Konsekwencją promowanej przez RODO analizy ryzyka powinien być wybór odpowiednich środków ograniczających ryzyko. Rozporządzenie wskazuje dwa rodzaje takich środków: środki techniczne i środki organizacyjne. Celem serii, którą rozpoczyna ten wpis jest szeroki przegląd możliwych do zastosowania zabezpieczeń zaliczających się do wspomnianych kategorii. W dzisiejszym wpisie skupimy się na środkach organizacyjnych.

Typy organizacyjnych środków bezpieczeństwa

Zabezpieczenia o charakterze organizacyjnym tworzą szeroką kategorię. W jej ramach, dla przejrzystości przeglądu, warto wyróżnić pewne typy – aczkolwiek należy podkreślić, że kryteria podziału są mocno umowne.

Typami organizacyjnych środków bezpieczeństwa mogą być zatem:

• rozwiązania organizacyjne;
• wewnętrzne polityki bezpieczeństwa;
• standardy, normy i certyfikaty;
• zarządzanie bezpieczeństwem;
• zabezpieczenia fizyczne.

Poniżej omówimy środki zaliczające się do zbioru rozwiązań organizacyjnych.

Rozwiązania organizacyjne

Ten typ środków organizacyjnych obejmuje  szeroki wachlarz, począwszy od  rozwiązań o charakterze systemowym (np. system bezpieczeństwa) a skończywszy na konkretnych praktykach przewidzianych w ramach organizacji (np. zasada dwóch par oczu).

System bezpieczeństwa  

Co to jest:  system bezpieczeństwa firmy to kompleksowa koncepcja zorganizowania wszystkich elementów zaliczanych w organizacji do domeny bezpieczeństwa. Jego charakterystyka może przyjmować postać jednego zasadniczego dokumentu opisującego zarys systemu i odsyłającego do pomniejszych dokumentów odnoszących się do wybranych dziedzin (np. polityki bezpieczeństwa informacji). Może również zawierać w sobie wszystkie wyodrębnione w organizacji obszary bezpieczeństwa – jednak to rozwiązanie sprawdzi się tylko w przypadku mniejszych organizacji.

Wady:  bardzo złożony poznawczo projekt, wymaga wysokich kompetencji osób, które odpowiadają za jego opracowanie i wdrożenie, wymaga aktualizacji i ciągłego dopracowywania; do stworzenia i wdrożenia spójnego systemu bezpieczeństwa trzeba zaangażować przedstawicieli wszystkich działów, a często także skoordynować ich działania prowadzące do implementacji założeń systemu;  jego opracowanie jest przeważnie kosztowne i wymaga relatywnie długiego czasu.

Zalety: zapewnia kompleksowe podejście do kwestii bezpieczeństwa firmy (tę zaletę ciężko przecenić), generuje efekt synergii, pozwala optymalizować koszty związane z inwestycjami „w bezpieczeństwo”, jego wprowadzenie znacząco podnosi poziom bezpieczeństwa członków organizacji oraz jej kontrahentów, skuteczny system bezpieczeństwa znacząco podnosi szanse firmy na przetrwanie, realizację jej celów i misji, wydajny system bezpieczeństwa pozwala firmie na skupienie się na jej zasadniczej działalności.

Menadżer ds. bezpieczeństwa

Kto to jest: osoba odpowiedzialna za zarządzanie bezpieczeństwem organizacji. Jej zakres obowiązków zależy od dziedzin jakie zostały wyodrębnione jako te, które  odnoszą się do bezpieczeństwa. Menadżerowie bezpieczeństwa mogą funkcjonować na różnych szczeblach organizacji w zależności od przypisanej im odpowiedzialności i zakresowi kompetencji.

Wady: nie każda organizacja może sobie pozwolić na koszt posiadania takiego menadżera, trudności z wyodrębnieniem zakresu odpowiedzialności menadżera ds. bezpieczeństwa, trudności ze znalezieniem wystarczająco kompetentnych osób na to stanowisko.

Zalety: zapewnienie kompleksowego, permanentnego podejścia do bezpieczeństwa, zdolność do przekształcenia bezpieczeństwa w przewagę konkurencyjną organizacji, stały dostęp do eksperta z zakresu bezpieczeństwa, który jednocześnie zna specyfikę swojej organizacji i branży w jakiej ona działa.

Komórka bezpieczeństwa

Co to jest:  komórka bezpieczeństwa w pewnym sensie stanowi rozszerzenie funkcji menadżera ds. bezpieczeństwa. Może ona zajmować się wieloma sprawami określonymi przez firmę jako kwestie bezpieczeństwa. Może również zajmować się tylko jednym, wybranym zagadnieniem (np. komórka do spraw nadużyć pracowniczych).

Wady: znaczący koszt utrzymania, potrzeba znalezienia kompetentnych kandydatów do obsadzenia komórki, potrzeba permanentnego rozwoju kompetencji jej członków, zagrożenia ze strony procesów grupowych (jak np. syndrom myślenia grupowego).

Zalety: efekt synergii osiągany w pracy nad rozwiązaniem problemów dotyczących bezpieczeństwa organizacji, dostęp do zespołu wysokiej klasy specjalistów od bezpieczeństwa, szerokie możliwości w zakresie wewnętrznych szkoleń z obszaru bezpieczeństwa.

Inspektor Ochrony Danych

Kto to jest:  funkcję tą wprowadza RODO: Inspektor Ochrony Danych (IOD) od 25 maja 2018 r. zastąpi Administratora Bezpieczeństwa Informacji (ABI). Głównym zadaniem IOD jest pomoc organizacji w zapewnieniu jej zgodności z wymogami nowego prawa o ochronie danych osobowych (o IOD – zobacz więcej).

Wady: koszty związane z jego powołaniem i podnoszeniem jego kwalifikacji, ewentualnie koszty związane outsourcingiem funkcji Inspektora Ochrony Danych.

Zalety: merytoryczne wsparcie dla kierownictwa organizacji i jej pracowników w zakresie ochrony danych, możliwość powiązania zadań IOD z kwestiami ochrony informacji firmy, przez co można znacząco podnieść informacyjne bezpieczeństwo firmy relatywnie niskim kosztem, powołanie IOD to dowód na to, że organizacja poważnie podchodzi do kwestii ochrony danych osobowych.

Zespół reagowania

Co to jest: tworzą go osoby odpowiedzialne za monitorowanie określonego elementu bezpieczeństwa np. bezpieczeństwa w sieci. Zespoły reagowania działają w reżimie 24/7. Zakres zainteresowań takiego zespołu zależy od specyfiki organizacji, niemniej można przypuszczać, iż firmowe zespoły reagowania stanowią komórki  odpowiedzialne za szeroko rozumiane cyberbezpieczeństwo.

Wady: jego powołanie i prowadzenie wymaga zaangażowania przynajmniej kilku wysoko wykwalifikowanych pracowników, utrzymanie zespołu jest relatywnie drogie, działania takiego zespołu nie są możliwe bez wysokiej jakości sprzętu i oprogramowania.

Zalety: permanentna zdolność do reagowania na występujące kryzysy, minimalizacja ryzyka przeoczenia zmian istotnych z punktu widzenia bezpieczeństwa organizacji, bieżące alarmowanie pozostałych członków organizacji bądź klientów o wystąpieniu zagrożenia, cenne wnioski wynikające z badania dużych zbiorów danych.

Kategoryzacja informacji (publiczne, wewnętrzne, tajne)

Co to jest: działanie polegające na stworzeniu ogólnych kategorii bezpieczeństwa informacji ze względu na wartość jaką przedstawiają dla firmy. Przykładowe kategorie informacji to: informacje publiczne (pełen dostęp do informacji), informacje wewnętrzne (dostęp do nich mają jedynie członkowie organizacji) oraz informacje tajne (dostęp do nich mają tylko wybrani członkowie organizacji, ochrona tych informacji jest priorytetem firmy).

Wady: potrzeba identyfikacji wszystkich informacji (kategorii informacji) jakimi dysponuje przedsiębiorstwo, trudności ze stworzeniem jednoznacznych kryteriów wartościowania informacji, potencjalne zaburzenia w wewnętrznej komunikacji przedsiębiorstwa.

Zalety: adekwatna ochrona informacji, podniesienie poziomu bezpieczeństwa informacji, przejrzysty zakres dostępu do określonych kategorii informacji, lepsza ochrona danych dotyczących klientów i kontrahentów.

Transfer wiedzy (szkolenia)

Co to jest: transfer wiedzy obejmuje szkolenia prowadzone zarówno przez osoby z zewnątrz organizacji, jak i przez jej członków. Transfer wiedzy jest o tyle istotny, że pracownicy nieświadomi zagrożeń i sposobów redukowania wiążącego się z nimi ryzyka nie będą w stanie podjąć odpowiednich działań. W tym miejscu warto przypomnieć, iż zapewnianie bezpieczeństwa firmie nie jest możliwe bez zaangażowania w ten proces wszystkich członków organizacji.

Wady: często lekceważący stosunek kierownictwa i pracowników do szkoleń, często występujący brak weryfikacji wiedzy zdobytej w trakcie szkoleń, trudności ze znalezieniem ciekawych ofert szkoleniowych w zakresie bezpieczeństwa, wysokiej jakości szkolenia zewnętrzne wiążą się często z dużymi kosztami, przeprowadzenie szkolenia zajmuje czas, co może stanowić duży problem w niektórych rodzajach działalności.

Zalety: elastyczność w zakresie dostosowania materiału szkoleniowego do grupy docelowej, możliwość podniesienia świadomości w zakresie bezpieczeństwa dużej grupy pracowników, ciekawe urozmaicenie czasu pracy, dzięki szkoleniom w proces zapewniania bezpieczeństwa firmie można zaangażować wszystkich członków organizacji.

Zasady dyscypliny

Co to jest:  zasady dyscypliny służą do utrzymania prawidłowego (efektywnego) przebiegu procesu pracy. Zbiór tych zasad tworzą najczęściej zapisy umowy o pracę oraz regulaminy pracy.

Wady: czasami występujący brak rozliczalności z przestrzegania zasad, możliwość przerodzenia zasad dyscypliny w narzędzie ucisku i podporządkowania pracowników, stosowanie podwójnych standardów, brak dobrego przykładu płynącego z góry może storpedować nawet najbardziej misternie sformułowany zbiór zasad dyscypliny.

Zalety: utrzymanie bezpieczeństwa i higieny pracy, wyrobienie w pracownikach pozytywnych w kontekście bezpieczeństwa firmy nawyków, ochrona majątku firmy, zachowanie porządku organizacyjnego, zapewnienie zgodności działań członków organizacji z obowiązującym prawem.

Zakres odpowiedzialności

Co to jest: proste rozwiązanie organizacyjne polegające na dokładnym zdefiniowaniu w organizacji kto, za co i w jakim zakresie odpowiada. Ten zabieg z jednej strony ułatwia funkcjonowanie członkom organizacji (każdy wie czego się od niego wymaga) z drugie pozwala uniknąć sytuacji, w której jakieś procesy, czynności bądź zasoby pozostają „bezpańskie”.

Wady: trudności ze stworzeniem spójnego systemu odpowiedzialności w firmach prowadzących skomplikowaną działalność, problem odpowiedzialności zbiorowej w przypadku niektórych procesów i zasobów, potrzeba weryfikacji zgodności ze zdefiniowanym podziałem zakresu odpowiedzialności.

Zalety: znaczące obniżenie niepewności członków organizacji, proste kryteria dostępu i rozliczalności z zasobów, promowanie kultury odpowiedzialności za dobro firmy, uniknięcie problemu dyfuzji odpowiedzialności, optymalizacja działań członków firmy, poprawa przejrzystości funkcjonowania organizacji.

Rejestr czynności przetwarzania danych i rejestr kategorii czynności przetwarzania

Co to jest: rejestry te wprowadza RODO i obciąża obowiązkiem ich prowadzenia administratorów (rejestr czynności) i procesorów (rejestr kategorii) danych osobowych. Z obowiązku prowadzenia rejestrów zwolnieni są przedsiębiorcy zatrudniający do 250 osób, chyba że… przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych…

(Konkretny zakres informacji wymaganych przez oba rejestry określa art. 30 RODO.)

Wady: uproszczone spojrzenie nie dające pełnego przeglądu działań organizacji w zakresie ochrony danych, dokument o dość ogólnym charakterze, ze względu na zawarte informacje dokument ten wymaga ochrony przed dostępem osób niepowołanych.

Zalety: ułatwia przegląd przetwarzanych danych, upraszcza organowi nadzorczemu kontrolę administratora bądź procesora, pozwala na ogólny przegląd środków bezpieczeństwa  zastosowanych do ochrony danych osobowych, pozwala na syntetyczne ujęcie tego jakie dane komu są udostępniane.

Rejestr nośników danych

Co to jest: kolejna prosta metoda podniesienia bezpieczeństwa, szczególnie przydatna w przypadku małych organizacji. Rejestr ten pomaga w zapewnieniu bezpieczeństwa danych poprzez sporządzenie i monitorowanie nośników, na których przetwarzane są dane.

Wady: to rozwiązanie jedynie wspomaga ochronę danych a nie ją zapewnia, potrzeba właściwej ochrony samego rejestru przed dostępem osób niepowołanych, w dużej organizacji taki rejestr może być bardzo rozbudowany.

Zalety: bardzo proste i tanie rozwiązanie dające przegląd tego co może być zagrożone, rejestr przydatny jest do identyfikowania zagrożeń, jakie grożą przetwarzanym przez firmę danym, łatwa możliwość weryfikacji czy określony nośnik jest w wystarczającym stopniu chroniony.

Lista zasobów i przypisanie im środków bezpieczeństwa

Co to jest: bardzo prosty element bezpieczeństwa ułatwiający organizację i monitorowanie systemu bezpieczeństwa firmy. Rozwiązanie to bazuje na zasobowym podejściu do bezpieczeństwa.

Wady: uproszczone spojrzenie na bezpieczeństwo organizacji, mała elastyczność, w dużych organizacjach stworzenie jednej listy może okazać się niemożliwe.

Zalety: Bardzo proste rozwiązanie nie wymagające specjalnych kompetencji, łatwość przeglądu i aktualizacji, niska cena, dobra podstawa do zarządzania pozostałymi środkami bezpieczeństwa.

Zasada „dwóch par oczu”

Co to jest: podejście redukujące ryzyko błędu poprzez zastosowanie dwuosobowej kontroli. Jeśli pierwsza osobo popełni błąd (np. źle adresując e-mail z cennymi danymi) drugi kontroler powinien to zauważyć i skorygować pomyłkę.

Wady: w niektórych sytuacjach metoda może być nadmiernie czasochłonna, potrzeba zaangażowania i koordynacji co najmniej dwóch osób w ramach jednej czynności.

Zalety: prostota, zwykle niskie koszty, przydatna w sytuacjach gdzie błąd człowieka może powodować znaczące negatywne konsekwencje.

* Oczywiście to nie wszystkie wady i zalety przedstawionych organizacyjnych środków bezpieczeństwa. Zachęcam do dzielenia się w komentarzach swoimi propozycjami i refleksjami w tym temacie. 🙂

ZOBACZ RÓWNIEŻ:
Jak zabezpieczyć dane osobowe – Techniczne środki bezpieczeństwa cz. 1

Jak zabezpieczyć dane osobowe – Organizacyjne środki bezpieczeństwa cz. 2

Jak zabezpieczyć dane osobowe – Techniczne środki bezpieczeństwa cz. 2