Що нам робити з усіма цими паперами?

Ймовірно, у вашій організації є багато інформації, надрукованої на папері, записаної в блокнотах або нашкрябаної на листочках. Деякі з цих даних можуть бути дуже конфіденційними: роздруківки бюджетів, списки учасників, конфіденційні листи від донорів і нотатки з приватних зустрічей. Важливо також подумати про безпеку цієї інформації. Якщо вам конче потрібно зберегти друковані копії конфіденційної інформації, переконайтеся, що вона надійно зберігається в закритій шафі або в іншому безпечному місці. Не зберігайте конфіденційну чи секретну інформацію (зокрема паролі) на столі або записаною на дошці. Якщо ви вважаєте, що ваша організація піддається високому ризику злому або рейдерського нападу, зберігайте конфіденційну інформацію в маловідомому місці.

Наскільки це можливо, постарайтеся позбутися непотрібної друкованої інформації. Пам'ятайте: якщо у вас чогось немає, це неможливо вкрасти. Встановіть політику організації щодо права власності на паперові нотатки й обов’язково заберіть паперові нотатки від співробітників, якщо вони вирішать піти з організації або їх звільнять, так само, як ви забираєте комп’ютер або телефон, виданий організацією. Щоб позбутися секретних паперів, придбайте якісний шредер. Наприкінці тижня в якості розваги ви можете зробити 15-хвилинну перерву для співробітників, щоб подрібнити будь-які залишки, конфіденційні роздруківки чи нотатки за попередній тиждень.

Політика щодо офісу

Хоча для багатьох «офісні» реалії суттєво змінилися після початку пандемії COVID-19, для вашої організації все таки важливо встановити чітку політику щодо доступу до офісу. Така політика має відповідати на ключові питання, у тому числі кому дозволено входити в офіс (і коли), хто може отримати доступ і до яких ресурсів офісу (наприклад, мережі WiFi) і що мають право робити гості.

Просте, але важливе питання, на яке потрібно відповісти, — хто отримує ключ від офісу. Лише довірений персонал повинен мати ключі, а замки слід міняти, коли персонал звільняється, та/або на більш-менш регулярній основі. Протягом дня будь-які двері, які залишаються незамкненими, повинні постійно перебувати в полі зору людини, якій довіряють в організації. Також подумайте, чи має організація довірчі стосунки з вашим орендодавцем і прибиральником. Подумайте, до якої інформації чи пристроїв такі люди можуть мати доступ, і переконайтеся, що вони захищені, особливо якщо у вас немає таких довірчих стосунків. Незалежно від того, хто має доступ, завжди слід призначати когось, кому можна довіряти, щоб зачинити офіс і переконатися, що пристрої належним чином захищені перед тим, як персонал покине офіс наприкінці дня.

Чи дозволено гостям заходити в офіс? Якщо так, переконайтеся, що вони не мають доступу (або принаймні доступу без нагляду) до пристроїв або конфіденційних паперових даних. Якщо під час відвідування гості повинні мати доступ до інтернету, слід налаштувати «гостьову» мережу, щоб такі відвідувачі не мали можливості відстежувати ваш робочий трафік. Загалом доступ до мережі та мережевих пристроїв, наприклад принтерів, повинен мати лише довірений персонал. Також доцільно ввести обов’язкову реєстрацію гостей, щоб у вас був журнал відвідувань. 

Коли ви розробляєте політику щодо офісу, метою має бути надання доступу до конфіденційних пристроїв, документів, приміщень і систем лише довіреним людям.

Допоміжний персонал і волонтери

Загрози фізичній безпеці вашої організації також можуть вплинути на ваш персонал. Подібно до переслідувань у соціальних мережах, цих загроз фізичній безпеці часто найбільше зазнають жінки та маргіналізовані спільноти. Йдеться не лише про розбиті вікна та вкрадені ноутбуки. Залякування, погрози та випадки фізичного чи сексуального насильства, побутове насильство та страх нападу можуть мати серйозний негативний вплив на життя співробітників. Для організацій, які працюють із політично активними жінками або підтримують їх Інструмент планування безпеки

від NDI #Think10 є корисним ресурсом для тих, хто може зазнавати підвищеного особистого ризику внаслідок своєї діяльності.

Очевидно, що благополуччя співробітників є важливим активом для них як окремих осіб, але це також важливий елемент здорової та добре функціонуючої організації. З цією метою подумайте, які додаткові ресурси ви можете надати співробітникам, щоб захистити їх і, у разі фізичної чи цифрової атаки, допомогти їм повернутися до норми. Як згадувалося раніше в Довіднику, це означає, щонайменше, розробити перелік ресурсів, до яких ви можете направити персонал для отримання юридичної, медичної, психічної та технічної допомоги, за необхідності. Знову ж таки Практичний посібник щодо переслідування в інтернеті від PEN America містить ідеї щодо того, як організації можуть підтримувати персонал під час та після криз, а Комплексний посібник із безпеки від Tactical Tech містить необхідні відомості про те, як організації зазвичай реагують у часи серйозної загрози.

Безпека під час подорожі

Подорожі – до іншої країни чи до сусіднього міста – часто посилюють ризики фізичної інформаційної безпеки. Загалом можна з упевненістю припустити, що для вас і ваших пристроїв не має прав на конфіденційність під час перетину кордону. Таким чином, було б гарною ідеєю включити організаційну політику щодо подорожей у ваш план безпеки, що містить нагадування про основні найкращі методи безпеки. 

Політика вашої організації щодо подорожей має включати багато інформації, описаної в інших розділах Довідника, включно з безпечним використанням інтернету, зберіганням пристроїв та інших джерел інформації у фізичній безпеці та тримання їх при собі під час подорожі. Якщо можливо, залиште конфіденційну інформацію та скористайтеся свіжим, начисто стертим диском комп’ютеру, й отримайте доступ до файлів, які вам абсолютно потрібні, із хмарного сховища, а потім зітріть їх, повернувшись додому.

На додаток до підготовки до подорожі та мінімізації даних, що передаються під час подорожі, є кілька важливих операційних рекомендацій, які ви повинні продумати та включити до політики щодо подорожей своєї організації.

Подумайте про те, щоб використовувати для подорожів ноутбуки або телефони, на яких майже немає конфіденційних даних. Якщо більшість роботи вашої організації виконується в хмарному середовищі, відносно недорогий Chromebook може стати хорошим варіантом такого пристрою. Після повернення до заводських налаштувань або «стирання даних» ці пристрої готові до підключення до звичайних мереж WiFi вдома чи в офісі.

Підготуйте персонал до того, що робити, якщо його допитають представники влади або зупинять під час перетину кордону. Подумайте, як можна обмежити кількість інформації, з якою співробітник подорожує, якщо це важливо, і створіть протоколи повідомлення про стан справ для персоналу, який подорожує до ризикових регіонів. Надайте співробітникам контактну інформацію та план дій щодо того, що вони повинні робити, якщо під час поїздки щось піде не так. Це включає інформацію про місцеві лікарні, клініки й аптеки, якщо їм знадобиться медична допомога під час подорожі.

Співробітники також повинні тримати всі пристрої при собі під час подорожі. Наприклад, тримайте ноутбук біля ніг (а не у відділенні над головою чи в зареєстрованому багажі), коли ви знаходитеся в автобусі, поїзді чи літаку. Не вважайте, що готельний номер або навіть готельний сейф є «безпечним місцем» для зберігання конфіденційних пристроїв і предметів. І не довіряйте загальнодоступним зарядним портам USB. USB-порти для зарядки в аеропортах, на вокзалах і у транспортних засобах стають все більш поширеним явищем і дуже зручним способом живлення пристроїв. Однак вони можуть бути також засобами перенесення шкідливих програм. Тому обов’язково заряджайте пристрої традиційним способом через розетку або купуйте блокувальник даних USB, щоб персонал, який подорожує, міг безпечно заряджати пристрої через USB.