Audyt to podstawa

Fundamentem zapewniania bezpieczeństwa jest ocena ryzyka. Ma istotne znaczenie również dla weryfikacji obowiązujących zasad polityki bezpieczeństwa. Powinna być przeprowadzana tak, aby umożliwiać wykrywanie zagrożeń na bieżąco. Z praktyki wynika, że audyt należy przeprowadzać przynajmniej raz na rok. Jeżeli jednak są wprowadzane istotne zmiany w przedsiębiorstwie, np. technologiczne, organizacyjne lub biznesowe, częstotliwość oceny ryzyka trzeba dostosować do potrzeb wynikających z aktualnej sytuacji.

Na kształt polityki bezpieczeństwa wpływają również wnioski z audytu. Należy go przeprowadzać z uwzględnieniem wymagań dotyczących bezpieczeństwa obowiązujących w danej firmie.

Potrzebna jest lista warunków, na podstawie której będzie prowadzony audyt. W odniesieniu do nich będzie oceniany poziom dojrzałości organizacji w zakresie bezpieczeństwa – tłumaczy Kamil Pszczółkowski.

Zwraca również uwagę, by zawsze uwzględniać kontekst wymagań. Na przykład RODO ma na celu ochronę danych osób fizycznych i nie jest nastawione na ochronę interesów firmy, która przetwarza dane osobowe. Mechanizmy zabezpieczeń w obu przypadkach mogą być takie same, ale cel jest inny.

Audyt zwiększa świadomość zagrożeń i konsekwencji podejmowanych decyzji. Pozwala na bardziej przemyślane zarządzanie ryzykiem. Wpływa również na skuteczniejsze, dostosowane do istniejących uwarunkowań zarządzanie środowiskiem informatycznym oraz funkcjonującymi w jego ramach rozwiązaniami. Zawsze jednak należy zacząć od inwentaryzacji.

Trzeba wiedzieć, czym się dysponuje i przed czym chce się chronić, żeby móc wybrać optymalne rozwiązania dla danego przedsiębiorstwa lub instytucji – podkreśla Kamil Pszczółkowski.

Audyt, podobnie jak ocenę ryzyka, należy przeprowadzać okresowo, zazwyczaj nie rzadziej niż raz w roku. Jego wyniki powinny wpływać na kształt polityki bezpieczeństwa, a to oznacza m.in. konieczność aktualizowania stosowanych procedur i rozwiązań.

Trzeba jednak pamiętać, że audyt nie jest jedynym powodem aktualizowania polityki bezpieczeństwa. Należy brać pod uwagę wszelkie informacje otrzymywane z różnych źródeł, także od pracowników i partnerów biznesowych. Mogą bowiem wskazywać, na przykład, na luki w procedurach lub zabezpieczeniach systemów informatycznych.

Prawo musi być odzwierciedlone

Aktem prawnym, który obecnie ma niewątpliwie istotny wpływ na treść polityki bezpieczeństwa każdej firmy, jest RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ale nie można pominąć innych znaczących regulacji. Podczas tworzenia polityki bezpieczeństwa należy uwzględnić również: ustawę o krajowym systemie bezpieczeństwa, dyrektywę płatniczą PSD2 oraz znajdujące się na etapie legislacji ustawę o odpowiedzialności podmiotów zbiorowych i unijne rozporządzenie e-Privacy.

Wymienione akty nie wskazują wprost, jakiego rodzaju środki należy stosować dla osiągnięcia celu. RODO zobowiązuje administratora do zapewnienia bezpieczeństwa przetwarzania danych osobowych na poziomie odpowiadającym ryzyku, na które są narażone. Przyjęte środki mają zagwarantować poufność, integralność, dostępność i odporność systemów, także usług przetwarzania oraz szybkie przywrócenie dostępności danych osobowych w razie zaistnienia incydentu – tłumaczy Artur Piechocki.