Blog ODO 24

ABI jako szkoleniowiec

Jaki zakres tematyczny szkolenia będzie właściwy? Szkolenia pracowników to zmora wielu Administratorów Bezpieczeństwa Informacji. Ich obawy wynikają nie tylko z glassofobii (lęk przed wystąpieniami publicznymi ;-)), ale też, a może nawet przede wszystkim, z braku konkretnych wytycznych co do zakresu takiego szkolenia. Ustawa i rozporządzenie dot. ochrony danych osobowych w ogóle nie nakładają wymogu przeprowadzania takich szkoleń. Nie są więc one, z prawnego punktu widzenia, obowiązkowe. Niemniej, bez odpowiedniego przeszkolenia pracowników, trudno mówić o odpowiedniej ochronie przetwarzanych w firmie czy instytucji danych osobowych. Brak szkoleń to również brak podstaw do pociągnięcia pracownika do odpowiedzialności w sytuacji złamania przez niego zasad bezpieczeństwa przetwarzania informacji. Nieprzeszkolony pracownik zawsze może powiedzieć, że nie zna zasad ochrony danych osobowych.

Administrator
06 grudnia 2012
Dane w kontenerze na śmieci

Dane mogą wyciekać w różnej formie. Najprostszy wyciek to brak niszczarki i w ciągu kilku chwil nasze umowy zawarte w klientami 5 lat temu lądują w kontenerze na śmieci. Załóżmy, że znajdują je panowie zbierający puszki i informują o tym recepcję naszej firmy (przykład nieco fantasmagoryczny ale niech tam). Recepcjonistka zawiadamia ABI-ego bądź kogoś z kierownictwa. Co powinien zrobić ABI? ABI powinien w pierwszej kolejności zabezpieczyć dane osobowe, które zostały udostępnione, czyli samemu lub przy pomocy pracowników zebrać wszystkie dokumenty z danymi osobowymi i je zabezpieczyć

Administrator
06 grudnia 2012
Dane w internecie a propozycje erotyczne

Dużo bardziej niebezpieczne są przypadki wycieku danych związane z systemami informatycznymi, szczególnie podłączonymi do tzw. sieci publicznej czyli Internetu. Wszyscy zapewne pamiętamy najgłośniejszy przykład pewnego banku i wycieku ponad 1500 CV i danych personalnych osób zachęconych udziałem w rekrutacji. Co może zdarzyć się w naszych organizacjach? Np. przy aktualizacji strony internetowej załączono niewłaściwy plik pod linkiem kierującym do „Referencji” a tam znajduje się plik ze zbiorem danych osobowych współpracowników. Nikt nie zwrócił uwagi do czasu gdy jeden ze współpracowników zaczął otrzymywać mnóstwo telefonów akwizycyjnych, więc zwrócił się do nas z zapytaniem o podstawę udostępnienia publicznie jego danych osobowych. W takim przypadku procedura działania ABI jest analogiczna do przypadku z kontenerem na śmieci z tą różnicą, że doszło już do nieodwracalnego wycieku danych

Administrator
06 grudnia 2012
Hasło do komputera na monitorze

W trakcie kontroli ODO, podchodzimy do biurka, a tam z boku monitora mała żółta karteczka z hasłem. Pouczamy pracownika, że tego robić nie wolno, że teraz musi zmienić hasło. Pracownik oczywiście albo się tłumaczy, że nie może go zapamiętać albo uparcie twierdzi, że to nie jest hasło do jego komputera, co najczęściej jest ewidentnym kłamstwem. Kolejna kontrola to trochę więcej przezorności i pomysłowości, tym razem hasło jest ładnie przyklejone do biurka taśmą klejącą pod klawiaturą. Brzmi znajomo?

Administrator
06 grudnia 2012
Wojny wygrywa się informacją

Numer 1 spośród największychi najgłośniejszych afer związanych z wyciekiem danych osobowych to wszystkim już chyba znany portal Wikileaks i ujawnione przez niego dane wielu anonimowych osób. 25 lipca 2010 r. serwis opublikował ok. 100 tys. dokumentów wojskowych dotyczących wojny w Afganistanie, w tym dane o śmierci cywilów dotychczas nie publikowane.

Jesienią 2010 r. serwis opublikował ok. 400 tys. tajnych dokumentów o wojnie w Iraku, jak również ok. 250 tys. tajnych depesz dyplomatycznych pochodzących z ambasad USA na całym świecie

Administrator
06 grudnia 2012
Incydent ODO i co dalej?

ABI powinien w pierwszej kolejności zabezpieczyć dane osobowe, które zostały udostępnione.Robimy wszystko, by do niego nie doszło, ale co wówczas, kiedy incydent jednak się wydarzy? Co powinien zrobić Administrator Bezpieczeństwa Informacji? Przede wszystkim ABI musi być na miejscu. Sprawa jest prosta, gdy administratorem jest pracownik danej firmy czy instytucji. Jeśli jednak funkcję ABI pełni firma zewnętrzna i nie zostanie odpowiednio szybko poinformowana, albo nie zostanie o tym poinformowana wcale, incydent może się przerodzić w prawdziwy koszmar. Czym może być taki incydent? Przykładowo, może to być przypadek znalezienia w kontenerze ze śmieciami umów firmy z klientami sprzed 5 lat

Administrator
27 października 2012
ABI vs. ADO i inne niuanse pracownicze

Funkcja ABI jest najczęściej powierzana, jako dodatkowy zakres obowiązków, pracownikowi działu IT lub działu prawnego, często bez dodatkowego wynagrodzenia. Powstała w ten sposób relacja pomiędzy Administratorem Danych Osobowych (pracodawcą) i Administratorem Bezpieczeństwa Informacji (pracownikiem) jest często bardzo niekorzystna dla tego ostatniego. Niezależnie od tego czy Administrator Danych Osobowych (ADO) jest pracodawcą czy, w przypadku outsourcingu, zleceniodawcą, a Administrator Bezpieczeństwa Informacji (ABI) – pracownikiem czy zleceniobiorcą, w relacji występuje dość niekomfortowa zależność pomiędzy tym, czego ABI powinien wymagać i wdrożyć w danej firmie, a tym jak daleko może się posunąć by nie stracić pracy lub zleceniobiorcy

Administrator
25 września 2012