Jak dostosować systemy IT do RODO? Od czego zacząć?

Pierwszą rzeczą jest na pewno audyt IT, dokonanie analizy całej infrastruktury, wskazanie i opisanie zabezpieczeń organizacyjnych oraz technicznych, a co za tym idzie przedstawienie obszarów, w których powinniśmy nanieść zmiany. Analiza ryzyka to kolejny etap, który pomoże nam dostosować dokumentację, systemy do RODO. Analiza ryzyka to jeden z najważniejszych dokumentów całego procesu, w którym oceniamy ryzyko wystąpienia podatności dla zasobów występujących w naszej organizacji. Całość zamykamy planem postępowania z ryzykiem oraz dokumentacją zgodną wytycznymi RODO.

Jak zapewnić zgodność z RODO, gdy obsługa IT świadczona jest przez podmiot zewnętrzny (outsourcing)?

Outsourcing IT jest dobrym rozwiązaniem dla organizacji, które nie mają własnego działu IT, niestety nie zawsze możemy liczyć na pełne wsparcie pod kątem RODO. W takich momentach z pomocą przychodzi powierzenie stosownych czynności podmiotowi zewnętrznemu. To podmiot zewnętrzny ma wskazać wszelkie luki  wo możemy liczyć na rekomendacje poprawiające funkcjonowanie całej organizacji. W zależności od podpisanej umowy możemy liczyć na dodatkowe benefity w postaci szkoleń pracowników, biuletynów informacyjnych czy wsparcia w trakcie trwania umowy.

Jakie systemy bezpieczeństwa stosować, aby zapewnić zgodność z RODO?

Zgodnie z wytycznymi RODO to administrator danych osobowych ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby mógł to wykazać. Dobór odpowiedniego osprzętu jest zależny od wielkości organizacji. Niezależnie od wielkości, pierwszą zaporą powinno być zabezpieczenie styku sieci publicznej z siecią LAN poprzez zastosowanie odpowiedniego sprzętu: router, firewall, switch. To na tym sprzęcie powinniśmy włączyć takie usługi jak: DLP, IPS/IDS, reguły dotyczące portów. Kolejne wyzwanie to logowanie, nadawanie uprawnień, nadzór nad uprawnieniami do systemów IT, wykorzystywanego oprogramowania w codziennej pracy: 2FA, reguły logowania dzięki AD, wykonywanie kopii zapasowych. Niezależnie od zabezpieczeń technicznych, powinniśmy pamiętać również o zabezpieczeniach fizycznych naszej organizacji: kontrola dostępu z zewnątrz, systemy monitoringu, alarmowe, ppoż.

Jak budować świadomość użytkowników w zakresie bezpieczeństwa IT?

Bezpieczeństwo systemów IT jest jednym z aspektów ochrony danych osobowych, o który powinniśmy dbać w codziennej pracy, ale nie jedynym. Budowanie świadomości użytkownika to kolejny bardzo ważny aspekt w ochronie danych osobowych.

Oprócz standardowych szkoleń pierwszego dnia, powinniśmy również dbać o rozwój pracownika w ciągu całego okresu pracy poprzez:

• wdrożenie platformy e-learningowej;
• biuletyny informacyjne dotyczące aspektów formalno-prawnych oraz bezpieczeństwa informacji;
• okólnik dotyczący aktualnych zagrożeń płynących z Internetu
• szkolenia zewnętrzne;
• wewnętrzny intranet – zamieszczanie aktualnych procedur, polityk dostępnych dla użytkowników
• audyty wewnętrzne wskazujące elementy wymagające poprawy