W tym artykule wyjaśniam, co znacza analiza ryzyka zgodna z RODO i od czego zacząć, aby była obiektywna i oparta na konkretnej działalności. Przedstawiam pierwsze kroki, które należy podjąć, aby skutecznie sobie poradzić z jej wykonaniem. Te informacje będą przydatne dla organizacji publicznych i prywtanych, a także Inspektorów Ochrony Danych. Wszyscy bowiem stoją przed tym samym dylematem.

 

Czym jest analiza ryzyka zgodna z RODO?

RODO wprowadziło podejście oparte na ryzyku. Zgodnie z nim, każda instytucja lub firma (nawet ta jednoosobowa) powinna oszacować ryzyko właściwe dla przetwarzania danych. Dopiero w kolejnym kroku można wdrożyć środki minimalizujące zagrożenia. Brzmi to prosto ale w praktyce, w zależności od wielkości organizacji, jest zadaniem trudnym. Wymaga zaangażowania dużej ilości czasu i ludzi. I, co jeszcze ważniejsze, zrozumienia założeń podejścia opartego na ryzyku.

Jeśli Twoja firma lub instytucja nie rozumie celu analizowania zagrożeń i  procesów, które się z tym wiążą, to będzie Ci niezwykle trudno przejść przez to zadanie. Z mojego doświadczenia wynika, że nie ma dużych szans, aby efektem tego była analiza ryzyka zgodna z RODO.

Skuteczna analiza to taka analiza, która dostarcza obiektywnych informacji z całej organizacji o istniejących lub możliwych zagrożeniach. Tylko na tej podstawie kierownik jednostki może podjąć realną decyzję co do tego, jakie zabezpieczenia wdrożyć, aby to ryzyko zminimalizować. Wbrew pozorom, nie każdy proces analizy ryzyka w organizacji takie wnioski przyniesie. Wobec tego, o czym pamiętać i jakie kroki podjąć, aby chociaż w części przybliżyć się do tego ideału?

 

Inwentaryzacja danych wstępem do analizy ryzyka.

Bez inwentaryzacji danych trudno byłoby szacować ryzyko względem kategorii danych, których nie znamy.

Pierwszym krokiem przed wykonaniem analizy ryzyka potrzebne jest określenie kategorii danych, które organizacja przetwarza. Dodatkowow musimy ustalić w jakim celu, na jakiej podstawie i w jakiej formie je przetwarza. Nazywam ten etap inwentaryzacją danych. Jest to jedna z tych czynności, którą przy wdrożeniu RODO trzeba wykonać na samym początku.  Póżniej wielokrotnie będzie można korzystać z jej wyników.

Bez inwentaryzacji trudno będzie szacować ryzyko względem kategorii danych, których nie znamy. Na tym etapie możesz skorzystać pomocniczo z rejestru czynności przetwarzania lub rejestru kategorii, jeśli Twoja organizacja taki prowadzi. To pozwoli Ci wstępnie ustalić, z jakimi kategoriami danych wiąże się przetwarzanie, które będzie w dalszej części analizowane.

Kategoria danych – czy są to dane zwykłe czy wrażliwe, ma duże znaczenie. W tych organizacjach, które na co dzień przetwarzają dane osobowe szczególnej kategorii, potencjalnie wyższe będzie ryzyko. Nie jest to jednak takie wprost proporcjonalne, dlatego celowo używam słowa „potencjalnie” wyższe ryzyko.  Zagrożenia na podobnym poziomie mogą występować także w innych organizacjach. Szczególnie tam, gdzie świadomość ryzyka jest niska lub ryzyko jest całkowicie bagatelizowane.

Metodologia analizy ryzyka – czy na pewno jest potrzebna?

Każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. RODO nie wymienia i nie nakazuje żadnej konkretnej metody przeprowadzania takiej analizy. Można opierać się np. na normach ISO.  Przydatna będzie norma ISO 27001 (tj. system zarządzania bezpieczeństwem informacji). Jednak najwięcej wskazówek znajdziemy w normie ISO 27005,  która dotyczy zarządzania ryzykiem w bezpieczeństwie informacji. Podaję te normy jako uznane przykłady i dobre praktyki do zastosowania. Możesz również podjąć się opracowania i wdrożenia własnej metodologii dla analizy ryzyka w Twojej organizacj. Ważne jest to, aby ustalić jasne kryteria, które pozwolą obiektywnie oszacować ryzyko.

 

Przepis na analizę ryzyka zgodną z RODO.

Na tym etapie Twoja organizacja potrzebuje opracować i stosować jednolicie przez wszystkie komórki organizacyjne kryteria szacowania skutków i prawdopodobieństwa. Kryteria to pewnego rodzaju punkty odniesienia, które pozwolą ustalić i realnie ocenić, co konkretnie oznacza, że skutek zmaterializowania się zagrożenia jest niski lub krytyczny. A co z kolei oznacza, że prawdopodobieństwo wystąpienia takiego niepożądanego zdarzenia jest rzadkie lub wysokie? Do tego właśnie potrzebna jest Twojej organizacji odpowiednia skala prawdopodobieństwa i skutków.

Najprostszy wzór na ryzyko to jest R = S x P.

Na tym jednak nie koniec. Ryzyko bowiem to jest iloczyn skutku i prawdopodobieństwa. Można śmiało powiedzieć, że najprostszy wzór na ryzyko to jest R = S x P, gdzie R to ryzyko, S to skutek, a P to oczywiście, prawdopodobieństwo wystąpienia ryzyka. Dopiero macierz ryzyka da nam odpowiedź na temat konkretnego poziomu ryzyka – czy jest to ryzyko niskie, czy wysokie, itd.?

Wiem, że etap opracowania odpowiednich i adekwatnych dla organizacji kryteriów jest jednym z najtrudniejszych w całym procesie. Dlatego proces analizy ryzyka na podstawie dobrych praktyk wg ISO 27005 przedstawiam szczegółowo wraz z przykładami arkuszy, macierzy ryzyka i zagrożeń do zastosowania w kursie online „Analiza ryzyka i ocena skutków wg RODO/ISO”

Niezależnie od tego, z jakiej metodologii zdecydujesz się korzystać, tego etapu nie wolno pomijać. Bez jasnych i opisanych kryteriów szacowania ryzyka nie uda się oszacować zagrożeń i wprowadzić dobrego planu postępowania z ryzykiem.

Wszystkie ręce na pokład.

Wykonanie analizy ryzyka zgodnej z RODO wymaga współpracy. Kryteriami, które organizacja opracuje na własne potrzeby powinni kierować się wszyscy pracownicy, biorący udział w procesie oceny ryzyka. Aby to osiągnąć, trzeba zacząć od zebrania zespołu, który w ramach organizacji posiada wszystkie niezbędne informacje i kompetencje do przygotowania obiektywnej analizy.

Taki zespół ds. ryzyka to podstawa do przeprowadzenia dalszych etapów skutecznej analizy zagrożeń. Niestety, nadal w wielu organizacjach, obowiązek przeprowadzenia analizy ryzyka ceduje się wyłącznie na Inspektora Ochrony Danych. Tym samym nie zapewnia się wystarczającego wsparcia do wykonania wszystkich niezbędnych czynności.

Inspektor Ochrony Danych powinien mieć za zadanie, między innymi, monitorować przeprowadzenie analizy, a także dostarczać rekomendacji i wskazówek. Dzięki nim organizacja dokona wyboru najbardziej adekwatnych zabezpieczeń. Jednoosobowe wykonanie analizy ryzyka przez IOD, nawet mimo jego najlepszych chęci i zaangażowania, nie będzie miało żadnej wartości.  Takiej organizacji będzie trudno wykazać realność zabezpieczenia danych oraz zgodność z RODO.

Rola administratora w procesie analizy.

W tym procesie musi wziąć udział przede wszystkim kierownik jednostki lub inna osoba reprezentująca administratora danych. Istotne jest, aby ta osoba dysponowała niezbędnymi zasobami do wykonania analizy, w tym oddelegowania do tego dodatkowo takich osób, jak:

  • administrator systemu informatycznego lub inna osoba z działu IT, która posiada wiedzę na temat aktualnie stosowanych zabezpieczeń sieci, systemów informatycznych i urządzeń, a także będzie w stanie zaproponować rozwiązania podnoszące poziom bezpieczeństwa,
  • kierownik ochrony fizycznej, pracownik działu administracji lub inna osoba, która posiada wiedzę na temat stosowanych zabezpieczeń technicznych i organizacyjnych w odniesieniu do pomieszczeń i budynków, w których odbywa się przetwarzanie danych,
  • kierownicy komórek merytorycznych, którzy odpowiadają za poszczególne procesy przetwarzania danych i będą w stanie wytypować związane z nimi potencjalne zagrożenia oraz zaproponować rozwiązania organizacyjne na miarę swoich możliwości, które będą te ryzyka minimalizowały,
  • osoby przetwarzające dane z poszczególnych obszarów organizacji, które na podstawie swojego doświadczenia i wiedzy na temat występujących wcześniej sytuacji potencjalnie niebezpiecznych będą mogły podpowiedzieć dodatkowe ryzyka,
  • inne osoby, które posiadają fachową wiedzę w danym obszarze, np. eksperci z zewnątrz lub inni pracownicy, którzy będą wsparciem w identyfikacji zagrożeń, ale i w opracowaniu skutecznego planu postępowania z ryzykiem.

Dopiero tak stworzony zespół ds. ryzyka ma szansę na wytypowanie aktywów, które występują w procesie przetwarzania danych, związanych z nimi podatności i w konsekwencji zagrożeń, które zostaną poddane obiektywnej ocenie poziomu ryzyka.

 

Obecny i docelowy stan bezpieczeństwa.

Zespół ds. ryzyka dostarcza szeregu informacji niezbędnych w typowaniu zagrożeń oraz na temat aktualnego stanu bezpieczeństwa na różnych płaszczyznach – informatycznego, technicznego i organizacyjnego. A jednym z elementów obiektywnej analizy ryzyka jest odniesienie się do obecnego stanu bezpieczeństwa, ponieważ szacujemy zawsze w porównaniu do tego, na ile to, co stosujemy obecnie będzie w stanie zminimalizować skutki lub zmniejszyć prawdopodobieństwo wystąpienia ryzyka. Dla przykładu – jeśli organizacja zastanawiałaby się nad poziomem ryzyka kradzieży dokumentacji papierowej zawierającej dane osobowe lub włamania do budynku, to należałoby się skupić na tym, jakie obecnie są stosowane procedury dostępu i zabezpieczenia techniczne. Jeśli organizacja zapewnia ochronę fizyczną budynku w systemie 24/7, alarm antywłamaniowy, czujniki ruchu na oknach i drzwiach, a także monitoring terenu i pomieszczeń, to poziom ryzyka byłby ograniczony do niskiego lub średniego.

Elementów wpływających na ostateczny poziom ryzyka jest oczywiście znacznie więcej, np. to czy i kiedy ostatnio takie zdarzenie miało miejsce w organizacji, jakie będą skutki takiego zdarzenia dla organizacji i osoby, której dane dotyczą, etc. Niemniej, w dużym stopniu poziom aktualnego bezpieczeństwa wpływa na to, jakie kroki podejmiemy po oszacowaniu ryzyka. Jednym słowem, jakie zabezpieczenia wdrożymy, aby te ryzyka jeszcze bardziej zredukować, w tym, na ile i w jaki sposób podniesiemy poziom bezpieczeństwa.

ADO decyduje o zabezpieczeniach.

Dopiero po wykonaniu analizy ryzyka można przystąpić do wdrożenia adekwatnych środków organizacyjnych i technicznych.

Inspektor Ochrony Danych, administrator systemu informatycznego (ASI) oraz kierownicy komórek to są osoby, które będą doradzać nie tylko przy identyfikacji zagrożeń, ale i przy doborze adekwatnych zabezpieczeń, które będą minimalizowały potencjalne ryzyko. Ten etap nazywamy planem postępowania z ryzykiem.

Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i kategorii danych podlegających ochronie. Analiza ryzyka, podobnie jak wcześniej wykonana inwentaryzacja danych, jest kolejnym kamieniem milowym, który przybliża Twoją organizację do spełnienia wymogów ochrony danych zgodnie z RODO. Dopiero po wykonaniu analizy ryzyka będzie można przystąpić do wdrożenia adekwatnych środków organizacyjnych i technicznych, które będą odpowiednio chroniły dane osobowe, które są przetwarzane.

Ważne jest to, aby spojrzeć na to szeroko, biorąc pod uwagę także opinię i rekomendacje osób stosujących zabezpieczenia w codziennej pracy. Każda z tych osób oczywiście będzie doradzać na miarę swoich możliwości, wiedzy i doświadczenia. Nikt jednak nie oczekuje od kierowników działów posługiwania się fachowym językiem w obszarze zabezpieczeń IT. To jest raczej zadanie po stronie ASI. Kierownicy komórek i osoby przetwarzające dane mogą za to rekomendować rozwiązania organizacyjne, które będą poprawiały bezpieczeństwo w obszarze przechowywania danych, obsługi klienta, procedur, szkoleń, etc.

Plan postępowania z ryzykiem a zgodność z RODO.

Na etapie ustalania planu zabezpieczeń ponownie do akcji wkracza administrator danych osobowych, który posiada zasoby niezbędne do jego akceptacji i zatwierdzenia. A tymi zasobami są: czas, pieniądze i ludzie. To administrator danych, na podstawie rekomendacji IOD i zespołu ds ryzyka, musi zdecydować o tym, jakie zabezpieczenia wdrożyć w pierwszej kolejności, biorąc pod uwagę poziom ryzyka oraz przypisać osoby odpowiedzialne za ich realizację. Istotne są także konkretne terminy, które zostaną nałożone na wyznaczone osoby celem wdrożenia poszczególnych środków minimalizujących ryzyko.

Sporządzenie ogólnego planu zabezpieczeń bez konkretnych środków, które są planowane i przypisanych im zasobów odpowiedzialnych za wdrożenie, nie odniesie skutku, o którym mowa w RODO. Administrator danych nie będzie w stanie wtedy wykazać, że podjął realną decyzję, co do tego, jakie zabezpieczenia wdrożyć, aby potencjalne ryzyko obiektywnie zminimalizować.

 

Wsparcie IOD w przygotowaniu wytycznych do analizy ryzyka.

Jeśli jesteś Inspektorem Ochrony Danych i chcesz podnieść swoje kompetencje w obszarze analizy ryzyka sprawdź stronę z kursem online Analiza ryzyka i ocena skutków wg RODO/ISO”. Ten kurs online jest przygotowany na podstawie szkolenia stacjonarnego od tym samym tytule, które prowadzę od 2018 r. dla IOD z jednostek publicznych i prywatnych. Wersja online została wzbogacona dodatkowymi lekcjami i bonusami w postaci gotowych, rozbudowanych arkuszy analizy i raportów z oceny skutków.

error: Nie kopiujemy!