Analiza ryzyka monitoringu pracowników

Monitoring systemów używanych przez pracowników

 

Zagrożenie

Czynniki mające wpływ na materializację zagrożenia

Zastosowane zabezpieczenia

Dotkliwość skutku (S)

Prawdopodobieństwo wystąpienia (P)

Wartość ryzyka (Pr = P*S)

Ocena ryzyka

Zalecenia

Postępowanie z ryzykiem – decyzja ADO

Wskazać zagrożenie

Wskazać czynniki, które mogą przyczynić się do zdarzenia

Wskazać środki techniczne i organizacyjne, zastosowane do zapewnienia ochrony w ramach wskazanej czynności

Ocenia się dotkliwość dla osoby, której dane dotyczą w skali 1-3

Jaka jest szansa, że skutek się zmaterializuje, 1- małe 2 możliwe 3 - prawie pewne

Skala: Pr = 1 lub 2 niskie, Pr = 3 lub 4 średnie, Pr = 6 lub 9 wysokie

Akceptowalne/nieakceptowalne

Wskazać rozwiązania, które mogą wpłynąć na minimalizację ryzyka

Możliwe działania: zmiana poziomu ryzyka poprzez zastosowanie zabezpieczenia / unikanie ryzyka / przeniesienie ryzyka / akceptacja ryzyka.

Nieskuteczne poinformowanie pracowników o celach, zakresie i sposobach wykorzystania monitoringu

Wrzesień 2023

CyberSec Solutions wie o obowiązku wprowadzenia odpowiednich zapisów do regulaminu pracy, który wynika z kodeksu pracy, opracuje niezbędne klauzule informacyjne i procedury ich przekazania pracownikom.

3

1

3

akceptowalne

 

 

Korzystanie z monitoringu mimo niewykazania niezbędności takiego działania

Październik 2023

Opracowanie procedur przeprowadzania testu równowagi, CyberSec Solutions wie o obowiązku wyważenia interesów stron, przed wprowadzeniem monitoringu.

3

1

3

akceptowalne

 

 

Naruszenie poufności danych pracowników przez system monitoringu

Listopad 2023

Opracowanie informacji o systemie monitoringu, weryfikacja ustawień systemu przed jego wprowadzeniem oraz ustanowienie administratora systemu, odpowiedzialnego za nadzór nad konfiguracją.

3

1

3

akceptowalne

 

 

Gromadzenie danych nieadekwatnych do celu przetwarzania

Grudzień 2023

Konfiguracja systemu w taki sposób, aby zakres wykorzystania nie wykraczał poza ustalone cele i sposoby wykorzystania. Ustanowienie jednej osoby (administratora), która jest odpowiedzialna za kontrolę konfiguracji.

3

1

3

akceptowalne

 

 

Wyciek danych z systemu monitoringu

Styczeń 2024

W systemie są zapisywane jedynie dane statystyczne dotyczące użytkowników (ograniczenie danych), system ma zapewnione wsparcie producenta oraz bieżące aktualizacje.

2

1

2

akceptowalne

 

 

Wykorzystanie danych z monitoringu niezgodnie z celem jest stosowania

Luty 2024

Sformalizowane zasady wykorzystania monitoringu, przeszkolenie kierowników, przewidziano działania dyscyplinujące za wykorzystanie danych niezgodnie z celem.

3

1

3

akceptowalne

 

 

Przechowywanie danych przez zbyt długi czas

Marzec 2024

Określono czas przechowywania danych.

2

3

6

nieakceptowalne

Zobligowanie administratora do ustawienia czasu przechowywania danych w systemie, okresowa weryfikacja retencji danych.

Zmiana poziomu ryzyka poprzez zastosowanie zabezpieczenia.

Przetwarzanie danych z monitoringu przez osoby nieupoważnione

Kwiecień 2024

Wprowadzono zasady upoważniania do przetwarzania danych, określono osoby upoważnione, system umożliwia wyłączenie dostępu po linku.

3

3

9

nieakceptowalne

Zmiana konfiguracji systemu – wyłączenie opcji wejścia po ogólnodostępnym linku, wskazanie osób uprawnionych do dostępu do danych i ich upoważnienie do przetwarzania danych.

Zmiana poziomu ryzyka poprzez zastosowanie zabezpieczenia.

Naruszenie tajemnicy korespondencji

Maj 2024

Poinformowanie pracowników o sposobie działania monitoringu oraz obowiązku korzystania z poczty tylko do celów służbowych.

3

1

3

akceptowalne

 

 

Strona 1