Jak podejść do analizy ryzyka w systemie ochrony danych osobowych?

Autor: Marcin Wolski pod red. Marcina Soczko — w kategorii Blog — 30 listopada 2022

30

lis
2022

Jednym z fundamentów budowy systemu ochrony danych osobowych w świetle obowiązujących przepisów RODO jest wdrożenie przez administratorów oraz podmioty przetwarzające podejścia opartego na ryzyku. Zgodnie z art. 32 RODO, „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”. Zagadnienie na pierwszy rzut oka może nie wydawać się proste, lecz należy zauważyć, że każdy, a w szczególności firmy zarządzają ryzykiem na co dzień. Analizują i oceniają jego wpływ na procesy biznesowe oraz założone cele. Tylko nie zawsze odbywa się to w sposób ustrukturyzowany i udokumentowany. Celem niniejszego artykułu jest dostarczenie odpowiedzi na pytanie: jak podejść do analizowania ryzyka w organizacji, która przetwarza dane osobowe i chce zapewnić zgodność z przepisami.

Niniejszy artykuł porusza następujące zagadnienia:

  • Zasadnicze założenia dla stworzenia efektywnego procesu zarządzania ryzykiem
  • Jakie podejście można przyjąć dla procesu analizy ryzyka w systemie ochrony danych osobowych?

Zasadnicze założenia dla stworzenia efektywnego procesu zarządzania ryzykiem

Poniżej przedstawiono zestaw założeń, który może posłużyć jako punkt odniesienia do opracowania metodyki zarządzania ryzykiem. Założenia zostały wypracowane na podstawie zebranych doświadczeń oraz przemyśleń autora niniejszego artykułu:

  1. Obowiązek realizacji analizy ryzyka wynika z przepisów prawa, ale nie powinna to być jedyna motywacja do jej przeprowadzania

Pomimo wymogów prawnych warto zauważyć, że wiele organizacji jeszcze przed erą RODO wykonywało analizę ryzyka w ramach swoich systemów zarządzania lub po prostu administrowania procesami. Traktowanie analizy ryzyka jako przykrego i trudnego obowiązku prawnego to krótka droga do wykonywania jej w sposób powierzchowny i mało efektywny. Tymczasem należy zrozumieć, że przepisy wskazują ją jako bardzo istotny mechanizm w zarządzaniu organizacją. Prawdziwą motywacją powinno być zatem zapewnienie właściwego i kontrolowanego poziomu bezpieczeństwa danych osobowych w organizacji.

  1. Analiza ryzyka powinna stanowić narzędzie do podejmowania decyzji biznesowych przez kierownictwo firmy

Analiza ryzyka jest podstawowym narzędziem, dzięki któremu kierownictwo powinno otrzymywać rzetelne informacje, które obszary w firmie wymagają uregulowania lub doskonalenia w zakresie zapewnienia adekwatnych środków ochrony (zabezpieczeń). Żaden menedżer nie lubi wydawać środków finansów w sposób pochopny, dlatego efektywnie przeprowadzona analiza stanowi solidną podstawę do podejmowania przemyślanych decyzji zwłaszcza w kontekście systemów bezpieczeństwa, w tym ochrony danych osobowych.

  1. Analiza ryzyka powinna być powtarzalna i obiektywna

Można napotkać organizacje, które chwalą się, że wykonały „kiedyś” analizę ryzyka. Niestety nie jest to zadowalający stan rzeczy, bo tak jak zmienne jest środowisko i pojawiają się nowe zagrożenia, tak i wyniki historycznych analiz stają się nieaktualne. Tylko ich cykliczne powtarzanie w oparciu o nowe dane i porównywanie wyników na przestrzeni czasu może przynieść oczekiwane efekty podnoszenia dojrzałości organizacji w analizowanym obszarze.

Drugi aspekt to obiektywność. Analiza ryzyka nie powinna być wykonywana przez jedną osobę lub przez jeden specyficzny dział np. IT. W identyfikowanie zagrożeń oraz skutków ich materializacji powinni być zaangażowani interesariusze, którzy rozumieją procesy biznesowe organizacji, znają jej słabości, czy też uwarunkowania techniczne. Do tej grupy możemy zaliczyć zarówno właścicieli procesów biznesowych, szefów IT, jak i kierownictwo firmy.

  1. Analiza ryzyka powinna bazować na rzeczywistych danych w zakresie zaistniałych incydentów i wykrytych podatności

W celu zapewnienia skuteczności analizy ryzyka i jej wyników, należy zebrać dane zarówno o aktualnych zagrożeniach, które znajdują się w otoczeniu organizacji, jak i o podatnościach (słabościach) organizacji. Pozyskując informacje o potencjalnych zagrożeniach, można skorzystać z publicznych raportów organizacji takich jak ENISA (The European Union Agency for Cybersecurity, tj. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa), która rokrocznie informuje o najbardziej popularnych zagrożeniach w cyberprzestrzeni.

Ważnym aspektem wiarygodnej analizy i oceny ryzyka jest uzyskanie informacji o aktualnych podatnościach w zakresie infrastruktury i procesów w organizacji. W celu zebrania rzetelnych informacji o podatnościach należy zaplanować działania o różnym charakterze: wywiady audytowe, kwestionariusze czy też techniczne skanowania infrastruktury, które pozwolą zebrać dane o posiadanych systemach informatycznych i organizacji procesów. Brak wiedzy nt. podatności lub zabezpieczeń w danym obszarze powinien wygenerować wysoki poziom ryzyka i wymuszać przeprowadzenie w nim działań audytowych. Organizacja powinna postępować według zasady, że skoro czegoś nie wiem (np. jak są zabezpieczone dane w systemach), to muszę to sprawdzić (np. audyt, wywiad, test penetracyjny). Dotyczy to zwłaszcza kluczowych systemów, od których zależą główne procesy przetwarzania danych.

  1. Analiza ryzyka może mieć różny wymiar w zależności od wielkości firmy

Proces analizy ryzyka może się różnić w zależności od wielkości firmy. Mała organizacja nie potrzebuje złożonych metodyk, szczegółowych analiz, lecz może i powinna skupić się na zasadniczych zagrożeniach w kontekście realizowanych procesów (np. wybranych zagrożeniach wskazywanych przez wspomnianą już ENISĘ). Z kolei duża firma posiada większe zasoby i możliwości do przeprowadzenia bardziej szczegółowej analizy skupionej na różnych kategoriach zagrożeń. Najważniejsze jednak, aby analiza ryzyka była użyteczna i służyła podejmowaniu decyzji w celu ograniczenia ryzyka utraty bezpieczeństwa informacji czy naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych.

Pięć powyższych zasadniczych założeń może stanowić inspirację do zaplanowania metodyki zarządzania ryzykiem, jak i do prowadzenia późniejszych analiz.

Jakie podejście można przyjąć dla procesu analizy ryzyka w systemie ochrony danych osobowych?

Wskazówek dotyczących praktycznego podejścia do analizy ryzyka dostarczają uznane międzynarodowe standardy, jak np. norma ISO 31000. Jednak poniżej przedstawimy kilka kluczowych elementów z jakich powinna się składać i być przeprowadzana krok po kroku analiza ryzyka w obszarze ochrony danych osobowych.

  1. Określenie metodyki analizy ryzyka

Głównym celem metodyki analizy ryzyka jest zdefiniowanie kryteriów oceny oraz kryteriów akceptacji ryzyka. Metodyka powinna być zaprojektowana w taki sposób, aby była powtarzalna i mogła być stosowana w dłuższym horyzoncie czasu.

  1. Inwentaryzacja aktywów

Jest to pierwszy etap, w którym należy ustalić wszystkie aktywa w organizacji, które mają znaczenie w kontekście przetwarzanych informacji czy danych osobowych. Do aktywów zaliczamy: procesy biznesowe i dane (informacje), w ramach, których są one przetwarzane oraz nośniki danych (m.in. sprzęt, oprogramowanie, systemy, dokumenty).

  1. Ocena skutków naruszenia praw osób, których dane dotyczą

W kontekście realizowanych procesów biznesowych oraz przetwarzanych danych należy oszacować skutki ujawnienia, utraty, bądź nieautoryzowanej zmiany danych z perspektywy osoby fizycznej. Skutki można dodatkowo rozpatrywać z perspektywy następstw dla organizacji, które nie zawsze będą szły w parze z konsekwencjami dla podmiotów danych. Potencjalne kary finansowe, wypłata odszkodowań czy utrata reputacji firmy to konsekwencje, których firma może uniknąć niezależnie od tego, ile osób i jak bardzo zostało poszkodowanych na skutek naruszenia ochrony danych osobowych lub choćby „tylko” nieprawidłowego wdrożenia przepisów RODO.

  1. Zebranie listy zagrożeń

W zależności od rozmiaru i skali organizacji, należy zidentyfikować zagrożenia adekwatne do wykorzystywanej infrastruktury i uwarunkowań środowiskowych. Punkt wyjścia do utworzenia listy zagrożeń mogą stanowić raporty ENISY, w których są one skatalogowane i dobrze opisane. Jednak ze specyfiki organizacji mogą wynikać jakieś charakterystyczne zagrożenia, których nie ma w standardowych wykazach. Takie specyficzne rodzaje niebezpieczeństw tym bardziej należy uwzględnić w analizie ryzyka.

  1. Określenie podatności technicznych i organizacyjnych

Określenie podatności jest krytycznym momentem w procesie analizy ryzyka, ponieważ organizacja musi przyznać się przed sobą jakie ma słabości. Identyfikacja podatności może zostać zrealizowana poprzez uzyskanie odpowiedzi na następujące pytanie: jak obecnie zabezpieczone są dane w firmie przed zidentyfikowanymi zagrożeniami oraz jakie są potencjalne miejsca ataku? Bez uzyskania prawdziwej odpowiedzi na postawione pytania, organizacja może mieć złudne przekonanie o stanie bezpieczeństwa danych w organizacji.

6. Ocena prawdopodobieństwa

Na podstawie zidentyfikowanych zagrożeń i podatności, zebranych danych o częstotliwości występowania poszczególnych rodzajów incydentów oraz wiedzy eksperckiej, należy oszacować prawdopodobieństwo sytuacji, że zagrożenie nie zostanie powstrzymane przez zabezpieczenia i może wywołać skutki, o których mowa w punkcie 3.

7. Wyliczenie ryzyka

Zgodnie z najprostszą metodyką może to być kombinacja (iloczyn) wartości prawdopodobieństwa wystąpienia i skutków naruszenia.

8. Podjęcie decyzji w zakresie zidentyfikowanego nieakceptowalnego ryzyka (postępowanie z ryzykiem)

Ostatni punkt jest kulminacją procesu, ponieważ rzutuje na dalsze decyzje dotyczące zarządzania systemem ochrony danych w zakresie doboru zabezpieczeń. Wszystkie wcześniejsze kroki, a w szczególności sposób ich wykonania wpływają na ostateczne wyniki, a tym samym na skuteczność mechanizmu podejmowania decyzji.

Podsumowanie

Bez realizacji systematycznego i metodycznego procesu analizy ryzyka, nie jest możliwe zarządzanie ryzykiem w sposób racjonalny, obiektywny i skuteczny. Mamy nadzieję, że niniejszy artykuł pozwolił przybliżyć i zrozumieć zagadnienie analizy ryzyka, a tym samym skłoni osoby odpowiedzialne za realizację procesów biznesowych w organizacji do wdrożenia założeń zaproponowanych w tekście. Są również dostępne narzędzia, wspierające przeprowadzenie procesu analizy ryzyka, które zawierają przedstawione powyżej elementy. Najważniejszą korzyścią takich narzędzi jest wsparcie w systematycznym i przemyślanym podejściu do analizy ryzyka. Pozwalają przeprowadzić ten proces krok po kroku z uwzględnieniem opisanych w artykule założeń. Przykładem takiego narzędzia, z którego korzystamy i możemy polecić każdej organizacji jest RedIntoGreen.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.