Poprzedni artykuł dotyczący audytu RODO wzbudził ogromne zainteresowanie. Postanowiliśmy wyjść naprzeciw Waszym oczekiwaniom i kontynuować cykl.

Zdajemy sobie sprawę, jak wielka presja ciąży na audytorach, szczególnie w kontekście ostatnio nakładanych kar przez organy nadzorcze. Na naszym profilu na Facebooku zadaliśmy pytanie, który z tematów chcielibyście omówić w pierwszej kolejności: rekomendacje w audycie czy kompetencje audytorów. Wynik był jednoznaczny – rekomendacje w audycie. Dlatego dziś postaramy się przybliżyć właśnie ten temat.

Kontrola a audyt

Wiele osób używa tych dwóch słów jako synonimów, zamiennie. Nie jest to niestety prawidłowe, choć proces rzeczywiście może być podobny. W przypadku kontroli mamy do czynienia z czterema podstawowymi etapami działania:

• Ustanowienie zasad (przepisy, procedury, instrukcje, polityki),
• Pomiar stanu faktycznego (sprawdzenie działania, obserwacja),
• Przyrównanie stanu faktycznego do określonych zasad,
• Wnioski i zalecenia (opis działań niezbędnych do osiągnięcia stanu opisanego).

Przebieg audytu jest nieco dłuższy. Istotnym jego punktem jest budowanie rekomendacji. Jak widać, w przypadku kontroli odnosimy się do stanu określonego w procedurach czy instrukcjach ze wskazaniem co zrobić, aby uzyskać stan zgodności. Jak jest w audycie?

Kryteria audytu

Kryteriami audytu nazywamy zbiory wymagań. Mogą to być przepisy prawa, wewnętrzne instrukcje, procedury, czy nawet zapisy umów. Kryteria grupujemy w trzy obszary:

• Kryteria prawne – przepisy oraz wiążące wytyczne uprawnionych organów, nazywanych organami nadzorczymi,
• Kryteria organizacyjne – wymagania określone w firmie, spisane w formie polityk, regulaminów, instrukcji, procedur,
• Kryteria klienta – co do zasady zapisy umowne, jeśli współpracujemy na zasadzie umów. Spory problem w rozumieniu kryteriów tej grupy pojawia się w sytuacji, gdy mamy rozproszony rynek odbiorcy. Nie jest to przedmiotem dzisiejszego artykułu, niemniej na naszym blogu opisaliśmy już jedną z analiz, która może pomóc w określeniu tzw. grup interesariuszy i pomóc we wskazaniu wymagań klienta. Dostępny tutaj: Zarządzanie bezpieczeństwem część II. Kontekst zewnętrzny, analizy makro.

Różnica między audytem a kontrolą

O ile w przypadku kontroli sprawdzamy działanie konkretnego zestawu wymagań (np. jednego przepisu, czy jednej instrukcji) i wskazujemy, czy też wymagamy działania zgodnego z tym wymaganiem, o tyle w audycie musimy podejść do całości w sposób holistyczny. W stwierdzeniu niezgodności nie poprzestajemy już tylko na stwierdzeniu, że należy działać, jak jest opisane. Musimy zastanowić się, co dalej. Najlepiej tłumaczy się na przykładach, dlatego dalsza część artykułu będzie oparta o przykład. Jako że pierwszy artykuł dotyczył RODO, ten również oprzemy na przykładzie związanym z RODO.

Dorobiony klucz do pokoju

Pracownica kadr dorobiła sobie klucz do pokoju. Wynikało to z jej wygody. Pracowała w pokoju razem z koleżanką. Czasem zdarzało się, że jedna z nich wychodziła wcześniej w sprawach służbowych, druga chwilę później. Ostatnia zabierała klucz, ponieważ w firmie obowiązują zasady nadzoru nad pomieszczeniami, w których znajdują się dane osobowe określone w instrukcji ruchu osobowego. Jedną z nich jest zamykanie pokoju, jeśli nie ma w nim co najmniej jednej upoważnionej osoby.

Jak już napisaliśmy bywało tak, że obie wychodziły oddzielnie, w związku z czym jedna z nich albo szukała koleżanki po całym biurze, albo na nią czekała. W wyniku czego kobiety postanowiły dorobić sobie dodatkowy egzemplarz klucza. Ujawnione to zostało w trakcie przeglądu okresowego kluczy (wynika z instrukcji zarządzania dostępem do pomieszczeń).

Kontrola

Kontrolując z punktu widzenia RODO stan jest zgodny z wymaganiami. Dostęp mają tylko osoby upoważnione. Zarzut posiadania klucza dodatkowego i wynoszenia go poza firmę upadł, gdy zdecydowały się pozostawiać drugi egzemplarz w biurku i nie wynosić poza firmę (główny klucz wydawany jest na wartowni). Dodatkowo pomieszczenia są objęte systemem sygnalizacji włamania, zazbrajanym po zakończeniu pracy.

Audyt

Z punktu widzenia audytu jest to bardzo istotna niezgodność. Wymaga jednak podejścia holistycznego.

Po pierwsze: kryteria

W ramach kryteriów mamy do czynienia nie tylko z RODO. Usługowym działaniem w stosunku do ochrony danych jest ochrona fizyczna osób i mienia. Jednym z zadań, wynikających z definicji ochrony osób i mienia jest niedopuszczenie osób nieuprawnionych do wstępu (w tym wstępu do pomieszczeń). Narzędzia, jakimi ochrona to realizuje są m.in. wymieniona już instrukcja ruchu osobowego i instrukcja zarządzania kluczami. Przygotowując audyt należy dokładnie określić kryteria audytu i zidentyfikować obszary powiązane, dzięki czemu łatwiej będzie nam identyfikować niezgodności oraz wskazać sposób rozwiązania.

Po drugie: system

Ten aspekt jest niebywale istotny w audycie. System bezpieczeństwa, czy dokładniej – system zarządzania bezpieczeństwem musi być realizowany zgodnie z określonymi wymaganiami. A wymagania te, to nie tylko instrukcja ruchu osobowego (naruszone zapisy) czy instrukcje i polityki RODO. To przede wszystkim określenie uprawnień do konkretnych czynności. W naszych pracach posługujemy się siatką bezpieczeństwa do identyfikacji.

A więc w podejściu systemowym pojawia się kolejne naruszone kryterium:

Regulamin organizacyjny

Jest to niebywale istotna, jeśli nie krytyczna uwaga. Pani z kadr, dorabiając klucz i “dogadując się” z Inspektorem Ochrony Danych zrealizowała czynności, do których nie miała uprawnień. Nadzór nad dostępem do pomieszczeń w tym konkretnym przypadku to zagadnienie przypisane kierownikowi administracyjnemu, który swoje zadania realizuje między innymi poprzez służbę ochrony obiektu.  W ujęciu systemowym – komórka dostarczająca i zapewniająca (też audytorów) nadzór nad pomieszczeniami w rzeczywistości wcale nie zapewnia nadzoru, mimo obowiązku. Oznacza to, że nie możemy mieć zaufania do systemu, bo on po prostu nie działa.

Po trzecie: czego zabrakło?

Powoli zmierzamy do opisania niezgodności i rekomendacji z niej wynikającej. Nie chodzi o to, aby IOD i pani z kadr otrzymali wpisy do akt za naruszenie porządku pracy. Wszak instrukcje i procedury bezpieczeństwa są wydawane z mocą taką samą, jak wszelkie inne regulacje, np. regulamin pracy. I ich naruszenie, w tym przypadku realizacja czynności, do których osoby nie są uprawnione, jest wykroczeniem przeciwko obowiązkom pracownika.

Audytując systemy zarządzania bezpieczeństwem, dla audytorów jest to dowód na to, że:

• Zaistniała niezgodność, polegająca na braku nadzoru nad dostępem do pomieszczeń,
• Niezgodność ta nie została wykryta i ujawniona (to naprawdę są dwa etapy, ale opiszemy w innym artykule).

Rekomendacja z kontroli a rekomendacja z audytu

Kontrola

Ujawniając niezgodność w przypadku kontroli obszaru ochrony fizycznej zalecenie brzmiałoby:

Należy przeszkolić pracowników z instrukcji zarządzania kluczami i wskazać, że samodzielne dorabianie nie jest dozwolone.

Audyt

W przypadku audytu tak naprawdę nie zebraliśmy jeszcze dostatecznej ilości danych. Powinniśmy jeszcze potwierdzić, czy osoby dysponujące kluczami są zapoznane z instrukcjami i procedurami regulującymi kwestie wydawania i zdawania kluczy, i ewentualnym zakazem ich dorabiania. Załóżmy, że nie (tak niestety jest w większości firm). W ramach wprowadzenia do pracy pracownicy zaznajamiają się z regulaminami, instrukcją bezpieczeństwa pożarowego, mają też wstępne szkolenie z BHP, w tym instruktaż ogólny i stanowiskowy. Bardzo rzadko zdarza się jednak, że są szkoleni z zasad bezpieczeństwa fizycznego.

Rekomendacja

Zanim wskażemy projekt rekomendacji, warto przypomnieć jedną kluczową zasadę:

Audytor nie jest konsultantem!

Oznacza to, że nie wolno mu wskazywać konkretnego rozwiązania. Wynika to z kilku zasad audytowania. Dwa najważniejsze aspekty to:

• Po pierwsze – rekomendując konkretne rozwiązanie, staje się współautorem systemu. Gdyby miał audytować po raz kolejny tę samą lokalizację czy firmę, nie jest już niezależny. Dlatego rekomendacje muszą być wskazaniem celu do osiągnięcia – nie sposobu jego osiągnięcia.
• Po drugie – najważniejsze. Po dwóch czy nawet trzech dniach audytor nadal nie zna firmy dokładnie. Nie zna tej części ukrytej, w modelu Scheina nazywanej ,,przekonaniami’’. W związku z czym konkretna rekomendacja, wskazująca na rozwiązanie może być działaniem nawet destrukcyjnym dla firmy.

Przejdźmy teraz do zbudowania rekomendacji, pamiętając, że biznes musi działać, a systemy ochronne powinny wprowadzać odpowiedni stan bezpieczeństwa z zasadą minimalizacji uciążliwości. W pierwszej kolejności musimy poznać istotę problemu, wskazać niezgodności lub potencjał doskonalenia (jeśli nie mamy naruszonego wymagania), a następnie uzasadnić, dlaczego takie jest nasze stanowisko.

Uzasadnienie pojawiło się w naszych audytach około 2012 roku, ze względu na “radosną twórczość” audytorów. Od tego czasu ilość rekomendacji drastycznie spadła.

Co jest problemem?

Uciążliwość związana z pojedynczym kluczem do pomieszczenia, wydawanego użytkownikom. Problemem nie jest złamanie zasad z instrukcji ani przekroczenie swoich uprawnień. Jak zaznaczyliśmy na wstępie są to tylko dowody, z których wyciągamy wnioski.

Dygresja: w jednej z firm próbowano rozwiązać ten problem wydając klucz zapasowy. Co do zasady jest to błąd dlatego, że klucze zapasowe są używane do innych celów i będzie to złamaniem kolejnej zasady. Tym bardziej nie wolno do tego wydawać kluczy alarmowych.

Rekomendacja technicznie:

Niezgodność:

• Dysponowanie kluczami niezgodnie z regulaminem organizacyjnym (wykonanie działań nieuprawnionych),
• Brak nadzoru nad kluczami (komórka odpowiedzialna nie wiedziała, że ma jeszcze jeden egzemplarz),
• Brak nadzoru nad dostępem do pomieszczeń (skoro nie wiemy, że mamy więcej kluczy, to nie wiemy również, że ktoś w nim jest. Klucz główny był w depozytorze, a w pomieszczeniu przebywał pracownik).

Rekomendacja:

• Zaleca się rozważyć, z czego wynika i czy koniecznym jest posiadanie tylko jednego egzemplarza klucza do pomieszczenia dla użytkownika? (zalecenie główne). Przy tworzeniu tych rekomendacji należy podjąć działania zespołowe, z udziałem interesariuszy,
• Rekomenduje się wprowadzenie szkoleń z zakresu bezpieczeństwa fizycznego dla wszystkich pracowników dysponujących kluczami,
• Rekomenduje się wprowadzenie działań sprawdzających skuteczność nadzoru nad kluczami.

Uzasadnienie:

• 1 – środki bezpieczeństwa powinny być adekwatne do zagrożeń i uzasadnione, w tym ekonomicznie (czasem klucze, szczególnie w systemach keymaster są drogim wydatkiem, dlatego firmy nie decydują się na rozwiązanie). Wprowadzenie konsultacji ma na celu zbudowanie zespołu oraz wzajemnego zaufania i rozumienia swoich ról w systemie.
• 2 – osoby dysponujące kluczami powinny znać zasady postępowania przy zagubieniu, zniszczeniu klucza oraz zakazy związane z dostępem do pomieszczeń. Szkolenie powinno obejmować wyjaśnienie całego rozwiązania, a nie tylko zakazy, ponieważ same zakazy rzadko działają.
• 3 – brak wcześniejszego wykrycia niezgodności i przeświadczenie administratora budynku może doprowadzić do swobodnego dysponowania kluczami i w efekcie do naruszenia stref (np. pracownicy, którzy się zwalniają, nie oddadzą kluczy, bo nikt o nich nie wie).

Podsumowanie

Celem dobrze napisanych rekomendacji jest wdrożenie rozwiązań systemowych, które doprowadzą do stanu zgodnego ze stwierdzeniem:

Dziś moje zasoby są bezpieczne i jutro również będą bezpieczne.

Doprowadzenie do takiego stanu jest możliwe dopiero, gdy będziemy posiadać system, który sam będzie identyfikował potrzeby. W tym przypadku rekomendacje główne, dotyczące całości organizacji dotyczyły jeszcze:

• Zbudowania zespołu bezpieczeństwa w organizacji;
• Wdrożenia konsultacji w zakresie rozwiązań;
• Precyzyjnego określenia kompetencji i zadań, zgodnie z zasadą, że personelem bezpieczeństwa jest nie tylko pracownik ochrony, IOD czy Security Manager, ale każda osoba, która ma przypisane zadania (nawet informowania o zagrożeniu);

Aby je przedstawić, musielibyśmy napisać jeszcze kilka artykułów tak, by pokazać, jakie dowody wskazały nam na stan wymagający takich działań.

Jeśli jesteś zainteresowany tematyką Audytu zapraszamy na szkolenie Audyt RODO : Zobacz opis szkolenia, z kodem: ARTYKUŁ19 otrzymasz podczas zapisów 200 zł zniżki na szkolenie w terminie: 10-11.03.2020 w Warszawie.

Więcej informacji uzyskasz kontaktując się z nami pisząc na adres e-mail: szkolenia@essa.pro.