Jak zapewnić bezpieczeństwo danych w organizacji, gdy rozpoczynasz współpracę z nową firmą?
Postępujący rozwój technologiczny wymaga od nas nowych form zabezpieczania wrażliwych danych. Kwestie ochrony informacji przedsiębiorstwa coraz częściej dotyczą również pracodawców, którzy zatrudniają nowych pracowników. Niestety, każdy nowy pracownik może stanowić potencjalne zagrożenie dla firmowych danych poufnych.
Trzy kroki do zapewnienia bezpieczeństwa danych
Zastanówmy się nad sytuacją, kiedy do firmy dołącza nowy pracownik. Jakie działania należy wtedy podjąć? Co ważne – do obowiązków nowego handlowca będzie należała, m.in. sprzedaż usług oraz produktów. Pracownik będzie posiadał, udostępniał lub korzystał z poufnych danych przedsiębiorstwa. W tym przypadku firma powinna podjąć trzy kroki, aby zająć się bezpieczeństwem informacji. Pierwszym krokiem będzie przeprowadzenie audytu praktyk bezpieczeństwa u sprzedawcy. W szczególności jego doświadczeń dot. incydentów związanych z bezpieczeństwem, zgodności z uznanymi standardami bezpieczeństwa, przeglądu polityk bezpieczeństwa itp. Drugi krok obejmowałby wprowadzenie konkretnych zabezpieczeń w umowie z dostawcą. Uwarunkowania dotyczyłyby zobowiązań w odniesieniu do bezpieczeństwa. W szczególności byłyby to obowiązki dotyczące bezpieczeństwa danych. W ostatnim kroku firma przeprowadziłaby audyt wykonawczy po zakończeniu umowy. Wszystkie działania musiałyby zostać poparte odpowiednimi inspekcjami, tak aby zapewnić zgodność z wymogami bezpieczeństwa zawartymi w podpisanych dokumentach.
W jakim celu przedsiębiorstwo musi podjąć ww. kroki?
Wymienione działania mają na celu ograniczenie ryzyka związanego z bezpieczeństwem. A jednocześnie – w kwestii umów z dostawcami – tworzą zintegrowaną całość i odzwierciedlają najlepsze praktyki przedsiębiorstwa w zakresie ochrony danych: staranność i sumienność, wprowadzenie wymaganych uwarunkowań formalno-prawnych (niezbędne regulaminy oraz dokumentacja) oraz działań po zakończeniu kontraktu. Co najważniejsze – stanowią podstawowe działania, dzięki którym przedsiębiorstwo może w odpowiednią porę zareagować i chronić się przed dochodzeniem regulacyjnym w przypadku naruszenia bezpieczeństwa.
A jeśli firma nie wdraża ochrony przed wyciekiem danych?
A co stanie się w sytuacji, gdy przedsiębiorstwo nie ma możliwości wdrożenia żadnego z powyższych podejść do zmniejszania ryzyka? Nie możesz przeprowadzić kompletnego audytu ze względu na ograniczenia formalne? Nie masz możliwości osiągnięcia wymaganych zabezpieczeń kontraktowych, a jednocześnie odmówiono ci możliwości „pilnowania kontraktu”? Co najważniejsze – sytuacja jest o tyle poważna, że dotyczy kontraktów obejmujących setki tysięcy potencjalnych strat.
Przypadek, który potwierdza regułę!
Rozważmy przypadek znanego dostawcy usług w chmurze – nazwijmy tę firmę „ABC”. I tak – „ABC” zastrzega sobie prawo – bez zatwierdzenia lub powiadomienia klienta – do podzlecenia usług dowolnej liczbie dostawców zewnętrznych lub innym podmiotom. Robi to w celu wykonania niektórych lub wszystkich kluczowych operacji hostingu, bezpieczeństwa i innych zadań związanych z danymi obejmujące usługi „ABC”. Dodatkowo – omawiana firma – może dowolnie zmieniać podwykonawców. Teraz, jeśli firma „ABC” zgodziłaby się z faktem, że jest odpowiedzialna za działania swoich podwykonawców, to ewentualne niepowodzenie podwykonawcy stanowiłoby teraz awarię „ABC”.
W zaistniałej sytuacji firma „ABC” stosuje bezprecedensowe podejście uznając, że w rzeczywistości nie ponosi żadnej odpowiedzialności za wybranych przez siebie Podwykonawców. Ponadto – stwierdza, że w stopniu, w jakim istnieją jakiekolwiek zabezpieczenia, odsyła klienta do formularzy online dostępnych u Podwykonawców. Niestety, wadą tego podejścia jest to, że klient firmy „ABC” nie jest stroną tych umów online. Tak więc – chociaż zapisy umowy mogą być interesujące – klient nie ma możliwości egzekwowania ich od Podwykonawców. Tylko „ABC” ma to prawo. Tylko „ABC” jest faktycznie w kontrakcie z Podwykonawcami.
Weźmy pod uwagę różne możliwości…
Po pierwsze, klient „ABC” ma bardzo ograniczoną zdolność do zweryfikowania staranności podwykonawców „ABC”. Klient jest ograniczony do przeglądania generycznych informacji o nich, dostępnych np. online. Dodatkowo są to jedynie informacje ogólnie udostępniane przez podwykonawców osobom odwiedzającym ich witryny internetowe. Nawet gdyby klient mógł przeprowadzić pełną analizę możliwości, byłoby to mało przydatne, ponieważ „ABC” może zmienić podwykonawców w dowolnej chwili. Natomiast podwykonawcy mogą zmienić dowolną część informacji online w dowolnym czasie.
Po drugie, jeśli podwykonawca nie wykona (np. jest hostem i usługą, za którą klient płaci firmie „ABC”) lub cierpi z powodu poważnego naruszenia danych, firma „ABC” nie ponosi odpowiedzialności, a klient „ABC” nie otrzymuje rozwiązania swoich problemów wynikających z tej sytuacji. W obu przypadkach klient pozostaje bez możliwości zatrzymania „ABC” jako podmiotu, który powinien zaproponować rozwiązanie sytuacji lub podwykonawcy, który jest odpowiedzialny za awarię. Co gorsza, klient prawdopodobnie nie będzie miał możliwości stwierdzenia naruszenia umowy z „ABC” i nie będzie w stanie wypowiedzieć umowy. Niestety, w zaistniałej sytuacji klient będzie zobligowany, by nadal płacić za usługę, która jest w najlepszym wypadku niezgodna lub w najgorszym wypadku – powoduje odpowiedzialność z powodu naruszenia danych lub innego niewłaściwego postępowania z informacjami. Podsumowując, klient nie ma żadnych praw umownych wobec podwykonawców. Jednocześnie też nie ma audytu, ani innych możliwości, aby zapewnić, że podwykonawca odpowiednio chroni swoje informacje i systemy. Nawet jeśli miałby te prawa, to nie ma możliwości zmuszenia Podwykonawcy do naprawienia stwierdzonych niezgodności lub braków.
Sprawdź, na co warto uważać, rozpoczynając współpracę z nowym dostawcą usług/produktów
Co bardzo ważne – unikaj sprzedawców, którzy próbują uciec od odpowiedzialności wobec nienazwanych firm zewnętrznych. Realizacja tego typu zlecenia oznacza, że w najlepszym wypadku masz nieograniczony obowiązek zapłaty za usługę, której nigdy nie trzeba świadczyć. Zastanów się, czy nie musisz wyjaśnić regulatorowi lub powodowi działań zbiorowych, że powierzyłeś sprzedawcy bardzo wrażliwe dane tylko po to, aby sprzedawca przekazał dane osobie trzeciej. Niestety, ale za działania tej osoby, sprzedawca nie przyjął rzeczywistej odpowiedzialności. Po drugie – ważne jest to, z kim masz podpisane umowy. I pamiętaj o konsekwencjach, jakie wynikają z powierzenia danych osobom nieupoważnionym.