Wdrożenie zabezpieczeń danych do organizacji nie może ograniczać się wyłącznie do proceduralnych ram. Najbardziej oczywiste są te, wynikające z RODO, czy narzuconych obowiązków informacyjnych wobec użytkowników przez organy nadzorcze. Skuteczna realizacja wymagań ochrony danych w organizacji to zdecydowanie więcej. Ważne jest umiejętne budowanie świadomości i zwiększanie poziomu wiedzy na temat ochrony danych, cyberzagrożeń i ich konsekwencji. Czym dokładnie jest świadomość na temat bezpieczeństwa danych i jak ją zbudować?
Ochrona danych w organizacji – świadomość i procedury
Odpowiedni poziom świadomości na temat ochrony danych jest trudny do zmierzenia. Problematyczne jest także zdefiniowanie tego elementu, a wszystko przez dynamicznie zmieniający się krajobraz cyberzagrożeń. Jak więc podejść do budowania świadomości ochrony danych?
Poprzez wytworzenie wewnętrznych procedur w organizacji, firma jest w stanie określić stopień wiedzy na temat bezpieczeństwa danych. Pułapy te, można sprowadzić do poziomu praktycznej znajomości wewnętrznych procedur. W takim przypadku, wysoki stopień świadomości można określić, gdy pracownicy:
- znają podstawowe hasła i definicje wynikające z RODO (np.: dane osobowe, administrator danych),
- wiedzą, kto pełni ważne funkcje w zakresie ochrony danych w organizacji, np. Inspektor Ochrony Danych,
- wiedzą, jak i gdzie raportować incydenty,
- wiedzą, gdzie zgłosić i przekazać informacje w sprawie zaprzestania przetwarzania danych osobowych,
- są świadomi, że wprowadzenie nowych rozwiązań wymaga konsultacji, np. z Inspektorem Ochrony Danych.
Powyższa kwestia została poruszona celowo. Pracownik, aby skutecznie egzekwować procedury, musi wiedzieć, czym są dane osobowe i znać pozostałe definicje. Brak rozróżnienia zwykłych informacji od danych osobowych, może świadczyć o tym, że podwładni nie są w stanie sklasyfikować praw użytkowników, czy odpowiednio zareagować na wynikające incydenty (wykrycie i raportowanie).
Jak budować świadomość wokół zagrożeń cybernetycznych?
Budowanie świadomości na temat ochrony danych i cyberzagrożeń to długotrwały proces. Warto zacząć od zbadania ogólnej wiedzy na ten temat i sprawdzenia znajomości RODO w organizacji. Jednym ze sposobów jest stworzenie anonimowej ankiety dla pracowników każdego szczebla. Zestaw odpowiednio opracowanych pytań pomoże zweryfikować czy, i w jakim stopniu, znajomość ochrony danych ma przełożenie na praktykę.
Budowanie świadomości w kolejnych krokach, może być tworzone z uwzględnieniem następujących elementów:
- Zaplanowanie komunikacji na temat wdrożenia ochrony danych
Samo przekazanie procedur ochrony danych i ich zapisów może być trudne w odbiorze. Przepisy wymagają streszczenia i przystępnej formy, dzięki której pracownicy organizacji sprawnie przyswoją sobie wymagane pojęcia. - Zapewnienie prostoty procedur ochrony danych
Im bardziej skomplikowana procedura, tym trudniej wyegzekwować jej realizację. Obecnie organizacje przetwarzają ogromną ilość procedur, wytyczny i systemów – dlatego należy ograniczyć objętość wymagań i zapisów, do przyswojenia oraz egzekwowania. - Nadanie ochronie danych i RODO odpowiedniej kategorii
Personel organizacji musi wiedzieć, że ochrona danych osobowych jest poważnym zagadnieniem i niesie za sobą konsekwencje. Puste slogany i brak przykładu kadry zarządzającej przekładają się na niski poziom egzekwowania procedur przez pracowników organizacji. - Uwzględnienie innych obowiązków wśród pracowników
Wdrażając procedury ochrony danych, należy przeanalizować aktualny zakres obowiązków pracowników. Zbyt duża ilość wymagań nakładanych na specjalistów może sprawić, że ochrona danych stanie się elementem, na który będą zwracać mniejszą uwagę. Odpowiedzialność za taką sytuację ponosić będzie wówczas organizacja. - Egzekwowanie procedur
Po wdrożeniu procedur w procesie budowania świadomości ochrony danych, należy zweryfikować, czy te elementy są wykonywane w praktyce. Przeprowadzenie audytu stosowania zasad i reguł, pozwoli uzyskać obraz skuteczności procedur.
Popularne formy budowania świadomości ochrony danych
W proces budowania świadomości ochrony danych w organizacji, zaangażowanie powinno być widoczne zarówno po stronie kadry zarządzającej, jak i po stronie pracowników. Istotną rolę odgrywa systematyczność spotkań, weryfikacja postępów prac, monitoring bieżącego stanu danych i procesów oraz podejmowanie działań odpowiednich do aktualnego poziomu bezpieczeństwa danych w organizacji. Trzeba wyważyć intensywność oraz częstotliwość przekazywanych informacji. Należy uważać, by nie doprowadzić do przesytu, znudzenia czy zaniedbań względem innych obowiązków z jednej strony, a poświęcenia zbyt małej ilości czasu na zagadnienie z drugiej. Aby usprawnić przyswajanie nowej wiedzy i procedur, warto skorzystać z popularnych form budowania świadomości ochrony danych:
- szkolenia tradycyjne
Zajęcia prowadzone powinny być przez Inspektora Ochrony Danych lub inną osobę odpowiedzialną za bezpieczeństwo danych. Pomoże to w nawiązaniu bezpośredniej relacji między pracownikami a osobą odpowiedzialną za ochronę danych. Pozwala również na bezpośrednie przekazanie informacji i doświadczeń oraz rozwiązanie przykładowych case’ów.
- e-learning
To znakomite uzupełnienie tradycyjnego szkolenia. Atutem tego rozwiązania jest dostęp do wiedzy w dowolnym momencie i miejscu, co nie koliduje z innymi obowiązkami. Egzamin weryfikujący może się odbyć stacjonarnie lub online – najważniejsze to zachowanie terminu i odpowiedniego poziomu weryfikacji wiedzy.
- plakaty i mailing
Informacje na temat ochrony danych powinny docierać także w bardziej przystępny sposób – mogą to być plakaty informacyjne na korytarzach lub wewnętrzny newsletter z zadaniami do wykonania i „przypominajkami” na temat poszczególnych zagadnień.
- wykorzystanie zewnętrznych narzędzi/platform ułatwiających naukę i realizację procedur zgodnie z ochroną danych w organizacji.
Budowanie świadomości ochrony danych w organizacji – podsumowanie
Brak obeznania z zagrożeniami i ich konsekwencjami, dotyczącymi przetwarzania danych osobowych, może prowadzić do poważnych strat dla organizacji, pracowników i użytkowników. Błędy w procedurach bezpieczeństwa mogą skończyć się czynnościami dyscyplinarnymi, zgłoszeniem naruszenia do organu nadzorczego, koniecznością poinformowania osób, których dane zostały niewłaściwie przetworzone, czy wreszcie, zmierzeniem się z formalnymi wnioskami o zadośćuczynienie za poniesione straty. To zaledwie część powodów, dla których niezbędne jest budowanie świadomości bezpiecznego przetwarzania danych w organizacji. Niestety nie da się zignorować tego zjawiska i tylko praktyka w połączeniu z odpowiednim podejściem, daje podstawy do skutecznej ochrony danych.