Każda firma, która przetwarza dane osobowe Klientów, powinna wdrożyć wszystkie konieczne procedury bezpieczeństwa, by uchronić siebie i Klientów przed utratą lub zmianą tych danych. Aby firma uważana była za profesjonalną, powinna posiadać certyfikat ISO świadczący, że wszystkie dane w firmie są bezpieczne, a systemy ochronne są cały czas udoskonalane. A co się dzieje, gdy bezpieczeństwo zostaje zachwiane? I w jaki sposób może do tego dojść? Przedstawimy kilka przykładów takich incydentów.
Czym są incydenty bezpieczeństwa informacji?
Procedury, dzięki którym chronione są dane, szczegółowo opisane są w certyfikacie ISO 27001. Pracownicy każdej firmy, która ubiega się o taki certyfikat, przechodzi serie szkoleń na etapie wdrażania procedur oraz cykliczne, dzięki którym wiedza jest utrwalana. Aby certyfikat ISO zachował ważność, firma musi go odnawiać co roku. Jest to gwarancją tego, że bezpieczeństwo stale jest podnoszone, a pracownicy działu, który za nie odpowiada, są zawsze krok przed zagrożeniem.
Każde naruszenie zasad bezpieczeństwa i świadome lub nieświadome złamanie procedur jest incydentem. Jeśli dojdzie do takiego incydentu, istnieją kolejne procedury, do których należy się zastosować. Najpierw należy zminimalizować ryzyko wypłynięcia danych, a następnie naprawić błąd, który wystąpił.
Incydent bezpieczeństwa – czynnik ludzki
Najczęstszym incydentem bezpieczeństwa jest zagubienie karty dostępu. Osoba, która zauważy brak takiej karty, zobowiązana jest niezwłocznie zgłosić ten fakt przełożonemu lub pracownikowi działu kontroli jakości. Dział ten niezwłocznie blokuje wszystkie dostępy na karcie dostępu. Podobnie pracownik, który znajdzie czyjąś kartę dostępu, zobligowany jest natychmiast zgłosić to bezpośredniemu przełożonemu lub w dziale audytu wewnętrznego.
Innym dość częstym przypadkiem naruszenia zasad bezpieczeństwa danych osobowych jest nieświadome błędne przeprowadzenie procesu, którym się zajmuje. Jeśli pracownik odpowiedzialny jest za wprowadzanie danych do systemu i pomyli którąkolwiek danę, dochodzi do incydentu bezpieczeństwa. Wewnętrzna Kontrola Jakości codziennie czuwa nad prawidłowym realizowaniem procesu, wychwytując ewentualne błędy i je poprawiając.
Incydenty bezpieczeństwa – inne przypadki
Innymi przypadkami incydentów bezpieczeństwa są błędy i luki w systemie, na którym pracują osoby odpowiedzialne za przetwarzanie danych. Dział IT wspólnie z działem audytu wewnętrznego nieustannie pracuje nad zabezpieczeniami, udoskonalając je, aktualizując oraz szukając luk w zabezpieczeniach. Zabezpieczenia te muszą funkcjonować na kilku poziomach: ograniczone dostępy do pomieszczeń, ograniczone dostępy do stacji komputerowych, ograniczone dostępy do poszczególnych aplikacji. Dział audytu wewnętrznego odpowiedzialny jest również za ciągłe szkolenia pracowników działów operacyjnych z procedur, które ich obowiązują.
Wszystkie zabezpieczenia mają gwarantować bezpieczeństwo danych wrażliwych, a na wypadek incydentów przewidziane są oddzielne procedury szybkiego reagowania. Dzięki temu do wycieku danych z firm dochodzi niezwykle rzadko.
0 komentarzy
