Jak dostosować systemy IT do RODO? Od czego zacząć?
Pierwszą rzeczą jest na pewno audyt IT, dokonanie analizy całej infrastruktury, wskazanie i opisanie
zabezpieczeń organizacyjnych oraz technicznych, a co za tym idzie przedstawienie obszarów, w których
powinniśmy nanieść zmiany. Analiza ryzyka to kolejny etap, który pomoże nam dostosować dokumentację,
systemy do RODO. Analiza ryzyka to jeden z najważniejszych dokumentów całego procesu, w którym oceniamy
ryzyko wystąpienia podatności dla zasobów występujących w naszej organizacji. Całość zamykamy planem
postępowania z ryzykiem oraz dokumentacją zgodną wytycznymi RODO.
Jak zapewnić zgodność z RODO, gdy obsługa IT świadczona jest przez podmiot zewnętrzny
(outsourcing)?
Outsourcing IT jest dobrym rozwiązaniem dla organizacji, które nie mają własnego działu IT, niestety nie
zawsze możemy liczyć na pełne wsparcie pod kątem RODO. W takich momentach z pomocą przychodzi
powierzenie stosownych czynności podmiotowi zewnętrznemu. To podmiot zewnętrzny ma wskazać wszelkie luki
wo możemy liczyć na rekomendacje poprawiające funkcjonowanie całej organizacji. W zależności od
podpisanej umowy możemy liczyć na dodatkowe benefity w postaci szkoleń pracowników, biuletynów
informacyjnych czy wsparcia w trakcie trwania umowy.
Jakie systemy bezpieczeństwa stosować, aby zapewnić zgodność z RODO?
Zgodnie z wytycznymi RODO to administrator danych osobowych ma obowiązek wdrożyć odpowiednie środki
techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby mógł to
wykazać. Dobór odpowiedniego osprzętu jest zależny od wielkości organizacji. Niezależnie od wielkości,
pierwszą zaporą powinno być zabezpieczenie styku sieci publicznej z siecią LAN poprzez zastosowanie
odpowiedniego sprzętu: router, firewall, switch. To na tym sprzęcie powinniśmy włączyć takie usługi jak:
DLP, IPS/IDS, reguły dotyczące portów. Kolejne wyzwanie to logowanie, nadawanie uprawnień, nadzór nad
uprawnieniami do systemów IT, wykorzystywanego oprogramowania w codziennej pracy: 2FA, reguły logowania
dzięki AD, wykonywanie kopii zapasowych. Niezależnie od zabezpieczeń technicznych, powinniśmy pamiętać
również o zabezpieczeniach fizycznych naszej organizacji: kontrola dostępu z zewnątrz, systemy
monitoringu, alarmowe, ppoż.
Jak budować świadomość użytkowników w zakresie bezpieczeństwa IT?
Bezpieczeństwo systemów IT jest jednym z aspektów ochrony danych osobowych, o który powinniśmy dbać
w codziennej pracy, ale nie jedynym. Budowanie świadomości użytkownika to kolejny bardzo ważny
aspekt w ochronie danych osobowych.
Oprócz standardowych szkoleń pierwszego dnia, powinniśmy również dbać o rozwój pracownika w ciągu całego
okresu pracy poprzez:
- wdrożenie platformy e-learningowej;
- biuletyny informacyjne dotyczące aspektów formalno-prawnych oraz bezpieczeństwa informacji;
- okólnik dotyczący aktualnych zagrożeń płynących z Internetu
- szkolenia zewnętrzne;
- wewnętrzny intranet – zamieszczanie aktualnych procedur, polityk dostępnych dla użytkowników
- audyty wewnętrzne wskazujące elementy wymagające poprawy