CRN Duże firmy sobie z tym poradzą, ale co z mniejszymi?

Anna Zawadzka Rzeczywiście, bardziej boję się o instytucje użyteczności publicznej i o firmy małe. Naszą rolą w stosunku do nich jest robienie dzisiaj dokładnie tego, co robiliśmy wcześniej w przypadku instytucji finansowych – ewangelizowanie. To nie będzie proste. Potrzebne jest nasze wspólne, szerokie działanie. RODO może być pomocne przy przekonywaniu do zastosowania odpowiednich mechanizmów ochrony danych. Konieczna jest jednak także zmiana podejścia zarządów firm, konieczne są szkolenia i edukacja. A potem dopiero dostarczanie odpowiednich narzędzi. Ich umiejętne wykorzystanie może mieć jednak znaczący wpływ na politykę bezpieczeństwa firmy. Widzimy, że po wdrożeniu systemów do ochrony informacji transformację przechodzi cała organizacja. Zdaniem naszych klientów po latach świadomego używania takich narzędzi w przedsiębiorstwie zmienia się generalnie kultura pracy z informacją.

Robert Sepeta W swojej pracy również mam do czynienia z pewnym rodzajem ewangelizacji. W firmach małych, średnich czy w sektorze użyteczności publicznej, na przykład w szpitalach, mamy jednak do czynienia z problemem, który, mimo naszych najszczerszych chęci do dzielenia się wiedzą i doświadczeniami nie zostanie szybko rozwiązany. Mówię o braku funduszy na odpowiednie zabezpieczenia. Bez dostępu do środków finansowych możliwości działania osób odpowiedzialnych za ochronę informacji są tam mocno ograniczone. A sprawa jest poważna, gdyż na przykład w placówkach opieki zdrowotnej są przetwarzane najbardziej poufne dane osobowe.

Piotr Niedźwiedź W nowym rozporządzeniu istotne jest podejście bazujące na szacowaniu ryzyka. Zgadzam się, że finanse i bankowość są w Polsce nieźle przygotowane do wdrożenia RODO. Przygotowanie to zostało wymuszone przez przepisy branżowe. Działały one jednak trochę na zasadzie odhaczania poszczególnych pozycji w arkuszu kalkulacyjnym: mamy antywirusa, mamy DLP, mamy SIEM itd. Nie do końca było sprawdzane, jak to wszystko jest zaimplementowane i czy jedno z drugim ma szansę efektywnie współpracować. Wystarczyło tak naprawdę spełnić pewne wymogi formalne i… byliśmy jako przedsiębiorstwo po bezpiecznej stronie.

 

CRN Teraz ma być inaczej?

Piotr Niedźwiedź Teraz należy się poważnie zastanowić, jak podejść do kwestii bezpieczeństwa, by dobrać rozwiązania rzeczywiście najbardziej adekwatne do oszacowanego stopnia ryzyka naruszenia danych. Trzeba będzie też te wybrane rozwiązania umiejętnie zaimplementować. Do tego będzie niejednokrotnie potrzebny partner, który będzie potrafił tę implementację odpowiednio przeprowadzić. Nie wystarczy najlepsze, najbardziej wyrafinowane i zaawansowane narzędzie, jeśli nie zostanie właściwie wdrożone i wpisane w cały kontekst funkcjonowania firmy. Sam wybór technologii nie uchroni przedsiębiorstwa przed potencjalnymi karami i roszczeniami ze strony osób, których dane dotyczą.

 

CRN Żeby dobrze przygotować swoje rozwiązania do spełnienia wymogów RODO, analizujecie rynek po stronie użytkowników. Z jakiego rodzaju potrzebami się spotykacie?

Anna Zawadzka Zarówno nam, jako dostawcom, jak i naszym klientom, jako użytkownikom końcowym, bardzo pomogłoby przejrzyste rozpisanie wymagań rozporządzenia na konkretne procedury działania. Tak jak to zostało zrobione już wcześniej, przy okazji dyrektywy, w Anglii, Irlandii, Francji czy Niemczech. To zadanie dla GIODO lub jego następcy. To by bardzo pomogło również nam wszystkim, jako obywatelom.