DOBRE PRAKTYKI Bezpieczne udostępnianie dokumentów firmowych. Poradnik dla właścicieli firm.

Rosnące oczekiwania użytkowników względem łatwości obsługi oraz dostępności rozwiązań online’owych są jednym z głównych motorów cyfrowej rewolucji. Dotyczy to także oczywiście narzędzi do udostępniania dokumentów. Jednak w tym przypadku komfort użytkowania to tylko połowa sukcesu. Obok przyjaznego interfejsu i nowoczesnych funkcji wciąż kluczowe jest bezpieczeństwo, zwłaszcza wśród klientów firmowych.
Obecnie przedsiębiorcy jak nigdy przedtem narażeni są na utratę udostępnianych plików. Muszą przy tym stale dostosowywać firmę do zmieniających się regulacji. Jak połączyć te dwa pozornie odległe światy, tak aby codzienna wymiana informacji stała się i wygodna, i bezpieczna? Stworzyliśmy kompaktowy poradnik, z którego dowiesz się, jak udostępniać firmowe dokumenty o niebo lepiej.

Pytanie, które powinien zadawać sobie każdy przedsiębiorca. Gdy mowa o udostępnianiu dokumentów, a więc o sytuacji nieuniknionej podczas prowadzeniu biznesu, warto zacząć od określenia wewnętrznych i zewnętrznych kanałów komunikacji.
Wewnętrzny obieg dokumentów i informacji obejmie zespół, naszych stałych współpracowników, czy też księgowość zarówno w ramach firmowej domeny email i serwera, jak i odrębnych, ale używanych w codziennej pracy platform: np. Google, Slack czy GitLab.Z kolei obieg zewnętrzny udostępnianych plików dotyczył będzie klientów, kontrahentów, organów regulacyjnych, urzędów czy dostawców, czyli wszystkie te osoby i podmioty, które są odbiorcami naszych produktów i usług, albo które komunikują się z nami ze względów ustawowych i biznesowych jako odbiorcy nie bezpośrednio zaangażowani w bieżącą pracę firmy. Już ten podstawowy podział kanałów pomoże nam wzmocnić bezpieczeństwo. W przypadku obiegu wewnętrznego warto stworzyć listę aktualnie używanych aplikacji, a następnie zredukować ją do minimum, tak aby komunikacja była maksymalnie scentralizowana z pomocą zaledwie kilku narzędzi. W przypadku obiegu zewnętrznego konieczne będzie natomiast ustalenie zasad komunikacji i zastosowanie dobrych praktyk bezpiecznego udostępniania plików i dokumentów np. w zakresie phishingu, o którym piszemy niżej. Tu nie zawsze będziemy mieć wpływ na to, w jaki sposób komunikuje się druga strona. Po co podejmować ten wysiłek? Dzięki stworzeniu wytycznych dla komunikacji w firmie już na wstępie zminimalizujemy ryzyko pojawienia się chaosu informacyjnego, który może być trudny do uprzątnięcia, gdy pojawią się wyzwania. Ścisła selekcja narzędzi ma kilka głównych zalet:

• Szybsza praca
• Łatwiejsze odszukiwanie potrzebnych informacji
• Mniejsze ryzyko wystąpienia błędu ludzkiego
• Mniejsze ryzyko ataku cyberprzestępców
• Większa wygoda udostępniania plików

Z perspektywy zewnętrznego adresata spójna komunikacja ze strony naszej firmy odebrana zostanie wyłącznie pozytywnie. Postarajmy się przy tym ograniczyć liczbę wątków mailowych prowadzonych z tą samą osobą, a jeśli udostępniamy większe pliki, używajmy w tym celu jednego narzędzia chmurowego, najlepiej scalonego z pocztą. Porządek komunikacji wpłynie pozytywnie nie tylko na relacje, ale także na przebieg współpracy.

Bezpieczeństwo informacji a rozporządzenie RODO

Zacznijmy jednak od must haves. Nie mowy o bezpieczeństwie informacji bez wzięcia pod uwagę RODO. Osoby dopiero zaczynające myśleć o własnym biznesie powinny dokładnie zapoznać się z ogólnym rozporządzeniem o ochronie danych Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku, czyli podstawie działania przedsiębiorców w zakresie ochrony danych osobowych.Niezależnie od wielkości i branży przedsiębiorstwa przepisy RODO dają dużą dowolność w zakresie sposobu, w jaki dane – a więc także udostępniane dokumenty – będą chronione. Ochronie podlegać jednak bez wyjątku muszą, przy czym RODO zobowiązuje przedsiębiorców do stworzenia polityki przetwarzania danych osobowych oraz przestrzegania prawa klientów do wglądu, modyfikacji oraz usunięcia swoich danych.
Administratorem danych osobowych klientów firmy może być każdy właściciel przedsiębiorstwa. Nie ma tu specjalnych wytycznych co do jego kompetencji, o ile firma nie zajmuje się stricte przetwarzaniem danych – wówczas należy stworzyć stanowisko inspektora ochrony danych osobowych.Zachowanie RODO jest koniecznością ustawową. Jeśli masz wątpliwości, czy Twoja firma przetwarza dane osobowe w prawidłowy sposób, najlepszym wyjściem będzie konsultacja tego zagadnienia ze specjalistą i przeprowadzenie odpowiedniego szkolenia.

Udostępnianie plików a RODO

Przedsiębiorcy powinni mieć świadomość, że udostępnianie dokumentów stronom zarówno wewnątrz, jak i na zewnątrz organizacji jest jednym ze sposobów przetwarzania danych. Dokumenty zawierające dane osobowe, a zatem podlegające ochronie RODO, muszą być natomiast przetwarzane za zgodą ich właściciela.Czym jest przetwarzanie danych osobowych? To ich automatyczne bądź ręczne zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W praktyce firma rozpoczyna przetwarzanie danych osobowych w momencie ich pozyskania za zgodą właściciela lub z publicznie dostępnego źródła. Ważne, by w przypadku każdego dokumentu, także archiwalnego, każdy pracownik umiał rozpoznać, czy w jego kompetencji leży przetwarzanie danych zawartych w dokumencie, i w jaki sposób te dane przetwarzać, a w kontekście tego artykułu – czy, jak i komu je udostępniać. Określenie, które osoby w firmie i w jakim zakresie mogą przetwarzać dokumenty podlegające ochronie RODO jest absolutnie kluczowe. RODO wyróżnia administratorów oraz osoby odpowiedzialne za przetwarzanie danych osobowych. Obie te grupy mogą dzielić te same odpowiedzialności, jednak wyłącznie administrator może ustalać zasady oraz cel przetwarzania danych, oczywiście zgodnie z ustawą. Zbudowanie tej świadomości w zespole jest jednym z filarów bezpiecznego udostępniania dokumentów.

Istnieje też drugi filar, który można całościowo określić jako znajomość zasad bezpiecznego poruszania się w internecie, ze szczególnym wskazaniem na zjawisko phishingu, które zbiera okrutne żniwo nawet wśród doświadczonych użytkowników.
Phishing to nic innego jak próba wyłudzenia danych opierająca się o różnego rodzaju socjotechniki. Przykładem phishingu będzie np. podszycie się cyberprzestępcy pod klienta firmy w celu wyłudzenia danych logowania do konta. Coraz częściej notowane są także przypadki podszywania się pod bank czy instytucję publiczną, aby wykorzystać ich autorytet w momencie wyłudzania poufnych informacji. Budowanie świadomości, szkolenia oraz ćwiczenie uważności – także poprzez kontrolowane testy penetracyjne – to najlepszy sposób na przeciwstawienie się zagrożeniu phishingu, które właśnie ze względu na swój miękki charakter jest, niestety, tak skuteczne i chętnie wykorzystywane przez cyberprzestępców.

Przejdźmy jednak do samego zagadnienia file-sharingu. Jak wspomnieliśmy na początku, im mniej narzędzi wykorzystujemy do udostępniania dokumentów, tym lepiej dla bezpieczeństwa. Słowem-kluczem może okazać się firmowe repozytorium danych. Pozwoli ono ograniczyć częstotliwość ładowania plików i umożliwi dzielenie się linkami, a nie osobnymi dokumentami, co nie tylko ułatwi współpracę kilku pracowników jednocześnie, ale także daje możliwość usunięcia pliku z serwera, gdy zostanie, na przykład, omyłkowo wysłany do kogoś z zewnątrz. Link przestanie wówczas po prostu działać. Nie zawsze jest to sposób idealny, bo może zdarzyć się, że adresat pobierze plik na swój dysk, jednak w wielu przypadkach, np. podczas wyświetlania PDF-a w przeglądarce, plik trafi do folderu tymczasowego i stanie się niedostępny przy próbie ponownego wyświetlenia.

Poznaj narzędzia do kolaboracji na dokumentach

Nadprodukcja dokumentów jest zagrożeniem dla bezpieczeństwa informacji. Dlatego do codziennej pracy warto włączyć narzędzie umożliwiające współdzielenie dokumentów, na przykład od Google, które do pewnego stopnia może funkcjonować także jako firmowe repozytorium. Platforma robocza giganta z Mountain View umożliwia scalenie poczty, arkusza kalkulacyjnego, edytora tekstu i przestrzeni dyskowej, które dają zarówno wysoki poziom bezpieczeństwa danych, jak i dobry workflow dla zespołu. Większe pliki do udostępnienia, które nie mogą zostać dołączone jako załączniki, można dodać do dysku i udostępniać w postaci linków. Zaletą narzędzi Google jest również możliwość nadawania kilku modeli uprawnień do danego dokumentu osobom posiadającym link lub ograniczenie praw wyłącznie do wybranych osób.

O ile Google jest dobrym wyborem do wewnętrznej pracy zespołu i współdzielenia bieżącej dokumentacji, powinniśmy pomyśleć o dedykowanym rozwiązaniu w przypadku udostępniania plików ściśle poufnych, szczególnie na zewnątrz organizacji. VDR, nazywany też wirtualnym pokojem danych, to platforma oparta na chmurze służąca do maksymalnie bezpiecznego udostępniania wszelkiego typu informacji biznesowych: klientom, partnerom czy instytucjom publicznym.Jest to branżowy standard m.in. w branży doradczej, finansowej czy inwestycyjnej – wszędzie tam, gdzie wymagana jest najwyższa ochrona plików udostępnianych online. Tak naprawdę dopiero VDR pozwoli na przejęcie pełnej kontroli nad tym, kto będzie mógł uzyskać dostęp do danego dokumentu i w jakim zakresie. Czym wyróżnia się to rozwiązanie?

Virtual Data Room podchodzi do zagadnienia bezpieczeństwa holistycznie – to zarówno produkt, jak również zgodność z rygorystycznymi regulacjami (RODO, MIFiD, MAR, ISO 27001), wyjątkowy poziom wewnętrznej organizacji i wiedzy zespołu, które składają się na usługę SaaS (software as a service) o standardzie bezpieczeństwa takim, jak w bankowości elektronicznej. Jakie funkcje mają bezpośredni wpływ na bezpieczne udostępnianie dokumentów poprzez to narzędzie?

Nadzór nad tym, co dzieje się w systemie

Wyjątkową funkcją VDR są raporty administratora systemu. Po uruchomieniu wirtualnego pokoju danych w naszej firmie funkcję administratora może pełnić np. inspektor ochrony danych lub szef danego projektu. Możliwe jest utworzenie struktury dokumentów z podziałem na grupy/projekty i ustalenie hierarchii dostępu do danych dla każdego użytkownika, tak aby jednocześnie można było zarządzać wieloma projektami, a osoba nadzorująca system (w tym właściciel firmy) miała wgląd we wszystkie uprawnienia, a do tego mogła także ocenić postęp prac.Do raportów oferowanych w rozwiązaniu FORDATA należą m.in.:

• Logowanie użytkowników
• Porównanie uprawnień do dokumentów
• Popularne dokumenty
• Dokumenty nieotwarte
• Zmiany uprawnień użytkowników
• Zmiany uprawnień grup
• Zmiany uprawnień do dokumentów i folderów
• Aktywność grup w czasie
• Podsumowanie aktywności grupy

Raporty pozwalają na określenie, kto, kiedy i na jak długo logował się do systemu oraz jakie dokumenty otwierał i jak długo je przeglądał. Dzięki temu możliwe jest dokładne określenie historii pracy danego użytkownika i faktyczne ustalenie, jakie informacje do niego trafiły.

Zaawansowane funkcje ograniczające dostęp

Wirtualny pokój danych posiada ponadto szereg funkcji służących maksymalnemu ograniczeniu dostępu do umieszczonych w nim plików osobom trzecim. Należy do nich m.in. dwustopniowa autoryzacja, ograniczenie puli adresów IP, z których można logować się do systemu (np. wyłącznie z adresów firmowych), ograniczenia geograficzne, np. uniemożliwiające dostęp i przetwarzanie danych umieszczonych w systemie poza granicami kraju, potwierdzenie umowy NDA podczas logowania czy wymuszenie zmiany hasła do VDR przy pierwszym logowaniu.Jeśli równocześnie prowadzona jest komunikacja dotycząca projektu, którego pliki zgromadzone zostały w VDR, możliwe jest uruchomienie modułu Q&A, przydatnego szczególnie we współpracy z zewnętrznymi specjalistami, np. audytorem czy prawnikiem. Komunikacja ta będzie chroniona w równie wysokim stopniu, a jej zapis, wraz z raportami użytkowania systemu, dostępny w postaci archiwum poprojektowego. Pozwoli to na zachowanie całej historii pracy nad projektem – przydatnej szczególnie w przypadku sporów prawnych, gdy potrzebny jest materialny zapis współpracy, podjętych decyzji czy udzielonych porad, przy czym cały zapis będzie znajdował się w jednej platformie.

Cofanie uprawnień do dokumentów w dowolnym momencie

Za wyjaśnienie tego, jak cenna jest to funkcja, niech posłuży poniższa sytuacja:
Poufne informacje finansowe przesłane emailem przez klienta firmy zostały przeforwardowane przez menedżera do części zespołu. Dostęp do dokumentów zyskała upoważniona grupa użytkowników z folderu “Księgowość”. Niestety plik został omyłkowo udostępniony także innej grupie, “Outsourcing”, która obejmowała 5 osób nieupoważnionych do wglądu w tę dokumentację. Doszło w ten sposób do naruszenia przepisów o ochronie danych osobowych i ujawnienia tajemnicy przedsiębiorstwa dla strony trzeciej.O ile w przypadku poczty błąd taki będzie nieodwracalny, w pokoju danych możliwe będzie natychmiastowe działanie: nie tylko z pomocą kilku kliknięć odebrany może zostać dostęp do dokumentacji dla grupy “Outsourcing”, ale także sprawdzenie, czy jej członkowie otworzyli, zapisali, czy też wydrukowali dany dokument, jeśli mieli takie uprawnienia, a także ocenienie, jak długo dokumentacja była przeglądana. Pozwoli to na mitygację, a nawet zneutralizowanie rezultatów pomyłki, niemożliwe do osiągnięcia w przypadku klasycznych narzędzi.

Dobre praktyki udostępniania plików są podstawą bezpieczeństwa firmy. Natomiast wybór odpowiedniej technologii pozwoli nam uzyskać wiele dodatkowych benefitów. Popularne narzędzia chmurowe, takie jak Google, dobrze sprawdzą się w codziennej pracy zespołu. Umożliwiają one łatwą współpracę nad plikami i ograniczają liczbę narzędzi i kanałów komunikacji, redukując tym samym nadprodukcję dokumentów.Gdy potrzebujemy udostępnić dokumenty wrażliwe, warto z kolei przyjrzeć się rozwiązaniom dedykowanym, takim jak VDR. Pokój danych daje maksymalną kontrolę nad obiegiem informacji i udostępnianiu plików. Dzięki funkcjom typowym dla rozwiązań tej klasy, takim jak raporty aktywności, szczegółowe modele uprawnień do plików, szyfrowaniu danych i ograniczeniom dostępu jest to narzędzie optymalne, gdy chcemy stworzyć w firmie bezpieczne repozytorium, udostępniane zarówno na zewnątrz, jak i wewnątrz organizacji.
Mamy nadzieję, że zebrane tu wiadomości pomogą Wam lepiej spojrzeć na zagadnienie bezpiecznego udostępniania dokumentów także w Waszej firmie.