Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Scenariusze ryzyka

21-09-2021 Autor: Piotr Wojczys

Klasyczne podejście w identyfikacji ryzyka naruszenia bezpieczeństwa danych sprowadza się do wcześniejszego zidentyfikowania zagrożeń oraz podatności określonych aktywów służących do przetwarzania danych. Jeśli określone zagrożenia mają potencjał oddziaływania na określone podatności, to mówimy o identyfikacji ryzyka dotyczącego ochrony danych.

 

Rozpatrując zagrożenia bezpieczeństwa danych, w tym danych osobowych, mamy na uwadze trzy podstawowe atrybuty tegoż bezpieczeństwa, tj.: poufność, integralność i dostępność danych. Innymi słowy, rozpatrujemy możliwości wystąpienia:

  • nieuprawnionego dostępu do danych osobowych (poufność);
  • niepożądanej zmiany danych osobowych (integralność);
  • utraty danych osobowych lub istotnego czasowego ograniczenia możliwości korzystania z nich (dostępność).

Identyfikacja ryzyka


W codziennej praktyce częściej sprawdza się jednak podejście przyjmujące za punkt wyjścia pewne typowe dla danego środowiska przetwarzanie „scenariuszy ryzyka”. Taki właśnie sposób działania, tj. niejako „od środka” problemu, sprzyja skuteczniejszej i szybszej identyfikacji zarówno podatności, jak i zagrożeń poprzez nakierowanie prowadzonej analizy ryzyka na poznanie jego genezy, nie zrywając przy tym z tradycyjnym modelem identyfikacji ryzyka.


Nierzadko już samo formalne sklasyfikowanie problemu, czyli stwierdzenie, czy mamy do czynienia z zagrożeniem, źródłem zagrożenia, podatnością, zasobem czy samym ryzykiem, bywa kłopotliwe, zwłaszcza dla osób spoza grupy wtajemniczonych specjalistów od bezpieczeństwa informacji lub audytorów. Jeśli praktyki dotyczące bezpieczeństwa danych osobowych mają być dla organizacji użyteczne, muszą być dla niej jak najlepiej i najszerzej zrozumiałe.Dlatego tak ważne jest podejście praktyczne i łagodzenie ewentualnych barier w komunikacji w tym obszarze, w którym mamy przecież do czynienia z wieloma różnymi interesariuszami.


Dążenie do efektywności działania (zwłaszcza w ciągle zmieniającym się środowisku) sprawia, że nacisk przestaje być kładziony na formalne, tradycyjne określanie zagrożeń, podatności, ryzyka czy źródła ryzyka, a zaczyna być na szybkiej identyfikacji zagadnień – potencjalnych problemów, którymi trzeba się po prostu zająć. Największą trudnością w zarządzaniu ryzykiem jest bowiem fakt, że ryzyko prawie nigdy nie jest statyczne. Nie znaczy to, że nie można tu wyznaczyć pewnej osi, która ułatwia uporządkowanie działań dotyczących bezpieczeństwa.


Oczywiste przy tym jest, że bez identyfikacji zarówno zagrożeń, jak i podatności nie jest możliwe podjęcie odpowiednich działań w odpowiedzi na zidentyfikowanie ryzyka, a tak naprawdę na pewien jego scenariusz. Działania te, poprzez właściwy dobór i zastosowanie adekwatnych środków bezpieczeństwa (zabezpieczeń), powodują, że scenariusz może pozostać tylko w sferze możliwości ziszczenia się. Ta adekwatność zabezpieczeń opiera się na celnym rozpoznaniu i dobrym sparowaniu zagrożeń i podatności, ponieważ zabezpieczenia oddziaływają właśnie na te ostatnie. Odpowiednio dobrane zabezpieczenia, czyli takie, które mają ten potencjał oddziaływania, pozwalają zmniejszyć prawdopodobieństwo materializacji ryzyka.

 

[...]

 

Autor jest doświadczonym IOD oraz certyfikowanym audytorem systemów informatycznych (CISA) i kontroli wewnętrznej (CICA).

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.