top of page
Szukaj

Analiza ryzyka - działania naprawcze po otrzymaniu raportu

Jak postępować z ryzykiem. Jak przygotować i wdrożyć plany takiego postepowania. Jak powinno wyglądać monitorowanie, przegląd oraz dokumentowanie procesu zarządzania ryzykiem.

Analiza ryzyka - działania naprawcze po otrzymaniu raportu

Analiza ryzyka jest jednym z fundamentów ochrony danych dla każdego administratora danych osobowych. Pozwala zidentyfikować potencjalne zagrożenia, określić prawdopodobieństwo ich wystąpienia oraz możliwe następstwa. Stanowi podstawę dalszych działań, które należy podjąć po otrzymaniu raportu z analizy ryzyka.

Ochrona danych osobowych wymaga stałego dostosowywania do nowych zagrożeń, testowania oraz przeprowadzania regularnych ocen. Celem jest przede wszystkim ochrona praw i wolności osób, których dane dotyczą oraz zapewnienie poufności, integralności i dostępności danych. Ryzyko definiowane jest jako wpływ niepewności na te cele, a poziom ryzyka wynika z tego na ile prawdopodobne jest wystąpienie danego zagrożenia oraz jakie mogą być jego następstwa. W analizie ryzyka po identyfikacji zasobów, zagrożeń i podatności rozpoznaje się te ryzyka, analizuje je, ocenia oraz określa ich poziomy. Porównanie tych poziomów z przyjętymi wcześniej kryteriami pozwala opracować ranking ryzyk, by wskazać wśród nich takie, których poziom jest nieakceptowalny.

 

Jak postępować z ryzykiem

 

Raport dostarcza więc uporządkowanej informacji, na której organizacja może oprzeć swoje dalsze działania. Po otrzymaniu raportu z analizy ryzyka kluczowe jest omówienie jego wyników przez kierownictwo organizacji i osoby odpowiedzialne za obszary, których dotyczy ryzyko. Trzeba dokonać wyboru opcji postępowania z ryzykiem oraz opracować i wdrożyć plan działań odpowiedni do zidentyfikowanych zagrożeń. Należy przyjąć realistyczne terminy realizacji działań oraz określić sposoby weryfikacji czy wdrożone środki przynoszą oczekiwany efekt.

 

1. Wybór opcji postępowania z ryzykiem

Organizacja ma do wyboru następujące warianty postępowania z ryzykiem - unikanie ryzyka, modyfikowanie czyli redukcję ryzyka, przeniesienie lub akceptację ryzyka. Wybrane opcje muszą być adekwatne do zagrożeń, opłacalne i możliwe do wdrożenia. Wybór zależy także od wartości chronionych zasobów oraz musi uwzględniać interesy i prawa osób, których dane osobowe są przetwarzane. Warianty te mogą być stosowane oddzielnie lub łącznie.

 

Unikanie ryzyka to podjęcie decyzji o tym, by nie rozpoczynać lub nie kontynuować działań, które generują określone ryzyka. Może być to np. decyzja o rezygnacji z procesu przetwarzania określonych danych jeśli ryzyko jest wysokie i nie da się go zredukować do akceptowalnego poziomu, za pomocą dostępnych środków organizacyjnych  i technicznych. 

 

Modyfikowanie (redukcja) ryzyka polega na podjęciu działań - takich jak wdrożenie zabezpieczeń czy zmiana sposobu przetwarzania danych - zmieniających prawdopodobieństwo wystąpienia niepożądanego zdarzenia lub ograniczających jego skutki. Na przykład gdy analiza wykazała ryzyko utraty poufności danych w razie kradzieży lub zgubienia służbowego laptopa - można wdrożyć szyfrowanie dysków jako zabezpieczenie techniczne oraz zastosować środki organizacyjne takie jak odpowiednie procedury, szkolenia pracowników czy regularne audyty.

 

Przeniesienie ryzyka polega na przeniesieniu części ryzyka na inny podmiot np. poprzez wykupienie ubezpieczenia lub zawarcie odpowiednich zapisów z kontrahentami. Wariant ten nie eliminuje jednak ryzyka w sytuacji niezastosowania się do przepisów RODO przez administratora danych osobowych.

 

Akceptacja ryzyka to podjęcie świadomej i obiektywnej decyzji by, pomimo stwierdzonego ryzyka, nie wprowadzać żadnych zmian w procesach przetwarzania danych.

 

2. Przygotowanie i wdrażanie planów postępowania z ryzykiem

Po dokonaniu wyboru wariantów należy opracować plan postępowania z ryzykiem. Określa się w nim w jaki sposób wybrane opcje zostaną wprowadzone w życie. Istotne by plan jasno określał priorytety i kolejność działań oraz szacowany poziom ryzyka jaki pozostanie po wdrożeniu zabezpieczeń. Wskazuje się w nim także właścicieli ryzyka, czyli osoby lub jednostki organizacyjne odpowiedzialne za realizację zadań. Plan taki powinien zostać formalnie zatwierdzony przez kierownictwo. Po wdrożeniu zabezpieczeń, rzeczywisty poziom zredukowanego ryzyka (nazywanego teraz ryzykiem szczątkowym) weryfikuje się ponownie, aby upewnić się, że zastosowane środki przyniosły oczekiwany efekt.

Dla każdego zidentyfikowanego ryzyka plan powinien określać:

  • obszar i rodzaj zagrożenia

  • w jaki sposób organizacja będzie reagować na ryzyko (wybrany wariant i konkretne działania zaradcze)

  • jakie zasoby są potrzebne do wdrożenia tych działań (osobowe, finansowe, techniczne)

  • kto odpowiada za ich wdrożenie

  • do kiedy działania te mają zostać zrealizowane

  • w jaki sposób zostanie zweryfikowana skuteczność podjętych działań

  • jaki poziom ryzyka pozostanie po ich wdrożeniu

 

3. Monitorowanie i przegląd

Proces zarządzania ryzykiem musi być stale monitorowany. Należy dokonywać regularnego przeglądu na każdym etapie tego procesu, a także po wystąpieniu incydentu bezpieczeństwa oraz po wprowadzeniu istotnych zmian organizacyjnych lub technicznych. Pozwala to upewnić się, że przyjęte podejście do ryzyka pozostaje aktualne, adekwatne i skuteczne w obliczu zmieniających się okoliczności.

 

4. Dokumentowanie procesu zarządzania ryzykiem

Proces zarządzania ryzykiem należy dokumentować. Dokumentacja stanowi dowód, że organizacja świadomie i systematycznie zarządza ryzykiem. Oprócz raportu z analizy ryzyka, typowe dokumenty to m.in. zatwierdzony plan postępowania z ryzykiem, dokumentacja wdrożonych zabezpieczeń, raporty z monitorowania ryzyka, czy decyzja o akceptacji ryzyka szczątkowego.

 

Podsumowanie

Raport z analizy ryzyka dostarcza informacji, na której organizacja może oprzeć kolejne działania w procesie zarządzania ryzykiem, który powinien być stale udoskonalany. W praktyce oznacza to planowanie działań w oparciu o wyniki analizy ryzyka, wdrażanie wybranych zabezpieczeń, sprawdzanie ich skuteczności oraz korygowanie podejścia w odpowiedzi na zmiany lub nowe zagrożenia. Na każdym z tych etapów kluczowe jest regularne informowanie zespołu o ryzyku oraz przeprowadzanie szkoleń. Buduje to kulturę bezpieczeństwa i sprawia, że ochrona danych staje się wspólnym obowiązkiem całej organizacji.

Analiza ryzyka - działania naprawcze po otrzymaniu raportu


Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty. Jeżeli masz pytanie lub ciekawe tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.



Dodatkowe informacje:

 
 

Chcesz otrzymywać bezpłatne aktualności - Zarejestruj się

bottom of page