Przede wszystkim ABI musi być na miejscu. Sprawa jest prosta, gdy administratorem jest pracownik danej firmy czy instytucji. Jeśli jednak funkcję ABI pełni firma zewnętrzna i nie zostanie odpowiednio szybko poinformowana, albo nie zostanie o tym poinformowana wcale, incydent może się przerodzić w prawdziwy koszmar.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Czym może być taki incydent? Przykładowo, może to być przypadek znalezienia w kontenerze ze śmieciami umów firmy z klientami sprzed 5 lat.
Załóżmy, że osoby, które dokonały takiego odkrycia informują o tym recepcję w danej firmie. Przy założeniu, że pracownicy firmy zostali odpowiednio przeszkoleni, recepcjonistka powinna natychmiast zawiadomić o sytuacji ABI lub kogoś z kierownictwa. ABI zabezpiecza dane osobowe, które zostały udostępnione – osobiście lub przy pomocy innych pracowników zbiera wszystkie znalezione dokumenty. Następnie należy sporządzić odpowiedni protokół z opisem incydentu, podaniem źródła zgłoszenia, daty rozpoczęcia i zakończenia, określeniem, czy zagrożenie dla danych minęło czy też nie. W protokole, po przeanalizowaniu przypadku, powinny się znaleźć również dane osoby odpowiedzialnej za incydent, jego przyczyna oraz opis działań podjętych w celu przywrócenia bezpieczeństwa i ocena skuteczności tych działań.
Co by się jednak mogło stać, gdyby zewnętrzny ABI nie został poinformowany lub został poinformowany zbyt późno (przez niewłaściwe szkolenia, nigdy nieprzeczytane procedury bezpieczeństwa, itp.)? Co by się mogło stać, gdyby ABI nie mógł od razu przyjechać (np. jest na szkoleniu)? Wówczas możemy mieć tylko nadzieję, że nikt tych danych nie zabierze do czasu przybycia ABI z odsieczą lub, co gorsze, nikt nie poinformuje o znalezisku policji lub mediów.
ABI nie potrzebuje niczyjego pozwolenia, ani polecenia do wykonania powyższych działań. Wykonuje je, ponieważ są to standardowe obowiązki wynikające z pełnionej przez niego funkcji. Przy incydencie związanym z naruszeniem zabezpieczeń fizycznych czy organizacyjnych relatywnie łatwo jest ponownie zapewnić bezpieczeństwo – oczywiście przy założeniu, że informacja o zagrożeniu dotrze do ABI. Dużo niebezpieczniejsze są incydenty związane z systemami informatycznymi, szczególnie podłączonymi do internetu.
Przykładowo, przy aktualizacji strony internetowej zostanie załączony niewłaściwy plik i pod linkiem kierującym do „Referencji” znajdzie się zbiór danych osobowych współpracowników. Sytuacja pozostała niezauważona do czasu, gdy jeden ze współpracowników zaczął otrzymywać mnóstwo telefonów akwizycyjnych. Po znalezieniu źródła wycieku swoich danych osobowych, współpracownik firmy zwraca się do niej z zapytaniem o podstawę publicznego udostępnienia danych. W takim przypadku procedura działania ABI jest analogiczna do poprzedniego przypadku z tą tylko różnicą, że doszło już do nieodwracalnego wycieku danych i nie można w żaden sposób zagwarantować, że osoby, które pobrały plik przestaną z niego korzystać (nawet nie wiemy, kto jest w jego posiadaniu). Szkoda już powstała.
W tej sytuacji ABI rejestruje incydent i zabezpiecza dane osobowe z pomocą ASI. Jedyne, co można zrobić w sytuacji powstania szkody, to wystosować oficjalne przeprosiny do osób poszkodowanych wraz z zapewnieniem, że sytuacja się więcej nie powtórzy. Być może to wystarczy, ale może się też okazać, że ktoś z poszkodowanych zawiadomi o sytuacji GIODO, a nawet wystąpi z powództwem cywilnym o odszkodowanie. To, co jeszcze firmie grozi w takiej sytuacji, to oczywiście zła opinia, która będzie się za nią ciągnęła dużo dłużej niż dopełnienie wszystkich wymogów formalnych.
Praca dobrymi narzędziami RODO to nie praca!
Niezależnie jednak od skutków, Administrator Bezpieczeństwa Informacji musi wdrożyć dodatkowe procedury zabezpieczające, by sytuacja więcej się nie powtórzyła.
Podsumowując, działania prewencyjne ABI w zakresie szkoleń, wdrożonych procedur oraz codziennej rzetelnej pracy, są kluczowym czynnikiem by uniknąć incydentu. Kiedy jednak, mimo wszystko, do niego dojdzie, musi być na to odpowiednia procedura. Incydent zawsze będzie największym koszmarem ABI ale, z drugiej strony, będzie też bardzo dobrym testem jego samego i wdrożonych przez niego zabezpieczeń.