Każdy podmiot, który w ramach swojej działalności przetwarza dane osobowe w sposób elektroniczny, jest zobowiązany do przeprowadzenia analizy ryzyka. Głównym celem tego zapisu było zwiększenie świadomości przedsiębiorców z zakresu bezpieczeństwa danych osobowych. Każdy może stać się ofiarą ataku internetowego, a do przechwycenia poufnych informacji może dojść w najmniej spodziewanym momencie. Prawo nie reguluje przez kogo powinna zostać wykonana analiza ryzyka. Audyt można przeprowadzić we własnym zakresie lub skorzystać z usług specjalisty.
W jakim celu przeprowadza się analizę ryzyka?
Analiza ryzyka ma przede wszystkim obnażyć wszelkie błędy infrastruktury IT. System sprawdzany jest pod kątem potencjalnych zagrożeń. Wszystko po to, aby określić jego najsłabsze strony. Wyciek danych jest bardzo groźną sytuacją. Wbrew pozorom nie jest to rzadkie zjawisko. Nawet ogromne przedsiębiorstwa, czy też instytucje państwowe są narażone na ataki. RODO zostało utworzone po to, aby ich ryzyko obniżyć do absolutnego minimum. Analiza ryzyka jest więc obowiązkiem każdego przedsiębiorcy, który przetwarza dane osobowe drogą elektroniczną, a tym samym ponosi za nie pełną odpowiedzialność. W przypadku przejęcia ich przez jednostki nieupoważnione przedsiębiorstwo, które zaniedbało system bezpieczeństwa jest zmuszone do wypłaty odszkodowań.
Przeprowadzenie analizy ryzyka pozwala racjonalnie spojrzeć na system informatyczny. Dzięki uzyskanym informacjom można wdrożyć rozwiązania eliminujące wszelkie błędy, czy też niedociągnięcia. Priorytetem jest możliwie najwyższa ochrona zgromadzonych danych osobowych.
Jak przeprowadza się analizę ryzyka?
Jak już wspomniano, analizę ryzyka można wykonać samodzielnie, jednak wymaga to pewnych umiejętności oraz wiedzy. W przypadku ich braku należy skorzystać z pomocy specjalisty. Bez problemu znajdziemy przedsiębiorstwa, oferujące fachowe wykonanie analizy ryzyka.
Podczas wykonywania analizy ryzyka należy zwrócić szczególną uwagę na:
- Zagrożenia, na które narażone jest przedsiębiorstwo.
- Aktywa, które mogą stać się celem ataku.
- Prawdopodobieństwo wystąpienia zagrożenia, a także jego wpływ na aktywa firmy.
- Rozwiązania, które mogłyby obniżyć prawdopodobieństwo pojawienia się zagrożeń.
Istotnym jest, aby pamiętać, że analiza ryzyka zmienia się wraz z przedsiębiorstwem. Nie można więc wykonać jednego audytu na cały okres działalności. Ważne jest, aby na bieżąco modyfikować sporządzoną analizę. Być może przedsiębiorstwo narażone jest na nowe zagrożenia. Wartość ryzyka zmienia się wraz z upływem czasu.
Za zagrożenia uważa się zarówno czynniki zewnętrzne, jak i wewnętrzne. Do grupy tej zalicza się m.in. zdarzenia naturalne lub będące wynikiem przypadku, zdarzenia z grupy technologicznej, zdarzenia wynikające z niezamierzonych lub zamierzonych działań ludzkich. Jeśli chodzi o aktywa, to są to zarówno jednostki materialne, jak i niematerialne. Mowa tutaj o m.in. ludziach, budynkach, narzędziach, urządzeniach, dokumentacji, chronionej wiedzy, bazie danych osobowych.
Jacek Karbowicz (Audytor)