Acest site folosește doar cookies pentru sesiune necesare pentru funcționarea site-ului. Continuând navigarea pe acest site, consimțiți la politica noastră privind utilizarea lor. Mai multe despre politica noastră de securitate, în pagina politica privind cookies.
Meniu
 

 

 

Tu știi unde sunt datele tale?

Tu știi unde sunt datele tale?

Una dintre problemele cel mai des întâlnită în firmele mici, dar nu numai, este că nu există claritate în ceea ce privește datele pe care compania le posedă, le utilizează. Atât în ceea ce privește datele proprii, cât și cele care pot proveni de la clienți, subcontractori, angajați, autorități... Dacă nu știi ce ai, nu știi ce trebuie să protejezi, nu știi la ce riscuri te expui.

Sursa datelor

1) Autorități

Prima sursă de la care provin datele sunt autoritățile statului. Începând cu actele de la registrul comerțului, de la ANAF (codul de TVA, de exemplu, vectorul fiscal), diversele autorizații și avize necesare pentru funcționare. Unele sunt emise încă pe hârtie, altele sunt deja în format electronic. Fă o listă cu toate acestea și locul lor de depozitare. În principiu ar trebui să existe un dosar cu „actele firmei” în care să regăsești documentele originale ale firmei precum și cele care au stat la baza emiterii actelor, avizelor sau autorizațiilor - de exemplu contractul pentru sediul social, contractul cu banca, cu firma de contabilitate, cu firma de SSM, documente obligatorii pentru autorizări (cum ar fi de exemplu diplome, atestate etc.) 

De asemenea, în această categorie intră și raportările legale la care ești obligat, indiferent dacă ele sunt făcute de tine sau de un furnizor (de exemplu, firma de contabilitate).

2) Clienți

Aici lucrurile devin mai complexe, pentru că în relația cu clienții se generează cele mai multe documente, începând de la contracte până la cele referitoare la activitatea desfășurată.

3) Angajați

Pe de-o parte ai „dosarul angajatului”. Documentele legate de relația cu angajații, de la contracte de muncă și acte adiționale, diplome, calificări, până la proceduri și instrucțiuni de lucru.

Angajații sunt și cei care utilizează aceste date, deci trebuie stabilite roluri clare privind accesul la date și modul în care angajații le utilizează și păstrează, pentru că responsabilitatea pentru ce fac aceștia este a firmei.

4) Furnizorii

Contracte, documente de achiziție, documente de atestare a conformității, procese-verbale de recepție.

După ce identifici toate sursele, este bine să faci un inventar al acestora și să identifici locul de stocare. Obligatoriu, la documentele pe hârtie ar trebui să faci copii electronice. La cele care au termen de expirare este bine să marchezi și data de la care ele nu mai sunt valabile pentru a demara procedurile de reautorizare.

Stocarea datelor

În stocarea datelor trebuie respectate 3 principii, cunoscute sub acronimul CIA: Confidențialitate, Integritate, Disponibilitate (Availabily în engleză).

  • Confidențialitate: acele documente și înregistrări care sunt confidențiale trebuie marcate ca atare și tratate în mod corespunzător. Accesul trebuie securizat și făcut pe cerințele rolurilor.
  • Integritate: documentele nu trebuie modificate neautorizat. Din nou, este vorba de securizarea accesului la date și înregistrări.
  • Disponibilitate: înseamnă să știi unde sunt documentele sau înregistrările și ele să fie disponibile. Este important să ai o politică de backup și ea să fie respectată judicios. Pentru disponibilitate, standardul ISO 22301 privind Continuitatea Afacerii folosește 2 termeni: RPO (Recovery Point Objective) se referă la cantitatea maximă de date pe care o organizație își permite să o piardă (măsurată în timp, ex. 1 oră de date) între momentul unei defecțiuni și ultimul backup, în timp ce RTO (Recovery Time Objective) definește timpul maxim permis pentru restabilirea operațiunilor IT după un incident (ex. 15 minute), ambele fiind cruciale în planificarea continuității afacerii pentru a minimiza impactul pierderilor de date și al timpului de nefuncționare. În funcție de dimensiunea afacerii, domeniul de activitate și cerințele legale sau de reglementare, acești indicatori pot fi mai mari sau mai mici.

În păstrarea datelor trebuie luate în calcul și alte obligații legale, de exemplu, GDPR impune ca datele să fie stocate în Uniunea Europeană sau țări pentru care există un acord care presupune respectarea unor cerințe de securitate. 

De aceea, este important ca, pe lângă inventarierea datelor, să se facă și un inventar al „bunurilor informaționale”, adică al computerelor și serverelor, inclusiv ce se află în „cloud”, cu persoanele care dețin acel bun, au acces la datele respective, inclusiv dispozitivele amovibile (hard diskuri externe, stickuri USB, care pot fi o sursă majoră de probleme de securitate de la viruși și alte amenințări informatice, până la furtul de date).

Pentru documentele pe hârtie este important ca cele confidențiale să fie protejate, mai ales că unele au termene lungi de păstrare (știai că „dosarul angajatului” trebuie păstrat 75 - șaptezeciși cinci - de ani?). În principiu, este recomandat să existe un fișet metalic pentru documentele importante, în principal pentru protecția la foc, nu neapărat la acces neautorizat. De la un anumit nivel încolo este bine să se utilizeze forme mai serioase de control acces.

Transferul de date

Tot ce înseamnă transfer de date, chiar dacă nu este neapărat vorba de date confidențiale, trebuie gestionat cu atenție. Nu este recomandat folosirea de servere publice pentru transferul unor documente confidențiale, iar în mailuri este bine să se folosească documente parolate cu parolă dinamică stabilită după o regulă agreată între părți, folosind informații mai puțin uzuale sau combinații - de exemplu data trimiterii într-un anumit format și o mini cheie de criptare - astfel salariiianuarie poate deveni 54l4r11200125.  

Sursa foto