Analiza ryzyka dla operacji przetwarzania realizowanych zdalnie (COVID-19)
Inspiracja: Legalis
Analiza ryzyka dla operacji przetwarzania realizowanych zdalnie (COVID-19) obejmuje identyfikację zasobów, typologię zaangażowanych grup, określenie stosowanych zabezpieczeń oraz możliwe zagrożenia. Następnie analizowane są podatności zasobów oraz szacowane prawdopodobieństwo i waga zagrożeń. Finalnym etapem jest ustalenie poziomu ryzyka oraz przygotowanie planu postępowania z ryzykiem. W planie określane są priorytety działań, osoby odpowiedzialne i terminy realizacji. Organizacja może wybrać warianty postępowania z ryzykiem: redukowanie, zachowanie, unikanie lub transfer.
Nazwa Zaangażowane Czy Stosowane Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko procesu zasoby firmowe? zabezpieczenia Obsługa klienta Kolejnym krokiem powinna być identyfikacja zasobów biorących udział w operacjach przetwarzania realizowanych zdalnie. Przeprowadzając wskazaną inwentaryzację, należy uwzględnić zasoby należące do organizacji oraz te będące własnością pracownika, których wykorzystanie zostało zaakceptowane przez organizację. Równocześnie należy wskazać, że wykorzystanie prywatnego sprzętu (np. laptopa) może generować dodatkowe ryzyka, a ponadto nie daje organizacji pełnego nadzoru nad działaniami prowadzonymi za jego pośrednictwem. W celu ułatwienia Państwu identyfikacji wszystkich grup zasobów zaangażowanych w dany proces, przedstawiamy poniższą typologię: 1. Sprzęt: 1) urządzenia przenośne, 2) urządzenia stacjonarne, 3) urządzenia peryferyjne, 4) nośniki danych (pasywne), 5) nośniki elektroniczne, 6) inne nośniki. 2. Oprogramowanie: 1) systemy operacyjne, 2) oprogramowanie usługowe lub utrzymania, 3) oprogramowanie administracyjne, 4) aplikacje biznesowe. 3. Sieć: 1) media i usługi wspierające, 2) przekaźniki aktywne lub pasywne, 3) interfejsy komunikacyjne. 4. Personel: 1) najwyższe kierownictwo, 2) użytkownicy, 3) personel eksploatacji lub utrzymania, 4) twórcy oprogramowania. 5. Lokalizacje: 1) środowisko zewnętrzne, 2) siedziba, 3) podstawowe usługi, 4) łączność, 5) usługi komunalne i techniczne. 6. Organizacja: 1) organy władzy, 2) struktura organizacji, 3) organizacja projektu lub systemu, 4) podwykonawcy/dostawcy/producenci. Na potrzeby niniejszej analizy wybrano trzy zasoby charakterystyczne dla pracy zdalnej: 1) przenośne komputery (laptopy), 2) miejsca, z których pracownicy wykonują pracę (ich mieszkania lub domy), 3) pracownicy (na poziomie użytkowników systemu). Nazwa Zaangażowane Czy Stosowane Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko procesu zasoby firmowe? zabezpieczenia Laptop NIE Lokalizacja zewnętrzna Rekrutacja NIE (mieszkania pracowników) Użytkownicy TAK W dalszej części analizy organizacja powinna określić zabezpieczenia stosowane dla danych zasobów. Służy to uniknięciu dodatkowej pracy lub kosztów na etapie wdrażania planu postępowania z ryzykiem, np. przez duplikację zabezpieczeń. W zidentyfikowaniu istniejących lub planowanych zabezpieczeń mogą być pomocne następujące działania: 1) przegląd dokumentów zawierających informacje o zabezpieczeniach (np. plany wdrożenia postępowania z ryzykiem), 2) wywiady z osobami odpowiedzialnymi za bezpieczeństwo danych osobowych (np. inspektor ochrony danych, administrator systemu) i z użytkownikami, weryfikujące rzeczywisty stan wdrożenia zabezpieczeń w analizowanym procesie, 3) audyty (osobowe lub nieosobowe), 4) przegląd wyników audytów wewnętrznych. Nazwa Zaangażowane Czy Stosowane Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko procesu zasoby firmowe? zabezpieczenia 1) legalny system operacyjny i aplikacje mające wsparcie producenta, 2) mechanizmy kontroli dostępu (np. login + Laptopy NIE hasło) znane jedynie użytkownikowi, 3) wygaszacz ekranu chroniony hasłem, 4) szyfrowanie dysku twardego. Obsługa 1) miejsce klienta wykonywania obowiązków ograniczające osobom postronnym możliwość wglądu w treść Lokalizacja informacji, zewnętrzna NIE 2) (mieszkania przechowywanie pracowników) dokumentów papierowych w meblach zamykanych na klucz, 3) rozmowy telefoniczne i konferencje prowadzone w pomieszczeniach gwarantujących poufność wymienianych informacji. 1) szkolenia z zakresu pracy zdalnej, 2) upoważnienie do przetwarzania danych osobowych, 3) procedura pracy zdalnej, Użytkownicy TAK 4) procedura oraz ustanowione kanały komunikacji w razie kłopotów technicznych lub naruszenia ochrony danych osobowych. Kolejnym działaniem jest określenie możliwych zagrożeń dla danych osobowych przetwarzanych w ramach zidentyfikowanych procesów realizowanych zdalnie. Zagrożenia, o których stanowi RODO, to przede wszystkim przypadkowe lub niezgodne z prawem zniszczenie danych osobowych, przypadkowa lub niezgodna z prawem utrata danych osobowych, przypadkowa lub niezgodna z prawem modyfikacja danych osobowych, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. Nazwa Zaangażowane Czy Stosowane Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko procesu zasoby firmowe? zabezpieczenia 1) przypadkowe lub niezgodne z prawem zniszczenie 1) legalny danych system osobowych, operacyjny i 2) aplikacje mające przypadkowa wsparcie lub niezgodna producenta, z prawem 2) mechanizmy utrata danych kontroli dostępu osobowych, Laptopy NIE (login + hasło) 3) znane jedynie przypadkowa użytkownikowi, lub niezgodna 3) wygaszacz z prawem ekranu modyfikacja Obsługa chroniony danych klienta hasłem, osobowych, 4) szyfrowanie 4) dysku twardego. nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. 1) miejsce 1) wykonywania przypadkowe obowiązków lub niezgodne Lokalizacja ograniczające z prawem zewnętrzna osobom zniszczenie NIE (mieszkania postronnym danych pracowników) możliwość osobowych, wglądu w treść 2) informacji, przypadkowa 2) lub niezgodna przechowywanie z prawem dokumentów utrata danych papierowych w osobowych, meblach 3) zamykanych na przypadkowa klucz, lub niezgodna 3) rozmowy z prawem telefoniczne i modyfikacja konferencje danych prowadzone w osobowych, pomieszczeniach 4) gwarantujących nieuprawnione poufność ujawnienie lub wymienianych nieuprawniony informacji. dostęp do danych osobowych. 1) przypadkowe 1) szkolenia z lub niezgodne zakresu pracy z prawem zdalnej, zniszczenie 2) upoważnienie danych do osobowych, przetwarzania 2) danych przypadkowa osobowych, lub niezgodna 3) procedura z prawem pracy zdalnej, Użytkownicy TAK utrata danych 4) procedura osobowych, oraz 3) ustanowione przypadkowa kanały lub niezgodna komunikacji w z prawem razie kłopotów modyfikacja technicznych lub danych naruszenia osobowych, ochrony danych 3) osobowych. nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. Następnym krokiem w analizie ryzyka jest ustalenie podatności wykorzystywanych zasobów mogących sprzyjać materializacji zagrożeń. Ze względu na specyfikę pracy zdalnej zaleca się zwrócenie szczególnej uwagi na osobowe źródła zagrożeń (prowadzenie rozmów z klientami w obecności członków rodziny, pozostawienie umów lub notatek na temat obsługiwanego klienta w ogólnodostępnym miejscu, przesyłanie dokumentów służbowych przez prywatną pocztę elektroniczną). Nazwa Zaangażowane Czy Stosowane Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko procesu zasoby firmowe? zabezpieczenia 1) przypadkowe lub niezgodne z prawem zniszczenie 1) legalny danych 1) brak nadzoru nad system osobowych, sprzętem operacyjny i 2) komputerowym, aplikacje mające przypadkowa 2) współdzielenie wsparcie lub niezgodna sprzętu producenta, z prawem komputerowego z 2) mechanizmy utrata danych wieloma osobami, kontroli dostępu osobowych, 3) ujawnienie Laptopy NIE (login + hasło) 3) osobom trzecim Obsługa znane jedynie przypadkowa danych klienta użytkownikowi, lub niezgodna uwierzytelniających, 3) wygaszacz z prawem 4) uprawnienia ekranu modyfikacja administracyjne, chroniony danych 5) wrażliwość na hasłem osobowych, pył, wilgoć, 4_ szyfrowanie 4) temperaturę. dysku twardego. nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. Lokalizacja 1) miejsce 1) 1) niewystarczająca zewnętrzna NIE wykonywania przypadkowe kontrola dostępu (mieszkania obowiązków lub niezgodne 2) niestabilna sieć pracowników) ograniczające z prawem energetyczna, osobom zniszczenie 3) brak niezbędnej postronnym danych infrastruktury możliwość osobowych, służącej do wglądu w treść 2) przetwarzania informacji, przypadkowa danych (meble, 2) lub niezgodna niszczarki). przechowywanie z prawem dokumentów utrata danych papierowych w osobowych, meblach 3) zamykanych na przypadkowa klucz, lub niezgodna 3) rozmowy z prawem telefoniczne i modyfikacja konferencje danych prowadzone w osobowych, pomieszczeniach 4) gwarantujących nieuprawnione poufność ujawnienie lub wymienianych nieuprawniony informacji. dostęp do danych osobowych. 1) 1) niewystarczające 1) szkolenia z przypadkowe szkolenie z zakresu zakresu pracy lub niezgodne bezpieczeństwa zdalnej, z prawem danych osobowych 2) upoważnienie zniszczenie lub jego brak, do danych 2) niepoprawne przetwarzania osobowych, użycie danych 2) oprogramowania lub osobowych, przypadkowa sprzętu, 3) procedura lub niezgodna 3) socjotechnika pracy zdalnej, Użytkownicy TAK z prawem (m.in. phishing), 4) procedura utrata danych 4) brak oraz osobowych, świadomości w ustanowione 3) zakresie kanały przypadkowa bezpieczeństwa, komunikacji w lub niezgodna 5) brak niezbędnych razie kłopotów z prawem polityk w zakresie technicznych lub modyfikacja pracy zdalnej, naruszenia danych 6) frustracja ochrony danych osobowych, pracowników (m.in. osobowych. 4) z powodu nieuprawnione planowanego ujawnienie lub zwolnienia). nieuprawniony dostęp do danych osobowych. Dalsze działania ogniskują się wokół szacowania prawdopodobieństwa materializacji danego zagrożenia oraz jego potencjalnych konsekwencji dla osób, których dane dotyczą (klienci). W przypadku zarówno prawdopodobieństwa, jak i wagi zagrożenia sugerujemy przyjęcie skali 1–4, co ograniczy wskazywanie wartości środkowych, a przez to możliwość wypaczenia wyników analizy (co mogłoby się stać przy przyjęciu skali 1–3 lub 1–5). Dla wagi zagrożenia można stosować następującą legendę: 1) niska waga zagrożenia (wartość 1) – osoby, których dane dotyczą, nie zostaną dotknięte skutkami naruszenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.), 2) średnia waga zagrożenia (wartość 2) – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.), 3) wysoka waga zagrożenia (wartość 3) – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.), 4) bardzo wysoka waga zagrożenia (wartość 4) – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.). Dla prawdopodobieństwa zagrożenia można przyjąć następujące wyjaśnienia: 1) niskie prawdopodobieństwo (wartość 1) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania nie wydaje się możliwe dla wybranych źródeł ryzyka, 2) średnie prawdopodobieństwo (wartość 2) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się trudne dla wybranych źródeł ryzyka, 3) wysokie prawdopodobieństwo (wartość 3) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się możliwe dla wybranych źródeł ryzyka, 4) bardzo wysokie prawdopodobieństwo (wartość 4) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka. Nazwa Zaangażowane Czy Stosowane Zagrożenia Podatności Waga Prawdopodobieństwo Ryzyko procesu zasoby firmowe? zabezpieczenia 1) przypadkowe lub niezgodne z prawem zniszczenie 1) legalny danych 1) brak nadzoru nad system osobowych, sprzętem operacyjny i 2) komputerowym, aplikacje mające przypadkowa 2) współdzielenie wsparcie lub niezgodna sprzętu producenta, z prawem komputerowego z 2) mechanizmy utrata danych wieloma osobami, kontroli dostępu osobowych, 3) ujawnienie Laptopy NIE (login + hasło) 3) 1-4 osobom trzecim znane jedynie przypadkowa danych użytkownikowi, lub niezgodna uwierzytelniających, 3) wygaszacz z prawem 4) uprawnienia ekranu modyfikacja administracyjne, chroniony danych 5) wrażliwość na hasłem osobowych, Obsługa pył, wilgoć, 4) szyfrowanie 4) klienta temperaturę. dysku twardego. nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. 1) miejsce 1) wykonywania przypadkowe obowiązków lub niezgodne 1) niewystarczająca ograniczające z prawem kontrola dostępu osobom zniszczenie 2) niestabilna sieć Lokalizacja postronnym danych energetyczna, zewnętrzna możliwość osobowych, 3) brak niezbędnej NIE 1-4 (mieszkania wglądu w treść 2) infrastruktury pracowników) informacji, przypadkowa służącej do 2) lub niezgodna przetwarzania przechowywanie z prawem danych (meble, dokumentów utrata danych niszczarki). papierowych w osobowych, meblach 3) zamykanych na przypadkowa klucz, lub niezgodna 3) rozmowy z prawem telefoniczne i modyfikacja konferencje danych prowadzone w osobowych, pomieszczeniach 4) gwarantujących nieuprawnione poufność ujawnienie lub wymienianych nieuprawniony informacji. dostęp do danych osobowych. 1) przypadkowe lub niezgodne 1) niewystarczające z prawem szkolenie z zakresu 1) szkolenia z zniszczenie bezpieczeństwa zakresu pracy danych danych osobowych zdalnej, osobowych, lub jego brak, 2) upoważnienie 2) 2) niepoprawne do przypadkowa użycie przetwarzania lub niezgodna oprogramowania lub danych z prawem sprzętu, osobowych, utrata danych 3) socjotechnika 3) procedura osobowych, (m.in. phishing), pracy zdalnej, Użytkownicy TAK 3) 4) brak 1-4 4) procedura przypadkowa świadomości w oraz lub niezgodna zakresie ustanowione z prawem bezpieczeństwa, kanały modyfikacja 5) brak niezbędnych komunikacji w danych polityk w zakresie razie kłopotów osobowych, pracy zdalnej, technicznych lub 4) 6) frustracja naruszenia nieuprawnione pracowników (m.in. ochrony danych ujawnienie lub z powodu osobowych. nieuprawniony planowanego dostęp do zwolnienia). danych osobowych. Finalny poziom ryzyka stanowi iloczyn wagi zagrożenia oraz jego prawdopodobieństwa dla danego zasobu biorącego udział w operacji przetwarzania. Możliwe kombinacje wskazanych wartości przedstawia poniższa tabela. Bardzo 4 8 12 16 wysoka (4) Wysoka (3) 3 6 9 12 Średnia (2) WAGA 2 4 6 8 Niska (1) 1 2 3 4 Bardzo wysokie Niskie (1) Średnie (2) Wysokie (3) (4) PRAWDOPODOBIEŃSTWO Produktem tego etapu analizy ryzyka jest lista ryzyk z przypisanymi poziomami wartości. Na jej podstawie organizacja powinna przygotować plan postępowania z ryzykiem obejmujący priorytety, zgodnie z którymi będą wdrażane poszczególne sposoby postępowania z ryzykiem, wskazywane osoby odpowiedzialne za ich realizację oraz ustalane harmonogramy. Osoba/jednostka Planowane Zakładany Wariant organizacyjna Lista działanie termin Priorytet Status postępowania odpowiedzialna Uwagi ryzyk minimalizujące realizacji z ryzykiem za realizację ryzyko rekomendacji rekomendacji otwarte otwarte otwarte otwarte Należy zaznaczyć, że w stosunku do zidentyfikowanych ryzyk organizacja może wybrać jeden z czterech wariantów postępowania z ryzykiem: 1) redukowanie ryzyka, 2) zachowanie ryzyka, 3) unikanie ryzyka, 4) transfer ryzyka. Zaleca się, aby organizacja podjęła aktywne działania zmierzające do zredukowania poziomu ryzyka przez taki wybór zabezpieczeń, aby ryzyko szczątkowe (ryzyko pozostające po zastosowaniu działań określonych w planie postępowania z ryzykiem) można było ponownie oszacować jak ryzyko akceptowalne. Na potrzeby niniejszego artykułu przez ryzyko akceptowalne należy rozumieć ryzyko na poziomie niskim lub średnim. Omówiony powyżej sposób przeprowadzenia analizy ryzyka bazuje na jednej z popularniejszych metodyk, przy czym nie pretenduje do miana jedynego słusznego. Oprócz niego mogą się Państwo posiłkować m.in. takimi standardami jak IRAM 2, NIST, COBIT 5 lub metodykami systemowego zarządzania ryzykiem, np. STAMP, TOGAF lub SABSA. Ważne jest, aby pamiętać, że analiza ryzyka na gruncie RODO ma chronić zarówno osoby, których dane dotyczą, przed naruszeniem ich praw lub wolności, jak i interesy tych osób. Jak mogą Państwo zaobserwować na przykładzie sytuacji wynikającej z pandemii koronawirusa, ryzyka dla bezpieczeństwa danych osobowych nie są statyczne. Zagrożenia, podatności, prawdopodobieństwo lub następstwa mogą zmieniać się w sposób nagły, bez żadnej oznaki. Potrzebne jest zatem monitorowanie środowiska bezpieczeństwa w celu odpowiednio wczesnego wykrycia tych zmian. Takie działanie może zapewnić m.in. doświadczony konsultant, który we właściwym czasie dostarczy Państwu informacji dotyczących nowych zagrożeń oraz sposobów ochrony przed nimi. Jeżeli byliby Państwo zainteresowani naszym wsparciem w tym obszarze, zapraszamy do zapoznania się z naszą propozycją (https://odo24.pl/oferta/przejecie-funkcji-iod)
Analiza ryzyka na gruncie RODO ma za zadanie chronić dane osobowe oraz interesy osób, których dane dotyczą. Ważne jest monitorowanie środowiska bezpieczeństwa w celu wczesnego wykrycia zmian. Działania w zakresie zarządzania ryzykiem mogą opierać się na różnych metodykach, takich jak IRAM, NIST, COBIT 5, STAMP, TOGAF czy SABSA.