Audyt IT – czas na weryfikację – część I

  • 14.09.2020

  • Autor: Angelika Niezgoda, Marcin Jastrzębski

  • RODO w IT

Od rozpoczęcia obowiązywania RODO minęły już ponad dwa lata, zatem w większości organizacji zakończono prace wdrożeniowe i przyszedł czas, aby zweryfikować poprawność i skuteczność wdrożonych rozwiązań.

O ile wdrożenie wymogów formalno-prawnych zapewne udało się do tej pory przeprocesować, zwłaszcza w przedsiębiorstwach, które nie zostawiły tego tematu na ostatnią chwilę, o tyle w przypadku zmian w środowiskach IT, systemach i infrastrukturze służącej do przetwarzania danych osobowych, proces dostosowania może ciągle trwać. Przyczyną takiej sytuacji jest często złożoność i różnorodność dostępnych na rynku rozwiązań, jak też konieczność planowania wdrażania zmian w obszarze IT, w sposób który nie zakłóci działalności biznesowej organizacji. Nierzadko prace wdrożeniowe dotyczące zmian lub aktualizacji komponentów IT zostały, zwłaszcza w większych podmiotach, rozłożone w czasie i plany te obejmują nawet kilka lat. Doroczne audyty IT mogą zatem posłużyć do przejrzenia statusu zaplanowanych działań, a w ramach potrzeb, także ich aktualizacji lub korekty priorytetów. Rynek narzędzi IT jest mocno dynamiczny, a to powoduje że komponent, którego implementację zaplanowano rok, czy dwa lata temu, obecnie może być już uznawany jako przestarzały (ang. legacy). Może się zatem okazać nieadekwatny i w konsekwencji zapadnie decyzja o odstąpieniu od jego wdrażania, z uwagi na to, że istnieją rozwiązania które skuteczniej zrealizują konkretną potrzebę w obszarze funkcjonalności lub zabezpieczeń IT.

Przepis art. 32 RODO zobowiązuje administratorów danych, ale też podmioty przetwarzające do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.
W przepisie tym właśnie mowa o regularnym testowaniu i ocenianiu zastosowanych w celu ochrony danych środków technicznych i organizacyjnych. Regularne audyty IT, które stanowią obowiązek, warto jednak traktować przede wszystkim jako realną pomoc w dostosowaniu wykorzystywanych narzędzi pod kątem ich adekwatności, tzn. zastosowania rozwiązań, które skutecznie i wystarczająco będą chronić przetwarzane dane osobowe.

Jak zatem przeprowadzić okresowy przegląd obszaru IT pod kątem bezpieczeństwa przetwarzania danych?

 

Zdecyduj, co zbadać

Skoro obowiązek zapewnienia bezpieczeństwa dotyczy przetwarzania danych osobowych, to nie sposób nie rozpocząć audytu IT od weryfikacji rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania. Rejestr prowadzą podmioty zobowiązane do tego przepisami Rozporządzenia lub postanowieniami kontraktowymi, ale jest on także często prowadzony przez organizacje, które choć do jego prowadzenia nie są zobowiązane, mają świadomość jego przydatności. W samym rejestrze czynności przetwarzania często znajduje się wykaz systemów, aplikacji i innych miejsc służących do przetwarzania danych. Będzie on zatem punktem wyjścia, pomocnym do określenia które aplikacje należy zbadać pod kątem bezpieczeństwa, a jednocześnie pozwoli utrzymać aktualne informacje, spinające cały system ochrony danych osobowych w zakresie stosowanych aplikacji, narzędzi lub miejsc przechowywania danych. Ważne by przy weryfikacji rejestru czynności przetwarzania zwrócić uwagę na dane już nieaktualne – aplikacje, z których stosowania zrezygnowano, albo które zostały wyparte przez nowsze rozwiązania. Druga ważna do zbadania kwestia to sprawdzenie, czy w rejestrze znajdują się informacje kompletne, czyli czy wymieniono wszystkie komponenty służące do przetwarzania danych, oraz czy zaktualizowano rejestr pod kątem rozwiązań nowowprowadzonych lub stosowanych od niedawna.

 

Mapa przepływów danych jest rozwiązaniem często stosowanym w przypadku rozbudowanej
i skomplikowanej architektury systemów IT. Mapa stanowi znaczne ułatwienie w zarządzaniu stosowanymi systemami IT, wskazuje na zależności między aplikacjami, pomaga także zebrać wszystkie miejsca, w których przetwarzane są dane osobowe. Oczywiście pod warunkiem, że jest aktualna. Warto zadbać o bieżące aktualizowanie mapy przepływów danych, a przy audycie IT zbadać jej kompletność i aktualność. W krytycznych sytuacjach dobrze opracowana i aktualna mapa może znacznie ułatwić skuteczne wykonanie praw podmiotów danych, a także skrócić czas wykrycia i trwania incydentu naruszenia ochrony danych osobowych. Żądania osób fizycznych, w tym np. żądanie usunięcia danych, dla którego wykonania administrator nie widzi przeszkód, łatwiej będzie skutecznie zrealizować w oparciu o aktualną mapę przepływów, za pomocą której odnaleźć można wszystkie aplikacje i komponenty środowiska IT, które są wykorzystywane do przetwarzania informacji o osobie zgłaszającej żądanie. Wykonanie praw w oparciu o mapę, pomoże zatem uniknąć sytuacji, kiedy dane osobowe zgodnie z żądaniem zostały usunięte z systemu, ale po jakimś czasie okazuje się, że jednak nadal są przetwarzane z poziomu komponentu IT, wspierającego główny system dedykowany przetwarzaniu danych. Oczywista jest także przydatność mapy przepływów danych w sytuacji wykrycia incydentu ochrony danych, kiedy czas jest niezwykle cenny – a kompletna mapa pozwoli zaoszczędzić sporo czasu. Tym samym możliwe będzie zatrzymanie lub ograniczenie negatywnych skutków wystąpienia incydentu tak dla administratora danych, jak i dla samych podmiotów danych.

Zmiany w architekturze IT zdarzają się dosyć często i stanowią odzwierciedlenie potrzeb organizacji. Jeśli jednak zmiany te nie są w żaden sposób odnotowywane, to zwłaszcza w rozrastającym się środowisku IT, trudniej sprawować nad nim kontrolę i skutecznie nim zarządzać. Odzwierciedlająca stan faktyczny mapa pomoże także uniknąć sytuacji utraty danych osobowych, np. w przypadku usunięcia aplikacji służącej do ich przetwarzania. Ułatwi ona ponadto proces nadzorowania danych, jeśli zawierać będzie informacje o zastosowanych narzędziach centralizacji danych.  Przy takim podejściu jedno miejsce przetwarzania na wzór „hurtowni danych”, zasila inne aplikacje w dane i stanowi ich jedyne źródło, przez co aktualizacja danych w jednym systemie, czy ich usunięcie, zapewnia aktualność w całym obszarze IT.

Niezwykle istotnym elementem podczas audytu IT okazuje się weryfikacja retencji danych w systemach informatycznych. Każdy podmiot, który przetwarza dane osobowe, powinien wdrożyć w swojej organizacji zasady ich retencji. Audyt jest dobrą okazją do sprawdzenia faktycznej realizacji tych zasad (w szczególności terminów przechowywania danych w systemach IT), zwłaszcza jeśli ich wykonanie odbywa się w sposób manualny, a nie zautomatyzowany. Warto zwrócić uwagę na to, czy też same zasady nie wymagają aktualizacji ze względu na działania wymuszone na organizacji np. zmieniającymi się przepisami prawa. Istotne będzie dodatkowo zbadanie, czy od ostatniego przeglądu nie pojawiły się na rynku mechanizmy automatyzujące wykonywanie zasad retencji danych w organizacji, które można zaimplementować, a przez to usprawnić procesy retencji danych w obszarze IT.

Nie należy przy okazji audytu IT pomijać rejestru incydentów. Choć badanie przyczyn wystąpienia incydentu oraz działania mające wykluczyć wystąpienie podobnego incydentu w przyszłości, powinno odbywać się na bieżąco, to w związku z rocznym przeglądem warto spojrzeć na zastosowane lub zaplanowane mechanizmy pod kątem ich aktualności i adekwatności w kontekście zmian w całym środowisku IT.

Temat audytu IT z pewnością będzie jeszcze będzie przez nas kontynuowany. W kolejnych częściach poświęconych temu zagadnieniu zajmiemy się problematyką oceny bezpieczeństwa oraz procesów utrzymaniowych i eksploatacyjnych. Zapraszamy do lektury kolejnych części tego artykułu.

Autor

Angelika Niezgoda, Marcin Jastrzębski