Publicystyka - ngo.pl

Istotne jest, abyście zapoznali się z domyślnymi funkcjami z zakresu bezpieczeństwa wybranego narzędzia. Możliwe, że będzie on węższy niż się spodziewacie. Wtedy rekomendujemy skorzystanie z dodatkowego oprogramowania w celu ochrony danych przed kradzieżą lub ich przypadkową utratą.

Poniżej przedstawiamy najważniejsze obszary, o których warto pamiętać, aby zachować bezpieczeństwo w cyberświecie. Pamiętajcie o nich szczególnie, kiedy planujecie przejść do chmury.

Dużą zaletą przechowywania dokumentów w chmurze jest możliwość dostępu do plików z dowolnego miejsca. Aby zachować bezpieczeństwo wrażliwych danych, warto skorzystać z funkcji przydzielania dostępu do poszczególnych danych, folderów czy dysków. Dodając nową osobę do zespołu, zastanówcie się, do których zasobów faktycznie ta osoba powinna mieć dostęp: czy do wszystkich danych w organizacji, czy tylko do danych związanych z jej zakresem obowiązków czy projektem?

Przydzielając poziomy dostępu i uprawnień pracownikowi organizacji, najlepiej kierować się zasadą ograniczonego zaufania – im mniej, tym lepiej, czyli udostępniać te zasoby, do których faktycznie potrzebuje on dostępu, aby wykonać swoje zadania.

Aplikacje i programy do zarządzania dokumentami, takie jak: Box, OndDrive czy Google Drive wykorzystują systemy oparte na rolach do zarządzania dostępem. Zawierają one domyślne poziomy, takie jak „tryb administratora” lub „tylko do odczytu”, a także opcję tworzenia ról niestandardowych. Dzięki temu można dokładnie rozważyć, jaką rolę dana osoba pełni w organizacji i jakiego typu dostępu potrzebuje, a następnie odpowiednio skonfigurować uprawnienia. Często można nadawać uprawnienia na poziomie konkretnych folderów czy plików, dlatego zachęcamy do stworzenia przejrzystej struktury folderów. Zmniejszy to prawdopodobieństwo przypadkowej utraty danych oraz łatwiej będzie Wam skontrolować szkody w przypadku cyberataku. W przypadku udanego ataku hakerskiego, zagrożone będą tylko dokumenty, do których ta osoba miała dostęp.

Wdrożenie polityki i aplikacji oferujących dodatkową ochronę podczas logowania np. z użyciem podwójnej weryfikacji jest niezbędne. Narzędzia pojedynczego logowania (SSO) i uwierzytelniania wieloczynnikowego (MFA) to doskonałe sposoby zapobiegania nielegalnemu dostępowi do baz danych w przypadku złamania hasła.

Systemy pojedynczego logowania zapewniają dostęp do wielu różnych narzędzi z jednego pulpitu nawigacyjnego, co pozwala na zaostrzenie bezpieczeństwa aplikacji bez konieczności śledzenia wielu różnych haseł.

Uwierzytelnianie wieloczynnikowe wymaga od pracowników przejścia przez dodatkowy etap uwierzytelniania podczas logowania, np. weryfikację tożsamości z poziomu aplikacji w telefonie. Dzięki temu bardzo trudno jest komuś dostać się na konto pracownika nawet z jego hasłem, ponieważ MFA będzie przywiązane do jednego urządzenia, takiego jak jego osobisty telefon. Jednym z takich przykładów jest aplikacja Okta – narzędzie do zarządzania tożsamością.

Warto również wdrożyć zasady korzystania z urządzeń, gdy pracownicy pracują poza biurem. Pomoże to zespołowi zrozumieć, jak wygląda właściwe i niewłaściwe korzystanie z komputera i narzędzi wykorzystywanych w organizacji. Zwróci też uwagę na pewne zagrożenia, których do tej pory mogli nie brać pod uwagę. Jednym z przykładów jest korzystanie z publicznego Wi-Fi. Kiedy łączycie się z Internetem w kawiarni lub innej przestrzeni publicznej, osoba niepowołana może uzyskać dostęp do Waszych danych za pośrednictwem tego łącza. Dlatego ważne jest, aby używać VPN, narzędzia do szyfrowania danych.

Pamiętajcie również, aby wyłączyć widoczność komputera dla innych, konfigurując ustawienia zapory w ustawieniach sieci publicznej.

Posiadanie kilku kopii zapasowych i punktów odzyskiwania, do których można uzyskać dostęp i z których można przywrócić dane w dowolnym momencie. Niezależnie czy pracujecie na aplikacjach stacjonarnych, czy chmurowych.

Niektóre narzędzia do zarządzania dokumentami w chmurze umożliwiają przywrócenie poprzednich wersji pliku. Jednak niech to nie zwalnia Was z dobrego nawyku tworzenia kopii zapasowych – przechowywanych w osobnym miejscu. Możecie skorzystać z takich programów jak Veritas, który umożliwia stałe tworzenie kopii plików, co będzie pomocne w przypadku ataku lub przypadkowej utraty danych.

Niestety, nawet jeśli zastosujesz się do wszystkich wymienionych wcześniej wskazówek, nadal istnieje możliwość wystąpienia incydentu bezpieczeństwa (np. ataku hackerskiego).

Incydentem bezpieczeństwa nazywamy zdarzenie, które doprowadziło lub może doprowadzić do naruszenia bezpieczeństwa danych. Warto, aby każda organizacja przygotowała się na taką sytuację już wcześniej, co pozwoli na znaczące ograniczenie potencjalnych strat.

Pamiętajcie, aby w planie awaryjnym uwzględnić m.in.:

• weryfikację, czy dane zostały skradzione,
• listę osób, z którymi należy się skontaktować,
• wszelkie działania prawne, które należy podjąć.

Jeśli zauważycie nieprawidłowości na swojej stronie internetowej, w systemie przechowywania plików lub na koncie bankowym, wskazujące na to, że ktoś uzyskał niedozwolony dostęp, to mógł zaistnieć incydent bezpieczeństwa. Krokiem, który powinniście teraz podjąć jest dalsza analiza, czy dane rzeczywiście zostały skradzione. Jeśli okaże się, że tak, może być wymagane zgłoszenie incydentu do odpowiednich organów, jak również przeprowadzenie wewnętrznego dochodzenia i odzyskanie danych przy użyciu kopii zapasowych.

Co do zasady, najlepiej jest być tak szczerym i przejrzystym wobec swojej społeczności i użytkowników, jak to tylko możliwe. Zwłaszcza jeśli doszło do naruszenia danych. To, wraz z pełnym planem działania, pomoże Wam odzyskać dane tak szybko, jak to możliwe i zapobiec dalszym kradzieżom lub szkodom, a także utrzymać reputację i zaufanie Waszej organizacji.

Łącząc oprogramowanie, procedury oraz edukację, możecie stworzyć skuteczny system, który pomoże Wam zapewnić bezpieczeństwo danych i programów w waszej organizacji. Za pośrednictwem programu TechSoup Polska możecie również uzyskać dostęp do szerokiej gamy narzędzi, porad i kursów, które mogą Wam w ochronie organizacji przed cyberatakami i utratą danych.

• Przewodnik: jak zarejestrować się w programie TechSoup
• Narzędzia, które pozwolą zadbać o cyberbezpieczeństwo Twojej organizacji pozarządowej
• Bezpłatny kurs z cyberbezpieczeństwa na platformie Hive Mind
• Nagranie webinaru: Jak od zaraz poprawić bezpieczeństwo w sieci: własne oraz Twojego NGO