fbpx

Co oznacza podejście oparte na ryzyku? Dlaczego RODO wymaga od nas oceny zagrożenia? Od czego zacząć, aby analiza była obiektywna i oparta na konkretnej działalności? Te pytania zadają sobie nie tylko przedsiębiorcy, ale i Inspektorzy Ochrony Danych, którzy w organizacjach publicznych i prywatnych stoją przed tym samym dylematem. W tym artykule przedstawiam pierwsze kroki, które należy podjąć, aby skutecznie sobie z tym poradzić. A tym samym, jakich błędów się wystrzegać.

RODO wprowadza podejście oparte na ryzyku.

RODO wprowadza podejście oparte na ryzyku. Zgodnie z nim, każda instytucja lub firma (nawet ta jednoosobowa) powinna oszacować ryzyko właściwe dla przetwarzania danych, a następnie wdrożyć środki minimalizujące zagrożenia. Brzmi to prosto ale w praktyce, w zależności od wielkości organizacji, wymaga zaangażowania dużej ilości czasu i ludzi. I, co jeszcze ważniejsze, zrozumienia założeń podejścia opartego na ryzyku. Jeśli Twoja firma lub instytucja nie rozumie celu analizowania zagrożeń i  procesów, które się z tym wiążą, to z mojego doświadczenia wynika, że nie ma dużych szans, aby efektem tego była skuteczna analiza ryzyka. Dla mnie, w dużym skrócie, skuteczna analiza to taka analiza, która dostarcza obiektywnych informacji z całej organizacji o istniejących lub możliwych zagrożeniach, na podstawie których kierownik jednostki jest w stanie podjąć realną decyzję co do tego jakie zabezpieczenia wdrożyć, aby to ryzyko zminimalizować. Wbrew pozorom, nie każdy proces analizy ryzyka w organizacji takie wnioski przyniesie. Wobec tego, o czym pamiętać i jakie kroki podjąć, aby chociaż w części przybliżyć się do tego ideału?

Inwentaryzacja danych.

Bez inwentaryzacji danych trudno byłoby szacować ryzyko względem kategorii danych, których nie znamy.

Przed wykonaniem analizy ryzyka niezbędne jest określenie tego jakie dane, w jakim celu, na jakiej podstawie i w jakiej formie przetwarza Twoja firma lub instytucja. Nazywam ten etap inwentaryzacją danych, gdyż jest to jedna z tych czynności, którą przy wdrożeniu RODO musisz wykonać na samym początku i wielokrotnie póżniej korzystać z jej wyników. Bez inwentaryzacji danych trudno byłoby szacować ryzyko względem kategorii danych, których nie znamy. Na tym etapie możesz skorzystać pomocniczo z rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania, jeśli Twoja organizacja jest zobowiązana taki prowadzić. To pozwoli Ci wstępnie ustalić z jakimi kategoriami danych wiąże się przetwarzanie, które będzie w dalszej części analizowane. Kategoria danych – czy są to dane zwykłe czy wrażliwe, ma duże znaczenie. W tych organizacjach, które na co dzień przetwarzają dane osobowe szczególnej kategorii, potencjalnie wyższe będzie ryzyko naruszenia praw i wolności osoby fizycznej, aniżeli tam, gdzie to przetwarzanie jest ograniczone do danych powszechnie dostępnych. Nie jest to jednak takie wprost proporcjonalne, dlatego celowo używam słowa „potencjalnie” wyższe, gdyż takie zagrożenia mogą występować w określonych warunkach, także w innych organizacjach. Szczególnie tam, gdzie świadomość ryzyka jest na niskim poziomie lub ryzyko jest całkowicie bagatelizowane.

Metodologia analizy ryzyka – czy na pewno jest potrzebna?

Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. RODO nie wymienia i nie nakazuje żadnej konkretnej metody przeprowadzania takiej analizy. Można opierać się np. na normach ISO, w szczególności na normie  27001 (tj. system zarządzania bezpieczeństwem informacji) i normie 27005 – która dotyczy zarządzania ryzykiem w bezpieczeństwie informacji. Podaję te normy jako uznane przykłady i dobre praktyki do zastosowania. Możesz również podjąć się opracowania i wdrożenia własnej metodologii dla analizy ryzyka w Twojej organizacji, a przez to rozumiem jasne kryteria, które pozwolą obiektywnie oszacować ryzyko.

Na tym etapie Twoja organizacja potrzebuje opracować i stosować jednolicie przez wszystkie komórki organizacyjne kryteria szacowania skutków i prawdopodobieństwa. Kryteria to pewnego rodzaju punkty odniesienia, które pozwolą ustalić i realnie ocenić, co konkretnie oznacza, że skutek zmaterializowania się zagrożenia jest niski lub krytyczny. A co z kolei oznacza, że prawdopodobieństwo wystąpienia takiego niepożądanego zdarzenia jest rzadkie lub wysokie? Do tego właśnie potrzebna jest Twojej organizacji odpowiednia skala prawdopodobieństwa i skutków. 

Najprostszy wzór na ryzyko to jest R = S x P.

Na tym jednak nie koniec. Ryzyko bowiem to jest iloczyn skutku i prawdopodobieństwa. Można śmiało powiedzieć, że najprostszy wzór na ryzyko to jest R = S x P, gdzie R to ryzyko, S to skutek, a P to oczywiście, prawdopodobieństwo wystąpienia ryzyka. Dopiero macierz ryzyka da nam odpowiedź na temat konkretnego poziomu ryzyka – czy jest to ryzyko niskie, czy wysokie, itd.?

Wiem, że etap opracowania odpowiednich i adekwatnych dla organizacji kryteriów jest jednym z najtrudniejszych w całym procesie. Dlatego proces analizy ryzyka na podstawie dobrych praktyk wg ISO 27005 przedstawiam szczegółowo wraz z przykładami arkuszy, macierzy ryzyka i zagrożeń do zastosowania w kursie online „Analiza ryzyka i ocena skutków wg RODO/ISO” – opis programu i zawartość kursu znajdziesz tutaj.

Niezależnie od tego, z jakiej metodologii zdecydujesz się korzystać, tego etapu nie wolno pomijać. Bez jasnych i opisanych kryteriów szacowania ryzyka nie uda się oszacować zagrożeń i wprowadzić dobrego planu postępowania z ryzykiem. 

Wszystkie ręce na pokład.

Kryteriami, które organizacja opracuje na własne potrzeby powinni kierować się wszyscy pracownicy, biorący udział w procesie oceny ryzyka. Aby jednak to osiągnąć, trzeba zacząć od zebrania zespołu, nawet wirtualnego, który w ramach danej firmy lub instytucji posiada wszystkie niezbędne informacje i kompetencje do przygotowania obiektywnej analizy. Taki zespół ds ryzyka to podstawa do przeprowadzenia dalszych etapów skutecznej analizy zagrożeń. Niestety, nadal w wielu organizacjach, obowiązek przeprowadzenia analizy ryzyka ceduje się wyłącznie na Inspektora Ochrony Danych, nie zapewniając mu wystarczającego wsparcia do wykonania wszystkich niezbędnych czynności. Inspektor Ochrony Danych powinien mieć za zadanie, między innymi, monitorować przeprowadzenie analizy, a także dostarczać rekomendacji i wskazówek co do wyboru najbardziej adekwatnych zabezpieczeń. Jednoosobowe wykonanie analizy ryzyka przez IOD, nawet mimo jego najlepszych chęci i zaangażowania, nie będzie miało żadnej wartości pod kątem realnego zabezpieczenia organizacji i wykazania zgodności z RODO. 

W tym procesie musi wziąć udział przede wszystkim kierownik jednostki lub inna osoba reprezentująca administratora danych, która dysponuje niezbędnymi zasobami do wykonania analizy, w tym oddelegowania do tego dodatkowo takich osób, jak:

  • administrator systemu informatycznego lub inna osoba z działu IT, która posiada wiedzę na temat aktualnie stosowanych zabezpieczeń sieci, systemów informatycznych i urządzeń, a także będzie w stanie zaproponować rozwiązania podnoszące poziom bezpieczeństwa,
  • kierownik ochrony fizycznej, pracownik działu administracji lub inna osoba, która posiada wiedzę na temat stosowanych zabezpieczeń technicznych i organizacyjnych w odniesieniu do pomieszczeń i budynków, w których odbywa się przetwarzanie danych,
  • kierownicy komórek merytorycznych, którzy odpowiadają za poszczególne procesy przetwarzania danych i będą w stanie wytypować związane z nimi potencjalne zagrożenia oraz zaproponować rozwiązania organizacyjne na miarę swoich możliwości, które będą te ryzyka minimalizowały,
  • osoby przetwarzające dane z poszczególnych obszarów organizacji, które na podstawie swojego doświadczenia i wiedzy na temat występujących wcześniej sytuacji potencjalnie niebezpiecznych będą mogły podpowiedzieć dodatkowe ryzyka,
  • inne osoby, które posiadają fachową wiedzę w danym obszarze, np. eksperci z zewnątrz lub inni pracownicy, którzy będą wsparciem w identyfikacji zagrożeń, ale i w opracowaniu skutecznego planu postępowania z ryzykiem.

Dopiero tak stworzony zespół ds. ryzyka ma szansę na wytypowanie aktywów, które występują w procesie przetwarzania danych, związanych z nimi podatności i w konsekwencji zagrożeń, które zostaną poddane obiektywnej ocenie poziomu ryzyka.

Obecny i docelowy stan bezpieczeństwa.

Zespół ds. ryzyka dostarcza szeregu informacji niezbędnych w typowaniu zagrożeń oraz na temat aktualnego stanu bezpieczeństwa na różnych płaszczyznach – informatycznego, technicznego i organizacyjnego. A jednym z elementów obiektywnej analizy ryzyka jest odniesienie się do obecnego stanu bezpieczeństwa, ponieważ szacujemy zawsze w porównaniu do tego, na ile to, co stosujemy obecnie będzie w stanie zminimalizować skutki lub zmniejszyć prawdopodobieństwo wystąpienia ryzyka. Dla przykładu – jeśli organizacja zastanawiałaby się nad poziomem ryzyka kradzieży dokumentacji papierowej zawierającej dane osobowe lub włamania do budynku, to należałoby się skupić na tym, jakie obecnie są stosowane procedury dostępu i zabezpieczenia techniczne. Jeśli organizacja zapewnia ochronę fizyczną budynku w systemie 24/7, alarm antywłamaniowy, czujniki ruchu na oknach i drzwiach, a także monitoring terenu i pomieszczeń, to poziom ryzyka byłby ograniczony do niskiego lub średniego. Elementów wpływających na ostateczny poziom ryzyka jest oczywiście znacznie więcej, np. to czy i kiedy ostatnio takie zdarzenie miało miejsce w organizacji, jakie będą skutki takiego zdarzenia dla organizacji i osoby, której dane dotyczą, etc. Niemniej, w dużym stopniu poziom aktualnego bezpieczeństwa wpływa na to, jakie kroki podejmiemy po oszacowaniu ryzyka. Jednym słowem, jakie zabezpieczenia wdrożymy, aby te ryzyka jeszcze bardziej zredukować, w tym, na ile i w jaki sposób podniesiemy poziom bezpieczeństwa.

ADO decyduje o zabezpieczeniach.

Dopiero po wykonaniu analizy ryzyka można przystąpić do wdrożenia adekwatnych środków organizacyjnych i technicznych.

Inspektor Ochrony Danych, administrator systemu informatycznego (ASI) oraz kierownicy komórek to są osoby, które będą doradzać nie tylko przy identyfikacji zagrożeń, ale i przy doborze adekwatnych zabezpieczeń, które będą minimalizowały potencjalne ryzyko. Ten etap nazywamy planem postępowania z ryzykiem. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i kategorii danych podlegających ochronie. Analiza ryzyka, podobnie jak wcześniej wykonana inwentaryzacja danych, jest kolejnym kamieniem milowym, który przybliża Twoją organizację do spełnienia wymogów ochrony danych zgodnie z RODO. Dopiero po wykonaniu analizy ryzyka będzie można przystąpić do wdrożenia adekwatnych środków organizacyjnych i technicznych, które będą odpowiednio chroniły dane osobowe, które są przetwarzane. 

Ważne jest to, aby spojrzeć na to szeroko, biorąc pod uwagę także opinię i rekomendacje osób stosujących zabezpieczenia w codziennej pracy. Każda z tych osób oczywiście będzie doradzać na miarę swoich możliwości, wiedzy i doświadczenia. Nikt jednak nie oczekuje od kierowników działów posługiwania się fachowym językiem w obszarze zabezpieczeń IT. To jest raczej zadanie po stronie ASI. Kierownicy komórek i osoby przetwarzające dane mogą za to rekomendować rozwiązania organizacyjne, które będą poprawiały bezpieczeństwo w obszarze przechowywania danych, obsługi klienta, procedur, szkoleń, etc.

Na etapie ustalania planu zabezpieczeń ponownie do akcji wkracza administrator danych osobowych, który posiada zasoby niezbędne do jego akceptacji i zatwierdzenia. A tymi zasobami są: czas, pieniądze i ludzie. To administrator danych, na podstawie rekomendacji IOD i zespołu ds ryzyka, musi zdecydować o tym, jakie zabezpieczenia wdrożyć w pierwszej kolejności, biorąc pod uwagę poziom ryzyka oraz przypisać osoby odpowiedzialne za ich realizację. Istotne są także konkretne terminy, które zostaną nałożone na wyznaczone osoby celem wdrożenia poszczególnych środków minimalizujących ryzyko. Sporządzenie ogólnego planu zabezpieczeń bez konkretnych środków, które są planowane i przypisanych im zasobów odpowiedzialnych za wdrożenie, nie odniesie skutku, o którym mowa w RODO. Administrator danych nie będzie w stanie wtedy wykazać, że podjął realną decyzję, co do tego, jakie zabezpieczenia wdrożyć, aby potencjalne ryzyko obiektywnie zminimalizować.

Jeśli jesteś Inspektorem Ochrony Danych i chcesz podnieść swoje kompetencje w obszarze analizy ryzyka sprawdź stronę z kursem online „Analiza ryzyka i ocena skutków wg RODO/ISO” – opis programu i zawartość lekcji znajdziesz tutaj. Ten kurs online jest przygotowany na podstawie szkolenia stacjonarnego od tym samym tytule, które prowadzę od 2018 r. dla IOD z jednostek publicznych i prywatnych. Wersja online została wzbogacona dodatkowymi lekcjami i bonusami w postaci gotowych, rozbudowanych arkuszy analizy i raportów z oceny skutków.

error: Treść strony jest chroniona!