Czy i w jakim zakresie IOD powinien przeprowadzać audyt RODO w obszarze IT?
Chyba nikt nie ma wątpliwości, że bezpieczeństwo zasobów informacyjnych, w szczególności tych przetwarzanych elektronicznie ma dzisiaj kluczowe znaczenie dla większości usług. Informacja ma wartość i może mieć istotny wpływ na zyski lub straty firmy. Dane osobowe, jako szczególny rodzaj informacji, stanowią nie tylko cenne aktywo firmy (dane kontaktowe klientów, korespondencja, bazy marketingowe), ale często są podstawą działania (dane pracowników, dane z zamówień klientów). Są to zasoby, które muszą podlegać szczególnej ochronie. Wynika to nie tylko z wymagań RODO, ale przede wszystkim zdrowego rozsądku. Jako audytor często uświadamiam szefom spółek, jak cenne są ich zasoby informacyjne i jakie mogą być konsekwencje utraty ich dostępności lub kradzieży. Bardzo często jest tak, że teoretycznie wszyscy wiedzą, że informacje należy chronić, ale aż do momentu oceny ryzyka utraty tych danych, pracownicy i kierownictwo nie zdają sobie sprawy z tego, jak wielkie znaczenie ma podjęcie niezbędnych działań, aby ochrona była skuteczna.
Zgodnie z art. 39 RODO jednym z podstawowych obowiązków inspektora jest monitorowanie zgodności przetwarzania danych z przepisami, w szczególności, czy administrator wprowadził wystarczające zabezpezpieczenia techniczne i organizacyjne. Przyglądając się wymaganiamo pracodawców poszukujących osób mających pełnić rolę IOD, łatwo zauważyć, że poszukiwani są prawnicy lub inne osoby mające wiedzę w zakresie stosowania prawa. Mile widziana jest znajmość norm ISO. Bardzo rzadko, jako wymaganie pojawia się wiedza w zakresie bezpieczeństwa informatycznego. W praktyce mogę większość IOD, których znam podzielić na dwie grupy: IOD z wiedzą prawną lub IOD z wiedzą informatyczną. Ta druga grupa, to najczęściej informatycy, którzy zostali wyznaczeni na stanowisko IOD. Bardzo rzadko zdarza się, aby inspektor miał rozległą wiedzę w zakresie stosowania prawa oraz cyberbezpieczeństwa. W przypadku IOD/informatyków najczęściej dochodzi dodatkowo do konfilktu interesów, który utrudnia skuteczne realizowanie obowiązków. Moim zdaniem inspektor powinien być przede wszystkim osobą, która zna przepisy prawa w zakresie ochrony danych osobowych, a także wymagania przepisów sektorowych.
Jednak jak taka osoba ma realizować swoje obowiązki w zakresie audytów zabezpieczeń teleinformatycznych?
Może zacznę od tego, że zawód IOD wymaga ciągłego podnoszenia kwalifikacji i uczenia się. Nie można być ignorantem, który ogranicza się tylko do przepisów RODO. Tak jak IOD musi znać przepisy sektorowe swojego administratora, sięgać do orzecznictwa i norm ISO, powinien mieć przynajmniej podstawową wiedzę w zakesie bezpieczeństwa informatycznego. Nie oznacza to, że musi być w stanie samodzielnie przeprowadzić audyt cyberbezpieczeństwa – to byłoby raczej niemożliwe – ale powinien wiedzieć, czego oczekiwać w zakresie bezpieczeństwa IT i o co pytać. Powinien także rozumieć sens odpowiedzi, które otrzymuje od inforamtyków.
Moim zdaniem IOD powinien znać podstawy budy sieci informatycznych, by wiedzieć jak „Internet trafia do firmy i rozchodzi się po komputerach”. Prowadząc zajęcia ze studentami staram się przynajmniej jedne poświęcić na proste omówienie budowy sieci. Czym jest są podsieci i dlaczego powinny być w firmie, czym jest sieć wewnętrzna, firewall i jego rodzaje, routery, jak działa WiFi. Moim zdaniem IOD powinien znać przynajmniej podstawowe metody zabezpieczeń stosowanych w infrastrukturze informatycznej. Nie mogą mu być obce hasła: token, SSH, SSL, VPN, PIN, identyfikator, hasło, uwierzytelnienie, użytkownik, backup, Linux, antywirus, zapora systemowa, uprawnienia użytkowników, dysk sieciowy, wirtualna maszyna. Znajomość tych pojęć sprawi, że IOD będzie rozumieć, co do niego mówią i o czym piszą w przekazywanych mu raportach. Uważam jednak, że w zakresie audytów IT isnpektor może przeprowadzać tylko audyt w zakresie spełnienia wymgań organizacyjnych, natomiast audyt techniczny powinni przeporwadzać pracownicy działu informatycznego lub zewnętrzna firma. Jak ważne jest skuteczne zapewnienie zabezpieczeń technicznych świadczą głośne wycieki danych, jak choćby kradzież danych klientów w zakresie ich kart płatniczych od przewoźnika lotniczego British Airways. IOD nie będąc specjalistą od cyberbezpieczeństwa, nie będzie w stanie przeprowadzić skutecznego przetestowania zabezpieczeń informatycznych. Jeżeli w firmie zasoby przetwarzane w systemach informatycznych mają bardzo dużą wartośc, inspektor powinien zalecić administratorowi zatrudnienie profesjonalnej firmy testującej zastosowane zabezpieczenia informatyczne.
Wracając do tematu audytów IT prowadzonych przez IOD, można wyróżnić:
Audyt polegający na prześledzeniu procedury zawartej w dokumentacji bezpieczeństwa w praktyce, np. czy uprawnienia do systemów są nadawane i zabierane zgodnie z procedurą, czy kopie zapasowe są tworzone zgodnie z procedurą (tutaj można poprosić o pokazanie ostatnich kopii, ale także ustalić z działem IT testy odzyskania danych z kopii), w jaki sposób są naprawiane sprzęty, jak są wysyłane dane za pośrednictwem wiadomości e-mail. Taki autyd naprawdę dużo daje. W 9/10 przeprowadzanych przeze mnie tego typu sprawdzeń okazywało się, że z co najmniej jednego systemu nie była tworzona w ogóle kopia zapasowa.
Audyt polegający na sprawdzeniu legalności wykorzystywanych systemów pod kątem RODO, w szczególności czy są zawarte niezbędne umowy powierzenia danych i czy dane są transferowane poza UE. Z mojej praktyki wynika, że w co najmniej połowie przypadków kwestie formalne związane z przetwarzaniem danych przez inne podmioty w związku z hostingiem, usługami chmurowymi, usługami wsparcia technicznego nie były uregulowane.
Audyt zakresu danych przetwarzanych w systemach. Warto zwrócić uwagę na pola nieobowiązkowe, które użytkownicy często uzupełniają tak jakby były obowiązkowe, wbrew zasadzie minimalizacji danych z art. 5 RODO.
Audyt dotyczący usuwania danych z systemów informatycznych, szczególnie z poczty e-mail oraz systemów kadrowo-płacowych.
Audyt serwisów internetowych administratora pod kątem bezpieczeństwa przesyłanych danych (np. czy jest SSL), niezbędnych zgód, obowiązków informacyjnych, polityk prywatności, zakresu zbieranych przez formularze danych.
Analiza wyników audytu przeprowadzonego na zlecenie IOD przez informatyków. Szczególnie zalecam uzyskanie (regularne uzyskiwanie) rozrysowanego szczegółowego schematu sieci, który będzie uwzględniał wszystkie zabezpieczenia zastosowane w firmie, a także wszelkie zewnętrzne lokalizacje, do których przekazywane są dane (inne serwerownie, usługi chmurowe).
Inspektor nie musi być specjalistą w dziedzinie cyberbezpieczeństwa, chociaż podstawowa wiedza w tym zakresie jest mu naprawdę potrzebna. Bardzo ważną umiejętnością IOD jest analityczne podejście do zagadnienia ochrony danych oraz umiejętność weryfikowania procedur ze stanem faktycznym. Niezbędną podstawową wiedzę IOD może nabyć na szkoleniu (niektóre moje szkolenia także uwzględniają wstęp do zagadanień z zakresu IT, informacje o aktulanych szkoleniach dostępne są tutaj). lub samodzielnie, zapoznając się z literaturą przedmiotu.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
