Secito Blog

Grzegorz Dobromiński

👋 Cześć, jestem Grzegorz Dobromiński☠️Zajmuje się cyberbezpieczeństwem i jestem przedsiębiorcą👮Obecnie skupiam się na firmie Secito - Security Hub👨💻 Już blisko 20 lat, działam w branży IT.🫡 Moje CV, informacje o doświadczeniu, skille oraz opinie znajdziesz -> TU😎 Ciekawostki:
- Przebiegłem maraton
- Skakałem ze spadochronem
- Skakałem na bunjee
- Pływam na kitesurfingu, wakeboardzie, supie🎯 Dużo ćwiczę i dbam o zdrowie, by żyć ponad 100 lat.🍏 Jestem fanem Apple🏁 Socialmedia:
Linkedin
Instagram🏢 Moje firmy:
* Secito - Security Hub

OCHRONA DANYCH OSOBOWYCH

Coldmailing zgony z RODO
Audyt RODO

CYBERSECURITY

Długofalowe partnerstwo z dostawcą cybersecurity - case study

Shadow IT

Długofalowe partnerstwo z dostawcą security - case study

31 sierpnia 2023

W dynamicznie rozwijającej się firmie, największy nacisk przypada na sprzedaż, wzrost, wyniki... pojawiają się obszary, które zostają w tyle.Dotyczy to w szczególności firm, które nagle z kilku czy kilkunastu osób w zespole, rozrastają się do kilkudziesięciu czy kilkuset.
Dziś przybliżę case study jednego z klientów, z którym w Secito - Security Hub, współpracujemy od wielu lat.Klient to grupa spółek, która rosła od ok 20 osób do obecnie blisko 100 osób w zespołach. Spółki przez lata były rozsiane po 2-3 lokalizacjach w Polsce a ok 30% pracowników, na co dzień pracuje w modelu hybrydowym. Branża to technologie i media.Cele, potrzeby i możliwości firmy zmieniały się przez lata i tak też dopasowywaliśmy niezbędne działania, by cele te wspierać.Jakie to cele?- zarabianie
- zabezpieczenie przestojów w działaniu
- stabilny wzrost i budowa przewagi konkurencyjnej
- zabezpieczenie przed stratami wizerunkowymi, utratą know how
- zapewnienie ochrony danych osobowych, w celu zapewnienia zgodności z wymogami oraz oczywiście, uniknięcie kar
- budowa wizerunku solidnego partnera, który dba o bezpieczeństwoJakie działania podejmowaliśmy?Analiza potrzeb i określenie kluczowych obszarówNa podstawie analizy stanu zastanego oraz celów strategicznych klienta, ustaliliśmy gdzie jesteśmy obecnie oraz gdzie chcemy iść.
W początkowej fazie zajęliśmy się podstawami a dopiero później zaplanowaliśmy szerszy zakres współpracy. Na pierwszym etapie szukaliśmy "nisko wiszących owoców" czyli działań, które przyniosą efekty natychmiastowo.Budowa bezpiecznej infrastrukturyAudyt obecnej infrastruktury, systemów informatycznych, inwentaryzacja zasobów w obszarach zarówno technicznych jak i organizacyjnych, wskazał krytyczne obszary.
Na tym etapie, budowaliśmy bezpieczną infrastrukturę dla klienta, umożliwiającą centralne zarządzanie, wdrożenie systemów zabezpieczających i urządzeń, które wspierały cele klienta i korelowały z zakładanym budżetem. Efekty naszej pracy, okresowo weryfikują testy bezpieczeństwa.Bezpieczeństwo informacjiUnikalne know-how klienta, stanowiło jedno z kluczowych aktywów do zabezpieczenia. Wdrożyliśmy szereg rozwiązań zabezpieczających przed zagrożeniami z wewnątrz. Wspieraliśmy klienta od identyfikacji informacji po ich zabezpieczenie i okresową weryfikację. W tym obszarze istotne było również bezpieczeństwo pracy zdalnej. Nie został pominięty także obszar nieuczciwej konkurencji.Ochrona danych osobowychKolejnym etapem rozszerzającym naszą współpracę, było zajęcie się kwestiami w obszarze compliance - ochroną danych osobowych. Realizacja audytów, wdrożenia, dokumentacja, rola Inspektora Ochrony Danych, szkolenia, współpraca i weryfikacja podmiotów zewnętrznych, to tylko część zagadnień, w których wspieraliśmy klienta.Budowa świadomościRównolegle do działań na polu technicznym, budowaliśmy security awareness. Szkolenia, akcje uświadamiające, testy bezpieczeństwa i inne działania, prowadzone przez cały okres współpracy.Obsługa incydentówWykrywanie i reagowanie na incydenty a także późniejszy rozwój systemów bezpieczeństwa. Każdy incydent to lekcja, każda lekcja to obszar do poprawy. Niezależnie czy polem działania jest biuro firmy czy sala sądowa - jesteśmy z naszym klientem.Efekty i korzyści dla klienta• Zwiększenie odporności na cyberataki i inne zagrożenia
• Zwiększenie stabilności prowadzonych działań biznesowych
• Zmniejszenie ryzyka utraty zachowania ciągłości biznesowej
• Budowa wizerunku stabilnego partnera dla klientów
• Ograniczenie ryzyka utraty know-how, strat wizerunkowych oraz kar będących skutkiem naruszeń
• Oddelegowanie bezpieczeństwa i skupienie na rozwoju firmyChcesz dołączyć? Skontaktuj się.

KONTAKT

Coldmailing zgodny z RODO

26 stycznia 2023

Obsługując klientów z branży marketingowej oraz rozwijając swoje projekty, wielokrotnie analizowałem cold mailing. Wolno? Nie wolno? RODO?Poszukując opinii prawnych i zasięgając języka u autorytetów, weryfikowałem branżowe praktyki jakie stosują podmioty wykorzystujące cold mailing. Dla uściślenia, cold mailing rozumiem jako kampanie mailowe wysyłane do baz zbudowanych z danych osobowych takich jak adresy email.Stając przed wyzwaniem polegającym na zbudowaniu własnej bazy mailingowej, musimy zmierzyć się z różnymi aktami prawnymi. Celem jest utworzenie bazy, którą możemy następnie wykorzystać do marketingu bezpośredniego.Jakie akty prawne dotyczą cold mailing’u?1. RODOO tym wie każdy. Niewielu wie co z tym zrobić ale o tym, że RODO jest, wie każdy. Odkąd weszło w życie, uregulowało wiele aspektów przetwarzania danych osobowych. W naszej sytuacji, musimy na gruncie RODO uwzględnić przede wszystkim realizację obowiązku informacyjnego oraz prawidłowe pozyskanie zgody. Inaczej nasz cold mailing jest niezgodny z RODO.2. Prawo telekomunikacyjneW szczególności artykuł 172, traktujący o telekomunikacyjnych urządzeniach końcowych i automatycznych systemach wywołujących. Co możemy uznać za telekomunikacyjne urządzenie końcowe w 2022 roku? Od tego co oczywiste – telefon, komputer, tablet po mniej oczywiste aczkolwiek umożliwiające odbiór przekazu marketingowego urządzenia takie jak np. smartwach czy… system multimedialny w samochodzie. Czym jest automatyczny system wywołujący? Mamy z nim do czynienia wszędzie tam, gdzie nasz marketing będzie zautomatyzowany np. CRM wysyłający automatycznie mailing czy jego sekwencje. To także automatyczne systemy dzwoniące w Call Center. Prawo telekomunikacyjne obejmuje nas bez znaczenia czy marketing kierujemy do osób fizycznych czy do firm (B2C / B2B). Zgodnie z nim, musimy uzyskać zgodę na przesłanie treści marketingowej. Jaka musi być ta zgoda? Zgodna z RODO czyli przede wszystkim jednoznaczna, wyrażona w sposób wyraźny i w jasno sprecyzowanym celu. Nie może być dorozumiana. To, że ktoś się z czegoś nie wypisał nie oznacza że się zapisał! Wysyłając maila z informacją „Jesteś w naszej bazie. Jeżeli nie chcesz, żebyśmy kierowali do Ciebie nasze oferty, możesz się wypisać.”, nie uzyskujemy prawidłowo zgody. Kontynuując wątek prawa telekomunikacyjnego, pamiętaj o tym, że to że zleciliśmy wysyłkę do naszej bazy firmie zewnętrznej, nie zwalnia Cię z odpowiedzialności za zgodność lub jej brak z prawem telekomunikacyjnym. Nadal musisz mieć zgodę na przesłanie np. oferty. Z tym samym mamy do czynienia w RODO. Jeżeli ktoś (procesor) przetwarza dane osobowe które mu przekazujemy (jako administrator) to my ponosimy odpowiedzialność. Osobna zgoda nie jest wymagana, gdy nie ma „automatycznego systemu wywołującego” podczas kontaktu np. gdy po konferencji mając wizytówkę, wyślemy takiej osobie naszą ofertę.3. Ustawa o świadczeniu usług drogą elektroniczną(dalej UoŚUDE) – w szczególności artykuł 10 dotyczący marketingu bezpośredniego, niezamówionych komunikatów marketingowych kierowanych do osób fizycznych, traktuje też o zgodach. Tutaj mówiąc o UoŚUDE mówimy o komunikatach do osób fizycznych więc możemy założyć, że kierując je do B2B ten przepis nie ma zastosowania. Pamiętajmy jednak o tym, że osoba fizyczna prowadząca jednoosobową działalność gospodarczą, nadal jest osobą fizyczną. Kontaktując się np. z informatykiem prowadzącym JDG, nadal kontaktujemy się z osobą fizyczną. Prawidłowe będzie wysłanie takiego maila do jego firmy czyli np. na adres kontakt@, biuro@. Dla odmiany, w przypadku gdy wysyłamy maila do Prezesa Zarządu spółki z ofertą usługi którą jego spółka może zamówić, sprawa się komplikuje i nie ma jednoznacznego orzecznictwa, chociaż prawnicy utrzymują, że jest to prawidłowe działanie.4. Specyficzne przepisy charakterystyczne dla danej branży np. branży medycznej ale dzisiaj nie o tym.O czym należy pamiętać?Z RODO nie ma wyłączeń. Nie ma znaczenia czy jesteś małą czy dużą firmą. Czy w Twojej branży praktykowane jest ignorowanie tego aktu prawnego czy nie, obowiązuje Cię RODO. Nawet jeżeli nie jest przestrzegane, nie znaczy że jego stosowanie nie może być egzekwowane np. przez Urząd Ochrony Danych Osobowych.Realizacja obowiązku informacyjnego – wymagane jest jego spełnienie podczas pozyskiwania danych osobowych. Nie oznacza to jednak wprost, że musi być realizowany jeszcze zanim uzyskamy dane osobowe. Możliwe jest np. zbieranie danych np. na targach, w jakimś formularzu, w formie wizytówek a realizacja obowiązku informacyjnego np. następnego dnia podczas wprowadzania tych danych do bazy. Obowiązek ten może być zrealizowany warstwowo to znaczy, że możemy podać np. pod formularzem skróconą informację zawierającą informację o tym kto jest administratorem danych osobowych, jaki jest cel przetwarzania danych i podstawa prawna, przez jaki czas dane będą przetwarzane, informacja o tym że zgodę można wycofać oraz można złożyć sprzeciw oraz naturalnie, odnośnik do pełnej treści klauzuli informacyjnej, zgodnej z RODO. Zbierając dane nie bezpośrednio od osób tylko np. ze stron w internecie, należy również poinformować osobę, skąd pozyskaliśmy jej dane.Pozyskiwanie zgody – pozyskując zgodę, warto zrobić to w sposób skuteczny oraz prawidłowy. Co to znaczy sposób skuteczny? Np. wysłanie wiadomości mailowej w której pytamy o zgodę na przesłanie oferty, załatwi nam od razu zgodność na polu RODO, prawa telekomunikacyjnego oraz UoŚUDE. Pozyskać zgodę na przesłanie oferty lub np. na newsletter możemy przy okazji realizacji obowiązku informacyjnego, w tej samej wiadomości – mamy wtedy 1 mail.Realizacja praw – musimy mieć możliwość uwzględnienia sprzeciwu lub prośby o wypisanie z bazy.Omówmy sobie kilka popularnych scenariuszy cold mailing:1. Kupujemy bazę – scenariusz w którym jakaś firma oferuje nam bazę, którą możemy kupić za jakąś określoną cenę. Deklaruje dodatkowo, że został prawidłowo spełniony obowiązek informacyjny oraz baza posiada tzw. zgody. Po zakupie firma przekazuje nam bazę danych np. w formie Excela. To bardzo ryzykowne podejście do tematu. Musimy zmierzyć się z ryzykiem polegającym na tym, że pełna odpowiedzialność za legalność bazy jest po naszej stronie. Jeżeli okaże się, że obowiązek informacyjny nie został prawidłowo spełniony lub zgody nie są prawidłowe (np. nie pozwalają na przekazywanie bazy innym podmiotom), Urząd Ochrony Danych Osobowych do nas prześle prośbę o wyjaśnienia, to my będziemy za to odpowiadać oraz to nas w skrajnym przypadku, dosięgnie kara. Naturalnie, możemy na drodze cywilnej dochodzić tzw. regresu na sprzedawcę bazy ale UODO szybko egzekwuje swoje kary a sprawa cywilna może ciągnąć się latami. W tym scenariuszu mamy dostęp do danych osobowych.2. Firma zrealizuje dla nas wysyłkę do swojej bazy – bezpieczny i efektywny scenariusz, w którym zlecamy wysyłkę np. mailingu do bazy którą posiada inny podmiot. Np. firma wyśle 3 maile do firmy informatycznych z ofertą naszych usług a na koniec odeśle nam bazę osób, które wyraziły zainteresowanie. Mogę określić parametry bazy np. do jakiej branży wysyłamy, do ilu osób ale nie mamy dostępu do konkretnych danych osobowych. W takiej sytuacji to ten wysyłający podmiot odpowiada m.in. za realizację obowiązku informacyjnego czy zgody. Transferujemy tutaj ryzyko na firmę zewnętrzną. Ma to dodatkową korzyść. Wyobraź sobie sytuację w której zlecasz taką wysyłkę a jej treści jest np. zaproszenie na szkolenie. Osoba zainteresowana rejestruje się na naszej stronie, w naszym formularzu. Przy okazji rejestracji, realizujemy dodatkowo obowiązek informacyjny i zbieramy zgodę. Możemy dać dodatkowo jakiś lead magnet np. poradnik, ebook aby osoba odniosła dodatkową korzyść. W efekcie, budujemy tak własną bazę, ze zgodą i zrealizowanym obowiązkiem informacyjnym od osób, które są wprost zainteresowane naszymi usługami. To bardzo wartościowa baza 🙂3. Budujemy bazę z danych „ogólnie dostępnych” – np. zbieramy ręcznie adresy email ze stron, „Panoramy Firm”, z mediów społecznościowych, KRS lub robi to dla nas np. automat. W tej sytuacji musimy zrealizować prawidłowo obowiązek informacyjny oraz uzyskać zgodę. Obowiązują nas wszystkie wyżej wspomniane akty prawne. Wyjątkiem jest, gdy np. pozyskujemy dane z LinkedIn i na tym portalu realizujemy kampanię do tych osób ale jest to stosunkowo drogie rozwiązanie.Postarałem się omówić najważniejsze aspekty i przeanalizować kilka najpopularniejszych scenariuszy, z którymi wielokrotnie już się spotkałem. Pamiętaj jednak, że Twój konkretny przypadek, Twój cold mailing może być inny, mogą decydować niuanse i warto przeanalizować go krok po kroku, przed podjęciem decyzji. Jeżeli chciałbyś abyśmy zweryfikowali Twoje działania cold mailingowe, skontaktuj się z nami.

KONTAKT

Audyt RODO czyli co wiesz a co myślisz że wiesz

28 kwietnia 2023

Ogólne Rozporządzenie o Ochronie Danych Osobowych czyli RODO, obowiązuje od 2018 roku. Przez minione lata, wielu przedsiębiorców, wiele firm, zadawało sobie cyklicznie pytanie – „czy jestem zgodny z RODO”? Wielokrotnie spotkałem się z deklaracjami o „zgodności z RODO” w firmach, gdzie nikt nie miał o tym pojęcia a „zgodność z RODO” wymagana była po prostu przez kontrahenta. Zależnie od charakteru prowadzonego biznesu, pytanie wraca również w sytuacji, gdy Prezes Urzędu Ochrony Danych Osobowych podejmie decyzję administracyjną, w której nałoży karę na jakiś podmiot. Kary bywają milionowe, dlatego coraz więcej firm, decyduje się, na podjęcie rzuconej rękawicy i zmierzenie się z tematem. Co zatem jest najlepszym punktem wyjścia, dzięki któremu dowiemy się jak jest?Audyt RODOPunktem wyjścia powinno być przeprowadzenie audytu RODO, który pokaże nam rzetelnie stan ochrony danych osobowych w firmie w chwili jego wykonania. To tak zwany stan zastany. Dogłębna diagnoza, która pozwoli zrozumieć, co mamy, czego nie mamy i co musimy naprawić „right now”. Tak zwane wdrożenie RODO, bez przeprowadzenia audytu, jest błędem i z góry skazuje cały proces na niepowodzenie. Wyjątkiem jest tutaj sytuacja w której powstaje nowy podmiot, firma i dopiero szykujemy się do prowadzenia operacji przetwarzania danych osobowych. Wtedy, można z pewną dozą dystansu, założyć że nie mamy nic i budujemy od zera ale i tak konieczna będzie analiza wszystkiego co planujemy robić i w jaki sposób.Czy audyt RODO jest obowiązkowy?
Nie jest. Nie wynika to wprost z rozporządzenia, jednak nakłada ono na administratora regularne dokonywanie przeglądów, a zatem audyt wydaje się być tu najwłaściwszym narzędziem. Z jednej strony, zapewni nam on realizację wymaganych przeglądów, z drugiej strony da nam na prawdę kawał rzetelnej i specjalistycznej wiedzy, niezależnie od tego co potem zdecydujemy się z nią zrobić.Czy audyt to czynność jednorazowa?
Doprecyzujmy sobie w tym miejscu, że audyt możemy przeprowadzić zarówno w formie wstępnej, aby ocenić co mamy i co musimy zrobić ale także w formie okresowej, w celu weryfikacji tego co już mamy, co wdrożyliśmy, jak to działa i co wymaga poprawy.Po co mi audyt RODO?
Audyt odpowie na szereg pytań. Rozwieje wątpliwości, uświadomi stan aktualny, to jak źle lub jak dobrze już jest i co robić dalej. A co dokładnie?- Jakie procesy przetwarzania danych osobowych mamy w firmie?- Jakie dane osobowe przetwarzamy i w jakim celu?- Jakie środki bezpieczeństwa stosujemy?- Kto bierze udział w procesach przetwarzania danych osobowych?- Czy przestrzegamy zasad przetwarzania danych osobowych?- Czy powinniśmy powołać Inspektora Ochrony Danych?- Skąd pozyskujemy dane osobowe?- Kto przetwarza dane osobowe dla nas i dla kogo my przetwarzamy?- Jaki jest poziom świadomości wśród pracowników w zakresie ochrony danych osobowych?- Czy mamy do czynienia z incydentami naruszeń ochrony danych osobowych?- Jakie jest ryzyko stosowania obecnych praktyk i które z ryzyk powinny być wyeliminowane lub zminimalizowane w pierwszej kolejności?- Czy prowadzimy odpowiednią dokumentację i prawidłowo realizujemy np. obowiązek informacyjny?Audyt może obejmować całą organizację i wszystkie procesy ale można dokonać audytu tylko jednego z procesów przetwarzania danych osobowych. Przykładowym procesem, który może zostać osobno przeanalizowany jest np. cold mailing.Co składa się na Audyt RODO?
Audyty, które prowadzimy w Secito, są wieloetapowe i wykorzystujemy do nich szereg technik, mających na celu możliwie najdokładniejsze przeanalizowanie stanu ochrony danych osobowych w firmie.Rozmowa wstępna.Podczas tego etapu, zapoznajemy się z organizacją, jej strukturą, charakterystyką biznesu i operacji, osobami odpowiedzialnymi za kluczowe obszary z punktu widzenia ochrony danych osobowych. Ustalamy jasno oczekiwania i cele ale też analizujemy przyczyny z jakich organizacja decyduje się na te działania. Czasem wynika to z autonomicznej decyzji, czasem mamy pożar.Ankiety. Przechodzimy do części głównej. Wykorzystując ankiety, które wysyłamy do odpowiednich osób w organizacji, uzyskujemy pierwsze informacje o tym jakie zachodzą procesy, co mamy, czego nie mamy a co nam się wydaje. Dajemy sobie czas na realizację tego etapu, zostawiamy przestrzeń do dyskusji.Analiza dokumentacji. W tej części uzyskujemy od audytowanego „wszystko co się da”, wszystko co ma związek z danymi osobowymi, zarówno naszymi, naszych klientów, naszych pracowników, kontrahentów, przykładowe umowy. Przeprowadzamy analizę dokumentów i na jej podstawie ustalamy, co wymaga poprawy a co stworzenia od nowa. Uwzględniamy zawsze charakter organizacji, unikamy kopiowania rozwiązań tam gdzie to koniecznie, używamy sprawdzonych wzorów tam gdzie to wskazane aby nie wymyślać koła od nowa.Wywiady z pracownikami. Tu mamy najwięcej „mięsa”. Spotykamy się, rozmawiamy face 2 face, mailujemy, dzwonimy, szukamy „smaczków”. Najbardziej interesują nas stosowane praktyki, odbiegające od tego co w dokumentach i oficjalnych informacjach. Co tak naprawdę organizacja robi z danymi? Może jest świadomość, że niektóre procesy są prowadzone nieprawidłowo ale panuje ogólne przyzwolenie na takie praktyki?Wizja lokalna. Jeden z ostatnich etapów analizy audytowej. Wiedząc to co już wiemy z poprzednich kroków, przeprowadzamy ogólne oględziny, sprawdzamy zabezpieczenia techniczne (takie jak np. stosowane na komputerach, monitoring) i organizacyjne (np. stosowanie zasady czystego biurka).Co jest wynikiem audytu RODO?
Posiadając już odpowiednią wiedzę, przygotowujemy raport z audytu. Używając własnej, sprawdzonej przez lata metodyki, krok po kroku analizujemy poszczególne wymagania jakie stawia przed organizacją RODO i inne akty prawne, odnoszące się do ochrony danych osobowych. Całość realizujemy uwzględniając kontekst firmy audytowanej. Naszym celem jest wygenerowanie jak największej wartości dla organizacji wynikającej z przeprowadzenia audytu. Celem organizacji jest uzyskać wiedzę, która pozwoli potem podjąć decyzje i zaplanować działania. Naszym wspólnym celem jest zapewnienie zgodności z przepisami, zapewnienie odpowiedniego poziomu ochrony danych osobowych a także zabezpieczenie organizacji przed wysokimi karami.W raporcie znajdują się informacje o tym jakie wymogi są spełnione a jakie obszary wymagają poprawy. Ustalamy wagę danej niezgodności, opisujemy ryzyko oraz wydajemy rekomendacje.Już samo przygotowanie takiego raportu, daje ogromną wiedzę osobom odpowiedzialnym za organizację. Zwykle spotykamy się w celu omówienia raportu, aby dać audytowanemu przestrzeń na zrozumienie wyników audytu. Stanowi to doskonałe pole do zaplanowania dalszych działań, niezbędnych do uzyskania zgodności z RODO.Przybliżyłem kwestie związane z audytem RODO, jego cele, przebieg oraz efekty jakie dzięki niemu uzyskasz. Do każdego audytu podchodzimy indywidualnie, dlatego jego elementy mogą się różnić. Jeżeli chcesz abyśmy przeprowadzili audyt RODO w Twojej firmie lub spotkali się i porozmawiali o nim, skontaktuj się z nami.

KONTAKT

Shadow IT

18 lutego 2023

To nic innego jak instalowanie przez użytkowników aplikacji, bez wiedzy i bez autoryzacji firmowego IT ale też używanie prywatnego sprzętu. Statystyki pokazują, że procentowe wykorzystanie budżetu na oprogramowanie w firmach z pominięciem IT, to pomiędzy 20% a 40%.Praktykowane jest to z kilku przyczyn:1) Firma nie zapewnia narzędzi, które są niezbędne do realizacji jakiegoś zadania. W dobie dostępu do narzędzi online, pracownicy coraz częściej sięgają „ukradkiem” po rozwiązania które nie wymagają uprawnień administratora do używania lub instalacji. Nie widzą zagrożeń w tego typu praktyce, ponieważ ich nadrzędnym celem jest wykonanie zadania jakie przed nimi postawiono.2) Pracownik w obliczu procedur narzuconych przez organizację, pomija je świadomie, uznając je za absurdalne i odstające od realizacji potrzeb biznesowych.3) Zachodzi próba ukrycia wykorzystywania oprogramowania lub innych zasobów z wykorzystaniem „cichego przyzwolenia” firmy. Dzieje się tak np. w małych firmach gdzie budżet na narzędzia jest ograniczony i bez względu na ryzyko, dopuszcza się np. oprogramowanie bez licencji, również pirackie.Jakie zagrożenia płyną z Shadow IT?1) Na skutek użycia nieautoryzowanego przez IT oprogramowania, może dojść do zainfekowania systemu lub całej sieci złośliwym oprogramowaniem. O skutkach nie będę teraz pisał – każdy zainteresowany wie jakie mogą być konsekwencje, z utratą dostępu do danych włącznie.2) Brak weryfikacji oprogramowania przez IT może skutkować dostępem do danych osobowych przez nieautoryzowane do tego podmioty, co może skutkować wyciekiem, kontrolami, karami.3) Wykorzystywanie nielegalnego oprogramowania i łamanie postanowień licencyjnych, to kolejne ryzyko jakie niesie za sobą ten proceder.Jak sobie z tym radzić?1) Edukacja, edukacja i jeszcze raz edukacja. Należy uświadamiać pracowników oraz kadrę zarządzającą o potencjalnych ryzykach, z którymi muszą się zmierzyć a których mogą być nieświadomi.2) Kontrola i ograniczenie dostępu do nieautoryzowanych zasobów. Jak? Blokowanie nośników zewnętrznych, stron internetowych.3) Wprowadzenie i aktualizacja polityk bezpieczeństwa oraz skuteczne zapoznanie z nimi pracowników. Regularne budowanie świadomości istnienia zasad tam zawartych wśród kadry.4) Reaktywnie oczywiście takie rozwiązania jak oprogramowanie antywirusowe, firewalle. Można rozważyć oprogramowanie monitorujące komputery służbowe.5) Analiza potrzeb i dostarczanie narzędzi umożliwiających realizację zadań pracownikom. Zminimalizuje to potrzebę szukania nieautoryzowanych rozwiązań.

KONTAKT

Drrac.co

Templates │ Tutorials │ Custom Sites

Dignissim enim sit amet venenatis urna cursus eget nunc scelerisque. Euismod in pellentesque massa placerat duis ultricies lacus sed turpis. Diam phasellus vestibulum lorem sed. Enim sit amet venenatis urna cursus eget nunc. Pellentesque id nibh tortor id aliquet lectus proin nibh. Dictum at tempor commodo ullamcorper a lacus. Suspendisse sed nisi lacus sed viverra tellus. Semper quis lectus nulla at volutpat diam ut venenatis. Orci dapibus ultrices in iaculis nunc.

Learn more

Landing Page Clone

Clone any landing page into Carrd

Learn more

Carrd Course

Learn how to build awesome website in Carrd

Text

Learn more

Kontakt

Porozmawiajmy!

Secito Sp. z o.o.
ul. Żurawia 6/12 lok. 745
+48608433251
NIP: 7011173630

Zostaw wiadomość

Zazwyczaj odpowiadam do 24h