07 Lis

Co ABI powinien zrobić w przypadku naruszenia bezpieczeństwa informacji

Nim dłużej pełnię obowiązki administratora bezpieczeństwa informacji, tym bardziej dostrzegam złożoność procesu nadzorowania zgodności przetwarzania danych z przepisami (a właściwie wszelkich informacji chronionych, bo nigdy nie ograniczam się tylko do danych osobowych) oraz ilość obowiązków, która jest proporcjonalna do zakresu działalności klienta. Nim więcej dzieje się u niego (a w agencjach reklamowych, czy firmach eventowych dzieje się bardzo dużo) tym więcej jest pracy. Czasami mam wrażenie, że nie sposób na bieżąco kontrolować wszystkie zapisy umowne, regulaminy, wydarzenia, systemy informatyczne. W ostatnim czasie rośnie też liczba drobnych incydentów, które wymagają ode mnie, jako ABI, przeprowadzenia sprawdzenia oraz działań naprawczych. Incydenty bezpieczeństwa to codzienność ABI. Większość wynika ze zwykłej niewiedzy, reszta z lenistwa lub zaniedbania. Dobry ABI powinien reagować nawet na drobne naruszenia bezpieczeństwa. Ponieważ drobne zaniedbania generują większe problemy, a z czasem nawarstwiają się i tworzą wielki problem.

Moje wskazówki dla ABI, jak radzić sobie ze stwierdzeniem naruszenia bezpieczeństwa informacji

Każdy incydent wymaga indywidualnego podejścia. Nie ignoruję żadnego zgłoszenia, nawet jeżeli już po pierwszym zdaniu, wiem „że to żaden problem”. Chcę budować więź zaufania pomiędzy ABI, a ludźmi przetwarzającymi dane osobowe, aby wiedzieli, że każdy ich problem traktuję poważnie i jestem od ich rozwiązywania. W efekcie wraz z wydłużającym się stażem pracy, jako ABI otrzymuję coraz więcej zgłoszeń i jestem w stanie wykryć coraz istotniejsze problemy.Po pierwsze należy ustalić co tak naprawdę się stało, jaka była tego przyczyna i kto był zaangażowany. Wymaga to rozmów z ludźmi i obiektywnego spojrzenia na zdarzenia. Po ustaleniu faktów opracowuję działania naprawcze. Ustalam z jak poważnym problemem mam do czynienia oraz kto i co powinien zrobić, aby przywrócić stan zgodny z prawem. Te czynności podejmuję niezwłocznie po otrzymaniu pierwszego zgłoszenia. Zazwyczaj zajmuje mi to kilka godzin. Jakby na to nie patrzeć, czynności które podjęłam są sprawdzeniem doraźnym. Wiem, że przepisy wymagają wcześniejszego powiadomienia ADO, ale dopuszczają przeprowadzenie sprawdzenia doraźnego bez jego powiadomienia, jeżeli ABI uważa, że to konieczne. Ja wychodzę z założenia, że muszę podejmować wszystkie czynności jak najszybciej, poza tym w ich toku może okazać się, że to był „fałszywy alarm” i niepotrzebnie wzbudzę zamieszanie.

Po ustaleniu co się stało oraz opracowaniu planu działania powiadamiam kierownictwo jednostki o zdarzeniu i moich zaleceniach (wysyłam w tym celu maila). W mailu określam też podjęte już lub zalecane działania naprawcze. Dopuszczam możliwość dyskusji z kierownictwem nad zmianą środków, jednakże co do zasady nie proszę o zdanie lub opinię, a jedynie informuję o zastałej sytuacji. Uważam, że jest to bardzo ważny etap, gdyż administrator danych po pierwsze musi mieć pełną wiedzę odnośnie tego co dzieje się w jego jednostce, po drugie powinien wiedzieć, że ABI to nie tylko funkcja z nazwy, ale odpowiedzialne i wymagające odpowiedniej wiedzy oraz umiejętności zadanie.

Odnośnie działań naprawczych, staram się jak najszybciej je wdrożyć. Osoby odpowiedzialne za naruszenie zostają przeze mnie ponownie przeszkolone.

Jeżeli incydent dotyczył procedur organizacyjnych, przekazuję do wszystkich pracowników informację z zaleceniami dotyczącymi tej czynności. Przypominam jak ważne jest postępowanie według określonych zasad (staram się, aby wiadomość mailowa była treściwa i w miarę krótka). Jeżeli incydent dotyczył luk w bezpieczeństwie, szczególnie informatycznym, ani ja, ani odpowiedzialne lub zaangażowane osoby nie ujawniamy zdarzenia, aby móc skutecznie mu zapobiec, nie ryzykując że wywołam przeświadczenie, że firma nie dba o bezpieczeństwo danych. Dla każdego incydentu ABI musi podjąć decyzję indywidualnie.

Kolejny krok nie należy do łatwych. Jeżeli w wyniku naruszenia mogło dojść do kradzieży danych lub naruszenia prywatności osób, które przetwarza ADO, należy poinformować te osoby, o tym co się stało i co powinny zrobić (np. zmienić hasło do usługi lub zastrzec dowód osobisty).

Na koniec sporządzam sprawozdanie ze sprawdzenia doraźnego. Drukuję, podpisuję i przekazuję do kierownictwa jednostki w celu potwierdzenia zapoznania się z jego treścią. Czy zgadzam się na jakieś poprawki? Tylko jeżeli to są literówki lub zmiany stylistyczne. Jestem ABI, biorę odpowiedzialność za swoje działania oraz sprawozdanie, nie mogę sobie pozwolić na żadne naciski. Zresztą od początku daję to do zrozumienia swoją postawą, w związku z czym nie miewam z tym większych problemów. Podpisane przez kierownictwo sprawozdanie umieszczam w moich dokumentach. Jeżeli przeprowadzałam szkolenie dla pracowników, dołączam je do sprawozdania.

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie