Transfer i gromadzenie informacji w firmie objęte są przepisami Ustawy o ochronie danych osobowych. Obowiązek ich zabezpieczenia spoczywa na przedsiębiorcach, którzy coraz częściej decydują się na szyfrowanie danych.
- Na czym polega szyfrowanie danych?
- RODO w kadrach, a szyfrowanie informacji
- W jaki sposób szyfrowanie danych wpływa na bezpieczeństwo?
Na czym polega szyfrowanie danych
Dostęp do treści jest w obecnej rzeczywistości niezwykle pożądany — raporty, statystyki i wyniki sprzedażowe stanowią wartościowy materiał gromadzony w pamięci firmowych komputerów. Dane zbierane na twardych dyskach mogą stać się przedmiotem kradzieży, a często nie wystarcza rozbudowany system zabezpieczeń zapory sieciowej, specjalne oprogramowanie, czy programy antywirusowe.
Szyfrowanie informacji polega na przekształceniu zawartości pliku za pomocą odpowiedniego klucza. Dzięki zastosowaniu wzoru matematycznego komunikacja internetowa staje się nieczytelna dla osób nieupoważnionych. W celu ochrony danych powstały specjalistyczne programy umożliwiające szyfrowanie całych zbiorów informacji. Mechanizm ten działa dwukierunkowo — zarówno w procesie zabezpieczania jak i odczytywania danych przez uprawnione osoby.
Współczesne algorytmy szyfrowania wykorzystują metody asymetryczne i symetryczne. Pierwsze z nich opierają się na parze kluczy (publicznym i prywatnym), drugie stosują jeden klucz do szyfrowania i deszyfrowania. Wybór metody zależy od specyfiki przetwarzanych danych oraz poziomu wymaganego bezpieczeństwa w danej organizacji.
RODO w kadrach a szyfrowanie informacji
Prowadząc firmę jesteśmy w szczególny sposób narażeni na wyciek danych osobowych. Brak wdrożonej polityki szyfrowania wpływa bezpośrednio na naruszenie przepisów dotyczących ochrony danych osobowych. To prowadzący działalność decyduje jakie środki zabezpieczające zostaną wykorzystane.
Zbiory przechowywane na twardych dyskach przez biura HR zawierają wrażliwe informacje dotyczące zatrudnionych pracowników, jednak RODO w kadrach to nie jedyny powód, dla którego warto szyfrować dane (SpecFile.pl). Możliwość szyfrowania całych folderów stwarza szansę na zabezpieczenie dużej ilości dokumentów, również dotyczących poufnych informacji na temat klientów firmy, czy wyników niejawnych analiz.
W myśl obowiązujących przepisów całokształt dokumentacji pracowniczej, zarówno osobowej jak i płacowej, może być przechowywany w formie elektronicznej. Prowadzona polityka personalna wymaga stosownych zabezpieczeń przed nieuprawnionym dostępem oraz szkodliwym oprogramowaniem. Przedsiębiorcy, którzy zlecają przetwarzanie danych zewnętrznym podmiotom, muszą pamiętać o wdrożeniu odpowiednich procedur zabezpieczających również u swoich partnerów biznesowych.
Nowoczesne aplikacje pozwalają na przechowywanie zaszyfrowanych danych zarówno na twardym dysku komputera, dysku sieciowym, na pendrive, czy w tzw. chmurze. Przechowywanie danych w chmurze wymaga jednak dodatkowej uwagi — należy upewnić się, że dostawca usługi stosuje certyfikowane mechanizmy bezpieczeństwa zgodne z wymogami RODO.
Obowiązki pracodawcy wynikające z RODO
Administrator danych (pracodawca) zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych. Szyfrowanie stanowi jeden z podstawowych środków technicznych rekomendowanych przez Urząd Ochrony Danych Osobowych.
Do najważniejszych obowiązków należą:
- Prowadzenie rejestru czynności przetwarzania danych osobowych
- Wyznaczenie Inspektora Ochrony Danych (jeśli wymagane)
- Przeprowadzanie regularnych ocen ryzyka naruszenia danych
- Szkolenie pracowników w zakresie ochrony danych osobowych
- Stosowanie szyfrowania podczas przekazywania i przechowywania danych
Dokumentacja podlegająca obowiązkowi szyfrowania
W praktyce kadrowej szczególnej ochronie podlegają następujące kategorie dokumentów:
- Umowy o pracę i aneksy do umów
- Dokumenty zawierające numery PESEL, dane adresowe i kontaktowe
- Informacje o wynagrodzeniach i świadczeniach pracowniczych
- Dokumentacja dotycząca ocen pracowniczych i kar porządkowych
- Dane dotyczące zdrowia (zwolnienia lekarskie, orzeczenia medycyny pracy)
- Dokumenty związane z postępowaniami dyscyplinarnymi
W jaki sposób szyfrowanie danych wpływa na bezpieczeństwo
Dzięki wdrożonej polityce szyfrowania dane firmy są właściwie chronione, a proces w najmniejszym stopniu nie spowalnia wydajności i efektywności procesów biznesowych. Środki w postaci specjalistycznych programów i aplikacji, zastosowane przez administratora lub podmiot przetwarzający dane, minimalizują ryzyko zniszczenia, utraty, wycieku i nieuprawnionego dostępu. Zabezpieczenia mają zapobiec, przede wszystkim uszczerbkowi fizycznemu, majątkowemu i niematerialnemu.
Obsługa dostępnych programów szyfrujących nie wymaga specjalistycznej wiedzy — w celu zabezpieczenia dokumentu wystarczy jedno kliknięcie. Istotne, że szyfrowanie dokumentów nie wymaga połączenia z Internetem, a edycja zaszyfrowanego pliku skutkuje zawsze automatycznym zabezpieczeniem po jego zamknięciu.
Praktyczne korzyści z wdrożenia szyfrowania
Zastosowanie szyfrowania przynosi wymierne korzyści wykraczające poza same wymogi prawne. Przedsiębiorstwa zyskują kompleksową ochronę przed różnorodnymi zagrożeniami występującymi w środowisku cyfrowym.
Najważniejsze zalety to:
- Ochrona przed nieuprawnionym dostępem w przypadku kradzieży lub zgubienia nośnika danych
- Zabezpieczenie informacji przesyłanych przez Internet lub sieci wewnętrzne
- Możliwość selektywnego udostępniania danych tylko uprawnionym osobom
- Automatyczne logowanie prób dostępu do zaszyfrowanych plików
- Spełnienie wymogów klientów i partnerów biznesowych dotyczących bezpieczeństwa danych
Wybór odpowiedniego oprogramowania szyfrującego
Na rynku dostępne są zarówno bezpłatne jak i komercyjne rozwiązania do szyfrowania danych. Przy wyborze oprogramowania warto zwrócić uwagę na kilka podstawowych kryteriów decydujących o jego przydatności w środowisku biznesowym.
| Kryterium | Opis |
|---|---|
| Standard szyfrowania | Program powinien wykorzystywać algorytm AES-256 lub równoważny |
| Integracja z systemem | Płynna współpraca z używanymi aplikacjami biurowymi |
| Łatwość użycia | Intuicyjny interfejs umożliwiający szybkie szyfrowanie plików |
| Wsparcie techniczne | Dostępność pomocy w języku polskim i dokumentacji |
| Zarządzanie kluczami | Bezpieczne przechowywanie i odzyskiwanie kluczy szyfrujących |
Procedury awaryjne i odzyskiwanie danych
Wdrożenie szyfrowania wymaga opracowania procedur awaryjnych na wypadek utraty klucza szyfrującego lub awarii systemu. Odpowiednie przygotowanie pozwala uniknąć sytuacji, w której zaszyfrowane dane stają się bezpowrotnie niedostępne.
Zalecane praktyki obejmują:
- Tworzenie kopii zapasowych kluczy szyfrujących i przechowywanie ich w bezpiecznej lokalizacji
- Wyznaczenie co najmniej dwóch osób upoważnionych do zarządzania kluczami głównymi
- Regularne testowanie procedur odzyskiwania zaszyfrowanych danych
- Dokumentowanie wszystkich operacji związanych z zarządzaniem kluczami
- Przygotowanie planu działania na wypadek kompromitacji klucza szyfrującego
1 comment