Menu Na skróty
Abecadło dobrych praktyk organizacji pozarządowej - sprawdź jak bezpiecznie prowadzić swoją organizację!
Sprzęt IT
Zabezpiecz komputery, telefony i inne urządzenia używane w organizacji: używaj aktualnego oprogramowania, w tym programów antywirusowych, przechowuj sprzęt bezpiecznie, zabezpiecz hasłem, szyfruj dyski. Regularnie rób kopie zapasowe. Wystrzegaj się wgrywania na jakikolwiek sprzęt używany w pracy organizacji zamkniętego oprogramowania, na które nie masz licencji oraz takiego, które pochodzi z niepewnego źródła.
Zwłaszcza jeśli w Twojej organizacji jest więcej osób i sprzętu (komputerów, smartfonów), oddaj je pod opiekę informatykowi, który ustali odpowiednie procedury w zakresie utrzymania.
Procedury bezpieczeństwa warto wypracować wraz z zespołem – bezpieczeństwo to nie tylko kwestie techniczne, bardzo wiele zależy od tego, w jaki sposób używacie technologii, z jakich urządzeń korzystacie (np. nie wszystkie zasoby powinny być dostępne z komputerów publicznych). Procedury te powinny być stosowane także na sprzęcie prywatnym używanym do pracy w organizacji, np. przez wolontariuszy, współpracowników. O kłopoty z utratą danych najłatwiej w przypadku zagubienia/kradzieży komputera lub telefonu. Najlepsze zabezpieczenie (zaszyfrowanie) nie spełni swojej roli, jeśli… nie będzie aktywowane. Po zakończonej pracy na komputerze zawsze go wyłączaj, tak aby ponowne uruchomienie wymagało wpisania hasła, bez którego urządzenie nie może być użytkowane (hasło użytkownika na poziomie Windowsa czy innego systemu operacyjnego nie spełnia tej roli w 100%, bo można je dość łatwo obejść). Jeśli zagubisz (zostanie Ci skradziony) komputer, który jest po prostu zamknięty, a jego aplikacje są uruchomione – ten, kto wejdzie w jego posiadanie, nie będzie miał większych problemów z odczytaniem Twoich danych.
Higiena informacyjna
Informacja opublikowana w sieci (także w tzw. zamkniętych grupach na Facebooku) staje się informacją publicznie dostępną. Jeśli nie chcesz, żeby jakaś informacja była publicznie dostępna, przekazuj ją bezpiecznym kanałem. Ogranicz ilość informacji o sobie i swojej organizacji, które publikujesz w miejscach dostępnych dla każdego, zwłaszcza jeśli są to informacje osobiste lub opinie, które (szczególnie wyrwane z kontekstu) mogą zaszkodzić Tobie i organizacji.
Jeśli Twój adwersarz będzie chciał Ci zaszkodzić, wydobędzie także Twoje prywatne opinie, które opublikowałeś/-aś na FB (lub w innym kanale komunikacji) wyłącznie do wiadomości Twoich znajomych. Dowcip, który Tobie może wydaje się niewinny, i którym dzielisz się tylko z przyjaciółmi, może zostać skopiowany z Twojej komunikacji, wyrwany z kontekstu i użyty przeciwko Tobie (i organizacji, którą reprezentujesz!). Uważaj na słowa, które publikujesz.
(Nie)bezpieczny smartfon
Smartfon wie o swoim właścicielu więcej niż jakikolwiek inny sprzęt elektroniczny. Dane podawane przez samego użytkownika (jak kontakty czy zdjęcia) oraz dane generowane w związku z jego aktywnością (z kim i jak często użytkownik się kontaktuje, jak się przemieszcza, jak korzysta z aplikacji, jakie strony w sieci odwiedza) znajdują się nie tylko na dysku telefonu, ale też w chmurze, czyli na serwerach producentów aplikacji i sprzętu. Dlatego warto podchodzić do niego z większą dozą ostrożności, a w organizacji przyjąć politykę używania smartfonów obejmującą m.in. zasady dostępu z telefonu do organizacyjnych zasobów i usług informatycznych (np. maila, dokumentów, portali społecznościowych).
Infrastruktura i usługi informatyczne
Jeśli Twoja organizacja bazuje na zewnętrznej infrastrukturze (poczta e-mail, hosting, chmura, komunikatory, programy do wspólnej pracy etc.), wybieraj te usługi i produkty, które oferują odpowiednie zabezpieczenia. Dokładnie czytaj warunki świadczenia usług, regulaminy, polityki prywatności. Najbezpieczniej korzystać z otwartego oprogramowania hostowanego na własnym serwerze, ogranicza to możliwość wykorzystania informacji o Tobie i przechowywanych przez Ciebie do działań komercyjnych.
Uwaga: bezpieczna infrastruktura kosztuje – zabezpiecz odpowiednie środki w swoim budżecie na utrzymanie serwera i wynagrodzenie dla administratorów. Nastaw się też, że niektóre czynności zajmą Ci więcej czasu: trzeba zalogować się, wpisać hasło, potwierdzić dodatkowym kodem, etc.
Strzeż dostępów do usług: usuwaj konta odchodzących pracowników, zmieniaj hasła dostępu.
Procedury kryzysowe
Przygotuj procedury kryzysowe na różne ewentualności. Wyznacz osoby odpowiedzialne i przygotuj zespół do reagowania na różne sytuacje. Działaj zgodnie z prawem i eliminuj luki prawne i organizacyjne – dzięki temu łatwiej poradzisz sobie z kryzysem, kiedy on nastąpi.
Potencjalne konsekwencje zaniedbań
Nie zapobiegniesz wszystkim możliwym problemom, ale możesz nie dać się zaskoczyć – łatwiej opanujesz kryzys, jeśli przygotujesz się na różne ewentualności. Inaczej grozi Ci spory stres i wybicie organizacji z normalnych torów działania. Zaniedbując bezpieczeństwo cyfrowe, można narazić osoby związane z organizacją na śledzenie w celu zaszkodzenia organizacji (nie zajmujemy się tu śledzeniem w sieci w celach reklamowych), przejęcia kontroli nad infrastrukturą, kradzieży informacji, podstawienia strony internetowej etc. Możesz też stracić dostęp do danych, a te mogą trafić w niepowołane ręce. Skutki tego mogą być nie tylko wizerunkowe, ale też prawne (jeśli wyciekły dane osobowe, które masz prawny obowiązek zabezpieczyć) czy związane z bezpieczeństwem osób, których dane wyciekły, np. jeśli dotyczą klientów organizacji poradniczych czy darczyńców, których pracodawcy niekoniecznie pochwalają to, jakie organizacje wspiera ich pracownik. Innego rodzaju konsekwencją jest niesprawny sprzęt.
Jeśli zarządzasz informacją wrażliwą, np. danymi osobowymi (nie tylko danymi wrażliwymi w rozumieniu ustawy o ochronie danych osobowych) czy poufnymi dokumentami, a prawdopodobnie tak jest, mogą one trafić w niepowołane ręce. Jako administrator danych osobowych organizacja ma obowiązek zapewnić bezpieczeństwo danych – jeśli tego nie zrobi, grożą jej kary (od maja 2018 r. wejdą w życie wysokie kary administracyjne).
Jeśli świadomie łamiesz prawo, nie licz na wyrozumiałość. Pamiętaj, że szkodzisz też innym organizacjom, a swoją narażasz na kryzys komunikacyjny i wizerunkowy. W ten sposób ułatwiasz atak potencjalnym wrogom.
Gdzie szukać informacji?
Abecadło dobrych praktyk organizacji pozarządowej
Abecadło dobrych praktyk organizacji pozarządowej to skrótowy przegląd różnych obszarów działania organizacji, w których warto zadbać o porządek. Podpowiadamy nie tylko, jakie organizacja ma obowiązki wynikające z prawa czy jakie procedury powinna przyjąć, by działać sprawnie, bezpiecznie i zgodnie z prawem, ale też szereg dobrych praktyk, które pozwolą organizacji uniknąć wielu problemów lub zminimalizować szkody, gdy pojawi kryzys w jednym z opisanych obszarów związanych z bezpieczeństwem organizacji.
Abecadło powstało z inicjatywy grupy osób aktywnych w sektorze pozarządowym, które postanowiły podzielić się swoją wiedzą i doświadczeniem, żeby pomóc innym tworzyć bezpieczne i odporne na kryzysy organizacje pozarządowe.
Opracowanie: Anna Obem
Współpraca: Magdalena Dul-Komosińska, Jakub Sokalski, Zofia Komorowska, Rafał Kowalski
Zaangażowane organizacje: Fundacja Panoptykon, Stocznia, WWF, Stowarzyszenie Klon/Jawor, Greenpeace, Fundacja im. S. Batorego, Stowarzyszenie BORIS, FRSO.
