Czym jest Ryzyko?

Brak w RODO definicji ryzyka, wskazuje jedynie jak rozumieć ryzyko w kontekście praw i wolności osób.  W gruncie rzeczy chodzi o skutki naruszenia ich praw i wolności oraz następstwa naruszeń w zakresie ich dóbr osobistych i majątkowych. W RODO znajdziemy przykłady ryzyka takiego jak: dyskryminacja, kradzież tożsamości, strata finansowa, naruszenie dobrego imienia. 

Czym jest ocena ryzyka?

Dzięki przeprowadzeniu oceny ryzyka jesteśmy w stanie stwierdzić czy mamy do czynienia z wysokim ryzykiem, które zdefiniowane jest art. 32 ust.1 RODO oraz czy konieczne jest przeprowadzenie DPIA (kwalifikowanego procesu, koniecznego do wykonania w sprecyzowanych sytuacjach, opisany bezpośrednio w RODO). 

Jak wykonać analizę ryzyka?

Wykonanie analizy ryzyka pozwoli określić potencjalne zagrożenia związane z ochroną danych osobowych oraz w kolejnym kroku, wybór optymalnych zabezpieczeń, których wprowadzenie pomoże je zneutralizować. Rozporządzenie o Ochronie danych osobowych nie wskazuje sprecyzowanego modelu zarządzania ryzykiem. Pomocne w tym mogą być różne metody analizy ryzyka które pomagają w wypracowaniu optymalnego modelu.

Pierwszą czynnością w toku analizy ryzyka powinno być ustalenie jakie aktywa uczestniczą w przetwarzaniu w konkretnym procesie Aktywa stanowią  każdy  element organizacji, którą ma jakąś wartość.

W następnej kolejności powinniśmy sprecyzować charakter przetwarzania danych osobowych, tzn. jakie operacje przetwarzania danych wykonywane są w naszej firmie i jakich kategorii danych dotyczą poszczególne operacje na danych.

Jakie są podstawy cyberbezpieczeństwa w organizacji?

Z uwagi na coraz większą skalę obrotu handlowego w sieci jednym z podstawowych wyzwań dla podmiotów MSP jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa. Niemal każdy przedsiębiorca może być narażony na cyberataki, próby włamania do systemu informatycznego czy wyłudzenia danych osobowych. Zgodnie z zaleceniami Unijnej agencji ds. cyberbezpieczeństwa  (ENISA) w budowaniu skutecznej ochrony w walce z cyberprzestępcami należy kierować się kilkoma ważnymi wskazówkami, są to:

  1. Budowanie kultury cyberbezpieczeństwa;
  2. Zapewnienie odpowiednich szkoleń;
  3. Opieka nad bezpieczeństwem podmiotów zewnętrznych;
  4. Opracowanie planu reagowania na incydenty;
  5. Zabezpieczenie dostępu do systemów;
  6. Zabezpieczenie urządzeń;
  7. Zabezpieczenie sieci;
  8. Zwiększenie bezpieczeństwa fizycznego;
  9. Zapewnienie kopii zapasowych;
  10. Korzystanie z chmury;
  11. Zabezpieczenie stron internetowych;
  12. Śledzenie informacji i rozpowszechnianie wiedzy.

Do największych wyzwań jakie stoją przed sektorem małych i średnich firm są  m.in. niski poziom świadomości o zagrożeniach w sieci, niezadowalający stopień ochrony danych wrażliwych lub kluczowych, brak wiedzy z zakresu bezpieczeństwa danych i wyszkolonego personelu czy zmiana trybu na pracę zdalną.