wewnętrzne reguły i organizacja
- z jakiego sprzętu może korzystać w ramach pracy zdalnej (służbowy/prywatny);
- w przypadku sprzętu prywatnego – jakie zabezpieczenia powinny być wdrożone na tym sprzęcie (np. oprogramowanie antywirusowe, szyfrowanie dysku lub poszczególnych folderów, etc.);
- gdzie należy przechowywać dane (np. na dysku udostępnianym przez dostawcę usług chmurowych);
- czy można przechowywać dane na lokalnym komputerze (np. laptopie);
- czy można korzystać z nośników wymiennych (np. pendrive’ów) w celu przechowania danych i jeżeli tak – jak powinny być zabezpieczone;
- jak powinna być zabezpieczona sieć domowa (np. router);
- jak powinien być przechowywany sprzęt komputerowy wykorzystywany do pracy zdalnej;
- jak i gdzie przechowywać dokumenty papierowe;
- jak zgłaszać przypadki naruszenia (lub samego podejrzenia) bezpieczeństwa (np. podejrzenie kradzieży danych);
- w jaki sposób wykorzystywać pocztę e-mail (czy i jak np. szyfrować załączniki e-maili);
- z jakich systemów należy korzystać w ramach pracy zdalnej (np. z jakich komunikatorów);
- czego unikać w ramach pracy zdalnej (np. przeglądanie danych przez osoby postronne; zasada czystego biurka).
weryfikacja
Sieć domowa
- zmieniono domyślne hasło do routera w ramach domowej sieci;
- hasła do routera i do sieci Wi-Fi są odpowiednio skomplikowane;
- oprogramowanie routera jest aktualne;
- router jest fizycznie zabezpieczony przed dostępem osób postronnych;
- pracodawca umożliwia korzystanie na komputerach z szyfrowania VPN.
Zobacz również:
Jak wykonywać obowiązki dotyczące bezpieczeństwa i higieny pracy w czasie pandemii
Stacje robocze
- czy oprogramowanie służące do pracy zdalnej jest legalne i może być wykorzystywane do tego celu (niektóre typy licencji „niekomercyjnych” mogą tego zabraniać);
- czy na komputerze zainstalowany jest aktualny program antywirusowy/firewall (czy baza sygnatur wirusów jest aktualna/automatycznie aktualizowana);
- czy system operacyjny komputera jest aktualny i automatycznie aktualizowany;
- czy zabezpieczono dysk (lub poszczególne foldery) poprzez szyfrowanie (np. program Bitlocker w przypadku systemu Windows 10);
- w jaki sposób przechowywane jest hasło dostępowe do systemu operacyjnego komputera (czy jest odpowiednio skomplikowane);
- czy komputer wymaga logowania
- w jaki sposób tworzone są kopie zapasowe i czy są zabezpieczone (a także gdzie należy je przechowywać);
- jak przechowywane są komputery (czy zabezpieczono przed kradzieżą/uszkodzeniem).
RODO - przykłady z praktyki >>
Nośniki wymienne
- czy wykorzystywane są nośniki wymienne;
- jak zabezpieczone są nośniki wymienne (szyfrowanie);
- gdzie przechowywane są nośniki wymienne i chronione przed kradzieżą/zgubieniem.
Dostęp do systemów
- jak zabezpieczono dostęp do systemów, w tym danych uzyskiwany poprzez internet (np. hasła do aplikacji dostępnych przez przeglądarkę, czy wdrożono mechanizm dwuskładnikowego uwierzytelnienia);
- czy hasło do poczty elektronicznej jest odpowiednio złożone i bezpiecznie przechowywane;
- kto ma dostęp do systemów i czy nie jest on zbyt szeroki (wgląd do danych w zbyt szerokim zakresie);
- jak przechowywane są lokalnie hasła do systemów/aplikacji (np. wykorzystanie menedżerów haseł);
- czy i jak odseparowano (lub ustalono w tym zakresie zasady) odnośnie odseparowania danych prywatnych od służbowych (gdy możliwe jest korzystanie ze sprzętu prywatnego);
- czy pracownicy zostali poinformowani, jak chronić się przed phishingiem (podszywanie się w ramach korespondencji pod osobę/instytucję w celu np. wyłudzenia informacji).
Wideokonferencje
- jakie narzędzia do wideokonferencji są wykorzystywane w organizacji;
- czy zawarto umowę powierzenia z dostawcami tych usług;
- czy dopuszczalne jest nagrywanie spotkań online;
- w jaki sposób uczestnicy informowani są o nagrywaniu spotkania;
- kogo można zapraszać do wideokonferencji (np. osoby spoza urzędu);
- jak wysyłany jest dostęp do wideokonferencji i czy może być on wykorzystany przez osobę postronną (np. poprzez przesłanie linku do wideokonferencji dalej);
- czy dostęp do wideokonferencji jest zabezpieczony hasłem;
- gdzie i na jakich zasadach przechowywane są nagrania z wideokonferencji;
- gdzie przechowywane są pliki udostępniane w ramach wideokonferencji;
- czy dopuszczalne jest udostępnianie pulpitu w czasie wideokonferencji i czy zweryfikowano zagrożenia z tym związane;
- kto będzie miał dostęp do korespondencji realizowanej w czasie spotkania online (popularne czaty online).©℗