Jak bezpieczne są obecnie dane osobowe? Jak dobrze chronione są systemy informatyczne, które przechowują dane i zarządzają nimi? Czy istnieją międzynarodowe standardy?
Brytyjska kancelaria prawna Walker Morris, francuski Centre Technique de la Gendarmerie Nationale, Vodafone GmbH i Bawarski Czerwony Krzyż mają jedną wspólną cechę: międzynarodowy certyfikat, taki jak ISO/IEC 27001, który gwarantuje, że firma lub organizacja spełnia podstawowe wymagania w zakresie bezpieczeństwa informacji, a jej system zarządzania informacjami jest na najwyższym poziomie. Wymogi te obejmują wszystkie środki i dokumenty niezbędne do zapewnienia optymalnej ochrony danych, integralności danych operacyjnych oraz dostępności systemów informatycznych przedsiębiorstwa, w tym analizę ryzyka i plany awaryjne.
Przykłady wyżej wymienionych firm pokazują, że coraz ważniejsze staje się uwzględnienie ochrony danych, a zwłaszcza bezpieczeństwa danych, i że kadra kierownicza w różnych branżach postrzega to w ten sposób. Nowe ogólne rozporządzenie UE o ochronie danych (obowiązujące od 25 maja 2018 r.) określa prawo do samostanowienia w zakresie informacji. Międzynarodowe certyfikaty, takie jak ISO/IEC 27001, pomagają firmom ocenić aktualny stan bezpieczeństwa danych i IT, opracować skuteczne standardy bezpieczeństwa i przestrzegać tych standardów w codziennej działalności.
Zanim jednak przyjrzymy się bliżej certyfikatowi, przedstawiamy krótką aktualizację dotyczącą ochrony danych i bezpieczeństwa danych, które są terminami, których nie należy mylić.
Ochrona danych – prawo do samostanowienia w zakresie informacji
Ogólne rozporządzenie o ochronie danych (RODO) reguluje podstawowe prawa dotyczące przetwarzania danych osobowych w całej Europie, ustanawiając tym samym nowy międzynarodowy standard. Ochrona danych ma na celu zagwarantowanie każdemu obywatelowi prawa do „samostanowienia w zakresie informacji” i ochronę przed niewłaściwym wykorzystaniem jego danych; przedsiębiorstwa w Europie mają zatem nowe obowiązki w zakresie przejrzystości i informacji. Kluczowe tematy to:
- Poufność danych (nie powinny być dostępne dla nieuprawnionych osób trzecich)
- Integralność danych (zapewnienie, że dane nie mogą być sfałszowane)
- Dostępność danych i niezawodność systemów i usług.
Ochrona danych a bezpieczeństwo danych – jaka jest różnica?
W przeciwieństwie do ochrony danych, bezpieczeństwo danych ma na celu ochronę danych przed manipulacją, utratą i nieuprawnionym dostępem – niezależnie od tego, czy dane można przypisać konkretnej osobie, czy nie. Bezpieczeństwo danych nie dotyczy zatem tego, czy dane są gromadzone i przetwarzane – to zadanie ochrony danych – ale tego, jakie kroki są podejmowane w celu ochrony danych po ich zebraniu. Termin „bezpieczeństwo informacji” obejmuje wszystkie rodzaje zapisanych informacji.
Ochrona danych i bezpieczeństwo danych są oczywiście powiązane. Szef Facebooka, Mark Zuckerberg, musiał ostatnio energicznie bronić się przed zarzutami o niewłaściwe wykorzystanie danych i publicznie pochwalił nawet ogólne rozporządzenie UE o ochronie danych, ale jednocześnie przyznał, że naprawienie wszystkich problemów związanych z danymi w jego firmie może zająć kilka lat.
Ogólne rozporządzenie o ochronie danych (RODO) – globalna ochrona?
Nowe ogólne rozporządzenie UE o ochronie danych przyjęło wiodącą rolę na arenie międzynarodowej. Ciekawie będzie obserwować, w jaki sposób firmy gromadzące dane w Europie wdrożą to nowe prawo, ponieważ ważną zasadą ochrony danych i prawa do samostanowienia w zakresie informacji jest oszczędność danych. Constance Bommelaer de Leusse, starszy dyrektor Międzynarodowego Stowarzyszenia Internetowego (ISOC), twierdzi, że właśnie w tym zakresie wiele firm ma braki – ich priorytetem nie jest ochrona danych, ale ich gromadzenie.
Facebook zebrał dane około dwóch miliardów użytkowników, a jego międzynarodowa siedziba znajduje się w Irlandii. Europejskie przepisy dotyczące ochrony danych są obecnie bardziej rygorystyczne niż przepisy amerykańskie, więc czy będą one miały zastosowanie do wszystkich użytkowników Facebooka? W końcu jeśli firmy naruszają ogólne rozporządzenie UE o ochronie danych, grożą im kary w wysokości wielu milionów euro lub do 4% ich globalnego obrotu. Firmy takie jak Facebook i serwis społecznościowy LinkedIn ogłosiły niedawno przeniesienie swoich administracji – i odpowiedzialności za członków, w tym ich dane. W ten sposób mają nadzieję uniemożliwić swoim użytkownikom spoza Europy uzyskanie praw i możliwości dochodzenia roszczeń przysługujących obywatelom UE. Spośród dwóch miliardów użytkowników tylko 370 milionów europejskich pozostanie przypisanych do siedziby głównej w Irlandii.
Uporządkowany i przejrzysty: jak przebiega proces certyfikacji ISO 27001. Norma ISO/IEC 27001 opisuje podstawowe wymagania dotyczące bezpieczeństwa informacji, które musi spełniać system zarządzania organizacji.
Tylko wtedy, gdy standardy ochrony danych i bezpieczeństwa mają zastosowanie na skalę międzynarodową, będą one naprawdę stosowane.
Faktem jest, że każda aplikacja cyfrowa generuje dane, a ich ilość na całym świecie jest ogromna. Dopóki nie będą obowiązywały jednolite międzynarodowe standardy ochrony danych i bezpieczeństwa, które będą miały zastosowanie do wszystkich przedsiębiorstw, ochrona danych pozostanie problemem, a gromadzenie, zapisywanie i zarządzanie danymi będzie stanowiło potencjalne zagrożenie dla bezpieczeństwa.
Potrzebujemy więc skutecznej międzynarodowej struktury, która przekona przedsiębiorstwa i firmy do przestrzegania podstawowych standardów bezpieczeństwa. Jest to szczególnie ważne w kontekście nowych zmian związanych z Przemysłem 4.0. Tylko uznane na arenie międzynarodowej standardy zarządzania bezpieczeństwem mogą trwale zapewnić zaufanie partnerów biznesowych, klientów i konsumentów do nowych technologii i systemów informatycznych.
Zarządzanie bezpieczeństwem informacji: które organizacje aktywnie działają na arenie międzynarodowej na rzecz bezpieczeństwa informacji?
Obecnie w Europie i na całym świecie działa wiele organizacji zajmujących się bezpieczeństwem informacji, które współpracują ze sobą i wymieniają się informacjami. W pierwszej kolejności organizacje i instytucje działają na poziomie krajowym, np. Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) w Niemczech. Na poziomie europejskim ważną rolę odgrywa Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), a na poziomie międzynarodowym – Międzynarodowa Organizacja Normalizacyjna (ISO).
Koncepcja bezpieczeństwa informacji znajduje się na przykład w katalogach podstawowych zabezpieczeń informatycznych wydanych przez Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) w Niemczech oraz w międzynarodowej certyfikacji ISO 27001 i ma na celu wyraźną ochronę informacji. Istnieją inne międzynarodowe certyfikaty mające zastosowanie zarówno do osób, jak i produktów (takie jak certyfikat produktu wydany zgodnie z międzynarodową normą Common Criteria).
Certyfikacja ISMS zgodnie z normą ISO 27001 – bycie liderem ma swoje zalety.
W 2013 r. w międzynarodowym studium przypadku przeprowadzonym przez ENISA zbadano praktyki certyfikacji bezpieczeństwa w Europie i przeprowadzono ankietę wśród prywatnych przedsiębiorstw różnej wielkości (zatrudniających od 11 do 5000 pracowników). Badanie to wykazało, że istnieje kilka dobrych powodów i motywów, aby dążyć do uzyskania certyfikatu. Oprócz poprawy zarządzania jakością bezpieczeństwa, kolejną ważną motywacją jest uświadomienie pracownikom znaczenia bezpieczeństwa oraz wzmocnienie pozycji firmy na rynku. W badaniu stwierdzono również, że w większości przypadków bezpośrednie wydatki związane z certyfikacją nie przekraczają limitu 10 000 euro. Należy jednak pamiętać, że okres przygotowań przed pierwszym audytem, w tym inwentaryzacja, który trwa zazwyczaj od sześciu do dwunastu miesięcy, również wiąże się z kosztami, które zależą od obszaru działalności MŚP i poziomu zaawansowania cyfrowego. W zależności od poziomu wiedzy pracowników może być również konieczne przeprowadzenie szkoleń.
Warto wspomnieć, że wszystkie ankietowane przedsiębiorstwa stwierdziły, że są bardzo zadowolone z wyboru certyfikacji ISMS zgodnie z normą ISO 27001 i zgadzają się ze stwierdzeniem, że koszty audytu i certyfikacji były stosunkowo niskie w porównaniu z poziomem korzyści i zysków dla firmy.
O tej satysfakcji oczywiście się mówi. W latach 2015–2016 liczba certyfikatów ISO/IEC 27001 wydanych na całym świecie wzrosła o 20 procent, a według ISO przyznano obecnie 33 290 certyfikatów. Jest to pozytywna zmiana, ponieważ międzynarodowe standardy bezpieczeństwa IT pomagają tworzyć trwałe rozwiązania dla globalnych wyzwań związanych z cyfryzacją, danymi i eksplozją informacji.