Audyt systemów IT a RODO
Wszechobecność danych osobowych w cyberprzestrzeni wymusza wprowadzanie dodatkowych zabezpieczeń, które ochronią dane przed nieuprawnionym dostępem. Ryzyka naruszeń zmieniają się dynamicznie, co rodzi obowiązek ciągłego weryfikowania i aktualizowania infrastruktur. Metodą na zapewnienie bezpieczeństwa danych jest regularne przeprowadzanie audytów zgodności systemów IT z RODO.
Głównym celem audytu jest wykrycie wad i luk w organizacjach. W jego ramach audytor opracowuje plan audytu, który ma za zadanie wyłapać niedoskonałości i proponuje rozwiązania naprawcze. Na rynku coraz częściej można spotkać się z ofertami przeprowadzenia audytu zgodności systemów IT z RODO. Ta forma kontroli wymaga zaangażowania ze strony ADO i IOD-a. O tym jaka jest ich rola i jak wygląda audyt IT krok po kroku, dowiesz się z LEX Ochrona Danych Osobowych.
Jaki audyt będzie lepszy - wewnętrzny czy zewnętrzny?
Wyróżnia się dwa rodzaje audytu - wewnętrzny i zewnętrzny. Główną różnicę między nimi stanowią osoby je przeprowadzające. Audytem wewnętrznym zajmują się pracownicy danej organizacji, którzy wykorzystują już istniejące zasoby organizacji. Natomiast audyt zewnętrzny przygotowuje podmiot spoza organizacji. Co jeszcze różni te rozwiązania?
Audyt zewnętrzny | Audyt wewnętrzny |
Zazwyczaj wiąże się z wysokimi kosztami. | Również wiąże się z kosztami (pracownicy nie wykonują w tym czasie swojej regularnej pracy w pełnym wymiarze), ale są one zazwyczaj niższe niż w przypadku audytu zewnętrznego. |
Jest bardziej obiektywny. | Często jest mniej obiektywny niż zewnętrzny, gdyż wykonują go osoby, które mogą podlegać rożnym presjom "z góry". |
Każde ze wskazanych rozwiązań ma swoje wady i zalety. Nie ma idealnego rozwiązania, więc warto znaleźć złoty środek. Ekspertka ds. ochrony danych osobowych oraz audytor wewnętrzny - Sylwia Czub-Kiełczewska proponuje, aby było to przeprowadzenie audytu zewnętrznego, a po jakimś czasie audytu wewnętrznego. Dlaczego? Po audycie zewnętrznym, co do zasady otrzymuje się zalecenia w formie raportu z audytu, które następnie organizacja powinna wdrożyć. Dzięki audytowi wewnętrznemu możliwe będzie zweryfikowanie poprawności zastosowania się do tychże zaleceń w późniejszym terminie.
O czym pamiętać przed audytem?
Audyt bezpieczeństwa prowadzony przez zewnętrzny podmiot, a w szczególności przeprowadzanie w jego ramach testów penetracyjnych, rodzi wiele obowiązków po stronie administratora danych osobowych. Tak inwazyjne działania w postaci włamywania się do systemów, powodują uzyskanie dostępu do danych osobowych. Klauzule poufności to często za mało, aby zabezpieczyć interes organizacji i jednocześnie zadbać o bezpieczeństwo danych. Dlatego jeszcze przed audytem warto sprawdzić umowę z audytorem pod kątem:
- zawartości kar umownych i ich wysokości;
- zasadności zawarcia odrębnej umowy powierzenia danych osobowych;
- zawartości obowiązku sporządzenia raportu z audytu.
Administrator powinien posiadać wiedzę o tym jak będzie przebiegał pentest, dopiero wtedy może wyrazić oficjalną zgodę na jego przeprowadzenie.
Audyt IT krok po kroku
Standardowy audyt IT zgodności z RODO powinien zacząć się od zapoznania z już istniejącymi politykami i procedurami dotyczącymi ochrony danych osobowych. Konieczna jest również ich weryfikacja, przy czym pomóc tu może inspektor ochrony danych osobowych. Następne etapy dotyczą bezpośrednio sektora IT i kształtują się następująco:
- weryfikacja kontroli nad zasobami IT;
- ocena skuteczności zabezpieczeń IT;
- analiza ryzyka dla bezpieczeństwa IT.
Wsparcie IOD-a będzie kluczowe na każdym z etapów audytu, w których pojawiają się procedury, gdyż posiada on często najlepszą wiedzę na ich temat.
Rola inspektora danych osobowych podczas audytu
Inspektor ochrony danych osobowych występuje w roli eksperta z zakresu polityk i procedur ochrony danych w organizacji, w związku z czym może wspierać w tym zakresie osoby przeprowadzające audyt. Ma możliwość dopytywania się i weryfikowania przebiegu audytu. Dzięki temu przyczynia się do jego efektywnego przeprowadzenia.
Zdaniem Ekspertki, Sylwii Czub-Kiełczewskiej, ochrona informacji to inwestycja dla organizacji. Dlatego tak ważne jest regularne weryfikowanie bezpieczeństwa systemów, sieci i oprogramowania w organizacji. Rozwiązaniem jest audyt IT, który pozwala na całościowe spojrzenie na interesujące nas obszary, w których przetwarzane są dane osobowe. Zagadnienie to zostało szeroko omówione podczas szkolenia online. Poruszono tam tematy istotne z perspektywy inspektora ochrony danych osobowych, takie jak wybór odpowiedniego audytora czy formułowanie wniosków z audytu. Nagranie ze szkolenia znajdziesz w LEX Ochrona Danych Osobowych.
Redakcja Publikacji Elektronicznych