W whistleblowingu liczy się bezpieczeństwo

11 sierpnia, 2020

Jak zapewnić odpowiednie bezpieczeństwo osób i danych w whistleblowingu? To jeden z największych problemów firm budujących swoje systemy whistleblowingu. To dlatego poświęciliśmy bezpieczeństwu cały rozdział w nowym podręczniku firmy WhistleB ABC budowania rozwiązania whistleblowingu, które zwiększy zadowolenie klientów i pracowników.

To czwarty z serii letnich artykułów na blogu, w których publikujemy fragmenty nowego podręcznika. W podręczniku opisano zasoby, sposób inicjowania spraw, aspekty prawne, kulturalne i oczywiście bezpieczeństwo danych w whistleblowingu, które stanowi temat tego artykułu.

Bezpieczeństwo w whistleblowingu — elementy niezbędne przy wyborze dostawcy rozwiązania

Bezpieczeństwo w whistleblowingu to istotna kwestia — to dlatego, że przy przetwarzaniu danych wrażliwych wiarygodność jest podstawą. Budowanie zaufania wymaga zapewnienia ochrony sygnaliście, ale także osobom podejrzanym i danym wrażliwym. To można osiągnąć, dzięki bezpiecznym systemom whistleblowingu.

Zabezpieczenia w whistleblowingu chronią anonimowych sygnalistów

Na podstawie naszych wieloletnich doświadczeń z klientami wiemy, że anonimowość sygnalisty ma kluczowe znaczenie, jeśli chodzi o pozyskiwanie informacji o krytycznym znaczeniu dla firmy, a tym samym osiąganie większych korzyści z rozwiązania whistleblowingu. Mówiąc wprost, jeśli sygnaliści będą mogli zachować anonimowość, system będzie się cieszył większym zaufaniem i będzie bardziej prawdopodobne, że zgłaszane informacje będą bardziej przydatne.

Każdy sygnalista, który chce zachować anonimowość, musi ufać, że rozwiązanie whistleblowingu potrafi to zapewnić w całym procesie — od zgłoszenia w rozmowie, podczas inicjowania sprawy, w toku postępowania wyjaśniającego, aż do zamknięcia. Sposobem zapewnienia anonimowości w tak rozległym obszarze są bezpieczne rozwiązania oparte na technologii. A zatem, co potrzeba, aby rozwiązanie whistleblowingu gwarantowało sygnaliście anonimowość?

  • Skuteczną opcją jest zewnętrzne rozwiązanie whistleblowingu odrębne od infrastruktury IT organizacji. Może to być także najbardziej efektywna opcja wdrożenia. System whistleblowingu powinien umożliwić sygnaliście zachowanie anonimowości i uniemożliwiać śledzenie go przez firmowe zapory. Dlatego nie należy tworzyć systemu whistleblowingu we własnym środowisku IT, tylko na zewnątrz.
  • Metadane powiązane z sygnalistą nie powinny być śledzone ani możliwe do identyfikacji. Nie należy logować żadnych danych, które pozwoliłyby zidentyfikować sygnalistę, na przykład adresów IP.
  • Rozwiązanie whistleblowingu powinno obejmować bezpieczny, szyfrowany kanał zgłaszania, który pozwoli sygnaliście zachować anonimowość nawet podczas kontynuacji dialogu. To pozwoli menedżerowi sprawy prosić o kluczowe dane uzupełniające.

Anonimowość musi być zagwarantowana przez technologię.  Anonimowość gwarantowana regulaminem jest po prostu niewystarczająca.

Zabezpieczenia w whistleblowingu chronią dane wrażliwe

Nie można przesadzić z podkreślaniem tego, jak ważne jest bezpieczne zarządzanie danymi. W kwestii zabezpieczeń IT większość z nas musi polegać na ekspertach, dlatego ważne jest, aby znaleźć zewnętrznego dostawcę z udokumentowanymi kompetencjami w kwestii zabezpieczeń danych. Współpracując z zewnętrznym programistą, unika się sytuacji, w której zatrudniony w firmie informatyk ma dostęp do kodu lub danych.

Wybierając dostawcę rozwiązania whistleblowingu, należy szukać takich zabezpieczeń jak:

  • Bezpieczne uwierzytelnianie wieloskładnikowe
  • Zapobieganie włamaniom i ich wykrywanie
  • Szyfrowanie danych podczas transmisji i przechowywania
  • Dzienniki aktywności według spraw i użytkowników
  • Redundantność danych (aby uniemożliwić ich utratę)

System powinien zostać zbudowane z uwzględnieniem zasady „Security by design”. Co to oznacza? Cała dokumentacja komunikacji i postępowania wyjaśniającego powinna być utrzymywana w zabezpieczonej aplikacji do zarządzania sprawami. Menedżerowie spraw powinni mieć zapewnioną asystę ze strony aplikacji w prawidłowej obsłudze danych i spraw. Na przykład maksymalnie intuicyjne powinno być odpowiednie zamknięcie sprawy, tj. usunięcie danych osobowych przed trwałym zarchiwizowaniem (w przypadku administratorów danych w UE). Dodatkowo, menedżerowie spraw powinni być powiadamiani o ważnych czynnościach oraz powinni móc łatwo komunikować się ze sobą w bezpieczny sposób.

Bezpieczeństwo w dziedzinie whistleblowingu musi być budowane na bezpiecznych procesach technicznych zaprojektowanych w taki sposób, aby przesłonięcie ustawień było maksymalnie trudne. Bezpieczeństwo gwarantowane zasadami jest niewystarczające.

Technologie cyfrowe poprawiają bezpieczeństwo w whistleblowingu

Cyfrowy system whistleblowingu znacząco zmniejsza zagrożenia dla bezpieczeństwa informacji. Co istotne, minimalizacja ryzyka jest możliwa wtedy, gdy w trakcie całego procesu obsługi sprawy dane są przechowywane w cyfrowym rozwiązaniu whistleblowingu, a nie w czyjejś skrzynce odbiorczej lub na komputerze. Do danych o znaczeniu krytycznym, które są lepiej chronione w cyfrowym systemie zgłaszania nieprawidłowości i zarządzania nimi, obejmują komunikację z sygnalistą, materiał z postępowania wyjaśniającego, raporty z audytu i dane usunięte.

Jest jeszcze kolejna korzyść z zastosowania cyfrowego systemu zgłaszania nieprawidłowości i zarządzania nimi. Udostępniona struktura i zautomatyzowane procesy wspierają bezpieczeństwo oraz skracają czas oczekiwania na obsługę zgłoszeń, dzięki czemu wszystko przebiega sprawniej. Prostota cyfrowych systemów whistleblowingu sprawie, że są one wydajną i opłacalną opcją.

Zagrożenia bezpieczeństwa w whistleblowingu nieustannie się zmieniają i muszą być ciągle monitorowane. Dopilnuj, aby Twój cyfrowy system whistleblowingu regularnie przechodził profesjonalne testy penetracyjne oraz testy podatności na zagrożenia. Twój dostawca powinien zapewnić monitoring systemu przez cały czas, aby neutralizować zagrożenia dla bezpieczeństwa danych, dzięki czemu informacje i wszelkie dane osobowe w systemie będą systematycznie chronione. Monitoring bezpieczeństwa danych powinien również rozciągać się na partnerów dostawcy, na przykład dostawców platformy IT, pamięci masowej itp. Szukaj systemu whistleblowingu, który będzie spełniał wszystkie odpowiednie międzynarodowe standardy bezpieczeństwa danych.

W WhistleB uważamy, że spośród kryteriów wyboru dostawcy bezpieczeństwo danych musi mieć największy priorytet — nic nie usprawiedliwia przesunięcia tej kwestii na dalszy plan. Ale dziedzina bezpieczeństwa na tym się nie kończy. Znamy przypadki, kiedy poufne i wrażliwe dane były udostępniane współpracownikom lub znajomym. Pamiętaj, aby w trakcie całego procesu zawsze stawiać bezpieczeństwo na pierwszym planie. Nie ma whistleblowingu bez wiarygodności, a jej podstawą jest bezpieczeństwo.

Czy te informacje przybliżyły Ci zagadnienia bezpieczeństwa w procesach whistleblowingu? Chcesz przeczytać całą książkę? Pobierz e-book albo zamów drukowany egzemplarz w sklepie Amazon lub Bokus.

Kontakt:

Gunilla Hadders, współautor i starszy doradca w Centrum whistleblowingu firmy WhistleB
+46  70 214 88 73, gunilla.hadders@whistleb.com

Autor:
Gunilla Hadders, Founding Partner

Skontaktuj się z nami

Twoja wiadomość została pomyślnie wysłana. Skontaktujemy się z Tobą tak szybko, jak to możliwe.

There seems to be some problem when sending your message. Try again soon.

Founders blog

WhistleB news Webinars Media
WhistleB blog

5 pozytywnych rozstrzygnięć w obszarze whistleblowingu w 2021 r. według WhistleB

best practices whistleblowing Webinar

Najlepsze praktyki whistleblowingu

WhistleB blog

5 pozytywnych rozstrzygnięć w obszarze whistleblowingu w 2021 r. według WhistleB

Pokaż wszystko