Analiza ryzyka w 4 krokach dla mikro podmiotu.

Małe podmioty często mają problem z przeprowadzaniem analizy ryzyka. Z jednej strony nie wiedzą jak się do niej zabrać, a z drugiej nie są pewne czy jest im ona potrzebna. RODO przecież nie nakazuję żadnej konkretnej metody. Teoretycznie właściciel jednoosobowej działalności gospodarczej zawsze może powiedzieć, że przeanalizował zagrożenia i stwierdził, że istniejące zabezpieczenia są adekwatne do zagrożeń.

Wymóg RODO

W jakim celu przeprowadza się bardziej udokumentowaną analizę ryzyka? Przede wszystkim by spełnić wymóg RODO jakim jest rozliczalność.

 

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Art. 5 ust. 2 RODO

1. Zasoby mikro przedsiębiorcy

Pierwszym krokiem w dokumentowaniu analizy ryzyka jest inwentaryzacja zasobów. W dużym uproszczeniu należy sporządzić spis wszystkich aktywów biorących udział w procesach przetwarzania danych osobowych. Przykładowo: budynki, personel, podmioty zewnętrzne, komputery, laptopy, smartfony, etc.

2. Identyfikacja zagrożeń

Kolejnym krokiem jest przypisanie zagrożeń wobec każdego z zasobów. W praktyce wystarczające będzie określenie po kilka zagrożeń które mogą wystąpić wobec zasobu. Przykładowo: pożar pomieszczenia, kradzież laptopa, awarii komputera, choroba pracownika.

3. Określenie prawdopodobieństwa

W celu określenia ryzyka dla każdego z zasobów potrzebna jest skala prawdopodobieństwa. Najprościej jest określić trzy poziomy prawdopodobieństwa: małe, średnie i wysokie. Kolejno definiujemy każdy z poziomów, np. małe prawdopodobieństwo oznacza że do zagrożenia nie doszło nigdy lub jest ono bardzo mało prawdopodobne.

Posiadając zdefiniowana skalę prawdopodobieństwa, możemy przejść do oceny jego wystąpienia wobec zagrożeń. Innymi słowy przypisujemy do każdego zasobu zagrożenie oraz prawdopodobieństwo jego wystąpienia.

4. Określenie skutków

W następnym kroku odpowiadamy na pytanie – Co się stanie jeżeli jednak zagrożenie się spełni ? tzn. dojdzie do np. kradzieży laptopa. Tu również powinniśmy posłużyć się skalą. Przykładowo: mały, średni i wysoki. Określamy że mały skutek oznacza że mikro przedsiębiorca jest nadal w stanie funkcjonować normalnie jednak praca jest nieco utrudniona. Gdy już opracujemy skalę skutków możemy przejść do przypisania wartości skutku do zagrożenia wobec konkretnego zasobu. Warto pamiętać, że czym innym jest analiza ryzyka z oceny skutków przetwarzania (DPIA), a czym innym analiza ryzyka wobec zasobów.

proces przeprowadzania analizy ryzyka
Analiza ryzyka - metodyka uproszczona

Wzór na ryzyko

Najprostszym wzorem określającym wartość ryzyka jest iloczyn prawdopodobieństwa i skutku. Innymi słowy mnożymy wartość prawdopodobieństwa przez wartość skutku i otrzymujemy wartość ryzyka. Wartość ryzyka sortujemy od największych do najmniejszych. Jedyne co musimy określić to tzw. “apetyt na ryzyko”, czyli które wartości ryzyka są akceptowalne, a które już nie. Przykładowo możemy określić że będziemy zajmowali się tylko ryzykami o wartości wysokiej i bardzo wysokiej, a pozostałe zostaną zaakceptowane (zachowane). Więcej o analizie ryzyka można doczytać tutaj:

https://mfiles.pl/pl/index.php/Arkusz_analizy_ryzyka

maryca prawdopodobieństwa i skutku
Matryca ryzyka

Postępowanie z ryzykiem

Ostatnim krokiem jest określenie metody postępowania z ryzykiem. Musimy zdecydować co będziemy robili z ryzykiem by obniżyć je do poziomu akceptowalnego. Istnieją trzy standardowe my postępowania z ryzykiem.

1) Redukcja ryzyka, czyli np. zastosowanie silniejszych zabezpieczeń tak by obniżyć jedną z wartości wpływających na wartość ryzyka.
2) Transfer ryzyka, czyli najczęściej przeniesienie ryzyka na inny podmiot np. skorzystanie z outsourcingu.
3) Unikanie ryzyka, czyli zmiana polegająca na odstąpieniu od działań powodujących ryzyko.

Korzystając z powyższych propozycji przygotowujemy i planujemy w czasie konkretne działania, które mają na celu obniżenie ryzyka.

Mikro przedsiębiorca powinien przeprowadzić analizę ryzyka, gdyż rozliczalność jest ważnym wymogiem RODO. Jak wynika z powyższego opisu nie jest to działanie bardzo skomplikowane, a pozwoli mikro przedsiębiorcy uniknąć negatywnego wyniku kontroli organu nadzorczego. Jednak największą wartością przeprowadzenia analizy ryzyka jest uniknięcie rzeczywistych zagrożeń, które mogą spotkać każdą organizacje.