Postęp techniczny i wzrost zagrożeń dla obszarów IT wymagają regularnego testowania bezpieczeństwa IT oraz podejmowania działań w celu minimalizacji ryzyka. Służy do tego audyt systemów IT.
Ponadto należy uwzględnić wymogi art. 32 RODO, które to stanowią, że administrator i podmiot przetwarzający powinni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa. Audyt ma na celu weryfikację wdrożenia odpowiednich zabezpieczeń oraz wdrożenie odpowiednich środków, jeśli wystąpi taka potrzeba. W związku z tym zalecamy wykonywanie audytów bezpieczeństwa IT.
Więcej o audycie systemów IT oraz jakie są jego etapy i korzyści z jego przeprowadzenia, piszemy w naszej bazie wiedzy, w artykule Audyt systemów IT – jak poprawić bezpieczeństwo informacji w organizacji?
Uczestnicy audytu systemów IT
Do przeprowadzenia audytu bezpieczeństwa IT niezbędna jest specjalistyczna wiedza. Zapewnienie audytów bezpieczeństwa IT w organizacji jest ważne, gdyż pozwala wykryć ryzyka dla ochrony danych.
Uczestnikami audytu IT powinni być:
- Specjaliści od bezpieczeństwa IT, wykwalifikowani audytorzy od bezpieczeństwa IT, którzy wykonują audyt.
- Przedstawiciele biznesu, zarząd – dostarczają oni informacji, określają kluczowe zasoby, których ochrona jest szczególnie istotna dla organizacji.
- Inspektor Ochrony Danych (IOD) – może być inicjatorem audytu, uświadamia kierownictwo o istotności iż zasadności audytu.
Rola IOD w audycie IT
Inspektor Ochrony Danych niejednokrotnie nie posiada specjalistycznej wiedzy z zakresu IT. W celu przeprowadzania rzetelnego audytu IOD powinien uczestniczyć w nim w roli doradczej, zwracając uwagę na kwestię ochrony danych osobowych. Natomiast kwestie IT powinny być weryfikowane przez specjalistę z tego zakresu. Należy podkreślić, że osoby uczestniczące w audycie systemów IT powinny posiadać odpowiednie doświadczenie, aby móc ocenić skuteczność i bezpieczeństwo systemów IT organizacji.
Głównym zadaniem IOD jest uświadamianie kierownictwa, jak ważne jest zapewnienie kompleksowej ochrony informacji, w tym danych osobowych. Przeprowadzanie audytów IT nie należy do zadań i kompetencji Inspektora Ochrony Danych. Jego rolą jest rozmowa z kierownictwem i uświadamianie ryzyk związanych z przetwarzaniem danych osobowych. IOD uświadamia kierownictwo, że poznanie ryzyk dla bezpieczeństwa IT jest ważne do zapewnienia odpowiedniej ochrony informacji przetwarzanych elektronicznie.
W tym celu niezbędny jest audyt bezpieczeństwa IT przeprowadzony przez wykwalifikowanych audytorów. IOD może wystąpić w roli inicjatora audytu. Jako doradca, może zasugerować zarządowi konieczność przeprowadzenia audytu bezpieczeństwa informacji w celu wykrycia zagrożeń dla ochrony danych i konieczności ich monitorowania oraz minimalizacji.
Należy zwrócić uwagę, że nie ma systemów, które są całkowicie bezpieczne. Ponadto, im bardziej przestarzała technologia, tym więcej ryzyk związanych jest z jej wykorzystaniem. Dlatego stale monitorowanie ryzyka jest bardzo ważne, a udział IOD w audycie powinien obejmować:
- wsparcie przy weryfikacji skuteczności i stosowania przyjętych procedur IT,
- przekazanie raportów z DPIA oraz analizy ryzyka,
- wsparcie przy przeprowadzaniu DPIA oraz analizy ryzyka na potrzeby audytu,
- wsparcie przy określaniu rozliczalności przetwarzanych danych z RODO (legalność, retencja danych, celowość, adekwatność).
Audyt nie rozwiązuje problemów z bezpieczeństwem informacji, pomaga je znaleźć i przygotować rozwiązania. Przeprowadzenie audytu to dopiero początek działań. Kolejnym ważnym krokiem jest wdrożenie zaleceń z audytu. Tu też Inspektor Ochrony Danych ma istotne zadanie do wykonania. IOD może być odpowiedzialny za weryfikowanie, czy działania naprawcze zostały wdrożone przez organizację. Samo wdrożenie zaleceń zależy od kierownictwa organizacji i wyznaczenia osób za to odpowiedzialnych, np. działu IT. Natomiast IOD może przypominać, sugerować i weryfikować czy podjęto działania zmierzające do zwiększenia bezpieczeństwa informacji, wskazane w raporcie z audytu.