Wdrożenie RODO a bezpieczeństwo informacji, bezpieczeństwo danych osobowych
Wdrożenie skutecznego systemu zabezpieczania danych, w szczególności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym danych osobowych w organizacji powinniśmy oprzeć na Rozporządzeniu RODO [Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)] oraz normie ISO 27001 [Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (EN ISO/IEC 27001:2017)].
Czym jest System Zarządzania Bezpieczeństwem Informacji?
SZBI stanowi część Systemu Zarządzania wdrażanego w firmie. Zarówno ISO27001 i czerpiące z niej RODO zalecają podejście oparte na ryzyku – każdy proces związany z przetwarzaniem informacji, zachodzący w firmie musi zostać wskazany a ryzyka z nim związane zidentyfikowane, opisane i poprzez ciągłe działanie usunięte, zabezpieczone lub skutki jego wystąpienia zminimalizowane.
Myśląc o bezpieczeństwie danych, powinniśmy zawsze mieć na uwadze ich:
- Poufność – dane dostępne jedynie dla autoryzowanych osób
- Integralność – dane nie mogą zostać celowo lub przypadkowo zmanipulowane
- Dostępność – dane są dostępne i możliwe do wykorzystania
Od czego zacząć?
Wdrożenie nowych procedur, aby było skuteczne i przyniosło oczekiwany efekt, powinno zostać poprzedzone wstępnym audytem. Przed nim z kolei warto przeprowadzić spotkanie omawiające etapy takiego audytu, wskazać działy, które audytor będzie chciał odwiedzić określając w przybliżeniu jakich obszarów działania firmy będą dotyczyły poszczególne spotkania. Zadaniem przewodnim powinna być identyfikacja procesów przetwarzania, ocena stosowanych procedur, zidentyfikowanie zbiorów danych, sposobów przetwarzania. Szczególną uwagę audytor skieruje na systemy informatyczne oraz infrastrukturę IT jako całość.
Kiedy już poznaliśmy, czas dostosować…
Zidentyfikowanie procesów przetwarzania oraz osób odpowiedzialnych za procesy pozwala na zaangażowanie wszystkich kluczowych osób w dostosowanie procesów do zasad ISO 27001 oraz RODO. Często osoby te, będąc najbliżej danego procesu, same będą w stanie zaproponować najlepsze rozwiązania.
Część audytu stanowi również rozpoznanie środowiska IT. System rozumiany jako całość, a także każdy z jego elementów powinien zapewniać Poufność, Integralność, Dostępność. Mowa tutaj zarówno o fizycznym zabezpieczeniu, ochronie poprzez odpowiednią konfigurację urządzeń, wdrożenie adekwatnych zabezpieczeń ale również odpowiednio przeszkolony i przygotowany do pracy personel.
Dzisiejsze ataki hackerskie są bardzo dobrze przygotowywane, wyprzedzone bardzo solidnym wywiadem. Mowa tutaj o identyfikacji struktur oraz poszczególnych pracowników, analizie dostępnych na ich temat materiałów w Internecie. Pamiętajmy, że dla przygotowania ataku phishingowego czy opartego na socjotechnice są to nieocenione źródła informacji.
Dlatego tak ważne jest, aby nieustannie pracować nad zabezpieczeniami, ale również szkoląc całą kadrę.
Identyfikowanie nowych procesów przetwarzania, analiza ryzyka, wdrażanie procedur, szkolenie kadry stanowią właściwie ciągły proces w każdej organizacji i minimalizują ryzyko wystąpienia incydentu/naruszenia czy wycieku danych.
Niezbędna dokumentacja
Jednym z wymogów RODO oraz ISO27001 jest prowadzenie dokumentacji . Stanowi ona zbiór polityk i procedur, ale również odpowiednich klauzul stosowanych w dokumentach. Spisanie i wdrożenie wspomnianych polityk, przeszkolenie całego zespołu stanowi wdrożenie RODO, jednak nie kończy pracy nad bezpieczeństwem danych w organizacji.
Ważne, aby przeprowadzić audyt zamknięcia!
Jest to ważny etap kończący wdrożenie. Zidentyfikujemy na tym etapie ewentualne niejasności, zweryfikujemy skuteczność zastosowanych procedur.
Czy to już?
Zdecydowanie NIE. Ochrona danych osobowych to proces do ciągłego doskonalenia. Firma nigdy nie stoi w miejscu, wciąż pojawiają się nowe okoliczności, modele działania czy współpracy z kontrahentami. Bardzo ważne jest więc monitorowanie na bieżąco.
W tym zakresie warto podjąć współpracę z naszą firmą. Gwarantujemy odpowiednią wiedzę i doświadczenie i oferujemy usługi powdrożeniowe, np.:
Audyt kontrolny
Wsparcie jako Zewnętrzny Inspektor Ochrony Danych Osobowych, Ekspert czy Konsultant ds. Ochrony Danych Osobowych, Pełnomocnik ds. Bezpieczeństwa Informacji.