Bezpečnost organizací

    Digitální bezpečnost pro neziskovky: levná řešení bez IT oddělení

    Zpracováváte data dárců, klientů a dobrovolníků. GDPR se vás týká stejně jako korporací. IT oddělení nemáte. Tady je, co s tím dělat.

    13. března 202611 min čteníTým digitalnibezpeci.cz

    Neziskovky nejsou pro kyberútočníky nezajímavý cíl. Právě naopak. Zpracováváte osobní údaje dárců, klientů a dobrovolníků, pracujete s citlivými projekty a vaše IT zabezpečení je typicky slabší než u komerčních organizací. To z vás dělá snadný cíl.

    Přitom GDPR se vás týká úplně stejně jako firem. Pokud dojde k úniku dat dárců nebo klientů, odpovědnost neziskového charakteru organizace nezmírní.

    Dobrá zpráva: řada bezpečnostních nástrojů nabízí neziskovkám speciální podmínky nebo slevy. A základní ochrana je dostupná i s minimálním rozpočtem.

    Kde jsou neziskovky zranitelné

    Neziskovky mají specifická rizika, která se liší od běžných firem. Nestačí zkopírovat firemní bezpečnostní manuál, je potřeba řešit věci, které jsou pro neziskový sektor typické.

    Rotace dobrovolníků

    Dobrovolníci přicházejí a odcházejí. Pokud nemáte systém správy přístupů, bývalí dobrovolníci si přístup k účtům a datům ponechávají i po odchodu. To je kritická díra.

    Sdílená hesla jako standard

    "Heslo k Facebooku je v té tabulce na Google Drive." Sdílená hesla jsou v neziskovkách běžná, protože nikdo neřešil alternativu. Přitom jde o jeden z největších bezpečnostních problémů vůbec.

    Data dárců v Gmailu

    Emailová komunikace s dárci, exporty z fundraisingových platforem, smlouvy s partnery. Pokud to všechno leží v osobním Gmailu zakladatele, je to GDPR problém i bezpečnostní problém.

    Nulové zálohy projektové dokumentace

    Granty, projektové zprávy, smlouvy s donory. Pokud jsou uloženy jen v jednom místě a dojde k útoku nebo technické závadě, jsou nenávratně ztraceny.

    1. Password manager pro celý tým

    Priorita: nejvyšší. Čas na nastavení: 1 hodina.

    Toto je nejdůležitější změna, kterou můžete udělat. Password manager vyřeší sdílená hesla, přístup dobrovolníků a problém s odchodem lidí najednou.

    1
    Vytvořte organizační účet

    NordPass Business nebo Proton Pass for Business. Oba nabízejí speciální podmínky pro neziskovky na vyžádání.

    2
    Rozdělte přístupy podle rolí

    Složka "Sociální sítě" pro komunikační tým, složka "Finance" jen pro vedení, složka "Projekty" pro projektové manažery. Každý vidí jen to, co potřebuje.

    3
    Nastavte process offboardingu

    Když dobrovolník odchází: jeden klik v password manageru a přijde o veškerý přístup. Žádné přepisování hesel, žádná zapomenutá práva.

    Doporučujeme pro neziskovky

    NordPass Business a Proton Pass for Business nabízejí centrální správu přístupů s možností přidělování práv podle rolí. Obě platformy mají speciální podmínky pro neziskový sektor, kontaktujte jejich obchodní oddělení.

    Affiliate odkaz – koupí přes tento odkaz podpoříte provoz webu. Cena pro vás se nemění.

    Bezplatná alternativa: Bitwarden Organizations je zdarma pro základní použití a open-source. Pro neziskovky s velmi omezeným rozpočtem je to solidní začátek.

    2. Organizační email místo osobního Gmailu

    Priorita: vysoká. Čas na nastavení: 2 hodiny.

    Pokud komunikace s dárci, donory a partnery probíhá přes osobní emaily zakladatelů nebo dobrovolníků, máte tři problémy najednou: bezpečnostní, GDPR a profesionální.

    Osobní GmailŽádné end-to-end šifrování, data u Googlu, při odchodu člověka se ztrácí přístup k historii komunikace.
    Proton Mail for NonprofitsŠifrovaná komunikace, vlastní doména (info@vasorganizace.cz), centrální správa, data zůstávají organizaci.
    Proton for Nonprofits

    Proton nabízí neziskovým organizacím slevu až 75 % na celý ekosystém: Mail, Drive, VPN a Pass. Žádost se podává přímo přes Proton, schválení trvá typicky několik pracovních dní.

    Proton for Business / Nonprofits
    Mail + Drive + VPN + Pass v jednom. End-to-end šifrování, švýcarské servery, program pro neziskovky.

    Affiliate odkaz – koupí přes tento odkaz podpoříte provoz webu. Cena pro vás se nemění.

    3. VPN pro práci odkudkoliv

    Priorita: střední. Čas na nastavení: 30 minut.

    Dobrovolníci a pracovníci neziskovek často pracují z domova, z kaváren nebo přímo v terénu. Každé takové připojení na veřejnou Wi-Fi je potenciální riziko pro data organizace.

    VPN pro tým

    Surfshark umožňuje neomezený počet zařízení na jednu licenci, což je pro neziskovky s proměnlivým počtem dobrovolníků ideální. Proton VPN je součástí Proton Nonprofits balíčku.

    Affiliate odkaz – koupí přes tento odkaz podpoříte provoz webu. Cena pro vás se nemění.

    Bezplatná alternativa: Proton VPN nabízí bezplatnou verzi bez limitu dat. Pro organizaci s minimálním rozpočtem je to plnohodnotná ochrana pro základní použití.

    4. Zálohy projektové dokumentace

    Priorita: vysoká. Čas na nastavení: 1 hodina.

    Granty, závěrečné zprávy, smlouvy s donory, databáze kontaktů. Pokud tato data existují jen v jednom místě, jste od jejich ztráty vzdáleni jednomu ransomwarovému útoku nebo technické závadě.

    Google Drive nestačí jako záloha. Pokud ransomware zašifruje váš počítač a máte synchronizaci s Google Drive, zašifruje se i obsah Drive. Záloha musí být oddělená od primárního úložiště.

    Primární úložiště: Proton Drive

    End-to-end šifrované cloudové úložiště. Součást Proton Nonprofits balíčku. Vhodné pro citlivou dokumentaci, smlouvy a databáze kontaktů.

    Sekundární záloha: externí disk offline

    Měsíční záloha na externí disk, který po záloze odpojíte a uložíte mimo kancelář. Lacné, spolehlivé, nepřekonatelné.

    GDPR a neziskovky: co musíte mít

    GDPR se vztahuje na všechny organizace zpracovávající osobní údaje občanů EU. Neziskový charakter organizace vás nezbavuje povinností. Pokud sbíráte kontakty dárců, evidujete klienty nebo spravujete databázi dobrovolníků, GDPR se vás týká.

    Mít právní základ pro zpracování každé kategorie osobních údajů (souhlas, oprávněný zájem, plnění smlouvy)
    Informovat subjekty údajů o tom, jak jejich data zpracováváte
    Umožnit výmaz dat na žádost (právo být zapomenut)
    Mít záznamy o zpracování pokud zpracováváte data ve větším rozsahu
    Hlásit bezpečnostní incidenty s únikem dat do 72 hodin

    Nástroje jako Proton Mail a Proton Drive jsou navrženy tak, aby splňovaly evropské GDPR požadavky. Švýcarské sídlo a end-to-end šifrování jsou při výběru cloudového řešení pro neziskovky silné argumenty.

    Checklist pro neziskovky

    Zaveďte password manager a přestaňte sdílet hesla přes WhatsApp nebo tabulky
    Nastavte proces: při odchodu dobrovolníka nebo pracovníka ihned odeberte přístupy
    Přejděte z osobních emailů na organizační email s vlastní doménou
    Zálohujte klíčovou dokumentaci do šifrovaného cloudu odděleného od primárního úložiště
    Nainstalujte VPN na zařízení, ze kterých lidé pracují mimo kancelář
    Zapněte dvoufaktorové ověření (2FA) na všech důležitých účtech
    Zjistěte, zda splňujete GDPR požadavky pro zpracování dat dárců a klientů
    Požádejte vybrané nástroje o nonprofit slevu, může ušetřit desítky procent nákladů

    Kde začít?

    Password manager je nejrychlejší změna s největším dopadem. Vyřeší sdílená hesla i problém s odchodem dobrovolníků najednou.

    Související články