Testujemy, mierzymy i oceniamy skuteczność

BySylwia Ostrowska

testujemy

Testujemy, mierzymy i oceniamy skuteczność stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych.

Nieprzestrzeganie przepisów w zakresie ochrony danych osobowych, może doprowadzić organizację do przykrych konsekwencji. Przetwarzając dane osobowe muszą one wiedzieć jak prawidłowo zapewnić bezpieczeństwo przetwarzanych danych. Regularne testowanie i mierzenie skuteczności zabezpieczeń to obecnie jedno z najważniejszych zadań dla osób odpowiedzialnych za bezpieczeństwo danych, w tym także danych osobowych.

Dlaczego testujemy i oceniamy zabezpieczenia

Badanie podatności środowiska informatycznego, to kluczowy element zapewniania bezpieczeństwa organizacji oraz testowania środków technicznych wymaganych przez RODO. Procedura dotycząca testowania skuteczności środków technicznych, organizacyjnych i zabezpieczeń fizycznych powinna być przeprowadzana regularnie i kompleksowo, a nie tylko w przypadku wystąpienia incydentów, których przedmiotem było naruszenie danych osobowych. Ponadto procedura testowania powinna obejmować wszystkie systemy, w których przetwarzane są dane. Pozwoli nam to w jakimś stopniu chociażby uchronić się przed wyciekiem danych.

Jak często testować, mierzyć i oceniać skuteczność stosowanych środków bezpieczeństwa

Częstotliwość prowadzonych testów powinna wynikać z prowadzonej w firmie analizy ryzyka (analiza ryzyka). W małych firmach, które nie udostępniają swoich zasobów informatycznych w sieci, kontrola zabezpieczeń i dostępnych aktualizacji oprogramowania raz na kwartał w zupełności wystarczy. Inaczej jest w przypadku dużych podmiotów, które świadczą usługi online w sposób ciągły. Zalicza się do nich np. banki, platformy e-commerce, a także operatorów telekomunikacyjnych. W tych oraz podobnych podmiotach, testy i badanie zabezpieczeń należy wykonywać dużo częściej. Gdyż wraz z nową technologią pojawiają się nowe zagrożenia.

Kto może dokonywać testowania i oceniania stosowanych środków

Prowadzenia testów i oceny stosowanych zabezpieczeń nie powinno powierzać się osobom, które za te zabezpieczenia odpowiadają. Także osoby odpowiedzialne za utrzymanie właściwego poziomu zabezpieczeń, działań kontrolnych jakimi są testy bezpieczeństwa nie powinny tego robić. Postępowania te powinny być prowadzone przez osoby niezależne od działów informatycznych. Administrowanie oceny stanu zabezpieczeń spoczywa przede wszystkim na działach odpowiedzialnych za bezpieczeństwo, nadzorujących działalność pracowników pod kątem zgodności z prawem. Jeżeli organizacja nie ma wykwalifikowanych pracowników, którzy mogą podjąć się przeprowadzenia testów, można nawiązać współprace z firmą zewnętrzna.

Zakończenie testów

Po zakończeniu przeprowadzenia oceny zabezpieczeń i testów należy takie błędy i podatności, ujawnione w wyniku przeprowadzenia testów jak najszybciej usunąć. Jeżeli jest taka potrzeba to wdrożyć także środki zaradcze. Dokumentację z testów oraz prowadzonych działań naprawczych i zaradczych należy przechowywać na okoliczność ewentualnej kontroli UODO. Lecz także przy wystąpieniu ewentualnego incydentu bezpieczeństwa. Według RODO, administrator oraz podmiot przetwarzający dane osobowe powinni zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych. Mając w ten sposób zapewnić bezpieczeństwo przetwarzania danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych nałożył na przedsiębiorcę telekomunikacyjnego świadczącego usługi w sieci komórkowej karę w wysokości ok. 2 milionów złotych za brak wdrożenia „odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych.” Więcej o decyzji PUODO dowiecie się pod linkiem https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020 .