Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych?

W pierwszej części cyklu omówiłem to, dlaczego organizacje decydują się na zmianę IOD-a – z jakimi frustracjami mierzy się kierownictwo, co nie działa w dotychczasowych modelach współpracy i co budzi największy niepokój, przybliżyłem również trochę historii Ochrony Danych Osobowych, która sięga 97 roku oraz przypomniałem najważniejsze aspekty roli IODa.

Dziś przyglądamy się szerszemu kontekstowi. Bo to, że „coś zgrzyta”, to często nie kwestia osoby czy umowy, ale tego, jak zmieniło się otoczenie, ryzyka i oczekiwania wobec roli IOD-a.

Część 2: WYZWANIA ADMINISTRATORA DANYCH – NIE TYLKO RODO. ROLA IOD W NOWEJ RZECZYWISTOŚCI

Od wejścia “RODO”, oprócz samego rozporządzenia, zostało zmienione kilkaset ustaw i aktów prawnych w zakresie Ochrony Danych Osobowych. Ponadto co chwila pojawiają się nowe przepisy, które dotyczą IODa np. sygnaliści, praca zdalna, badanie trzeźwości. Dlatego też niemożliwe jest, aby jeden IOD miał wiedzę o wszystkich zmianach we wszystkich branżach. Do tego dochodzi “interpretacja” tych przepisów oraz wytyczne UODO.

Ponadto pojawiają się nowe systemy informatyczne, wymieniane są stare na nowe, a to oznacza, że IOD powinien zweryfikować, czy jest uwzględniania Ochrona Danych Osobowych już w fazie projektowania oraz czy jest domyślna ochrona danych.

Coraz więcej jest osób znających swoje prawa i zaczynają o nie walczyć. Wówczas, w odpowiednim czasie, należy odpowiadać na pytania osób zgodnie z ich prawami.

Kolejnym wyzwaniem jest cyberwojna, która po wybuchu wojny w Ukrainie nabrała nowego wymiaru. Polska – jako aktywny uczestnik europejskiej przestrzeni cyfrowej – stała się jednym z częstszych celów działań dezinformacyjnych i ataków ukierunkowanych na polskie instytucje i przedsiębiorstwa.

Problem cyberzagrożeń związany jest z ogromnym wzrostem cyberprzestępstw, który przekłada się na dochody hackerów (np. grupy ransomware, fałszywe faktury, phishing, spoofing itp.). Walka z tego typu zagrożeniami jest wyjątkowo trudna, ponieważ cyberprzestrzeń nie zna granic, a współpraca międzynarodowa – zwłaszcza z niektórymi krajami – jest ograniczona. Co roku coraz więcej usługi idzie do “Internetu” a to oznacza coraz większą potencjalną grupę Klientów dla hakerów ☹.

Większość kar nakładanych przez Urząd Ochrony Danych Osobowych dotyczy wycieków danych z systemów informatycznych, a nie z powodu zgubienia “segregatora”.

Widzimy znaczący wzrost świadomości ww. obszarów wśród szefów oraz osób odpowiedzialnych za ochronę danych w organizacjach.

Ochrona Danych Osobowych a Cyberbezpieczeństwo i Bezpieczeństwo Informacji:

Jeszcze kilka lat temu obowiązki administratora danych można było zamknąć w pięciu słowach: zbiory, polityki, klauzule, szkolenia, upoważnienia. Dziś? To zaledwie początek rozmowy.

Transformacja cyfrowa, rosnące wymagania regulacyjne (w tym NIS2, KRI, UKSC czy uDODO), presja kontraktów w biznesie, wzrost ryzyk operacyjnych – to wszystko sprawia, że rola IOD nie jest już funkcją pomocniczą. Staje się istotnym elementem systemu zarządzania bezpieczeństwem informacji i reputacją organizacji. Ostatni głośny upadek firmy, która miała 158 lat i zatrudniała setki osób, przez jedno słabe hasło po ataku ransomware jest odpowiedzią, dlaczego osoby odpowiedzialne za ochronę danych są kluczowym partnerem dla organizacji (How One Bad Password Ended a 158-Year-Old Business).

Dlatego zespół CompNet zapewnia organizacjom holistyczne podejście do ochrony danych jednocześnie spełniając wymogi innych przepisów. W końcu rekomendacja “szyfruj dane” czy “zmień hasło na silne” dotyczy ochrony wszystkich danych, a nie tylko Ochrony Danych Osobowych.

Kiedy „spokój” to tylko złudzenie

W rozmowach z zarządami/kierownictwem organizacji często słyszę: „Mamy IOD-a, więc jesteśmy zabezpieczeni”. Tymczasem już po kilku pytaniach okazuje się, że:

• Dokumentacja nie była aktualizowana od wdrożenia RODO, czyli od ponad 7 lat.
• Szkolenie było robione ostatnio w 2018 roku jak weszło „RODO”.
• Analiza ryzyka to plik bez kontekstu lub nigdy nie została wykonana.
• Nie ma planu reagowania na incydenty.
• A sam IOD… jest niedostępny podczas urlopu lub przeciążony innymi obowiązkami.

To nie system. To iluzja. W dynamicznym środowisku organizacyjnym – zwłaszcza tam, gdzie dane przetwarzane są na dużą skalę – nieaktualny lub nieaktywny IOD przestaje być gwarantem bezpieczeństwa. Staje się ryzykiem samym w sobie.

Nowy profil kompetencyjny IOD – kim powinien być?

Dziś oczekuje się, że IOD będzie jednocześnie:

• Ekspertem merytorycznym, który rozumie zarówno prawo, jak i technologie.
• Partnerem dla zarządu/kierownictwa organizacji, który potrafi przełożyć wymogi prawne na język ryzyka ze zrozumieniem biznesu lub organizacji.
• Koordynatorem działań w razie incydentu.
• Trenerem i mentorem dla zespołu.
• Mediatorem między działami IT, HR, marketingu i prawnym.

To nie są zadania dla jednej osoby, jeśli nie ma ona wsparcia, struktury, procesów i dostępu do aktualnych narzędzi.

Czego brakuje organizacjom? 5 najczęstszych luk

Na podstawie audytów i rozmów z klientami identyfikujemy powtarzalne wyzwania:

1. Brak ciągłości działania – nieobecność IOD-a oznacza przerwę w obsłudze.
2. Brak aktualizacji dokumentacji i rejestrów – szczególnie po zmianach w strukturze, procesach, narzędziach IT oraz przepisach prawa.
3. Słabe zrozumienie ryzyk – analiza ryzyka traktowana jako wymóg formalny, bez praktycznego znaczenia, o ile jest robiona.
4. Brak systemowego włączenia IOD-a w kluczowe procesy organizacyjne – niezależnie od tego, czy IOD działa wewnętrznie, czy zewnętrznie, jego rola nie może ograniczać się do „oceny po fakcie”. Jeśli IOD nie jest zapraszany do rozmów o zmianach systemów, nowych usługach czy umowach z klientami – ryzyko przestaje być zarządzane, a staje się konsekwencją zaniechania.
5. Niedopasowanie kompetencji do specyfiki branży – IOD nie rozumie specyfiki rynku, procesów, ani klientów danej organizacji.
6. Brak działania proaktywnego – aby skupiać się na zapobieganiu a nie gaszeniu pożarów.

Dlaczego warto się przyjrzeć własnemu modelowi?

Nie chodzi o to, by zmieniać dla samej zmiany. Ale jeśli:

• Funkcja IOD została „wdrożona” 7 lat temu i od tego czasu nic się nie zmieniło.
• Nie masz pewności, jak wygląda wsparcie w razie kontroli lub incydentu.
• Nie wiesz, czy Twoje dane są rzeczywiście bezpieczne…

…to warto zadać sobie pytanie: czy obecny model zapewnia organizacji realne bezpieczeństwo – czy jedynie spełnia wymogi formalne?

W kolejnej części przyjrzymy się różnym modelom pełnienia funkcji IOD – ich wadom, zaletom oraz praktycznym konsekwencjom. Będzie też gotowa lista kontrolna do analizy Twojego obecnego rozwiązania.

Masz pytania już teraz? Chętnie porozmawiam. Czasem 15 minut wystarczy, by uniknąć 15 miesięcy problemów😉

Zgłoś się do nas! Wiemy jak skutecznie Wam pomóc: https://www.comp-net.pl/kontakt/