Co istotne, przetwarzanie znakomitej większości z nich odbywa się w szeroko rozumianych systemach informatycznych. O wadze danych osobowych świadczy nadto ogromne zainteresowanie nimi cyberprzestępców.
Tym samym wzrasta zagrożenie atakami hackerskimi, których liczne przypadki (oraz ich poważne konsekwencje) są opisywane przez ogólnoświatowe media niemal każdego dnia.
W jaki sposób ograniczyć ryzyko?
Z jednej strony nieograniczony zasięg sieci internetowej, jak również globalne rozproszenie dostawców usług online sprawiają, że tracimy kontrolę nad naszymi danymi oraz nad tym, w jaki sposób mogą być wykorzystywane. Z drugiej strony nie mniejsze znaczenie ma los danych, które są przetwarzane w organizacjach. Zapewnienie bezpieczeństwa wszelkich informacji posiadanych przez firmę nie należy do najprostszych procesów i wymaga przedsięwzięcia szeregu działań.
Lista audytowa
Udostępniamy kontrolną listę audytową odnoszącą się do sprzętu biurowego.
Pobierz
W świetle powyższego na kompleksowe przygotowanie organizacji składa się kilka części, takich jak m.in. opracowanie dokumentacji, przeszkolenie pracowników, dostosowanie procesów przetwarzania danych osobowych czy audyt. Szczególną uwagę pragniemy dzisiaj zwrócić na ostatni z przywołanych elementów, pozwalający zbadać i ocenić stan wewnętrznej infrastruktury IT oraz stosowanych w tym obszarze zabezpieczeń, bez którego niemożliwe jest podjęcie dalszych kroków zmierzających do osiągnięcia wyznaczonych wyżej celów. Jako obszary zasobów teleinformatycznych, które obligatoryjnie powinny zostać poddane kontroli audytowej, można wskazać m.in. infrastrukturę sieciową, sprzęt biurowy, aplikacje czy strony internetowe.
Jakie korzyści z audytu IT?
Zaakcentowania wymaga, że przeprowadzenie audytu w organizacji jest najefektywniejszym instrumentem, za którego pośrednictwem administrator może wykonać ciążące na nim obowiązki wynikające z art. 32 RODO. W świetle przywołanego przepisu: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania (…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym w przypadku: (…) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”. Nie sposób zaprzeczyć zatem, że to właśnie dzięki fachowo wykonanemu audytowi najpełniej można zrealizować przytoczone powinności.
Warto nadmienić, że z każdego audytu przeprowadzanego przez profesjonalny podmiot sporządzany jest raport. Jego treść obejmuje określenie stanu zabezpieczeń, wynikającego ze stanu faktycznego ustalonego w toku audytu. Trzeba jednak podkreślić, że audyt nie ogranicza się do dokonania wskazanej oceny. Treść raportu poaudytowego obejmuje (może przede wszystkim) rekomendacje oraz propozycje konkretnych rozwiązań i ulepszeń pozwalających zwiększyć poziom zabezpieczeń w systemach IT, a równocześnie zminimalizować ryzyka związane z przetwarzaniem danych osobowych w organizacji.
Zaproponowane poniżej przez ODO 24 narzędzie – lista audytowa umożliwia wstępne, samodzielne sprawdzenie, w jakim stopniu IT organizacji zapewnia jej bezpieczeństwo, a w których miejscach wymaga udoskonalenia. Nie ulega jednak wątpliwości, że najpełniejsze korzyści dla podmiotu można uzyskać dzięki profesjonalnemu audytowi przeprowadzonemu przez ekspertów doświadczonych w tej branży.
Obszar IT w zgodzie z RODO
Zaprezentowana lista stanowi zapowiedź, a jednocześnie premierową część cyklu artykułów poruszających różnorodne zagadnienia z obszaru IT. Poprzez opracowania wieloletni praktycy z dziedziny bezpieczeństwa IT przybliżą materię niezbędną przy dostosowywaniu organizacji do wymogów RODO. Wraz z przystępnymi objaśnieniami i praktycznymi wskazówkami proponujemy również gotowe narzędzia i wzory dokumentów, które będą mogli Państwo wykorzystać na różnych etapach modelowania infrastruktury IT w organizacji.