Czy wiesz, w jaki sposób Twoi pracownicy przetwarzają dane umożliwiające identyfikację?

W wielu regionach na całym świecie obowiązują obecnie lokalne przepisy regulujące przetwarzanie i przechowywanie danych pozwalających na zidentyfikowanie określonej osoby (PII). Są one dodatkiem do RODO (ogólnego rozporządzenia o ochronie danych), którego musi przestrzegać każda firma przetwarzająca dane mieszkańców Unii Europejskiej.

Duże organizacje mają stosunkowo jasne strategie związane z przestrzeganiem tych przepisów i regulacji. Zazwyczaj wyznaczają pracownika – inspektora ochrony danych (IOD) – który ma być odpowiedzialny za zapewnienie zgodności z zasadami przetwarzania danych osobowych, a także przeznaczają spory budżet na opracowanie przepisów wewnętrznych i przeprowadzanie regularnych audytów. Jednak z uwagi na brak wystarczających zasobów zapewnienie zgodności z przepisami będzie trudniejsze dla małych organizacji.

Czynnik ludzki

Problem najczęściej leży po stronie pracowników — nie wszyscy ostrożnie obchodzą się z danymi osobowymi należącymi do innych osób. Taka niefrasobliwość może prowadzić do występowania niezamierzonych wycieków.

W typowym scenariuszu pracownicy, którzy mają do czynienia z PII, codziennie przechowują skany zawierające dane osobowe w firmowym środowisku współdzielonym. Z ich punktu widzenia wygląda to tak, że tylko umieszczają te dane w firmowych katalogach założonych w serwisie OneDrive lub SharePoint. Chociaż takie działanie samo w sobie nie oznacza wycieku, w rzeczywistości informacje te są udostępniane innym pracownikom, którzy mogą nie być odpowiednio przeszkoleni do pracy z nimi i w związku z tym nie powinni mieć do nich dostępu.

Problem nie polega na tym, że osoby, które uzyskają dostęp do takich danych, na pewno doprowadzą do wycieku danych. Jednak z uwagi na to, że uważają oni, że nie mają dostępu do żadnych nadkrytycznych lub poufnych informacji, mogą od czasu do czasu przypadkowo pozostawić laptopa służbowego bez nadzoru. Ponadto, jeśli organizacja doświadczy jakiegoś innego wycieku danych, może zostać poddana audytowi sprawdzającemu praktyki w zakresie przetwarzania i przechowywania danych i potencjalnie otrzymać wysoką grzywnę za udzielenie pracownikom zbyt szerokiego dostępu do danych osobowych.

Jak zminimalizować ryzyko umieszczania danych osobowych w zasobach współdzielonych

Najprostszym sposobem na to, aby dane osobowe nie trafiały do współdzielonej pamięci masowej, jest monitorowanie, czy pracownicy przesyłają je za pomocą narzędzi do współpracy w ramach firmy. Musisz wiedzieć dokładnie, co pracownicy udostępniają, gdzie przechowują informacje i czy udostępniają linki do nich komukolwiek spoza organizacji. Teoretycznie potrzebujesz do tego oddzielnego rozwiązania DLP, ale nie wszystkie firmy mogą sobie na nie pozwolić. Na szczęście istnieje alternatywa.

Funkcja „Data Discovery” w naszym najnowszym rozwiązaniu Kaspersky Endpoint Security Cloud jest doskonałą opcją dla każdej organizacji, która korzysta z usług Microsoft 365 do współpracy. Data Discovery wykrywa pliki zawierające dane PII lub dane karty bankowej, pokazuje ich lokalizację i zapewnia dodatkowy kontekst — niezależnie od tego, czy informacje są przechowywane w formacie strukturalnym, czy nieustrukturyzowanym.

Chociaż funkcja działa obecnie tylko w formatach dokumentów niemieckich, włoskich i amerykańskich, nadal ją udoskonalamy. W najbliższej przyszłości produkt będzie wspierał wykrywanie dokumentów w innych językach.

Kontrola nad alternatywnymi narzędziami współpracy

Czasami pracownicy mogą przesłać ważne informacje firmowe do usług w chmurze innych firm. Oznacza to, że mogą przechowywać dane w miejscach i za pomocą narzędzi, których bezpieczeństwa nie kontroluje dział IT.

Dlatego zalecamy, aby od samego początku wyjaśnić pracownikom, że nie wolno im korzystać z usług w chmurze innych firm do przechowywania poufnych lub wrażliwych danych. Następnie należy monitorować korzystanie z usług w chmurze i w razie potrzeby zablokować je. W tym może pomóc inna funkcja rozwiązania Kaspersky Endpoint Security Cloud — „Cloud Discovery”.

Funkcje Cloud Discovery i Data Discovery uzupełniają standardowe mechanizmy ochrony naszego rozwiązania. W ten sposób nie tylko chroni ono firmy przed zewnętrznymi cyberzagrożeniami, ale także ułatwia przestrzeganie przepisów i regulacji dotyczących ochrony danych osobowych.