Słowniczek

Cyberbezpieczeństwo w HR

Cyberbezpieczeństwo w HR to zbiór praktyk, technologii i procesów chroniących dane pracownicze (dane osobowe, wynagrodzenia, dane medyczne, oceny) przed nieautoryzowanym dostępem, kradzieżą, manipulacją i utratą. Dział HR przetwarza jedne z najwrażliwszych danych w organizacji — PESEL, adresy, wynagrodzenia, dane zdrowotne, oceny, dane biometryczne — co czyni go atrakcyjnym celem cyberataków. Najczęstsze zagrożenia: phishing (fałszywe e-maile wyłudzające dane), ransomware (szyfrowanie danych z żądaniem okupu), insider threats (nieautoryzowany dostęp pracowników), wyciek danych (przypadkowy lub celowy), social engineering (manipulacja pracownikami HR). Środki ochrony: uwierzytelnianie wieloskładnikowe (MFA/2FA), szyfrowanie danych (at rest i in transit), kontrola dostępu (least privilege — minimalny dostęp), szkolenia pracowników (awareness), backup (3-2-1 rule), monitoring (SIEM), incident response plan, RODO compliance i regularne audyty bezpieczeństwa. Odpowiedzialność za cyberbezpieczeństwo danych HR jest wspólna: IT (infrastruktura), HR (procesy, szkolenia) i zarząd (budżet, kultura).

Dane wynagrodzeń (atrakcyjne dla szantażu), numery PESEL (kradzież tożsamości), dane medyczne (wrażliwe, wysoka wartość), dane bankowe (fraud), hasła i dostępy (privilege escalation), oceny i notatki (szantaż, reputacja). HR przetwarza ALL categories — jest high-value target.

Szkolenia awareness (regularne, z symulacjami phishingowymi), MFA na wszystkich systemach HR, weryfikacja nadawcy przed otwarciem załączników, polityka 'nie klikaj — zweryfikuj' (phone callback przy zmianach danych bankowych), email filtering (anty-spam/phishing) i raportowanie incydentów (kultura bez karania).

Minimalny dostęp: pracownik HR widzi tylko dane niezbędne do jego zadań. Rekruter: dane kandydatów, nie wynagrodzenia. Payroll: wynagrodzenia, nie oceny. Menedżer: dane podwładnych, nie innych działów. Administrator: pełny dostęp, ale logowany. Regularna rewizja uprawnień (co 6 mies.).

1) Zidentyfikuj zakres (jakie dane, ile osób), 2) Zabezpiecz (zablokuj źródło wycieku), 3) Zgłoś do UODO (72h), 4) Powiadom poszkodowanych (jeśli wysokie ryzyko), 5) Zbadaj przyczynę (forensic), 6) Wdrożenie środków naprawczych, 7) Dokumentacja w rejestrze naruszeń. Przećwicz scenariusz PRZED incydentem (tabletop exercise).

Tak — niezabezpieczone sieci Wi-Fi, osobiste urządzenia (BYOD), brak fizycznej kontroli, drukowanie dokumentów w domu, screen sharing (przypadkowe ujawnienie). Minimalizacja: VPN obowiązkowy, MDM (Mobile Device Management), szyfrowanie dysków, polityka clean desk/screen, szkolenia bezpieczeństwa remote i zakaz przechowywania danych HR na prywatnych urządzeniach.

Powiązane pojęcia

Automatyzacja procesów HR (RPA)

Blockchain w HR

Chatboty HR

Digital HR Transformation

E-learning i LMS w HR