W RODO pojawiło się określenie “kontekst przetwarzania”. Wcześniej, w normach ISO od 2009 roku mamy do czynienia z kontekstem organizacji, za sprawą normy ISO 31000 – zarządzanie ryzykiem, zasady i wytyczne. A czym ten kontekst jest tak naprawdę?
Nowe określenie, na stare działania
Zanim normy ISO za sprawą ISO 31000 zaczęły wprowadzać do swojego obowiązkowego działania rozpatrzenie kontekstu, były to po prostu czynniki otoczenia (makro i mikoekonomiczne) zestawione do tego, co organizacja posiada wewnątrz. Dość ogólnie można to nazwać pewną kulturą organizacji, na którą znów składa się wiele czynników. Zestawienie tych dwóch grup czynników spotykało się najczęściej w analizie SWOT, gdzie:
Dane z analiz makrootoczenia i mikrootoczenia (kontekst zewnętrznych) wskazuje nam na zagrożenia lub szanse.
Dane z analiz firmy (kontekst wewnętrzny) wskazuje nam na mocne i słabe strony.
Zestawienie tych danych pozwala nam na wskazanie 4 grup obszarów:
- Jak słabe strony wzmacniają zagrożenia;
- Jak słabe strony uniemożliwiają wykorzystanie szans.
A z punktu widzenia mocnych stron:
- Jak mocne strony umożliwiają wykorzystanie szans;
- Jak mocne strony przeciwdziałają zagrożeniom.
W RODO nie przypadkiem kontekst się pojawił. Jest po prostu mechanizmem wspierającym myślenie i działanie oparte o ryzyko. Wszak aby pracować na czymś (ryzyku) trzeba je mieć przecież zdefiniowane?
Struktura analiz
W swoich pracach skupiam się na zestawie narzędzi, jakie wypracowałem sobie od 2005 roku. Są to analizy znane z zarządzania, jednak po małym dostosowaniu pasują praktycznie do każdego rodzaju działania, w tym działania strategicznego w bezpieczeństwie. A tym jest RODO, choćby ze względu na dotkliwość kar, która może skutkować korporacyjnie zakończeniem działalności firmy.
Kontekst zewnętrzny
W tym obszarze używam dwóch analiz: PEST, dla makrootoczenia i 5 sił Portera, dla mikrootoczenia. Makrootoczenie co do zasady charakteryzuje się małą podatnością na działania po stronie podmiotu, za to dość dużym “bezwładem”. Po prostu tak jest i do tego trzeba się przygotować. Natomiast 5 sił Portera to czynniki w otoczeniu bliższym, gdzie możemy już mieć nieco większy wpływ, ale zależy to naprawdę o wyników analiz. Pokrótce z czego składają się elementy analiz.
PEST:
- P – czynniki polityczne i prawne;
- E – czynniki ekonomiczne;
- S – czynniki społeczne;
- T – czynniki technologiczne.
Kontekst w tym obszarze omówiłem w artykule publikowanym na Linkedin, w którym odniosłem się do słów byłego koordynatora reformy RODO w Polsce i który chyba nie do końca rozumie tę kwestię.
ICO vs PUODO, czyli kontekst przetwarzania danych w praktyce https://www.linkedin.com/pulse/ico-vs-puodo-czyli-kontekst-przetwarzania-danych-w-krzeminski/
5 sił Portera
Drugim obszarem jaki należy ocenić, to jest to co znajduje się “nieco bliżej” organizacji. W tym obszarze przydatna jest analiza metodą 5 sił Portera, która obejmuje:
- Siłę oddziaływania dostawców;
- Siłę oddziaływania odbiorców;
- Możliwość nowych wejść (konkurencja);
- Możliwość pojawienia się substytutów;
- Walka wewnatrzsektorowa.
Aby nie skupiać się za bardzo w temacie samych czynników zewnętrznych, czy wewnętrznych to tylko dwa przykłady z otoczenia bliższego.
Przykład 1 – siła oddziaływania dostawców
Jak dobrze wiemy, podpisanie jakichkolwiek dokumentów z dostawcami hostingu w zakresie przetwarzania danych czasem graniczyło (nadal czasem graniczy) z cudem. I to jest właśnie ten czynnik związany z siłą oddziaływania dostawców. Badany np w tym obszarze:
Siła koncentracji sektora (co do zasady w Polsce jest kilka wiodących firm);
Wskazuje, że razem z innymi czynnikami tej oceny (jest ich 10-12) oddziaływanie dostawcy na nasze procesy przetwarzania jest duże. Skutkować to może:
- Problemem w umowach
- Problemem w audytach
- I wieloma innymi.
Na razie nie szukajmy jeszcze rozwiązań. Mamy w pierwszej kolejności rozważyć kontekst (to jest uwaga metodyczna do analiz).
Przykład 2 – konkurencja
Jak wiemy, jakość polskiej konkurencji jest… smutna. Wielu konkurentów na rynkach mocno rozproszonych (a takim są dostawcy usług RODO) potrafi walczyć bardzo nieczysto. Daleki jestem oczywiście od moralizowania i tego jak się wygrywa przetargi, czy umowy, ale standardem jest wypowiadanie się konkurencji na temat innej konkurencji, o tym.. czego ta nie umie zrobić. Osobiście wolę wypowiadać się o tym, co ja umiem, a nie czego nie umie konkurencja, ale nie chodzi o to, aby jak napisałem – moralizować.
W ocenie kontekstu przetwarzania w takim przypadku po prostu MUSIMY wziąć pod uwagę, że może dochodzić do działań wrogich, których skutkami mogą być naruszenia ochrony. Po prostu. Znów uwaga metodyczna – “zero emocji”. Analityka bezpieczeństwa to twarde rzemiosło, a nie miejsce na płacz, żal, radość czy śmiech. Im lepiej ją wykonać, tym lepsze “zręby” systemu bezpieczeństwa (jakiegokolwiek nie tylko RODO).
Podsumujmy nasz kontekst zewnętrzny:
Z przykładu z Linkedin:
- jesteśmy w złej dzielnicy;
- jesteśmy w Polsce, gdzie “dziennikarze” lubią grzebać tu i tam, aby mieć gorącą wiadomość (breaking news);
- nasi dostawcy hostingu mają na nas kolokwialnie mówiąc wywalone;
- nasza konkurencja jest średnio uczciwa.
Niezłe zestawienie prawda? No to przejdźmy do kontekstu wewnętrznego.
Analiza wieloczynnikowa
Do oceny kontekstu wewnętrznego używam od lat ponad 15 analizy WSZ/POU. Jest to analiza dostosowana z analiz strategicznych organizacji, a opracowana w nieistniejącej już uczelni – Wyższej Szkole Zarządzania / The Polish Open University, która posiadała dla swoich programów walidację Oxford Brookes University a wcześniej Thames Valley University. Analiza ta pozwoliła wygrać jeden z ważniejszych konkursów, jako precyzyjnie opisuje wnętrze firmy. Modyfikacja polega na dostosowaniu analizy do bezpieczeństwa. Składa się z 9 grup czynników:
- Proces zarządzania;
- Planowanie (w bezpieczeństwie);
- Finanse i logistyka;
- Organizacja świadczenia usług;
- Badania i rozwój;
- Odbiorcy i interesariusze;
- Świadomość bezpieczeństwa (security awareness),
- Zarządzanie personelem;
- Kultura bezpieczeństwa.
Jak widać czynniki te oprócz samego kontekstu o którym jest mowa w RODO dotykają też kwestii związanych z innym wymaganiem – uwzględnieniem rozwoju technicznego i technologicznego. Łącznie do przeglądu w szablonowej analizie jest 124 czynniki.
Kontekst przetwarzania
Aby właściwie rozważyć kontekst przetwarzania należy zestawić czynniki wypisane w kontekście zewnętrznym i wewnętrznym. Z zewnętrznego mamy same zagrożenia, więc tutaj szukać należy mocnych stron. Przykłady, prawda?
Morele.net
Czynnik w grupie 1 – proces zarządzania, czynnik 1.2 inicjatywa pracowników.
Gdyby ten czynnik był wysoko, to do zdarzenia by nie doszło. Negatywne postawy naszych rodaków byłyby zniesione poprzez właściwą reakcję osób uwikłanych w problem. Ale… ten czynnik łączy się też z czynnikiem czy raczej całą grupą – 8. Zarządzanie personelem, w całości. A więc szkolenie, dobór.
Słabość po stronie firmy spowodowała skutek w postaci na dziś dużych problemów. Wyczytać to naprawdę można z samych “dyskusji” załączonych do decyzji Prezesa Urzędu Ochrony Danych.
Podsumowanie
Tytułem podsumowania. Kwestia kontekstu, a szerzej myślenia opartego o ryzyko jest właśnie istotą RODO. Z tego powodu nie sprawdzają się rozwiązania szablonowe, kupowane w Internecie zestawy dokumentów, czy 2 tygodniowe wdrożenia (nie da się nawet jednego obszaru zrobić).
Bo nawet ta sama firma, ale dwa różne oddziały to już dwa różne środowiska działania. Lublin a Wrocław, inni ludzie, inne podejście, inne wartości. I nie, nie dzielę Polski na różne części, po prostu od 25 lat pracuję w bezpieczeństwie i zauważam naprawdę wiele różnic. Ty Czytelniku również. I to jest właśnie element kontekstu. Bo:
- Widzisz nastawienie ludzi. Tu są bardziej przyjaźni, tam mniej (przoduje niestety Warszawa);
- Tu masz lepszy Internet, a tam nie masz go wcale (np. brak możliwości zastosowania rozwiązań monitorowania on-line nadzorcze nad strefą przetwarzania).
Widać to prawda? Wiele czynników widać, części nie. Ale to są czynniki, które wpływają na to jak zaplanujemy system. Jak go uszczelnimy, w celu ochrony danych.
