Clear desk policy
TARTALOMJEGYZÉK
MI IS A CLEAR DESK POLICY? 2
És akkor létezik Clear Screen Policy is? 3
Mi szükséges a bevezetéséhez? 4
AMIT AZ ISO 27001-RŐL TUDNI ÉRDEMES 4
ESETTANULMÁNY EGY VESZPRÉMI MULTINACIONÁLIS VÁLLALATNÁL 6
ELLENŐRZŐ KÉRDÉSEK 7
FORRÁSJEGYZÉK 8
2
Mi is a Clear Desk Policy?
„Azok, akik büszkék arra, hogy szabályos rend van az íróasztalukon, soha nem tapasztalják meg azt az izgalmat, hogy megtalálnak valamit, amiről azt gondolták, hogy menthetetlenül elveszett.”
/Helen Exley/
A Clear Desk Policy nem más, mint egy irányelv, mely szerint a vállalat minden dolgozójának kötelessége íróasztalát tisztán tartani. Ez nem csupán a dokumentumok rendszerezését, de a post-it jegyzetek, névjegykártyák, s a hordozható média eltávolítását is magában foglalja.
Az információ értelemmel bíró adat, melynek veszteségéből komoly következményekkel számolhat bármely vállalat. Az információ különböző módon jelenhet meg: írásos, digitális, hangadat, film, stb. Akkor tekinthetünk egy információt biztosnak, ha minden esetben megőrzi bizalmasságát, sértetlenségét, rendelkezésre állását. S minél több az információ, annál nagyobb a fenyegetettség.
Az információvesztés megelőzésének érdekében megkülönböztetünk adatvédelmet és adatbiztonságot.
Mielőtt azt gondolnánk, ez csupán az esztétikus látvány miatt szükséges, vizsgáljuk meg a mellette szóló érveket:
1. Időt és pénzt spórolhatunk vele
Az International Data Corporation felmérései alapján egy átlagos dolgozó képes akár napi 2,5 órát eltölteni azzal, hogy információ után kutat, mert nem tudja, hova tette korábban. Ha ezt az időt átszámítjuk munkáltató által fizetett költségre, meglepően nagy számokat kapunk. S mivel a vállalatok tőkéje nagyrészt az információkban fekszik, az esetleges adatvesztéskor, adatlopáskor felmerülő költségek nagymértékben károsíthatják a céget.
2. Jó benyomást kelt
Ki tudja, ki és mikor látogat el a céghez? A tiszta és rendezett munkakörnyezet hatékonyságot sugall. Ez egy esetleges auditkor pedig döntő tényező lehet.
3
3. Egyszerűen betartható
Nem csak egy szabványról, hanem szabványcsalád részéről beszélhetünk, ha a Clear Desk Policyt tárgyaljuk. Mégsem igényel túlzott idő és energia ráfordítást, hozama viszont igen kedvező. El nem hinnénk, mennyi adatot védhetünk meg azáltal, hogy rendet tartunk.
4. Elijeszti a fürkésző szemeket
A dolgozók gyakran hagynak szenzitív adatokat asztalukon. Elmondható, hogy a post-it cédulák éllovasok a szabadon hagyott információhordozás tekintetében. Egy-egy név, telefonszám, sőt felhasználónév és jelszó tekint a monitor sarkáról vissza. Mások (dolgozók, takarítók, biztonságiak) akarva, netán akaratlanul is oda pillantanak, az információnak pedig már lába is kélt.
5. Csökkenti a stresszt
Egy hely mindennek, s minden a maga helyén. Ezt az elvet követve munkánkat hatékonyabbá, gyorsabbá tehetjük. Megkímélve magunkat a kellemetlen percektől, melyeket riportok keresgélésével töltjük.
És akkor létezik Clear Screen Policy is?
Természetesen nagyon is létezik, sőt, kéz- a kézben jár a két szabályozás egymással. A Clear Screen Policy lehetővé teszi minden egyes alkalmazott számára, hogy munkaterületük elhagyásakor az általuk végzett digitális tevékenység ne kerülhessen illetéktelenek kezébe.
Különböző hozzáférési engedélyekkel szabályozza, hogy milyen adatot mely személy tekinthet meg, esetleg módosíthat. Implementálása egyszerű, minden egyes dolgozót saját felhasználónév- jelszó párossal kell ellátni számítógépükhöz történő belépéshez. Betartása viszont nagyon nehéz, hiszen sokan feledkeznek meg arról egy rövid szünet alkalmával, hogy kijelentkezzenek, zárolják saját fiókjukat.
Legnagyobb problémát a céges adatbázisok esetén tapasztalhatunk, hiszen több hozzáférést is biztosítanak egyetlen dokumentumhoz. Ha megnyitva marad egy ilyen információ egység, könnyen megeshet, hogy más módosítaná, de nem tudja. Hisz egy hálózaton egy dokumentumot nem lehet kétszer megnyitni, ez lassíthatja a munkavégzés menetét.
4
Mi szükséges a bevezetéséhez?
Ha biztosak vagyunk benne, hogy vállalatunk számára a szabályozás hasznos, először foglaljuk írásba. Mindenkinek aláírásával kell tanúsítani, hogy a szabályzatot megértette.
Addig viszont nem lehet bevezetni, míg a dolgozók számára kellő tároló helyet nem biztosítunk. Ezen fiókok, szekrények, dobozok legyenek zárhatóak.
Ösztönözni kell mindenkit arra, hogy a lehető legkevesebb papír alapú információt tárolja, inkább az elektronikus tárhelyeiket használják erre a célra. Ezt elősegítve hozzáadhatunk digitális aláírásunkhoz egy emlékeztetőt, mely ráadásul külső személyek számára imponáló, hisz cégünk tesz a környezetért is. Természetesen ez felveti a digitális tárhely kapacitásbővítésének igényét.
Azon dokumentumoktól, melyekre már nincs szükség, igyekezzünk minél biztonságosabban megválni. A Fellowes kutatásai során kiderítették, hogy egy átlagos vállalatnál a mintegy 200 kg szemétből 37 kg a vállalati információkat tartalmazó fontos iratokból állt. 37 kg megfontolatlan, meg nem semmisített bizonyíték, tömör adat. Tartalmazva fizetési papírt, tartózkodási kérelmet, bankszámlaegyenleget és hivatalos okmányok másolatait. Előzzük meg az identitáslopást, a kukából kihalászott adatokkal való visszaélést!
Amennyiben a digitális adattárolás megvalósul, elengedhetetlen a rendszeres biztonsági mentés. Hiszen a biztonságba a sértetlenség is bele tartozik.
Amit az ISO 27001-ről tudni érdemes
Az ISO 27001-es szabvány nem kötelezően betartandó, de irányelv azon vállalatok számára, kik komoly jelentőséget tulajdonítanak partnereik és saját adataik teljes biztonságának. Az ISO 27001 két részből áll: az irányítási rendszerből és a szükséges intézkedésekből, amelyeket mindenképpen figyelembe kell venni.
A tanúsítvány kizárólag magán cégektől szerezhető meg, így a rendelkezésre álló adatok a világ összes ilyen tanúsítványával rendelkező vállalatairól nem relevánsak és elavultak, hisz nem kötelesek bejelenteni. Az ISO által végzett felmérés jól szemlélteti, milyen ütemben növekedett a tanúsítvánnyal rendelkező vállalatok száma évről-évre egymáshoz képest.
5
Modellként szolgál az Információbiztonsági Irányítási Rendszerek (IBIR) megalkotásától egészen azok ellenőrzéséig. Minden szervezet számára elérhető ez a rendszer, akár kis- nagyvállalatról, akár profit-, vagy nonprofit szervezetről beszélünk.
Implementálása számos előnnyel jár, egy ilyen rendszer telepítésével új kritériumoknak felel meg a vállalat. Például egy szolgáltatást nyújtó cég esetén vevői megkövetelhetik e kritériumnak való megfelelését, ez által újabb vevőkre tehet szert a vállalat.
Mivel a tanúsítvány arra irányul, hogy fokozott elővigyázatossággal kezeljük az információkat, ezen rendszer kiépítése után a vállalat vevői magasabb szintű bizalommal fordulnak partnerükhöz, hiszen teljes meggyőződéssel állíthatják, hogy személyes adataik komoly biztonság alatt állnak.
Ahol tanácsos bevezetni és tanúsíttatni az információvédelmi irányítási rendszert:
Informatikai és telekommunikációs cégek
melyek ügyfeleik személyi adatainak kezelésével foglalkoznak
vagyonvédelemmel, biztonsági és védelmi technológiával foglalkoznak
elektronikus úton érintkeznek partnerükkel
egészségügyi intézmények
szolgáltatók
ISO 27001 tanúsítvánnyal rendelkező vállalatok számának átlagos éves növekedése %-ban
(ISO Survey adatai alapján)
6
Esettanulmány egy veszprémi multinacionális vállalatnál
Csoportunk több tagja szakmai gyakorlatát autóipari multinacionális vállalatnál végzi. Ezen idő alatt megismerkedtünk több multi által használt szabványokkal, szabályzatokkal, előírásokkal. Többek között az irodai 5S fogalmával is. Ez az előírás meghatározza minden egyes egyterű vagy zárt irodában dolgozó személy íróasztalának környezetét, illetve magának a munkakörnyezetnek a kinézetét.
Tartalmazza az íróasztalon elhelyezkedő számítógép és tartozékai, irodai eszközök pontos helyét. Ezek mellett minden irodai dolgozó egy személyes tárgyat helyezhet el asztalán. Tapasztalataink azt mutatják, hogy ezt a szabályt igen nehéz betartani, sokan feledkeznek meg asztalon hagyott értékeikről.
Ha körbe tekintünk az irodában, olyan fontos információkra lelhetünk a munkaállomásokon, melyek más területek fontos adatait tartalmazzák. Audit esetén természetesen a fenti példa nem létezik, hisz olyankor mindenki tökéletesen megfelel az irodai 5S szabványnak.
Külső információk alapján más multinacionális cégnél ez az előírás olyan mértékig követeli a betartást, hogy az íróasztalon elhelyezkedő tárgyak feljelölt zónákban kell, hogy elhelyezkedjenek.
Az információvédelem nem csak az asztalon hagyott személyes tárgyak, irodai kellékek és dokumentumok esetén értelmezendők, hiszen kollégáink „digitális asztaláról” is sok információ szerezhetünk meg. Ennek megelőzése érdekében a monitorokra olyan védőfólia helyezhető, mellyel csak az adott számítógépet használó dolgozó láthatja kijelzőjének tartalmát. Minden más körülötte lévő alkalmazott számára a beesési szög miatt lehetetlenné teszi az adatok kifürkészését.
Mivel cégünk a jelszavak védelme érdekében is hatékonyan jár el, minden dolgozó részére fényképes, névvel ellátott chipes kártyát biztosít. A kártya nélkül felhasználójuk kizárólag egy titkos kóddal használható, melyet ők tudnak csak megigényelni. A kártya eltávolítása a számítógépből megakadályozza, hogy illetéktelenek böngésszék adatbázisunkat távollétünk során.
Véleményünk szerint az adatvédelem minden cég életében a legfontosabb pillér, mely ha nem stabil, a vállalat komoly veszteségeknek lehet kitéve. Minden vállalatnál fellelhetők olyan információk, melynek köztudatba való kikerülése tevékenységük végét is jelentheti.
7
Ezáltal mindenek elé helyezendő, hogy adatvédelmi információs rendszereik kiépítése megtörténjen, s rendszeres ellenőrzés alá vegyék. Nem kivételként kezelendők alkalmazottaik személyes adatai, hiszen ők vállalatuk legfontosabb erőforrásai, s szeretnék, ha minden alkalmazott biztonságban érezné magát, bizalommal fordulna a céghez.
Ellenőrző kérdések
1. Mikor tekinthetünk egy információt biztosnak?
Akkor, ha minden esetben megőrzi bizalmasságát, sértetlenségét, rendelkezésre állását.
2. Mi az IBIR?
Információbiztonsági Irányítási Rendszer
3. Milyen pszichológiai hatást vált ki a vevőkre nézve, ha egy cég rendelkezik az ISO 27001-es tanúsítvánnyal?
A vállalat vevői magasabb szintű bizalommal fordulnak partnerükhöz, hiszen teljes meggyőződéssel állíthatják, hogy személyes adataik komoly biztonság alatt állnak.
8
Forrásjegyzék
http://www.piacesprofit.hu/kkv_cegblog/bizalmas-iratok-a-kukaban-jobban-kell-ugyelnunk/
https://advisera.com/27001academy/what-is-iso-27001/?icn=free-what-is-iso-27001&ici=top-iso-27001-txt
http://vtki.uni-nke.hu/uploads/media_items/informaciobiztonsagi-tudatossag-gyakorlat.original.pdf – 27.oldal
https://www.iso.org
Nádasi András, Racskó Réka- IKT erőforrás-menedzsment (2014)- 43, 44. oldal