Analiza ryzyka przetwarzania danych osobowych w trybie pracy zdalnej

Nazwa Zaangażowane Czy Stosowane

Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko

procesu zasoby firmowe? zabezpieczenia

Obsługa

klienta

Kolejnym krokiem powinna być identyfikacja zasobów biorących udział w operacjach

przetwarzania realizowanych zdalnie. Przeprowadzając wskazaną inwentaryzację, należy

uwzględnić zasoby należące do organizacji oraz te będące własnością pracownika, których

wykorzystanie zostało zaakceptowane przez organizację. Równocześnie należy wskazać, że

wykorzystanie prywatnego sprzętu (np. laptopa) może generować dodatkowe ryzyka, a

ponadto nie daje organizacji pełnego nadzoru nad działaniami prowadzonymi za jego

pośrednictwem. W celu ułatwienia Państwu identyfikacji wszystkich grup zasobów

zaangażowanych w dany proces, przedstawiamy poniższą typologię:

1. Sprzęt:

1) urządzenia przenośne,

2) urządzenia stacjonarne,

3) urządzenia peryferyjne,

4) nośniki danych (pasywne),

5) nośniki elektroniczne,

6) inne nośniki.

2. Oprogramowanie:

1) systemy operacyjne,

2) oprogramowanie usługowe lub utrzymania,

3) oprogramowanie administracyjne,

4) aplikacje biznesowe.

3. Sieć:

1) media i usługi wspierające,

2) przekaźniki aktywne lub pasywne,

3) interfejsy komunikacyjne.

4. Personel:

1) najwyższe kierownictwo,

2) użytkownicy,

3) personel eksploatacji lub utrzymania,

4) twórcy oprogramowania.

5. Lokalizacje:

1) środowisko zewnętrzne,

2) siedziba,

3) podstawowe usługi,

4) łączność,

5) usługi komunalne i techniczne.

6. Organizacja:

1) organy władzy,

2) struktura organizacji,

3) organizacja projektu lub systemu,

4) podwykonawcy/dostawcy/producenci.

Na potrzeby niniejszej analizy wybrano trzy zasoby charakterystyczne dla pracy zdalnej:

1) przenośne komputery (laptopy),

2) miejsca, z których pracownicy wykonują pracę (ich mieszkania lub domy),

3) pracownicy (na poziomie użytkowników systemu).

Nazwa Zaangażowane Czy Stosowane

Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko

procesu zasoby firmowe? zabezpieczenia

Laptop NIE

Lokalizacja

zewnętrzna

Rekrutacja NIE

(mieszkania

pracowników)

Użytkownicy TAK

W dalszej części analizy organizacja powinna określić zabezpieczenia stosowane dla danych

zasobów. Służy to uniknięciu dodatkowej pracy lub kosztów na etapie wdrażania planu

postępowania z ryzykiem, np. przez duplikację zabezpieczeń.

W zidentyfikowaniu istniejących lub planowanych zabezpieczeń mogą być pomocne

następujące działania:

1) przegląd dokumentów zawierających informacje o zabezpieczeniach (np. plany wdrożenia

postępowania z ryzykiem),

2) wywiady z osobami odpowiedzialnymi za bezpieczeństwo danych osobowych (np.

Inspektor Ochrony Danych, Administrator Bezpieczeństwa Informacji) i z użytkownikami, weryfikujące

rzeczywisty stan wdrożenia zabezpieczeń w analizowanym procesie,

3) audyty (osobowe lub nieosobowe),

4) przegląd wyników audytów wewnętrznych.

Nazwa Zaangażowane Czy Stosowane

Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko

procesu zasoby firmowe? zabezpieczenia

1) Szyfrowanie dysku

Szyfrowanie danych

i

Kontrola dostępu

Hasło,

2) Oprogramowanie antywirusowe

Firewall

(np. Windows Defender +

Laptopy NIE

ZoneAlarm) Zapora sieciowa

VPN,

3) Regularne aktualizacje

System operacyjny

Oprogramowanie

Windows 10,

4) Szkolenia pracowników

Bezpieczeństwo IT.

Obsługa

klienta

1) Zasady czystego biurka

Fizyczne zabezpieczenie dokumentów

Sejf

Niszczarka

Zamknięcie na klucz,

Lokalizacja

2)

zewnętrzna

NIE Polityka czystego ekranu

(mieszkania

Wylogowanie się w

pracowników)

przypadku przerwy na

obiad,

3) Zasady bezpieczeństwa IT

Silne hasła i

Dwuskładnikowe uwierzytelnianie w

przypadku

dostępu do

systemów

firmowych

VPN.

1) Szkolenia z

zakresu RODO