Temat: Pełnomocnik ds. ochrony danych osobowych
Szanowni Państwo z adm publicznej, firm państwowych i samorządowych
Ale zabrzmiało - jak odezwa ;-)
W dyskusji z sektorem prywatnym, szczególnie międzynarodowym, w opiniach myślę, że warto pamiętać, a Ci co nie pracowali myślę, że skorzystają. Kilka spraw, aby zrozumieć sektor prywatny, szczególnie korpo międzynarodowe.
1. W wielu firmach międzynarodowych są zespoły ds. bezpieczeństwa. Podlegają pod centralne zespoły, najczęściej w kraju pochodzenia. W zespołach tych pracują security managerowie, asset protection etc. To powoduje, że praktycznie nie ma możliwości na zatrudnienie jakiegokolwiek konsultanta, czy eksperta od bezpieczeństwa (niezależnie, z którego obszaru HSSE czy IS - information security). Dlatego, że to WŁASNY team ma robić tą robotę. Z tego względu korpo zachodnie mają naprawdę niezłe budżety na szkolenie - ale nie na zatrudnienie eksperta z zewnątrz.
2. Liczenie kasy. O czym już pisałem. Nie sądzę żeby jakakolwiek firma międzynarodowa o strukturze jak powyżej zatrudniła człowieka na "mało elastycznym" etacie. Wszak takim jest ABI - nie może wykonywać żadnych czynności które kolidują z funkcją ABI, a to oznacza, że w korpo tego typu osoba praktycznie nie ma szans na zatrudnienie. Bo w korpo liczy się czas, zyski, efektywność. I czasem bywa że do nowego projektu potrzebna jest naprawdę kumata osoba, więc czemu nie wziąć gościa od IS? (information security)? Za chwilę też o roli CISO, czy konsultanta.
3. Liczenie kasy. Mało która korporacja zdecyduje się na wydanie kasy tylko po to, żeby mieć "społecznego inspektora GIODO". A tak w wielu przypadkach postrzega się ABI.
4. Informacje. I ich waga. Każdy system bezpieczeństwa informacji zaczyna się od wartościowania. A potem dalej co z nimi. Same dane osobowe nie są KRYTYCZNĄ z punktu widzenia biznesu kwestią. Inaczej - odpowiedzialność karna (potencjalna) nie jest równoważna z potencjalną stratą wielkich rozmiarów w działaniach firmy. A to oznacza, że niektóre informacje są nieco wyżej klasyfikowane. Przy czym wiele danych osobowych przy konkret projektach są jednocześnie danymi osobowymi (bardzo mocno chronione są dane osób realizujących projekty).
5. W większości firm tego typu zarządzanie bezpieczeństwem informacji wygląda zupełnie inaczej. CISO, czy ISO - inforation security officer, lub specialist często są na tzw. wewnętrznym rynku. Wygląda to tak, że project manager global brandu, czy jakiegoś bardziej lokalnego ma uprawnienia do doboru sobie zespołu realizującego zadania. I to właśnie ten PM (project manager) odpowiada za bezpieczeństwo informacji.
Konkludując - nie da się wprost zastosowac ABI do korpo. Mało tego - stanowisko takie jest bardzo nieefektywne i nie ma czasem w ogóle sensu, bo za bezpieczeństwo informacji w danym projekcie odpowiada PM. A więc zespół ochrony informacji często jest dużo mocniejszy i ma naprawdę poważne kompetencje niż samodzielny ABI.
A teraz o skuteczności. Płyta Kazika wyszła do internetu na kilka tygodni przed oficjalną premierą. Informacje o pergaminie czy woreczku do pieczenia - jak widać firmy sie podzieliły (pytanie którą kto skosił). Już nie mówię o wyciekach danych osobowych w wielu firmach, w tym do dziś bawiące "głębokie ukrycie" CV kandydatów w jednym z banków.
Ale jakoś nie widać, aby książka Harrego Pottera wyszła na zewnątrz, czy produkty czołowych marek były kopiowane przed wyjście na rynek.
Dlatego mam prośbę. Oceniając rozwiązania w bezpieczeństwie informacji korporacji międzynarodowych:
1. Nie wbijajmy ich w nasze ramki. Naprawdę sporo zabawy maja pracują globalnie i próbując zrealizować zasady które w każdym zakątku świata będą w miarę podobne
2. JW - tylko z powodów praktycznych. Wiele korpo jest na poziomie dużo wyższym niż tylko ochrona danych osobowych i technologicznie i proceduralnie.
3. W korpo liczy się elastyczność i kasa.
Ot tak mnie naszło ... ;-)
PS większość korpo ma speców od bezpieczeństwa informacji, którzy de facto wykonują zadania ABI, ale w spośób nieco podzielony. A odpowiedzialność i tak mają w wielu przypadkach jak ABI, bo... 51 mówi o osobach zobowiązanych do ochrony danych. Więc.... wystarczy dobrze zrobiony zakres obowiązków i do przodu.