Jak przeprowadzić audyt bezpieczeństwa danych firmowych?

Wraz z wejściem w życie RODO, dbanie o dane firmowe stało się kluczowe z punktu widzenia każdego przedsiębiorstwa. Z tego powodu ważne było wykonanie dokładnego audytu, którego celem było uporządkowanie całej wiedzy na temat znajdujących się w posiadaniu firmy informacji. Jeżeli jeszcze nie zrobiłeś audytu u siebie, podpowiemy, jak zapewnić bezpieczeństwo danych i zasobów firmy.

Skuteczny audyt danych firmowych

Audyt danych firmowych jest zadaniem skomplikowanym choćby z jednego względu – nie da się w jego ramach ustalić jednej, stałej procedury działania. Zakres audytu i konkretne czynności w nich przeprowadzane dla każdej firmy mogą wyglądać różnie. Dlatego w dalszej części artykułu zdecydowaliśmy się najbardziej pokazać założenia, jakimi kierujemy się w momencie jego przeprowadzania u dowolnego klienta.

Zbieranie danych

Każdy audyt rozpoczyna się od zebrania wszystkich informacji na temat posiadanych danych firmowych (tj. akt pracowniczych, dokumentów księgowych, umów z kontrahentami, baz danych itp.), a także sposobów ich przechowywania i ochrony. Dzięki temu będziemy wiedzieli, jakie dane posiadamy, gdzie je składujemy, w jaki sposób zabezpieczamy je przed wyciekiem itp. Zebranie wszystkich informacji już na tym etapie będzie kluczowe dla przeprowadzenia poprawnego i pełnego audytu RODO.

Analiza posiadanych informacji

Drugim etapem w przeprowadzeniu audytu RODO jest analiza pozyskanych w poprzednim kroku danych. Jej cel to sprawdzenie, jak dotychczasowe działania związane z przetwarzaniem danych osobowych mają się do nowych przepisów.

Etap analizy jest najdłuższym i najtrudniejszym elementem przeprowadzania pełnego audytu. To właśnie tutaj sprawdzamy np. czy przechowywane dane osobowe pozwalają na profilowanie.

Celem analizy pozyskanych wcześniej informacji jest ustalenie kilku istotnych kwestii w zakresie działania polityki RODO w firmie. Należą do nich m.in.:

  • kwestia powołania Inspektora Ochrony Danych oraz zakresu jego kompetencji w odniesieniu do posiadanych danych firmowych (np. jak często będzie przebywał w firmie, jak będzie dbał o poziom świadomości przepisów RODO wśród pracowników – szkolenia, wykłady; w jaki sposób będzie nadawał upoważnienia do przetwarzania danych osobowych),
  • kwestia częstotliwości audytowania nowego systemu ochrony danych osobowych (jak często przeprowadzany będzie ponowny audyt systemu w celu wyeliminowania ewentualnych błędów),
  • kwestia sposobu tworzenia polityki bezpieczeństwa (jak będzie wyglądała polityka bezpieczeństwa firmy, co wejdzie w jej skład, które elementy ochrony danych osobowych będą najistotniejsze).

Analiza procedur ochrony danych firmowych

Trzecim istotnym elementem, jaki warto wyróżnić w audycie bezpieczeństwa danych firmowych, jest wyszczególnienie wszystkich procedur, które zostały do tej pory stworzone w celu ochrony danych lub działań podjętych w momencie wykrycia ich wycieku.

Celem tego kroku audytu jest sprawdzenie, w jaki sposób zabezpieczane są pozyskiwane dane osobowe oraz stworzenie listy niezbędnych zmian. Warto w tym momencie, na podstawie zebranych wcześniej informacji, sprawdzić:

  • z jakich źródeł firma pozyskuje dane osobowe,
  • czy polityka prywatności obejmuje wszystkie niezbędne do pozyskiwania i przetwarzania danych osobowych zgody,
  • czy powyższe zgody spełniają warunki zawarte w RODO,
  • w jaki sposób przechowywane są dane osobowe i jak są zabezpieczone (czy dane przechowywane są na wewnętrznych serwerach bez dostępu do zewnętrznej sieci internetowej, czy może pracownicy mogą mieć do nich dostęp online z dowolnego miejsca? Czy dane zgromadzone w formie fizycznej są chronione w odpowiedni sposób – np. w szafkach zamykanych na klucz, w pomieszczeniach bez dostępu osób trzecich).

Sklasyfikowanie miejsc ewentualnego wycieku danych firmowych

W czasie przeprowadzania audytu bezpieczeństwa równie ważne jest stworzenie listy potencjalnych zagrożeń zawierającej miejsca wycieku danych osobowych. Dotyczy to zarówno tzw. czynnika ludzkiego, posiadanych urządzeń dostępowych czy też infrastruktury informatycznej działającej w przedsiębiorstwie.

W tym kroku kluczowym elementem staje się dokładny audyt posiadanych zabezpieczeń i wyciągnięcie wniosków, w jaki sposób poprawić przechowywanie danych osobowych:

  • czy dane mogą wyciec z serwera i w jaki sposób temu przeciwdziałać (np. poprzez szyfrowane połączenia),
  • czy dostęp do danych osobowych może mieć osoba nieupoważniona (czy ważne dokumenty zawierające dane osobowe znajdują się w strefie ogólnodostępnej, np. na recepcji),
  • czy dane firmowe znajdują się na komputerach pracowników,
  • czy pracownicy przenoszą dane osobowe na urządzeniach zewnętrznych (np. pendrive) poza biurem,
  • czy dane osobowe przechowywane są w miejscach, które mogłyby stać się celem ataków, czy są one odpowiednio zabezpieczone i czy firma ma z nimi podpisaną umowę o powierzeniu przetwarzania danych osobowych (np. w ogólnodostępnych usługach chmurowych jak Dropbox, na prywatnych kontach pocztowych pracowników, w systemach internetowej wymiany plików typu WeTransfer).

Wyciągnięcie wniosków – najważniejsze jest bezpieczeństwo danych i zasobów firmy

Ostatnim, obowiązkowym elementem każdego audytu bezpieczeństwa danych firmowych jest wyciągnięcie wniosków na podstawie wszystkich przeprowadzonych do tej pory analiz. Ta sekcja powinna zawierać wszystkie rekomendacje dla podejmowanych w przyszłości działań, jak i opis procedur mających za zadanie zwiększyć bezpieczeństwo pracy z danymi.

Dlaczego warto przeprowadzić audyt bezpieczeństwa danych firmowych?

Posiadanie jasnych i klarownych procedur związanych z bezpieczeństwem przechowywanych danych nie powinno być jedynie efektem RODO. Każda firma przechowująca i przetwarzająca jakiekolwiek dane osobowe powinna wdrożyć u siebie niezbędne standardy. Mają one zapewnić odpowiednie bezpieczeństwo danych i zasobów firmy oraz zminimalizować ryzyko wycieku.

Dlatego zapraszamy do skorzystania z usług firmy Engave w zakresie przeprowadzenia audytu bezpieczeństwa danych firmowych. Przeprowadzane przez nas audyty dostosowujemy do potrzeb i obecnej sytuacji każdego klienta. Docelowo oferujemy skrojone na miarę rozwiązanie zapewniające jeszcze lepszą ochronę kluczowych informacji.

Jeśli jesteś zainteresowany naszymi usługami w zakresie audytu bezpieczeństwa danych firmowych lub masz dodatkowe pytania – skontaktuj się z nami.