W ostatnich latach użytkowanie mobilnego sprzętu IT w przedsiębiorstwach stało się coraz bardziej popularne, a COVID i praca zdalna podczas zmniejszonego obłożenia w hotelu bądź kwarantanny pracownika, tylko zwiększyły jego skalę.
Mobilny sprzęt wykorzystujemy w korespondencji mailowej, dokonywaniu przelewów firmowych, przy zdalnej pracy z bazami danych gości i kontrahentów.
Należy jednak pamiętać, że każda z tych czynności może stanowić realne zagrożenie dla firmowych danych i tworzyć “furtkę” dla hakerów.
Wszechobecne smartfony nie są już tylko urządzeniami do komunikacji telefonicznej, ale służą również do obsługi poczty mailowej, wymiany informacji (przesyłania ważnych plików) za pomocą komunikatorów takich jak Whatsapp, Signal, itp.
Bardzo często zdarza się, że pracownicy korzystają nie tylko ze służbowego sprzętu, ale również z prywatnego. Z moich obserwacji wynika, że z prywatnych laptopów korzystają głównie dyrektorzy, ale z prywatnych smartfonów już dużo większa grupa kadry managerskiej.
Wielu właścicieli hoteli wyraża na to zgodę, czasem z powodu nadmiernego zaufania do ich właścicieli, a czasem szukając pozornych oszczędności.
Sprzęt stanowiący własność pracownika na którym przetwarzane są dane pracodawcy pozostaje zwykle poza nadzorem informatyka, a po zakończeniu współpracy pracownika znika wraz z danymi które się na nim znalazły.
Nikt nie wymusi na pracowniku, aby odchodząc z pracy przekazał swój prywatny laptop lub smartfon informatykowi w celu weryfikacji i wyczyszczenia firmowych plików.
Chcę też zaznaczyć, że instalowanie karty SIM służbowej i prywatnej w jednym smartfonie który umożliwia korzystanie jednocześnie z dwóch kart SIM jest nieprawidłowe.
Dlatego należy bardzo wyraźnie rozdzielić sprzęt prywatny od służbowego tak, aby przetwarzanie danych odbywało się tylko i wyłącznie na sprzęcie należącym do hotelu.
Sprzęt powinien być zinwentaryzowany w sposób kompleksowy. Informatyk obsługujący hotel musi posiadać wiedzę kto i jakie urządzenie posiada (laptop, smartfon, ładowarka, nr karty SIM), oraz jakie jest na nim zainstalowane oprogramowanie wraz z konfiguracją dostępu do danych firmowych.
Osoba nowozatrudniona która otrzymuje sprzęt powinna zapoznać się z zasadami jego bezpiecznego użytkowania (regulaminem użytkowania sprzętu mobilnego), aby zminimalizować możliwość wystąpienia incydentu bezpieczeństwa, a w przypadku jego zmaterializowania, znać procedury obowiązujące w firmie.
Sprzęt służbowy jak jego nazwa wskazuje, nie może być udostępniany osobom trzecim, członkom rodziny do celów prywatnych, a zwłaszcza dzieciom do gier czy surfowania w internecie.
Na urządzeniu mobilnym minimalizujemy ilość przechowywanych danych, ponieważ wszystkie dane powinny być przechowywane na serwerze. Pocztę mailową po zapoznaniu się z nią, na bieżąco powinno się usuwać z urządzenia, zwłaszcza gdy skrzynki mailowe są zainstalowane na smartfonach.
Często zdarza się, że aktualizujemy oprogramowanie na stacjonarnych komputerach firmowych, ale kompletnie zapominamy już o urządzeniach mobilnych.
Sprzęt mobilny podobnie jak sprzęt stacjonarny powinien również podlegać okresowej kontroli przez informatyka, aktualizacji oprogramowania systemowego oraz antywirusowego.
Po ustaniu stosunku pracy przez pracownika urządzenie powinno zostać zwrócone i ponownie przygotowane przez informatyka dla nowego użytkownika.
Główne zagrożenia dla użytkowników urządzeń mobilnych to wykradzenie, lub przejęcie informacji z urządzenia przez osoby trzecie podczas jego użytkowania, oraz kradzież lub przypadkowa utrata sprzętu.
Urządzenia mobilne są narażone na próby wykradzenia lub przejęcia danych podczas ich użytkowania, dlatego podłączając je do internetu należy szczególnie zwrócić uwagę w jaki sposób się z nim łączymy. Darmowe punkty dostępu do internetu znajdziemy w centrach miast, galeriach handlowych czy na dworcach. Trzeba pamiętać, że im więcej możliwości dostępu, tym więcej szans dla cyberprzestępców, którzy mogą wykraść dane. Dobrym rozwiązaniem jest korzystanie tylko i wyłącznie z internetu udostępnionego z własnego służbowego telefonu. Dzisiaj każdy plan taryfowy zawiera wystarczający dla użytkownika pakiet ilości transferu danych do internetu.
Połączenia urządzeń mobilnych z serwerem firmowym powinny odbywać się zawsze za pomocą połączenia VPN (Virtual Private Network), które daje gwarancję bezpiecznego przesyłu danych i zabezpiecza przed przechwyceniem informacji.
Kradzież służbowego sprzętu jest niestety częstym zjawiskiem i wynika w większości wypadków z niefrasobliwości jego użytkowników. Zaczynając od kradzieży z niezamkniętych pokoi biurowych, kiedy pracownicy „na chwilę” opuszczają swoje stanowisko pracy w poczuciu pełnego bezpieczeństwa, zakładając że przecież nikt nie wejdzie podczas ich nieobecności do pokoju i nie zaopiekuje się sprzętem, a kończąc na kradzieżach sprzętu pozostawionego na widoku w samochodzie.
Same urządzenia powinny być zabezpieczone przed nieautoryzowanym dostępem, tak aby w przypadku jego kradzieży lub zagubienia nikt nie miał dostępu do danych przechowywanych na nim.
W przypadku telefonu należy zastosować nie tylko blokadę karty SIM, ale również dostęp do całego urządzenia za pomocą silnego hasła lub logowania przy użyciu odcisku palca.
O utracie urządzenia mobilnego należy niezwłocznie powiadomić informatyka, który może zdalnie zablokować urządzenie (jeśli zostało wcześniej odpowiednio skonfigurowane), zgłosi prośbę o blokadę karty SIM u operatora, oraz zgłosi cały incydent osobie odpowiedzialnej za ochronę danych hotelu.
Należy pamiętać że administrator danych osobowych (ADO) zgodnie z Art. 33 RODO ma 72 godziny na powiadomienie organu nadzorczego UODO o incydencie bezpieczeństwa.
Do tego czasu ADO powinien oszacować ryzyko jakie wiąże się z incydentem (brak dostępności do danych, możliwość utraty ich poufności, oraz ewentualne ryzyko naruszenia ich integralności). Ponadto w przypadku gdy oszacuje ryzyko jako wysokie, powinien powiadomić osoby których dane zostały objęte incydentem.
W przypadku awarii sprzętu informatyk przed przekazaniem sprzętu do serwisu powinien zdemontować twardy dysk, lub inne możliwe do demontażu nośniki pamięci i dopiero wtedy przekazać sprzęt do naprawy poza siedzibą przedsiębiorstwa.
Tak więc aby zgodnie z RODO przetwarzać dane na sprzęcie mobilnym należy zachować szczególną ostrożność, oraz przeszkolić w tym zakresie wszystkich jego użytkowników.
Osoby zainteresowane bezpłatnym otrzymaniem protokołu zdawczo odbiorczego wraz z regulaminem użytkowania mobilnego sprzętu IT, oraz szablonu ewidencji sprzętu mobilnego proszone są o przesłanie prośby na adres audyt@odowhotelu.pl
