Polityka haseł w firmie

Wprawdzie przepisy RODO nie narzucają administratorom konkretnych zasad ani narzędzi do kontrolowania polityki haseł w firmie, jednak nie jest to równoznaczne z zaniechaniem zmiany haseł oraz zarządzania nimi. W jaki sposób prowadzić politykę haseł w firmie, by była ona zgodna z unijnymi wymogami RODO?

Polityka haseł w firmie

Katarzyna Grum

27 czerwca 2019

W kwestii polityki haseł przepisy RODO przede wszystkim kładą nacisk na zakres obowiązków administratorów danych osobowych. Według unijnych wymogów administratorzy mają obowiązek zastosowania wszelkich środków, mających zapewnić odpowiedni poziom bezpieczeństwa danych osobowych w firmie — za pomocą zastosowania odpowiedniej polityki ochrony danych z uwzględnieniem charakteru danych osobowych oraz potencjalnych zagrożeń.

Ważne jest, aby wprowadzona polityka haseł zapewniała odpowiedni poziom poufności i dostępności do przetwarzanych danych. Jak już zostało wspomniane, przepisy RODO nie określają wprost polityki haseł w firmie, dlatego to do administratora należy przeprowadzenie analizy ryzyka. Dzięki takiej analizie administrator będzie mógł ustalić np. minimalną długość haseł lub częstotliwość zmiany hasła.

Analiza ryzyka przeprowadzana jest po to, by wskazać potencjalne miejsca, które mogą wymagać pilnej reakcji ze strony administratora. W ramach prowadzonej analizy ryzyka badać można również zasady nadawania dostępu dla pracowników do wszelkiego rodzaju systemów. Analiza pomoże określić:

  • rodzaje systemów, w których przetwarzane są dane osobowe,

  • uwarunkowania procesów biznesowych,

  • rodzaj wymaganych haseł.

Za pomocą analizy ryzyka można ustalić, jaki poziom wprowadzonych zabezpieczeń będzie akceptowalny dla administratora. Na tej podstawie będzie on mógł efektywnie zarządzać hasłami w firmie.

Jak często zmieniać hasła?

RODO nie określa ani nie wskazuje zasad zmiany haseł. Z pomocą mogą przyjść tu dobre praktyki rynkowe, które wywodzą się ze standardów ISO27001 dotyczących bezpieczeństwa informacji. Nie jest to wprawdzie zatwierdzony kodeks, o którym mowa w RODO, ale zbiór zasad, które są uznawane na całym świecie. Zasady te mówią, że zmiana hasła powinna się odbywać nie rzadziej niż co 30 dni. Administrator prowadząc analizę ryzyka może wskazać systemy o różnych poziomach ważności danych. W ramach tak przyjętej segregacji można wprowadzać różne okresy zmiany haseł. 

Częstotliwość zmiany haseł dotyczy zarówno systemów, jak i kont użytkowników. Jeżeli hasła zostały raz przypisane i nie są zmieniane  oznacza to, że administrator niestety nie wypełnia poprawnie swoich obowiązków, a więc nie sprawuje prawidłowo kontroli nad procesem przetwarzania danych osobowych firmie.Niezmienianie haseł lub ich zbyt rzadka aktualizacja zdecydowanie obniża bezpieczeństwo systemów informatycznych. Optymalną opcją częstotliwości zmiany haseł do systemu operacyjnego użytkownika wynosi 30 dni. Oczywiście można spotkać się również z systemami, w których zmiana hasła może być wymagana nie co 30 dni, a np. co tydzień lub co dzień. Zależy za co odpowiada dany system. Poza częstotliwością zmiany haseł polityka powinna określać również zasady ich tworzenia.

Jak budować hasła?

Wspomniane wcześniej praktyki wskazują, że hasło powinno mieć odpowiednią budowę. Przyjętą praktyką jest, że powinno ono mieć co najmniej 8 znaków i powinno składać się z trzech z czterech typów znaków, którymi są małe i wielkie litery, znaki specjalne i cyfry. W wielu firmach stosuje się jeszcze dodatkowe zasady, jak np. hasło nie może się powtarzać z określoną ilością poprzednich haseł, nie może zawierać loginu użytkownika lub jego nazwiska, nie może być zmieniane w tym samym dniu, nie może zawierać ciągu identycznych znaków i wiele innych. 

Hasła administracyjne

W przypadku haseł administracyjnych prowadzona analiza ryzyka powinna określić liczbę posiadanych i wykorzystywanych haseł oraz miejsca ich przechowywania.

Przy tworzeniu polityki haseł, administrator powinien wziąć pod uwagę sytuację awaryjną, która mogłaby znacznie wpłynąć na ciągłość funkcjonowania firmy. Aby odpowiednio przygotować się na taką ewentualność, należy hasła zapisać i zdeponować w kopertach w bezpiecznym miejscu, np. w sejfie. Niedopuszczalne jest, by jedynie administrator znał wszystkie hasła administracyjne.Administrator musi mieć pewność, że w przypadku jego nieobecności, wszystkie hasła nie zostaną utracone.

Polityka haseł powinna również zawierać wskazania, gdzie hasła administracyjne są przechowywane, jaki jest system ewidencjonowania ich użycia oraz kto ma do nich dostęp.

Należy również pamiętać, że w razie odejścia z pracy administratora systemu lub innej upoważnionej osoby, która miała dostęp do miejsca zdeponowanych haseł — każdorazowo hasła powinny być zmieniane.

Zmiana haseł a świadomość pracowników

Poza przeprowadzeniem analizy ryzyka i ustaleniem polityki haseł w firmie należy zwrócić również uwagę na wiedzę pracowników na temat bezpieczeństwa haseł. Najlepszym rozwiązaniem w firmie jest przeszkolenie swoich pracowników w temacie, jakich sytuacji unikać, aby użytkowanie systemów było jak najbardziej bezpieczne. Często pracownicy (nawet nieświadomie) popełniają “grzechy”, które mogą skutkować utratą lub zachwianiem bezpieczeństwa danych. Po przeprowadzonym szkoleniu pracownicy powinni wiedzieć, czego nie należy robić:

  • zapisywać haseł na karteczkach i umieszczać ich w miejscach np. pod klawiaturą, na monitorze lub pod blatem biurka,

  • używać swojej nazwy użytkownika jako hasła, a także swoich danych osobowych lub bliskich osób,

  • zapamiętywać haseł na komputerze, ponieważ przechowywane są na dysku lokalnym komputera w katalogu który nie jest zaszyfrowany,

  • przekazywać haseł osobom nieupoważnionym,

  • używać haseł, które łatwo odgadnąć, np. Haslo123.

Dodatkowo pracownicy powinni mieć świadomość, że każdy incydent naruszenia poufności haseł skutkuje zgłoszeniem oraz postępowaniem wyjaśniającym oraz działaniami zapobiegawczymi eliminującymi wystąpienia podobnych sytuacji w przyszłości.

Manager haseł — efektywne zarządzanie

W przypadku opieki nad wieloma systemami informatycznymi, dobrym sposobem jest skorzystanie ze specjalistycznego narzędzia: managera haseł. Administrator powinien wziąć pod uwagę takie rozwiązanie ze względu na bezpieczeństwo przechowywania i zarządzania loginami i hasłami użytkowników systemu.Program pomaga użytkownikom tworzyć nowe hasła, przechowuje hasłą w formie zaszyfrowanej, a także przypomina o konieczności ich zmiany.Jeżeli chodzi o hasła administracyjne, to są przez managera bezpiecznie deponowane, a w razie potrzeby wykorzystywane w sytuacjach awaryjnych. W ocenie wielu specjalistów z branży bezpieczeństwa programy tego typu są dobrym rozwiązaniem, jednak posiadają jedną wadę — ujawnienie hasła do managera haseł pozwala poznać wszystkie hasła w nim zachowane. Ewentualna decyzja o stosowaniu programu należy do Administratora Danych.

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!