Jak zabezpieczyć dane osobowe – Organizacyjne środki bezpieczeństwa cz. 2

zabezpieczenia organizacyjne

W dzisiejszym wpisie pochylimy się na drugim typem organizacyjnych środków bezpieczeństwa jakim są firmowe polityki odnoszące się do domeny bezpieczeństwa. Potencjał tego typu środków, mimo że posiada silnie koncepcyjny charakter – trudno przecenić. Jednak aby wykorzystać maksymalnie korzyści płynące z ich zastosowania trzeba najpierw umieć rozróżniać poszczególne ich typy i znać cel ich zastosowania. 

 

Wewnętrzne polityki bezpieczeństwa

Wewnętrzne polityki bezpieczeństwa przyjmują postać bądź ogólnych orientacji i praktyk działania promowanych przez władze organizacji, bądź dokumentów będących ich wyrazem.  Drugą różnicującą je cechą jest poziom ogólności takich polityk: niektóre z nich odnoszą się do organizacji jako całości inne zaś regulują tylko wybrany element działania jej członków (np. polityka czystego biurka).

 

Firmowa polityka bezpieczeństwa

Co to jest: najogólniejsza, niesformalizowania orientacja władz firmy w dziedzinie bezpieczeństwa bądź jej sformalizowana (udokumentowana) wersja. Firmowe polityki bezpieczeństwa mogą obejmować wszystkie dziedziny jakie przypisane zostały do domeny bezpieczeństwa firmy. Wszystkie pozostałe typy organizacyjnych środków bezpieczeństwa przedstawione w tym wpisie są tak naprawdę ich częścią bądź dopełnieniem.

Wady: jej sformułowanie to złożony poznawczo i organizacyjnie proces, jest to kosztowane rozwiązanie, wymaga zaangażowania wszystkich członków organizacji (w myśl zasady – „każdy system jest tak słaby jak jego najsłabsze ogniwo”), jego implementacja jest złożona i narażona na błędy, stworzenie firmowej polityki bezpieczeństwa wymaga czasu i zaangażowania kompetentnych osób (zaś przynajmniej część z nich musi w dużym stopniu znać specyfikę organizacji i środowiska w jakim ona funkcjonuje).

Zalety: całościowe podejście do kwestii bezpieczeństwa, efekt synergii, większa odporność organizacji na zagrożenia, racjonalne (również kosztowo) podejście do ograniczenia ryzyka, szansa na stworzenie z bezpieczeństwa swego rodzaju przewagi konkurencyjnej.

 

Polityka bezpieczeństwa informacji

Co to jest: ten rodzaj polityki (mającej zwykle sformalizowaną formę firmowego dokumentu) dotyczy jednego tylko obszaru bezpieczeństwa przedsiębiorstwa – informacji. W skład tej polityki wchodzą różne zagadnienia, ale dwoma zdecydowanie najistotniejszymi są dane osobowe członków organizacji i jej klientów oraz informacje stanowiące tajemnicę przedsiębiorstwa.

Wady: sprowadza bezpieczeństwo do jednego tylko obszaru – informacji, jej sformułowanie wymaga czasu, pieniędzy i zaangażowania kompetentnych osób, polityka bezpieczeństwa informacji (podobnie jak inne polityki bezpieczeństwa) wymagają dużego stopnia indywidualizacji (dostosowania do specyfiki przedsiębiorstwa).

Zalety: koncentruje się na bodaj najważniejszym obszarze z punktu widzenia współczesnej firmy, może zostać potraktowana jako jedna z sektorowych polityk z obszaru bezpieczeństwa i wraz z nimi tworzyć spójny system, jej stworzenie zachęca do namysłu nad szeroko rozumianym zarządzaniem informacją w organizacji.

 

Instrukcja zarządzania systemem informatycznym

Co to jest: instrukcja ta to jeden z dokumentów wymaganych przez rozporządzenie do nieobowiązującej już ustawy o ochronie danych osobowych z 1997r. W świetle nowego prawa (RODO) jej posiadanie nie jest dla firm obowiązkowe, jednak w wielu przypadkach warto taki dokument posiadać, gdyż realnie obowiązująca instrukcja podnosi poziom bezpieczeństwa organizacji. Instrukcja taka zawiera m.in. wykaz systemów służących do przetwarzani danych osobowych, zasady przyznawania uprawnień do przetwarzania danych, stosowane metody uwierzytelniania użytkowników, czy procedury tworzenia kopii zapasowych.

Wady: jej sporządzenie wymaga nie tylko ogólno-organizacyjnej, ale i technicznej wiedzy (szczególnie z zakresu informatyki), dokument ten często pełni role fasadowego aktu (istnieje  ale nie jest stosowany), wymaga wiele wysiłku w czasie wdrożenia i permanentnego monitorowania oraz dopracowywania.

Zalety: w sposób szczegółowy opisuje funkcjonowanie w organizacji informatycznych systemów służących do przetwarzania danych osobowych, pozwala zachować kontrolę nad nadawaniem uprawnień do przetwarzania danych osobowych, ułatwia audyt zgodności z przyjętymi standardami oraz ciągłe doskonalenie sprawności systemu.

 

Instrukcja postępowania w przypadku kryzysu

Co to jest: wykaz procedur przypisanych do konkretnej roli bądź stanowiska w organizacji opisujący co należy robić w przypadku wystąpienia sytuacji kryzysowej. Co istotne, dokument taki powinien zawierać charakterystykę sytuacji kryzysowej, zakres niezbędnych działań przedstawionych w chronologicznej kolejności, precyzyjny podział zakresu odpowiedzialności i zadań.

Wady: trudno przewidzieć i opisać wszystkie warianty  wszystkich sytuacji kryzysowych, czasami trudno w prosty sposób przedstawić niezbędne do wykonania zadania, potrzeba zapoznania wszystkich członków organizacji z dotyczącymi ich procedurami, potrzeba przeglądu procedur i ich udoskonalania.

Zalety: znacząca minimalizacja negatywnego wpływu kryzysu na działalność firmy, minimalizacja strat, zdolność organizacji do szybkiego opanowania kryzysu, większa szansa na realizację kluczowych dla firmy procesów w nieprzychylnych warunkach, większa pewność siebie pracowników i odporność na stres w trakcie kryzysu.

 

Polityka haseł

Co to jest: polityka ta skupia się na jednym z kluczowych zagadnień bezpieczeństwa systemów informatycznych – czyli hasłach. Obejmuje ona wszystkie zasady dotyczące tworzenia, wykorzystywania czy dostępu do haseł. Polityka haseł tworzy często istotną część polityki bezpieczeństwa informacji.

Wady: obejmuje tylko jeden z elementów firmowego bezpieczeństwa, wymaga wdrożenia i przestrzegania w całej organizacji, wymaga konsekwencji w przestrzeganiu obejmujących ją zasad.

Zalety: jest relatywnie prostym do zastosowania środkiem znacząco wspierającym bezpieczeństwo firmy, jej stworzenie nie generuje dużych kosztów.

 

Polityka kopii zapasowych

Co to jest: ten rodzaj polityki także stanowić może jeden z elementów bezpieczeństwa informacyjnego. Określa ona ogólne zasady dotyczące tworzenia kopii zapasowych. Zatem możemy się z niej dowiedzieć m.in. w jaki sposób tworzymy kopie, jakich plików dotyczy ten proces, co jaki czas wykonywany jest backup oraz kto za niego odpowiada.

Wady i zalety: podobnie jak w przypadku polityki haseł.

 

Polityka usuwania danych

Co to jest: opis zasad i procedur dotyczących niszczenie nośników (zarówno papierowych jak i elektronicznych) zawierających istotne dane. Chroni ona przed przypadkowym (choć nie tylko) wyciekiem cennych z punktu widzenia firmy informacji.

Wady i zalety: podobnie jak w przypadku polityki haseł.

 

Polityka czystego biurka

Co to jest: jej celem jest zapobieganie wyciekowi informacji znajdujących się na biurkach pracowników poprzez ich podglądnięcie (względnie poprzez nieuprawnione ich powielenie) przez osoby do tego nieuprawnione (np. klientów, sprzątaczki).  Główna idea stojąca za tym rozwiązaniem sprowadza się do hasła: na biurku nie mogą znajdować się nośniki informacji (w tym danych osobowych), które nie są w danym momencie do tego niezbędne. Zatem przykładowo niedopuszczalne jest zostawienie na biurku listy płac po wyjściu z pracy osoby nad nią pracującej, gdyż znacząco zwiększa to prawdopodobieństwo wycieku wrażliwych informacji.

Wady i zalety: podobnie jak w przypadku polityki haseł.

 

* Oczywiście to nie wszystkie wady i zalety przedstawionych organizacyjnych środków bezpieczeństwa. Zachęcam do dzielenia się w komentarzach swoimi propozycjami i refleksjami w tym temacie. 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

seven − seven =