eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesuWyciek danych? Nie daj się ponieść emocjom

Wyciek danych? Nie daj się ponieść emocjom

2015-06-24 10:23

Wyciek danych? Nie daj się ponieść emocjom

Co robić, gdy z firmy wyciekną dane? © tadamichi - Fotolia.com

W ostatnim czasie dużo mówi się o ochronie danych osobowych. Nic dziwnego - okoliczności sprzyjających rozpoczęciu dyskusji na ten temat ostatnio nie brakowało. Szerokim echem w mediach odbiło się nie tylko upublicznienie przez Zbigniewa S. akt afery taśmowej, ale również sprawa hakera, któremu udało się wykraść,a a następnie ujawnić dane klientów Plus Banku. Tak spektakularne przypadki zapewne zbyt szybko się nie powtórzą, ale warto pamiętać, że do wycieków danych dochodzi niemal każdego dnia.

Przeczytaj także: Rejestracja ABI w GIODO do końca czerwca 2015 roku!

Bywa, że mniejsze incydenty są często po prostu niezauważane. Źle zaadresowany mail, niezastosowanie kopii ukrytej w korespondencji grupowej, czy pozostawione w sali konferencyjnej CV kandydatów do pracy to przypadki, które zdarzają się dość często. Zazwyczaj nie są one nigdzie zgłaszane i nie wiążą się z żadnymi konsekwencjami ani ze strony przełożonych, ani osób, których dane zostały bezprawnie udostępnione. Niezależnie jednak od skali przewinienia może się zdarzyć, że osoby, których dane zostały bezprawnie udostępnione lub przetwarzane zechcą zgłosić skargę, a nawet zawiadomić o zdarzeniu media. Wówczas z pozoru niewielkie zdarzenie może urosnąć do niewiarygodnych rozmiarów i bardzo negatywnie odbić się na wizerunku danej firmy czy instytucji.

Maciej Kaczmarski, prezes zarządu ODO 24 jest zdania, że incydentów związanych z ochroną danych osobowych nie da się całkowicie wyeliminować.
Mamy tu do czynienia z czynnikiem ludzkim, a ludzką rzeczą jest się mylić. Aby jednak te pomyłki były jak najmniej brzemienne w skutki, warto się po prostu na nie przygotować. Najprostszym rozwiązaniem jest stworzenie jasnej instrukcji alarmowej, dzięki której każdy z pracowników będzie wiedział, co ma robić, gdy zaobserwuje lub zostanie poinformowany o wycieku danych z firmy – radzi.

Informacja i spokój


Gdy mamy podejrzenie, że możemy mieć do czynienia z wyciekiem danych, należy przede wszystkim zachować spokój i jak najszybciej poinformować o zdarzeniu naszego administratora bezpieczeństwa informacji (ABI). Od tego momentu to on jest osobą odpowiedzialną za dalsze działania. Jego zadaniem jest szczegółowe ustalenie, co się stało oraz, jeśli to możliwe, zabezpieczenie wyciekłych już danych (np. zebranie firmowych dokumentów znalezionych na śmietniku) lub uniemożliwienie ich dalszego udostępniania (np. zablokowanie udostępnionego pliku z danymi). Po opanowaniu sytuacji ABI sporządza protokół ze zdarzenia i wdraża niezbędne ulepszenia w systemie ochrony danych.

Gdy mamy do czynienia z nieodwracalnymi skutkami incydentu, np. gdy przypadkowo udostępniony plik został już wielokrotnie pobrany, pozostaje już tylko przeprosić osoby poszkodowane, być może zadbać o odpowiednią rekompensatę i oczywiście zrobić wszystko, aby takie zdarzenie nie miało miejsca w przyszłości.

fot. tadamichi - Fotolia.com

Co robić, gdy z firmy wyciekną dane?

Gdy mamy podejrzenie, że możemy mieć do czynienia z wyciekiem danych, należy przede wszystkim zachować spokój i jak najszybciej poinformować o zdarzeniu naszego administratora bezpieczeństwa informacji (ABI).


Ścisła współpraca z zarządem i spójna komunikacja


Dobrze by ABI, szczególnie w przypadku incydentów na większą skalę i o nieodwracalnych skutkach, ściśle współpracował z zarządem firmy i, jeśli taka funkcja w firmie istnieje, z rzecznikiem prasowym lub ekspertem ds. PR. Może się zdarzyć, że o wycieku danych dowiedzą się dziennikarze, być może nawet dowiedzą przed nami. Dobrze wówczas prowadzić z nimi spójną i przemyślaną komunikację i zdecydowanie nie uciekać od odpowiedzialności, jeśli faktycznie okaże się, że ktoś w naszej firmie popełnił błąd.

Dostęp do informacji jest współcześnie niezwykle szeroki więc każda, czasem nawet najmniejsza wzmianka na portalu społecznościowym czy na forum dyskusyjnym może stać się początkiem poważnej sytuacji kryzysowej. Warto więc rzetelnie poinformować zainteresowane strony – klientów, współpracowników, dziennikarzy – o zaistniałym incydencie, działaniach, jakie zostały poczynione w celu zminimalizowania jego skutków oraz działaniach, jakie mają zapobiec tego typu zdarzeniom w przyszłości.
Właściwa reakcja na sytuację kryzysową związaną z wyciekiem danych świadczy o profesjonalizmie organizacji i poważnym podejściu do najważniejszych firmowych zasobów, jakimi są informacje – podkreśla prezes ODO 24. Kryzys nie jest momentem na przerzucanie się odpowiedzialnością czy publiczne poszukiwanie i karanie winnych. W jego obliczu firma powinna grać do jednej bramki. Na wewnętrzne rozliczenia i analizy przyjdzie jeszcze czas – dodaje Maciej Kaczmarski.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (1)

  • Najwyższa pora wziąć się za hakerów!

    Ebrow / 2015-06-24 10:57:37

    Za bardzo pobłażamy przestępcom komputerowym i mamy tego efekty. Kary za haking powinny być dużo surowsze, a policja zobowiązać się do skutecznego łapania sprawców wycieków. odpowiedz ] [ cytuj ]

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: