Ocena ryzyka i zasad postępowania z ryzykiem

Po dokonaniu analizy ryzyka IT wiadomo, jakie w organizacji występują zagrożenia dla bezpieczeństwa systemów oraz przetwarzanych w nich zasobów w postaci danych osobowych oraz jakie mogą być konsekwencje wystąpienia tych zagrożeń. Kolejnym krokiem jest podjęcie decyzji, co zrobić ze zidentyfikowanymi ryzykami.

Występują cztery podstawowe reakcje na ryzyko:

  1. redukcja ryzyka,
  2. akceptacja ryzyka,
  3. przekazanie ryzyka,
  4. uniknięcie ryzyka.

 

  1. Redukcja ryzyka – może być realizowana na kilka sposobów, ale najczęściej jest to implementacja odpowiednich korekt w systemie (np. wprowadzenie aktualizacji nieaktualnego oprogramowania, załatanie podatności w aplikacjach, zastosowanie odpowiednich środków bezpieczeństwa fizycznego oraz organizacyjnego).
  2. Akceptacja ryzyka – w przypadku kiedy ryzyko jest małe, a potencjalna redukcja ryzyka kosztowna, można podjąć decyzję o zaakceptowaniu ryzyka. Jednak kryteria akceptacji ryzyka powinny być odpowiednio określone w polityce bezpieczeństwa.
  3. Przekazanie ryzyka – może przybrać formę ubezpieczenia od ryzyka (postępowanie znane np. w przypadku ubezpieczenia nieruchomości od zdarzeń losowych; dla zagrożeń IT rzadko w Polsce stosowana), ale również outsourcingu, czyli przekazania ryzyk do innej firmy wraz z odpowiedzialnością za nie, co powinno być określone w odpowiednich porozumieniach lub umowach powierzenia.
  4. Uniknięcie ryzyka – jeśli ryzyko jest duże, a system, w którym ono występuje, nie przynosi odpowiednich korzyści, wówczas najkorzystniejsze jest zrezygnowanie z eksploatacji danego systemu (a zarazem uniknięcie ryzyka).

Właściwe zarządzanie ryzykiem przez administratora lub podmiot przetwarzający dane pozwoli na określenie poziomu ryzyka i ocenę poziomu bezpieczeństwa dla przetwarzanych danych osobowych, dając odpowiedź na pyta­nie, czy ten poziom jest akceptowalny. W przypadku gdy poziom bezpieczeństwa nie daje gwarancji uniknięcia ryzyka związanego z incydentami lub zagrożeniami, należy wdrożyć środki techniczne i organizacyjne zapewniające właściwą ochronę przetwarzanych danych i adekwatne do zniwelowania zidentyfikowanych i oszacowanych ryzyk.