyfikować i ustalić priorytety dla najbardziej istotnych zagrożeń dla Twojej firmy związanych z pracą zdalną;
  • Wdrażanie kontroli: ISO/IEC 27001 Załącznik A zawiera wykaz zabezpieczeń i celów stosowania zabezpieczeń, które mogą pomóc firmom w tworzeniu bezpiecznego środowiska pracy zdalnej;
  • Ocena i doskonalenie działania SZBI: Z biegiem czasu firmy powinny zweryfikować, czy wdrożone praktyki są skuteczne, a jeśli nie są, dokonać odpowiednich korekt.

 

Praca zdalna z akceptowalnym poziomem rezydualnego ryzyka na podstawie analizy według ISO/IEC 27001

 

Chociaż istnieje wiele zalet pracy zdalnej, w wybranych sytuacjach nie jest ona wskazana.

 

Niektóre organizacje przetwarzające wysoce wrażliwe dane mogą uznać, że zezwalanie na ich obsługę przez pracowników pracujących poza biurem jest zbyt ryzykowne. Jest to najbardziej prawdopodobne w przypadku organizacji zajmujących się danymi medycznymi lub dokumentacją rządową, bądź w innych organizacjach, gdzie praca zdalna wiązałaby się z przetwarzaniem informacji poufnych.

 

Za pomocą oceny ryzyka uwzględnionej w normie ISO/IEC 27001 można określić, czy zagrożenia związane ze zdalnym dostępem do danych, przeważają nad korzyściami. Proces oceny może również wskazać stanowiska, których zadania wykonywane zdalnie stanowią szczególne zagrożenie dla bezpieczeństwa danych organizacji. Ryzyko rośnie w przypadku pracowników, którzy regularnie obsługują wrażliwe informacje, a także w przypadku nowych członków zespołu.

 

W takich okolicznościach, w zasadach dostępu zdalnego dopuszczalne jest określenie, że niektórzy pracownicy muszą być w biurze lub że pracownicy muszą odbyć okres próbny pracy w biurze, zanim otrzymają możliwość pracy zdalnej. Decyzje te powinny być jednak podjęte na podstawie dokładnych analiz, przy uwzględnieniu kontroli, które są dostępne w firmie.

 

Czemu rozwiązaniem na zagrożenia, które niesie za sobą praca zdalna jest ISO/IEC 27001?

 

Korzyści z wdrożenia i certyfikacji ISO/IEC 27001 w czasach pracy zdalnej jest wiele. Do najbardziej oczywistych należy zminimalizowanie ryzyka związanego z utratą informacji lub nieautoryzowanym dostępem do nich. Doprowadzi to do zdobycia większego zaufania klientów i otworzy drzwi na nowe możliwości biznesowe oraz utrzymanie dotychczasowych klientów. Bez zapewnienia odpowiedniej polityki bezpieczeństwa informacji w czasach pracy zdalnej, cele organizacji są zagrożone.

 

Dzięki certyfikacji standardu, organizacje będą w stanie wykazać swoje zaangażowanie w spełnianie wymogów prawnych, które stają się coraz bardziej restrykcyjne w obszarze bezpieczeństwa informacji.

 

Poprawnie wdrożony, certyfikowany i stale doskonalony system będzie obejmował identyfikowanie właścicieli ryzyka i nada priorytety dla celów postępowania z ryzykiem. Zapewni odpowiednie przeszkolenie pracowników w zakresie budowania świadomości i stosowania środków bezpieczeństwa poprzez systematyczne podejście.

 

Zapewnianie pracownikom możliwość pracy zdalnej, przy zastosowaniu ISO/IEC 27001 jest potwierdzeniem bezpieczeństwa danych Twoich klientów. To kluczowy punkt dla realizacji celów strategicznych Twojej organizacji.

 

W razie wszelkich pytań odnośnie certyfikacji standardu ISO/IEC 27001 oraz jego zastosowania, zapraszamy do kontaktu z naszym biurem.   

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z Polityką prywatności

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Polityka prywatności