A home office biztonságának megteremtése
Olvasási idő:
A koronavírus-járvány tömegeket kényszerített ideiglenesen vagy véglegesen otthoni munkára. Az irodai dolgozók kipróbálhatták az otthoni munkavégzés jótékony hatásait, de nem feledkezhetünk meg arról sem, hogy kialakítsunk egy olyan, biztonságos home office környezetet, ahol az ideiglenes távmunka-megoldások véglegessé és legfőképp megbízhatóvá válhatnak.
Különösen gazdag zsákmányt ígér manapság a hackereknek a rövid idő alatt távmunkába kényszerült irodai dolgozók tömege. A hiányos kommunikáció miatt könnyebben lépre csalhatók vagyunk hamis e-mailekkel, az otthoni számítógépeken keresztül pedig a vállalati központi rendszerekbe is könnyebb behatolni, mint közvetlen támadással. A VPN, kétfaktoros autentikáció mellett az adatok védelmére is figyelni kell, ami a munkaadó és munkavállaló közös felelőssége.
Az otthoni iroda kialakításánál a helyi adottságokra, a használt eszközökre és az informatikai környezetre kell figyelni, illetve kiemelten annak adatbiztonsági vetületével kell foglalkozni. Nem szabad elfelejteni, hogy a személyes adatok védelmével foglalkozó GDPR az otthoni irodában is érvényes!
A használt eszközök
Az otthoni irodában megfelelő munkakörnyezet kialakítására van szükség. Ez azt jelenti, hogy az irodához hasonlóan szükségünk van egy kényelmes asztalra és székre, ahogy a személyes tárgyaink közeli elhelyezése is fontos. A munka a saját asztali gépen vagy laptopon, de a vállalat által biztosított eszközökön is folyhat. Adatvédelmi szempontból és a biztonságos munkavégzés garantálására az a legjobb, ha a vállalat biztosít egy olyan számítógépet az otthoni munkavállalónak, mely a céges szabályzatok szerinti végponti védelemmel ellátott, megfelel a vállalati előírásoknak.
A saját telefon és internetkapcsolat megléte is fontos, ezt is biztosíthatja a munkaadó vagy a munkavállaló eszköze is megfelelhet a célra. A lényeg, hogy az eszközök magáncélú vagy munkacélú használatát egyeztessék és szerződésben rögzítsék. Például a munkáltató által biztosított eszköz magáncélú használata – eltérő megállapodás hiányában – a törvény szerint alapértelmezetten tiltott, azaz a munkavállaló saját, személyes adatait nem tárolhatja azon. Ez azt is jelenti, hogy a munkaeszközt a hozzátartozók sem használhatják, ahogy nem szabad, hogy lássák a rajta használt vagy tárolt adatokat.
A jogszerű ellenőrzés
Hogy milyen eszközt használ a munkavállaló, az a munkavégzés ellenőrzése során válik fontossá. A munkáltató ugyanis jogszerűen ellenőrizheti az otthoni munkavégzést. Erre a munka törvénykönyve (11/A. §) jogszerű lehetőséget biztosít a munkáltató számára azzal a kitétellel, hogy az e célra alkalmazott technikai eszközről a munkavállalót előzetesen írásban tájékoztatni kell, s az ellenőrzés során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Mivel a munkaadó birtokában lévő számítógépen személyes adatokat nem tárolhat a munkavállaló – hacsak erről nincs eltérő megállapodás –, így az ellenőrzés során a munkaadó a munkavállaló személyes adataihoz nem férhet hozzá. Ha a munkavállaló a saját, otthoni számítógépén végzi a munkáját, akkor már ugyanez nem garantálható. Ezért célszerű és javasolt az ellenőrzésre kiválasztott eszköz előzetes GDPR szempontú szakértői vizsgálata.
Informatikai eszközök
Az otthoni irodában informatikai szempontból a biztonság kialakítása jelenthet kihívást. Ha a vállalat nem írja elő, akkor is használjunk valamilyen antivírus megoldást, végponti védelmet eszközeink biztonságára. Ugyanakkor az internetes csatlakozáshoz használt router biztonsági frissítésére figyeljünk oda (ez egyébként minden szoftverre érvényes), ahogy a vállalati rendszerek eléréséhez VPN (Virtual Private Network) megoldásokat is kell használni.
A VPN szoftverek segítségével egy titkosított csatornát nyitunk a vállalati hálózat felé, ami garantálja, hogy az ott utazó adatokhoz az illetéktelenek nem férnek hozzá. A VPN szoftvereket felhasználónév és jelszó kombinációjával lehet használni, vigyázzunk, hogy ezek ne kerüljenek illetéktelenek kezébe. Ne használjunk gyenge jelszavakat, hiszen azokat célszoftver segítségével percek alatt feltörhetik a támadók. Fontos az erős, jól megválasztott jelszó vagy jelmondat – ezt a legújabb javaslatok szerint már nem is kell cserélni havonta, csak ha fennáll annak a gyanúja, hogy kiszivárgott.
Kétlépcsős azonosítás
A VPN szoftver biztonságát a kétlépcsős azonosítás garantálja. Az azonosításhoz háromféle faktort használhatunk: egyik az ismereten alapuló faktor: jelszó, PIN-kód, jelmondat; második a birtokláson alapuló faktor: szoftveres token, hardveres token, sms, USB token; a harmadik pedig a biometrikus faktor: vagyis az emberre jellemző egyedi biológiai vonás, ujjnyomat, arc, fülnyomat, véna, írisz. Ha ebből a három faktorból kettőt használunk azonosításhoz, akkor – nagy bizonyossággal – az illetékteleneket kiszűrjük a vállalati hálózatból.
Amikor belépünk a vállalati hálózatba, egy megfelelő jogosultsági rendszer szerint kell az adathozzáférést szabályozni. Ez azt jelenti, hogy például a marketing osztály munkatársai nem látnak rá a HR jellegű adatokra, és a HR-es kolléga nem fér hozzá az értékesítési adatokhoz. A megfelelő jogosultságok beállításával garantáljuk, hogy ha egy alacsony felhasználói azonosító illetéktelen kezébe kerül, akkor korlátozott adatokhoz fér hozzá a vállalati hálózatban.
(Cikkünket teljes terjedelmében a Humán Tanácsadó októberi számában olvashatják)
