Bezpieczeństwo danych w firmach programistycznych – najciemniej pod latarnią?

W epoce informatyzacji trudno wyobrazić sobie poważny biznes, który w większym lub mniejszym stopniu nie bazowałby na rozwiązaniach programistycznych. Szybko rosnący trend w tym kierunku jeszcze bardziej przyspiesza z powodu ogólnoświatowej pandemii. Stąd coraz większym zainteresowaniem cieszą się usługi firm programistycznych. Czy zawsze są one dobrze do tego przygotowane?

Firmy zajmujące się tworzeniem oprogramowania na zamówienie skupiają się przede wszystkim na dostarczeniu funkcjonalności wymaganych przez klienta (program ma realizować te funkcje, które są zamawiane) w ramach określonego budżetu i czasu. Niestety, w wielu przypadkach bezpieczeństwo aplikacji (albo bezpieczeństwo zasobów wewnątrz organizacji) traktowane jest jako niepotrzebny spowalniacz, co powoduje odsuwanie tego aspektu na drugi plan.

Wyjątkiem są sytuacje, gdy bezpieczeństwo ma duże znaczenie dla zamawiającego – wtedy nierzadko oczekuje się, aby twórca oprogramowania zarządzał bezpieczeństwem danych w swojej organizacji oraz by przeprowadzono testy bezpieczeństwa produktu (tzw. testy penetracyjne). Wtedy wszystkie wykryte luki i podatności usuwane są na koszt dostawcy.

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY
Pozornie mogłoby się wydawać, że to niemożliwe, aby cyberbezpieczeństwo było na drugim planie – przecież pracują tam przede wszystkim informatycy. Jednak IT to bardzo szeroka dziedzina wiedzy i specjalizacji. Każdy pracownik biurowy ma specjalizację, podobnie jest w IT. Dzisiaj już nie można myśleć o informatyku w taki sposób, że zna się on na wszystkim, co dotyczy technologii informatycznej. Administrator sieci niekoniecznie będzie umiał programować, programista niekoniecznie wie, jak funkcjonuje sieć komputerowa, obaj mogą też nie znać Windows, pracując w innym systemie operacyjnym. Wąska specjalizacja oraz wciąż niezbyt wysoka świadomość bezpieczeństwa powoduje, że w firmach, które nie zatrudniają wykwalifikowanego personelu zajmującego się cyberbezpieczeństwem, kwestie zabezpieczania danych znajdują się na dalszym planie. Podobnie ma się rzecz z zamawiającymi dedykowane rozwiązania – brak presji z ich strony powoduje skupienie się na tym, na czym klientowi zależy, a nie na tym co jest dobre i właściwe.

Inwestorzy przeznaczają wielkie sumy na rozwiązania dedykowane, które wymagają wielkich nakładów pracy, dlatego wiele nowych firm programistycznych, skupiających się tylko na konkretnym biznesie, zauważa problem z bezpieczeństwem w swojej infrastrukturze zdecydowanie za późno. Niestety, często dopiero wtedy, kiedy stworzony kod lub przetwarzane dane klienta uległy ujawnieniu lub innemu przykremu zdarzeniu na skutek włamania lub błędu użytkowników.

Filary bezpieczeństwa danych

Bezpieczeństwo w organizacjach tego typu można podzielić na trzy różne obszary: techniczne, fizyczne oraz organizacyjne. o ile bezpieczeństwo w innych branżach można podzielić podobnie, to firmy programistyczne szczególnie wyróżniają się na tle bezpieczeństwa organizacyjnego. Specyfika tych firm powoduje, że jest to bardzo ważny obszar, wymagający edukacji oraz budowania świadomości personelu w kontekście tworzenia bezpiecznego oprogramowania opartego o uznawane standardy. Ponadto bardzo ważnym aspektem jest również bezpieczne zarządzanie zmianą kodu, odpowiednim jego wersjonowaniem lub zarządzeniem dostępem do projektu. Nierzetelne podejście do bezpieczeństwa podczas wdrażania nowego produktu doprowadzić może do wycieku danych klienta, co ostatecznie spowoduje ogromne prawdopodobieństwo nie tylko jego strat wizerunkowych ale również finansowych – nałożenia kary przez organy nadzorcze np. UODO, w związku z niezachowaniem zasady privacy by design, zobowiązującej do uwzględnienia ochrony danych osobowych na etapie projektowania systemu lub usługi.

Oczywiście omawiane zabezpieczenia organizacyjne to nie tylko szkolenia i uświadamianie personelu, ale również dostosowana dokumentacja, czy też odpowiednia treść umów z dostawcami wykorzystywanych narzędzi i rozwiązań. w wielu przypadkach pracownicy nie przepadają za procedurami, ale dzieje się tak najczęściej z powodu braku zrozumienia dla ich funkcjonowania. Okazuje się bowiem, że w wielu przypadkach potrafią one ułatwić życie pracownikom, a pracodawcy – ułatwić prowadzenie biznesu. Funkcjonowanie zabezpieczeń organizacyjnych w postaci przyjętej i stosowanej dokumentacji pozwoli nie tylko ustandaryzować, przyspieszyć i podtrzymać jakość realizowanych procesów przetwarzania danych, ale również utrzymywać bezpieczeństwo na względnie stałym poziomie. Ponadto, procedury organizacyjne pomogą nie tylko nowym pracownikom zrozumieć funkcjonowanie biznesu ale również pokierują pracowników starszych, szczególnie w niecodziennych sytuacjach, związanych np. z postępowaniem na wypadek włamania lub podejrzenia włamania.

Funkcja IOD - to się dobrze przekazuje

Podsumowanie

Procedury organizacyjne to ważny aspekt życia każdej firmy programistycznej, nie tylko pod kątem zapewnienia bezpieczeństwa przetwarzanych danych. Od ich funkcjonowania w organizacji często zależy bowiem zawarcie umowy z nowym klientem. Podobny wpływ na to może mieć obecność osoby lub wyspecjalizowanej firmy pełniącej funkcję Inspektora Ochrony Danych lub Pełnomocnika ds. Bezpieczeństwa Informacji. Ponadto, klienci korporacyjni oraz inni klienci firm programistycznych, dla których bezpieczeństwo jest priorytetem, wymagają nie tylko adekwatnego – wskazanego w zapisach umownych – zakresu zabezpieczeń organizacyjnych ale również wykonania analizy ryzyka lub/i wdrożenia konkretnych zabezpieczeń technicznych. Takie wymogi najczęściej pokrywają się z elementami opisywanymi przez normę ISO 27001 – Systemy Zarządzania Bezpieczeństwem Informacji, której wdrożenie w takich firmach z pewnością warto rozważyć.

Każdy z wymienionych wyżej obszarów bezpieczeństwa jest bardzo obszerny, a do oceny ich funkcjonowania niezbędny jest audyt. Jego wynikiem powinien być m.in. opis obecnego stanu konfiguracji bezpieczeństwa wykorzystywanych serwerów, urządzeń sieciowych, systemów, aplikacji, komputerów, smartfonów, drukarek i nośników wymiennych, jak również m.in. sposób zabezpieczenia granic organizacji (szczególnie w sytuacji, gdy w tym samym budynku lub budynkach występuje więcej niż jedna firma). Każde stwierdzone w raporcie odchylenie od przyjętych kryteriów audytu powinno posiadać stosowną rekomendację, zawierającą opis przykładowego sposobu przywrócenia organizacji do stanu zgodnego z tymi kryteriami.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".