Jak łatwo…

0
60

… wydawać cudze pieniądze

Na dzisiejsze przemyślenia i felieton złożyło się kilka zdarzeń, czy obserwacji. Ale czara… nie może nie goryczy, ale pewnego smutku przelała się po przeczytaniu w Forsal.pl felietony pani Prezes Panoptykona. Felietonu o zmianach w ochronie danych osobowych, w którym to felietonie dowiedziałem się, że w Wielkiej Brytanii to fajnie, bo zrobili jakieś badania, a nasz Lewiatan nie. I GIODO też nie. Oczywiście zdanie wyrwane z kontekstu, ale zapadło mi w pamięć i chyba uruchomiło “klapkę” z tytułem felietonu i pewnym podejściem.

Otóż rzeczywiście łatwo wydaje się cudzą kasę. Może to w efekcie nie wygląda na wydatek, ale badania o jakich w felietonie są wydatkiem. Dużym, niedużym – nieważne. Są i już. Skoro Panoptkon jest taki bardzo zaangażowany, to może zrobi takie badania? I może jeszcze kilka wymyślę, niech zrobią. Bo uważam, że warto i że trzeba.

Ale tak naprawdę nie o tym całość chciałem napisać, a raczej o podejściu. Podejściu do bezpieczeństwa.

Ryzyko, ryzyko, ryzyko…

Tak, magiczne słowo, odmieniane już w języku polskim (kiedyś nie). Słowo klucz do wszystkich systemów zarządzania bezpieczeństwem. W tym też systemu ochrony danych osobowych. Powoduje, że systemy takie są DOSTOSOWANE. Do zagrożeń, prawdopodobieństwa ich wystąpienia i skutku jaki w wyniku zagrożenia może powstać (lub powstanie). Cały system bezpieczeństwa zaczyna się właśnie od oceny ryzyka i od wskazania, jaki poziom jesteśmy w stanie przyjąć. My jako jego właściciele. A nie doradcy, specjaliści. Nieco inaczej jest z przepisami, te powinny … również brać ryzyko pod uwagę. Nieco inaczej, bo szacowania nie powinny być tak dynamiczne jak w firmach ale jednak powinny stawiać ochronę na poziomie minimalnym. Takim, który gwarantuje nienaruszalność naszych praw i dóbr osobistych. Ale nic więcej. Bo więcej – to wydatek. I … szablon który przyłożymy do wszystkiego.

A naprawdę każda firma powinna być identycznie zabezpieczona? Ma naprawdę takie same ryzyka?

Hm… to popatrzmy jak to jest w informacjach niejawnych. Mam wrażenie, że to taka nieco “poważniejsza” kategoria informacji i ich ochrony. I “cudownym trafem” kategoryzują ochronę informacji w zależności od rangi (klauzuli), sposobu przetwarzania etc. Czyli dają wytyczne jak mają być chronione informacje, ale nie poprzez szablon, a poprzez sensowne ułożenie systemu i stosowanie adekwatnych zabezpieczeń. Ale dostosowanych, a nie “z czapki” ups… z przepisu.

Takie moje spostrzeżenie z rynków mocno regulowanych w bezpieczeństwie. A nieco ich jest. Dla przykładu tylko BHP, pożarówka. Mocno regulowane, wymagania co do dokumentów, działań etc. I… naprawdę konkluzja jest taka, że to są dobrze zrobione obszary? Bo z moich doświadczeń wynika, że w wielu miejscach są zrobione na zasadzie “minimum z przepisu”. A gdyby tak te środki przeznaczyć na sensowne wykonanie roboty? Nie obostrzać aż tak bardzo co do form i metod, a większy nacisk kłaść na ocenę ryzyka i zagrożeń? Czy efekty nie będą lepsze – a co najważniejsze, czy nie będą bardziej sensowne?

Case

Ciekawy case study przytoczony w felietonie. Przytoczony w nieco przestarzałej już metodzie sprzedaży usług, rozwiązań, jaką stosowano pod koniec XX w. STRASZYMY. I STRASZYMY przypadkiem Sony – 170.000.000. USD. Specjalnie z zerami, bo wiele firm w ciągu 10 letniej historii nie miało nawet takiego obrotu.

Drugie zestawienie jakie się przewija. Mówi o tym ile będzie kosztować średnią firmę wdrożenie nowych rozwiązań. Według Lewiatana – 60 tys. w ciągu dwóch lat. A potencjalna kara – 5% globalnego obrotu. Tu zaczynam się zastanawiać nad sensownością. I tym, czy naprawdę ludzie wymyślający przepisy mają pojęcie o rentowności niektórych branż? Ochrona fizyczna – globalna marża 5,3%. Impel – nasz krajowy 4,4% Ale przecież zrobić przepis tak prosto…

Tak pod rozwagę, bo przepis niemożliwy do zrealizowania będzie nierealizowany, a to już niebezpieczny precedens. A obowiązki we wszystkich sprawach, gdzie występuje obywatel, człowiek i jego dobra – leżą po dwóch stronach. A nie tylko po jednej. Umowa nie staje się nieważna, tylko dlatego, że ją podpisaliśmy nie czytając treści. W danych osobowych jak widać, trzeba stosować wiele dodatków, chroniąc przed obywateli przed własnym wygodnictwem.

Ale czy to nie jest ingerowanie w swobodę? A może ja tak chcę? Może ja chcę mieć w treści regulaminu zgodę?

Pod rozwagę…