Každé podnikání je spojeno s trvalou přítomností nejrůznějších rizik a hrozeb. Podniky jsou plné procesů, které představují potenciální zdroj závažných rizik - pro podnik samotný, pro jeho ekonomické výsledky, materiální hodnoty, zaměstnance, zákazníky, partnery, někdy i pro životní prostředí atd. Veškerá rozhodnutí související s řízením firmy mají proto konkrétní návaznost na management rizik. Velké změny do fungování všech společností, a tedy i systémů řízení rizik proto vnese i GDPR.

 

Požadavky GDPR

Každý, kdo bude hledat v Nařízení GDPR kapitoly a články, které ukládají povinnost řídit rizika, bude hledat víceméně marně. Takto definovaná povinnost tam přímo uvedena není. Při podrobném čtení Nařízení včetně důvodové zprávy si však lze povšimnout několika článků a bodů, které ve svém kontextu předpokládají proces trvalého a systematického řízení rizik (neboli přístup "zdravého selského rozumu"). Jedná se například o následující texty:

"V zájmu zachování bezpečnosti by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování (atd.)."

"S přihlédnutím ke stavu techniky, nákladům na provedení, k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům..."

"Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze..., bude mít za následek vysoké riziko..."

"Zavést proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření."

 

Jak těmto požadavkům porozumět

Text GDPR tedy ukládá zavedení vhodných technických a organizačních opatření. Co si však pod tím představit? Jakým způsobem určit, která opatření jsou vhodná pro konkrétní zpracování?

Vrátil bych se k definici pojmu řízení rizik uvedené v perexu, pomocí tohoto procesu se dají definovat řešení (opatření) vedoucí k eliminaci nežádoucích vlivů. Vhodnou metodou (procesem) řízení rizik tedy mohu definovat, která opatření sníží rizika při zpracování osobních údajů. Metod a způsobů řízení rizik existuje celá řada a je potřeba vybrat takové, které budou nejlépe vyhovovat řízení rizik při práci s osobními údaji a jejich ochraně.

Jinými slovy: zdravý selský rozum (a analýza rizik) vám dají odpovědi, kdy je například lepší celou databázi zašifrovat a kdy by to bylo naopak zbytečně nákladné.

Je také nutné si uvědomit, že v rámci GDPR se musíte věnovat nejen rizikům pro vaši společnost, ale především těm, která se dotýkají subjektů údajů (fyzických osob).

Problematikou se musí zabývat jak správce, tak i zpracovatel osobních údajů. Tedy každý, kdo jakýmkoliv způsobem zpracovává osobní údaje, bude muset provést analýzu rizik a nějakým způsobem řídit rizika.

Je logické, že metoda a důkladnost řízení rizik budou jiné pro spolek, který pouze eviduje své členy, a jiné pro lékařské zařízení, které zpracovává citlivé zdravotní údaje pacientů.

 

Možnosti realizace

Většina společností využívá pro účely řízení rizik nástroj pro analýzu rizik ve formě excelové tabulky. Ta může dobře posloužit pro prvotní posouzení rizik, pro další systematickou práci však už vhodná není.

Každou chvíli jsou zveřejňovány nové zranitelnosti různých systémů, popřípadě nové hrozby, mění se i hodnota různých dat a na to všechno je nutné v procesu řízení rizik reagovat. Současně je vhodné mít také přehled o vývoji míry rizika v čase, kde je na první pohled vidět, které opatření míru rizika zmenšuje, a nové zranitelnosti nebo incidenty ji naopak zvyšují. Ve větších společnostech je také nutné řídit přístup k tomuto "nástroji" tak, aby jednotliví vlastníci aktiv a rizik viděli pouze svá rizika.

Pro střední a velké společnosti je tedy velmi vhodné pořídit si nějaký sofistikovaný nástroj na řízení rizik.

Bohužel, pořízení takovéhoto nástroje není nejlevnější a vlastní nástroj bez určitého know-how také nesplní svůj účel. K nástroji je tedy vhodné zřídit roli "risk manažera", který musí mít přehled o všech aspektech a který dokáže posoudit, zda daná hrozba, zranitelnost či riziko jsou pro společnost relevantní.

Tento nástroj si můžete zajistit vlastními silami, ale vzhledem k požadavkům na novou roli specialisty a znalce v oblasti řízení informačních rizik a vzhledem k nedostatku těchto specialistů na trhu práce bude asi nejrozumnější variantou zajistit si výkon funkce "risk managementu" formou služby "na klíč".

 

Co lze očekávat od risk managementu formou služby

Služba risk managementu může zahrnovat poskytování nástroje pro řízení rizik, ale také může zahrnout službu risk manažera, který dodá správné know-how, bude průběžně aktualizovat a spravovat bázi hrozeb a metodicky řídit vlastníky rizik, tak aby hodnocení hrozeb bylo jednotné v souladu s metodikou.

Pořízení správného nástroje na řízení rizik formou služby vychází z ekonomického pohledu výhodněji než pořízení takovéhoto nástroje do vlastnictví, nehledě na možnosti využívat služby odborníků, skrytých za službou risk manažera.

 

Co doporučujeme, čím začít

Pokud máte dostatek odborníků na řízení informačních rizik, jde hlavně o výběr správného nástroje na řízení rizik. Dále je nutné zpracovat metodiku hodnocení aktiv a rizik. Do vybraného nástroje se postupně vloží informace o všech účelech zpracování osobních údajů a jejich hodnotě (požadavky na důvěrnost, dostupnost a integritu), zpracuje se databáze hrozeb a zranitelností, které se v souladu s metodikou určitým způsobem ohodnotí. Provede se prvotní analýza rizik a ve spolupráci s ostatními jednotkami společnosti (typicky IT) se zvolí vhodná bezpečnostní opatření, jak technická, tak i procesní, která sníží hodnotu rizika.

Vzhledem k tomu, že nové hrozby a zranitelnosti se vyskytují téměř denně, je i tento proces - řízení rizik - nutné provozovat trvale, a ne jak bylo dosud zvykem pouze jednorázově.

Další možností je vybrat si správného partnera, který nabízí řízení rizik jako kompletní službu. Nejlepší případ je, když takovýto partner nabídne k službě řízení rizik i přidanou hodnotu ve formě role risk manažera, který vás provede nejen prvotní analýzou rizik a pomůže vám zpracovat plán zvládání identifikovaných rizik, ale dále udržuje databázi hrozeb a zranitelností aktuální a bude vám pomáhat trvale v hodnocení nových zranitelností a hrozeb včetně návrhů na eliminaci největších rizik. Tuto službu s přidanou hodnotou nabízí i SOCA Risk Management.

Ing. Zbyněk Malý, senior consultant, ANECT a.s.
RNDr. Ivan Svoboda, CSc., business development manager ICT Security, ANECT a.s.