W ostatnim czasie słowo „ryzyko” jest odmieniane i zestawiane na wiele sposobów. W szczególności w odniesieniu do regulacji, które wpływają na biznes. Jeśli jednak przychodzi ostatecznie do zarządzania ryzykiem, to pojawia się bariera…
Najpierw na poziomie zrozumienia, czym to ryzyko jest. Następnie na poziomie tego, co właściwie mierzymy, szacując to ryzyko. Na końcu (po otrzymaniu raportu z analizy na kilkaset stron lub ogromnych tabel Excel) pojawia się pytanie: jak tym ryzykiem zarządzić?
W biznesie prowadzi to do zniechęcenia ze względu na wielość komplikacji i brak widocznych korzyści. Zniechęcenie prowadzi do zobojętnienia, co w konsekwencji może powodować brak odpowiednich zabezpieczeń i ponoszenia kosztów na bezpieczeństwo. Należy zaś zauważyć, że żyjemy w czasach, kiedy warto zadbać o odpowiednią ochronę. Zagrożenia bowiem czyhają z wielu stron: od pracowników (działań przypadkowych i umyślnych), ze strony przestępców, lekkomyślnych klientów, po nawet ataki sponsorowane przez obce państwa.
Nie straszmy milionowymi karami
Dobrym miejscem na rozpoczęcie budowania świadomości w zakresie bezpieczeństwa jest RODO. Co prawda zarządy mają dość tego hasła z uwagi na to, że w 2018 r. pozycja ta widniała wysoko w kosztach, a prezesi nie zobaczyli realnej zmiany. Nie będzie to więc zadanie łatwe. Jak wrócić z tym tematem „na zarząd”? Nie próbowałbym straszyć milionowymi karami, których w Polsce zbyt wiele nie było, ale wskazać, że wyjście od gruntownej i dobrej analizy ryzyka RODO pozwoli na podniesienie bezpieczeństwa całej organizacji. Pozwoli zbudować strategię bezpieczeństwa organizacji!
W każdym dziale i przestrzeni biznesowej przetwarzane są dane osobowe, np. w obszarach jak HR, księgowość, windykacja, obsługa klienta, reklamacje, marketing, monitoring i wiele innych. Zadbanie o ochronę danych osobowych wpłynie na bezpieczeństwo wszelkich innych informacji przetwarzanych w tych działach.
Przykład praktyczny dla zarządu: jeśli zadbamy o odpowiednie bezpieczeństwo danych osobowych w księgowości, to także zadbamy o bezpieczeństwo środków finansowych firmy. Zapewnimy bowiem odpowiedni poziom dostępów do kont bankowych, autoryzacji transakcji czy uwrażliwimy pracowników na odpowiednie przekazywanie takich informacji. Troska o RODO w księgowości przy okazji zwiększy bezpieczeństwo środków finansowych. Trochę przewrotnie, ale prawdziwie.
Reputacja i ograniczenie ryzyk
Może się pojawić oczywiście argument, że w takim razie po co zajmować się RODO w całej organizacji, jak można zabezpieczyć tylko księgowość? Tak i nie. Takich tematów jest znacznie więcej. Dlatego zamiast punktowo dział po dziale zajmować się bezpieczeństwem, można to zrobić systemowo i utworzyć całą strategię bezpieczeństwa, bazując na analizie ryzyka RODO.
Weźmy dostęp do mediów społecznościowych. Dostęp do nich najczęściej wymyka się działowi IT i jest usytuowany w marketingu, prawda? Potrafią tam być „popodpinane” różne konta, często byłych pracowników, dostawców. Pod względem ochrony danych osobowych należałoby odpowiednio zadbać i realizować procedurę nadawania i zabierania dostępów, stosowania 2FA i mocnego hasła czy braku logowania na obcych urządzeniach. Jeśli oprzemy naszą argumentacją jedynie na RODO, to pewnie zobaczymy jedynie uśmiech politowania.
Inaczej jednak będzie, jeśli pokażemy, że takie środki choć wprowadzone „bo RODO” to wpłyną na ograniczenie ryzyk reputacyjnych. W końcu chyba każdy słyszał o kimś, kto stracił dostęp do Facebooka w wyniku włamania hakerskiego lub zostawił dostęp do swojego konta na obcym urządzeniu. Jeśli jesteśmy małym sklepem e-commerce, to pewnie nie będzie nas to aż tak bolało, choć i tak może wyjść z tego niezły bałagan. Gorzej, jeśli jesteśmy firmą pożyczkową lub instytucją płatniczą. Wtedy, gdy na naszym profilu pojawia się dziwne wpisy, może się nawet zainteresować KNF.
Systemowa strategia bezpieczeństwa
Powyższe przykłady najlepiej obrazują, że w firmie dane osobowe są wszędzie. A dzięki rozpoczęciu budowania strategii bezpieczeństwa od RODO możemy zinwentaryzować procesy biznesowe i zacząć budować strategię bezpieczeństwa systemowo, a nie punktowo.
Kiedy bowiem już zidentyfikujemy procesy biznesowe poprzez obszary, gdzie są przetwarzane dane osobowe, to przejdziemy do aktywów i ich zabezpieczeń. Dane osobowe mogą być przetwarzane zarówno w formie papierowej, elektronicznej, w domu, jak i w urzędzie. Musimy więc wziąć pod uwagę nie tylko aspekty bezpieczeństwa systemu informatycznych, choć to z pewnością też (jeśli nie przede wszystkim), ale także musimy uwzględnić bezpieczeństwo dokumentacji papierowej, bezpieczeństwo budynków, wynoszenia informacji z firmy itp. Dzięki temu mamy pełne spektrum patrzenia na organizację – tak jak w normach ISO dotyczących bezpieczeństwa informacji.
Kiedy odpowiednio oszacujemy ryzyka RODO dla organizacji, to powinniśmy mieć pełny schemat działalności w podziale na procesy biznesowe oraz aktywów (budynków, aplikacji, urządzeń itp.), które są wykorzystywane w firmie. Taka wiedza to złoto pod względem bezpieczeństwa szeroko pojętego i, co więcej, zrozumienia i zarządzania biznesem! A to wszystko „bo RODO”. Częste wątpliwości zarządu co do zasadności szacowania ryzyka RODO rozmywają się, gdy odpowiednie oszacowanie ryzyk RODO przestaje być kosztem, a przeobraża się w wiedzę wspierającą szeroko pojęte bezpieczeństwo organizacji.
Raportowanie do zarządu
Na koniec rozprawmy się z raportowaniem. Jak przeskoczyć problem kilkuset stronicowych raportów i tabeli Excel, które dla zarządu są dokumentami „nie do przejścia”? Są dwa sposoby. Pierwszy, to pójść na megakurs PowerPointa z wystąpień publicznych i spróbować zrobić magię na spotkaniu. Zadanie nie jest łatwe, ale pewnie możliwe.
Drugi sposób to skorzystanie ze specjalnego oprogramowania do szacowania i zarządzania ryzykiem RODO i obszaru cyber, jakim jest RED INTO GREEN. Dlaczego warto? Bo to nie tylko narzędzie pozwalające wszystko, o czym napisaliśmy, zebrać, opisać i oszacować ryzyka. To także możliwość realnego zarządzania tym bezpieczeństwem czy generowania raportów, które przemawiają do zarządu. Jest to zaś kluczowe, by trafić do decydentów.
Jeśli bowiem z góry, od zarządu, nie będzie szedł przekaz, że bezpieczeństwo jest ważne, to nikt poza Wami („bezpiecznikami”, IOD-ami itp.) nie będzie się tym przejmować. Statystycznie ujmując, organizacje dbanie o bezpieczeństwo zaczynają zaraz po zdarzeniu. Ty zrób inaczej, działaj z wyprzedzeniem, bądź mądry przed szkodą!
O autorze:
Mikołaj Otmianowski – radca prawny, wiceprezes RED INTO GREEEN. Jest absolwentem Uniwersytetu Warszawskiego. Jego dorobek zawodowy obejmuje wieloletnią pracę w charakterze radcy prawnego w kraju i za granicą. Pracował w spółce giełdowej Polimex-Mostostal jako szef działu prawnego. Jest członkiem Komisji LegalTech przy Okręgowej Radzie Adwokackiej w Warszawie.
Szeroka wiedza prawnicza, pasja do LegalTechu oraz wrodzona umiejętność łączenia wartościowych ludzi we właściwym miejscu doprowadziły go do opracowania metodologii, a następnie narzędzia RED INTO GREEN, które mają istotny wpływ na komfort i jakość pracy Inspektorów Ochrony Danych.
