Z Ewą Niesiołowską, Audytorem Wiodącym Systemu Zarządzania Bezpieczeństwem Informacji o bezpieczeństwie danych w firmach rozmawia Krzysztof Mazurek Dyrektor ds. Rozwoju Sprzedaży Servus Comp.
Krzysztof Mazurek: Jesteś szefem działu szkoleń, audytu i wprowadzania polityki bezpieczeństwa danych w Servus Comp, czy możesz ze swojej perspektywy ocenić zaangażowanie polskich przedsiębiorców na tym tle?
Jak Twoim zdaniem jesteśmy do nowych wyzwań przygotowani?
Ewa Niesiołowska: Świadomość przedsiębiorców o zagrożeniach płynących z braku ochrony danych w firmie na pewno jest większa niż była wcześniej i to zarówno, jeśli chodzi o świadomość zagrożeń w kwestii danych osobowych, ale też jeśli chodzi o konieczność podjęcia niezbędnych kroków, żeby zabezpieczyć te dane.
Mamy co raz większą świadomość tego jakie bazy danych mamy u siebie, a są one przecież strategicznym punktem naszej działalności. Trzeba na tę problematykę spojrzeć znacznie szerzej. Nie tylko w kontekście samej ochrony danych osobowych, ale w kontekście wszystkich danych, jakie gromadzimy w firmie. Zarówno danych naszych klientów, naszych danych handlowych, danych o technologii jaką stosujemy czy wiedzy o naszej firmie. To są przecież dane, które decydują o tym, czy jesteśmy konkurencyjni na rynku. Każda utrata tych danych, każdy wyciek, może być związany z bardzo dużą stratą dla firmy. W tym zakresie świadomość przedsiębiorców jest zdecydowanie dużo większa.
Do ochrony danych w firmie obligują nas przepisy prawa – Ustawa o Ochronie Danych Osobowych. Przedsiębiorcy widzą i rozumieją także, że jeśli będą lekceważyć zasady bezpieczeństwa mogą w ten sposób wystawić się na atak np. cyberprzestępców. Te ataki są wbrew pozorom, co raz częstsze. I tak jak wcześniej dotyczyły tylko większych korporacji, tak teraz te ataki dotyczą także małych przedsiębiorców. Widać to chociażby po firmach, które aktualnie proszą nas o pomoc. Świadomość potrzeby ochrony danych jest wśród małych przedsiębiorstw coraz większa. Myślę także, że podejście do ochrony danych się zmieniło. To już nie jest konieczność nałożona przepisami prawa, ale także sami przedsiębiorcy zauważyli okazję do promowania swoich usług poprzez wizerunek firm bezpiecznych, które dbają o dane swoich klientów. W tym zakresie zauważyłam zdecydowany postęp.
Czym innym jest jednak świadomość zagrożeń a czym innym jest przełożenie tej świadomości na konkretne działania. To na pewno jest wyzwanie na przyszłość. Te działania muszą iść dwutorowo, zarówno poprzez zabezpieczenie systemów, w których przetrzymujemy dane, ale także poprzez zabezpieczenie wiedzy naszych pracowników.
- Jak możemy się do tych nowych wyzwań przygotować?
Myślę, że podstawowym zadaniem na przyszłość, jest zadbanie o kompleksowy system bezpieczeństwa. Musimy mieć świadomość, że nawet jeśli wprowadzimy konkretne, informatyczne zabezpieczenia do naszego systemu, najsłabszym ogniwem może okazać się nie sprzęt i oprogramowanie, a właśnie czynnik ludzki.
Większość ataków przeprowadzana jest w kierunku nieświadomości użytkowników systemu. Należy działać kompleksowo.
- Jakich przedsiębiorstw dotyczy w ogóle ochrona danych, a w szczególności danych osobowych?
Konieczność zadbania o ochronę danych osobowych w związku z Ustawą dotyczy tak naprawdę większości przedsiębiorstw. To jest związane z tym, co jest przedmiotem tej ochrony. Ponieważ sama definicja danych osobowych jest bardzo szeroka. Dane, które przetwarzamy jako przedsiębiorcy są różnorodne: mamy do czynienia z aktami pracowniczymi, aktami klientów, danymi naszych usługodawców, mamy dane osób, które logują się przez nasze strony www, żeby złożyć zamówienie w naszym sklepie internetowym, czy też osoby, które pozostawiają swoje dane, by subskrybować newsletter. Te wszystkie dane muszą być chronione.
- Mam wrażenie, że ochrona danych dotyczy i dużych korporacji i przedsiębiorstw mniejszych, mających do czynienia z danymi swoich klientów.
Zasada jest jedna, jeśli dysponuję jakimikolwiek danymi powinniśmy zaangażować się w ich analizę i kompleksową ochronę. Skala planowanych rozwiązań, które będziemy wdrażać, musi być adekwatna do tego, jaką formę działalności prowadzimy lub jak duża jest to działalność, jak wiele baz muszę chronić. Oczywiście będzie to uzależnione od tego, jak duże przedsiębiorstwo prowadzę. Pamiętajmy, że w każdym wypadku ta ochrona powinna być. Samo posiadanie danych osobowych, już nas ustawowo obliguje do ich ochrony. Także w przypadku jednoosobowej działalności gospodarczej, tutaj także przetwarzamy dane.
Ustawa mówi wprost o tym, że każdy kto przetwarza dane w celach zarobkowych, czy też w związku ze swoją działalnością zawodową, czy też w celu wypełnienia swoich zadań statutowych, każdy ma nadany status administratora danych osobowych. A co za tym idzie, ma nałożony cały zakres obowiązków. Należy pamiętać o tym, że zabezpieczenia, które wprowadzamy jako administrator danych osobowych podlegają kontroli Generalnego Inspektora Ochrony Danych Osobowych lub Państwowej Inspekcji Pracy.
- W trendach marketingowych na 2017 rok wyraźnie wyczuwa się potrzebę bardziej spersonalizowanej komunikacji z klientami np. w formie newsletterów, mailingów, wysyłek reklamowych, sms'ów czy informacji typu push w różnego rodzaju aplikacjach mobilnych. Jak do takich działań należy się wcześniej przygotować?
Właśnie zwłaszcza teraz, gdy te działania marketingowe tak bardzo się zmieniają, gdy pojawiają się te nowe trendy, mamy do czynienia z pełnym wykorzystaniem dostępnych baz danych. Dziś marketing przeniósł się do internetu, tak teraz jest projektowany. Musimy pamiętać, że świetny pomysł na dobra kampanię to jest jedno, natomiast z drugiej strony przygotowując taką kampanie marketingową powinniśmy przestrzegać przepisów prawa. Tu właśnie jest kilka wyzwań, które musimy spełnić i pamiętać o tym, że nawet świetna kampania, ale źle przygotowana od strony formalno-prawnej może przynieść nam więcej strat niż zysków. Jest kilka aspektów, o których trzeba pamiętać. Klienci są co raz bardziej wrażliwi na to, w jaki sposób wykorzystujemy ich dane w celach marketingowych, czy mamy na to ich zgodę? Jeżeli o taką zgodę wcześniej nie zadbamy, to osiągniemy efekt przeciwny do zamierzonego. A co za tym idzie, jeżeli nie zadbamy o aspekty prawne to ucierpi na tym nasz wizerunek.
Nie chcielibyśmy przecież, by przyległa do nas łatka firmy, która jest firmą spamerską, takiej która rozsyła spam. Takiego wizerunku ciężko się potem pozbyć i może się to ciągnąc za nami latami.
Za takim nieuprawnionym działaniem idą także konkretne kary.
Tutaj musimy przestrzegać trzech ustaw: Ustawy o Ochronie Danych Osobowych, Ustawy o Świadczeniu Usług Drogą Elektroniczną i Ustawy o Prawie Telekomunikacyjnym. I tak naprawdę od klientów potrzebujemy trzech rodzajów zgód. Pierwsza zgoda na przetwarzanie danych w celach marketingowych, druga na otrzymywanie informacji handlowych drogą elektroniczną i trzecia na wykorzystanie naszego urządzenia końcowego w celach marketingowych.
To się z reguły robi w formie tzw. checkboxów. Klient może w ten sposób zaznaczyć swoją zgodę.
Konstruując każdą kampanię warto w związku z tym korzystać z porad specjalistów, także z zakresu prawa.
- W jaki sposób Servus Comp może pomóc swoim klientom?
Nasze usługi obejmują pełen cykl związany z kompleksową ochroną danych. Niezależnie od tego w którym momencie pojawi się taka potrzeba, jesteśmy w stanie wszystkim doradzić. Zaczynamy od wdrożenia polityki danych osobowych, poprzez audyty, czyli sprawdzenie, jak dziś wygląda ochrona danych w strukturach firmy naszego klienta. Przeprowadzamy pierwszą inwentaryzację, która pokazuje pełen obraz dotychczasowego bezpieczeństwa danych. W zakresie naszych usług są pełne szkolenia odpowiadającego za bezpieczeństwo danych personelu oraz pełna obsługa powdrożeniowa. Przejmujemy długofalowo rolę administratora bezpieczeństwa informacji. Servus Comp świadczy usługi kompleksowe i tak zorganizowany jest mój zespół.
Marka Servus Comp Data Security należy do istniejącej od 25 lat firmy Servus Comp. Wszyscy w zespole korzystamy z naszego dużego doświadczenia. Zespół opiera się na osobach mających znajomość prawa, jest wśród nas prawnik, inżynier IT, są audytorzy. Tworzymy grupę osób znających wiele aspektów z tej dziedziny. To dlatego nasze usługi są kompleksowe. To jest nasz największy atut.
Zapraszam na naszą stronę internetową: www.zadbajobezpieczenstwo.pl
- Dziękuję za rozmowę.
Państwa kontakt:
Ewa Niesiołowska
Kierownik Projektu Servus Comp Data Security
Servus Comp sp. z o. o. sp. k.
Mazowiecka 25/502
30-019 Kraków, Polska
Telefon: +48 605 33 23 23
Telefax: +48 12 631 91 22
ewa.niesiołowska@servus-comp.pl
Dodaj komentarz