Analiza ryzyk i zagrożeń – podejście praktyczne

RODO innowacyjnie w stosunku do dotychczasowych rozwiązań, podchodzi do kwestii doboru odpowiednich środków zapewniających rozliczalność danych (mam na myśli rozliczalność w rozumieniu fundamentalnych zasad przetwarzania danych, o których mowa w art. 5 RODO). W miejsce stałych wytycznych, które dotychczas prowadziły administratora danych za rękę, wprowadza podejście oparte na ryzyku. Jedyne konkretne (minimalne) wytyczne zostały wskazane w art. 32, tzn.

• szyfrowanie i pseudonimizacja danych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ani słowa o hasłach, szafach, niszczarkach, zabezpieczeniach sieci. Administrator danych (firma) musi zapewnić zdolność do skutecznego zabezpieczenia danych, czyli samodzielnie dobiera odpowiednie środki i bierze za nie odpowiedzialność. A ich skuteczność ma być zagwarantowana przez ciągłe testowanie i ocenianie. W jaki sposób? To administrator danych decyduje. Oczywiście najważniejszą i najbardziej obiektywną oceną, czy zastosowane rozwiązania są skuteczne, będzie skuteczność. Jednakże jeżeli środki bezpieczeństwa zawiodą, administrator stanie przed koniecznością udowodnienia, że ze swojej strony robił wszystko co mógł, aby tak nie było, w tym dobór środków dyktował nie tylko ceną, ale także ich skutecznością. Będzie musiał okazać wyniki dokonywanych testów i oceny skuteczności zastosowanych zabezpieczeń. Narzędziem służącym do realizacji tego zadania jest analiza ryzyk i zagrożeń. Konieczność dokonania analizy wywodzimy także z art.  35 RODO, który wskazuje, że jeżeli dla konkretnego przetwarzania istnieje wysokie ryzyko naruszenia poufności, należy przeprowadzić ocenę skutków dla ochrony danych. Najpierw trzeba ocenić ryzyko, żeby wiedzieć, czy konieczna jest ocena skutków.

Kto powinien przeprowadzić analizę ryzyka

W tym momencie dla większości administratorów zaczyna się problem. Jak zrobić analizę ryzyka, czy można zrobić ją samodzielnie, czy trzeba zatrudnić zewnętrzną firmę? Jakich narzędzi użyć, czy jest to trudne? Jeżeli wyszukiwaliście w Internecie informacje o metodologii przeprowadzania analizy ryzyka, to wiecie, że jest to zagadnienie dość skomplikowane. Tym bardziej, że nie da się napisać uniwersalnego tekstu o analizie ryzyka, tak żeby był prosty i zrozumiały, bo należy uwzględnić zarówno potrzeby małych, średnich, jak i dużych przedsiębiorstw. Z audytów u klientów wiem, że bardzo często osoba, której przypadł zaszczyt przeprowadzenia analizy nie ma o tym zielonego pojęcia, a w najlepszym przypadku dostaje tabelkę z poleceniem proszę to uzupełnić. Uzupełnia, tak jak jej się wydaje, tak jakby wróżyła z fusów. Stwierdzając, że jest to bezużyteczne i nic nie daje. Dodatkowo jest ogromny nacisk ze strony kierownictwa, aby wszędzie wyszło niskie ryzyko.

Moim zdaniem na taką analizę ryzyka szkoda czasu. Tym bardziej, że gdyby wspomniane wcześniej środki zawiodły i administrator pokazał inspektorowi przeprowadzającemu kontrolę wyniki takiej analizy, to stanie przed wyzwaniem wytłumaczenia, w jaki sposób jej dokonał. Ja sama podczas audytów, bardzo starannie omawiam z osobami, które dotychczas przeprowadzały analizy ryzyka, skąd i dlaczego wzięły się poszczególne wyniki. I od razu wiem, kiedy ktoś miał pojęcie co robi, a kiedy uzupełnił, aby coś było. Inspektora Urzędu Ochrony Danych Osobowych także się nie oszuka.

Analizy ryzyka nie może przeprowadzać farciarz, który wyciągnął najkrótszą zapałkę. Jeżeli administrator danych ma takie podejście do oceny skuteczności zapewnionych przez siebie środków bezpieczeństwa, niech nie liczy na wyrozumiałość Inspektora UODO, który przyjdzie do niego po naruszeniu poufności danych, aby ocenić jak duży udział w tym naruszeniu, miało podjęcie niewłaściwych działań przez administratora.

Analizę powinien przeprowadzać ktoś, kto ma o tym pojęcie. Kto został (przynajmniej) wysłany przez administratora na kurs lub ma odpowiednie kwalifikacje zawodowe. Osoba przeprowadzająca analizę musi być odporna na naciski szefa, aby „zmniejszyć” ryzyko. Analiza służy identyfikacji ryzyk i zagrożeń. Po co ją przeprowadzać, jeżeli nic nie wykazuje? Sztuka dla sztuki.

Analiza w dużej firmie i mikro działalności

Nie dajmy się zwariować. Coraz więcej maili otrzymuję od osób prowadzących mikro działalności (w szczególności jednoosobowe działalności), które pytają o koszt przeprowadzenia analizy ryzyka. Zazwyczaj mówię im dwie rzeczy: po pierwsze, że dla małej działalności jest to niewspółmiernie wysoki koszt, bo wymaga przeprowadzenia audytu i zaangażowania wielu roboczogodzin, po drugie że zanim cokolwiek się zrobi, trzeba zastanowić się nad potrzebą tego działania. Tym bardziej, że RODO nie narzuca żadnej formy przeprowadzania analizy ryzyk i zagrożeń. Są oczywiście wytyczne GIODO, ale z racji swojej uniwersalności są raczej skierowane do większych podmiotów. Przeprowadzanie analizy ryzyka, przy działalności, która nie wymaga wyznaczenia IOD (gdy wymaga, to na pewno mamy wysokie ryzyka i musimy podjeść do zagadnienia z większą starannością), na poziomie jak w dużych firmach i korporacjach (które stać na zatrudnienie specjalisty lub profesjonalnej firmy), jest przerostem formy nad treścią. A kupowanie gotowej analizy, wyrzuceniem kasy w błoto. Dla większości mikro działalności analiza polega… na analizie 🙂 Należy wziąć kartkę, spisać czynności wykonywane w ramach działalności (np. podpisywanie umów, montaż kafelków, sprzedaż butów, wysyłanie faktury, wysyłanie reklam). Dla każdej z tych czynności znaleźć ryzyka (np. wysłanie maili do wielu odbiorców, kradzież danych, włamanie na serwer, zalanie biura, brak prądu) i zastanowić się nad ryzykiem wystąpienia. Z pomocą przychodzi także art. 5 RODO: należy zastanowić się, jaka jest szansa, że którakolwiek z zasad przetwarzania danych zostanie naruszona (zbyt długi czas przechowywania, udostępnienie niewłaściwej osobie, itd.). Zdroworozsądkowe i logiczne podejście do zagadnienia, pozwala znaleźć prawdziwe ryzyka i przeprowadzić ich analizę. Naprawdę. Taka zdroworozsądkowa (spisana!) analiza jest doskonałym punktem wyjścia do znalezienia tego co nie działa w firmie i naprawienia tego. To naprawdę działa. Otrzymałam kiedyś analizę przeprowadzoną przez Panią pracującą w bibliotece (nawet nie Panią dyrektor). Była zrobiona dokładnie na tej zasadzie. Była zrozumiała, logiczna i prowadziła do konkretnych wniosków. Nie wolno zapominać, że za analizą, idą plany naprawcze. Nie wystarczy sobie przeliczyć, trzeba rozwiązać zidentyfikowane problemy.

Nie zmienia to faktu, że w nie dużych firmach, podmiotach publicznych, a także tych firmach, które przetwarzają dane szczególnych kategorii (stan zdrowia, nałogi, skazania), a także na dużą skalę (szczególnie działania marketingowe), należy przeprowadzać analizę ryzyka po Bożemu, zgodnie z przyjętymi i obowiązującymi standardami. Jest to istotne także ze względu na skalę. Mały przedsiębiorca będzie miał kilka do kilkunastu czynności, dla których przeprowadza analizę, w podmiocie publicznym, czy dużej firmie może ich być kilkaset. Korzystanie z obowiązujących standardów po pierwsze pomaga przeprowadzić analizę obiektywnie, po drugie przyśpiesza jej przeprowadzenie (po prostu jest łatwiej), po trzecie pozwala jej wyniki wciągnąć do planów zarządzania ciągłością działania. Jak już wspomniałam (jeszcze) GIODO opublikowało wytyczne, jak przeprowadzać analizę ryzyk i zagrożeń. Zaproponowana przez nich metodologią, jest moją absolutnie ulubioną, ponieważ opiera się na tworzeniu tabelek, w które wpisuje się wskaźniki dla poszczególnych, badanych obszarów. Wskaźniki są dobierane według ściśle określonej skali, a wynik stanowi (w zależności od wybranych wskaźników) operację matematyczną, prowadzącą do obiektywnej oceny liczbowej ryzyka. Sama stosuję tę metodę i jak dotychczas, bardzo dobrze mi się z nią pracuje. Jest także jedną z najprostszych do opanowania i stosowania.

Wadą tej metody może być dla niektórych jej obszerność (tabelki zajmują wiele miejsca), a także ogólne negatywne podejście do działań matematycznych (wzór wygląda skomplikowanie, ale liczy się łatwo).

Moje wskazówki dotyczące analizy ryzyka

Skala

Po pierwsze jestem zdania, że należy dobrać jak najmniejszą skalę. W moich analizach stosuję skale  1-3 lub 0-4 stopniowe. W literaturze często spotyka się skalę 1-10, ale w praktyce jej stosowanie sprawia, że wracamy do wróżenia z fusów. Małą skalę promuje dr inż. Marek Blim, człowiek pod którego ogromnym wrażeniem pozostaję od wielu lat. Pan Marek Blim jest niesamowicie doświadczonym audytorem SZBI (zgodnie z ISO27001), który otworzył mi kilka lat temu oczy, na to jak powinno wyglądać skuteczne zarządzenie bezpieczeństwem informacji. Po przeprowadzeniu wielu analiz ryzyka, potwierdzam: 10 stopniowa skala utrudnia, zamiast ułatwiać. Człowiek zastanawia się, czy to jest bardziej 2 czy 3, a może 6 lub 7??? Stosując tę skalę, można analizę robić latami. Mała skala pozwala bardzo szybko i obiektywnie dokonać oceny. Nie zastanawiasz się, czy to jest bardziej średnie-niskie, czy średnie-średnie. Jest albo niskie albo średnie albo wysokie. Przy wprowadzeniu 0 pojawia się nie dotyczy lub nigdy nie wystąpiło. Genialne, naprawdę polecam.

Zasady przetwarzania danych

Jeżeli przyjrzycie się dostępnym w Internecie wzorom tabeli do przeprowadzania analizy ryzyka, to najczęściej szacuje się ryzyko dla danej czynności przetwarzania po wskaźnikach pionowych i poziomych. Pionowe to prawdopodobieństwo wystąpienia, podatność, skutki wystąpienia (poniesiona strata); poziome integralność, poufność, rozliczalność. Osobiście stosuję tabelę, w której szacuję ryzyko dla czynności „po rozliczalności danych”, czyli zasadach przetwarzania danych z art. 5 RODO:

1. zgodność z prawem, rzetelność i przejrzystość
2. ograniczenie celu
3. minimalizacja danych
4. prawidłowość
5. ograniczenie przechowywania
6. integralność i poufność

Wówczas zyskuję nie tylko potwierdzenie zgodności mojej metody z RODO, ale uzyskuję doskonałe narzędzie do audytu zgodności przetwarzanych przez administratora danych z RODO. Jest to punkt wyjścia do znalezienia podatności przetwarzanych danych na poszczególne ryzyka, a także metod ich minimalizacji.

Odnośnie wskaźników pionowych, należy dobrać odpowiednie wagi, np. niskie prawdopodobieństwo wystąpienia oznacza, że to ryzyko nigdy nie zaistniało, a wysokie, że zaistniało w ostatnim czasie (np. 12 miesięcy).

Jeżeli teoria przeprowadzania analizy ryzyka spędza Wam sen z oczu i chcielibyście nauczyć się to robić, przećwiczyć na warsztatach pod okiem specjalisty, zapraszam na moje szkolenia.

Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie

Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.