Как удаленка изменила работу директора по защите данных

Байрон Ширли, соучредитель The Compliance Space, анализирует на портале ComputerWeekly, как изменилась роль директора по защите данных (data protection officer, DPO) за последние 12 месяцев.

Трудно поверить, что прошел год с тех пор, как большая часть персонала была отправлена на работу из дома на неопределенный срок. Домашние помещения превратились в рабочие места, и для многих удаленная работа продолжится в обозримом будущем. В последнее время мы стали свидетелями того, как ряд компаний объявили о переходе к гибридной модели, решив навсегда организовать совмещение работы в офисе и дома.

Хотя использование цифровых инструментов сейчас является нормой, для DPO переход на работу вне офиса принес свои собственные проблемы с обеспечением соответствия нормативно-правовым требованиям и головную боль в плане безопасности.

Например, как контролировать использование данных и обеспечивать их безопасность, когда ваши сотрудники потенциально могут применять различные сети, устройства и множество цифровых инструментов, от видеоконференций до совместного использования файлов? И, что немаловажно, как обеспечить выполнение сотрудниками той важной роли, которую они играют в успешном соблюдении обязательств по защите данных, когда вы находитесь в разных физических рабочих средах?

70% респондентов опроса IBM «2020 Cost of a Data Breach Report» считают, что удаленная работа увеличиват стоимость утечек данных. Основная причина этого заключается в том, что требуется больше времени на идентификацию и последующий ответ на инцидент, связанный с безопасностью, если вы не находитесь на объекте.

Аналогичным образом, проведенный Malwarebytes в 2020 г. опрос 200 специалистов по ИТ и кибербезопасности показал, что удаленные сотрудники являются виновниками нарушений безопасности в 20% организаций. Примечательно, что 18% опрошенных сказали, что кибербезопасность не является приоритетом, а 5% пошли еще дальше — признав, что их сотрудники «не обращают внимания» на процедуры безопасности в своей компании.

Таким образом, есть ключевые уроки, которые необходимо усвоить после года удаленной работы.

С практической точки зрения, наиболее успешными DPO являются те, кто тесно сотрудничают со своими ИТ-командами, чтобы обеспечить выполнение правильных положений о защите данных. Например:

• не разрешать «доступ ко всему». Несмотря на то, что существует соблазн предоставить всем доступ ко всему, необходимо найти баланс между требованием обеспечить удаленную работу и соответствующим доступом к данным и безопасностью;
• отказ от локального хранения данных. Использование утвержденных онлайн-систем и обучение сотрудников преимуществам централизованного доступа все еще является ключевым моментом;
• регулярный пересмотр стандартов безопасности. По-прежнему необходимо иметь минимальные стандарты безопасности для удаленных устройств, такие как шифрование диска, надежные пароли, VPN для интернет-подключений и защищенные от считывания конфиденциальной информации экраны.

Тем не менее, один из самых важных уроков заключается в том, что DPO приходится искать новые способы, чтобы держать сотрудников в курсе вопросов комплаенса, когда они работают из дома.

Не только DPO, мы все знаем, что заставить сотрудников уделять должное внимание обеспечению защиты данных было сложной задачей еще до того, как вспыхнул Covid-19. Поэтому технологии играли и будут продолжать играть огромную положительную и важную роль как в обеспечении безопасности данных, так и во вовлечении в это сотрудников.

Итак, что же могут сделать DPO, чтобы обратить работу на дому в свою выгоду:

• ключевые принципы не меняются. Первое, что нужно помнить, это то, что ключевые принципы хорошего управления защитой данных — такие, как перечисленные выше, — все еще применимы и важно, чтобы люди продолжали применять их в своей повседневной работе;
• полностью перейдите на цифровую систему хранения данных. Одна из главных возможностей, возникших в результате выросшего использования цифровых решений, заключается в том, что они действительно могут уменьшить потребность в работе с бумагой. Это изменение привычки — переход от устаревшей «бумажной» системы к хранению всех данных на защищенной онлайн-платформе — имеет решающее значение для повышения эффективности и безопасности организаций;
• эффективно используйте освободившееся время. Поскольку люди теперь тратят меньше времени на поездки на работу и обратно, потенциально есть возможность больше времени уделить деятельности, связанной с соблюдением нормативных требований. Регулярно записывайте в дневники людей напоминания проверить защиту данных и убедиться в том, что все соответствует нормативным требованиям;
• будьте более гибкими. Благодаря цифровым инструментам DPO могут быть более гибкими и осведомленными о личных обстоятельствах людей, организуя виртуальные тренинги или лекции, которые легко посещать;
• найдите общий язык. Наличие общей цифровой платформы, с которой и на которой люди могут взаимодействовать, может реально способствовать вовлечению их в деятельность, связанную с соблюдением нормативных требований.

Самое главное во всем этом — быть на виду — даже если это физически невозможно. DPO все равно должны оставаться персонами, к которым обращаются за помощью и поддержкой, и регулярное общение будет и дальше иметь решающее значение.

Многое ли изменилось за год работы на дому? Несомненно, да, и полученные уроки уже усвоены. Однако когда речь заходит о хорошей защите данных, надо понимать, что ключевые принципы по-прежнему применяются независимо от того, находитесь ли вы в офисе или вне его.