SoD (Separation of Duties) je klíčovým konceptem vnitřní kontroly a jedním z nejtěžších – a občas i nejdražších – projektů na zavedení. Cíl se splní rozmělněním úkolů a privilegií týkajících se konkrétního bezpečnostního procesu či projektu mezi vícero pracovníků.
Princip oddělení povinností je dobře známý ve finančních účetních systémech. Společnosti všech velikostí chápou, že nelze kombinovat role typu příjem plateb na účet a schvalování, vkládání peněz a archivování bankovních výpisů a podobně. Koncept získává na ještě větší důležitosti i díky různým regulačním povinnostem podniků.
Co je SoD?
Ve vztahu k bezpečnosti má oddělení povinností dva základní cíle: prvním je prevence střetu zájmů, podvodů a chyb. Druhým je pak odhalení selhání, které zahrnují narušení bezpečnosti, krádež informací a obejití bezpečnostních systémů.
Správné oddělení povinností má zajistit, že jednotlivci nemají za úkol povinnosti, které jsou vzájemně v konfliktu, nebo nejsou třeba zodpovědní za podávání zpráv sami na sebe nebo třeba svého nadřízeného.
Existuje jednoduchý test fungování oddělení povinností. Nejdříve zjistěte, zda jakýkoli jednotlivec může změnit nebo zničit finanční data bez toho, aby byl odhalený. Zadruhé se zeptejte, zda může jednotlivec ukrást či odeslat data cizí firmě.
Zatřetí zjistěte, jestli má některý jednotlivec kontrolu nad designem, implementací a reportingem efektivity bezpečnostních opatření.
Odpovědí na všechny tyto otázky by mělo být suverénní ne. Pokud je tomu jinak, zvažte proměnu vnitropodnikového rozložení povinností a zodpovědností.
Jednotlivci zodpovědní za návrh a implementaci zabezpečení by také neměli být tou samou osobou, která zabezpečení následně testuje, dělá bezpečnostní audity nebo zabezpečení monitoruje.
Jednotlivec odpovědný za kybernetickou bezpečnost by neměl být podřízeným IT ředitele, jak tomu tradičně bývá.
Přinášíme několik způsobů, jak zajistit správné oddělení povinností.
- Jednotlivec zodpovědný za reporting informační bezpečnosti by měl být podřízeným vedoucího pracovníka auditorské komise.
- Využívejte třetí stranu na monitoring bezpečnosti, podnikejte nečekané bezpečnostní audity a testování bezpečnosti.
- Jednotlivec (ředitel IT bezpečnosti) zodpovědný za informační bezpečnost by se měl zodpovídat správní radě.
- Jednotlivec (ředitel IT bezpečnosti) zodpovědný za informační bezpečnost by měl reportovat internímu auditu, pokud ale ten nespadá pod manažera v čele firemních financí, jako je třeba finanční ředitel.
GDPR a SoD
GDPR vyžaduje, aby podniky chránily osobní data a soukromí obyvatel Evropské unie pro transakce, které se u členských zemí EU uskutečňují. GDPR však také reguluje export osobních dat mimo území EU.
Regulace rovněž vyjmenovává jednotlivé pozice ve společnosti, které jsou zodpovědné za dodržení nároků nařízení. To znamená, že společnosti je musejí pečlivě zhodnotit a nutné změny zavést.
Pracovními pozicemi, které GDPR očekává, že budou za zavedení nutných změn zodpovědné, jsou správce osobních dat, zpracovatel osobních dat a pověřenec pro ochranu osobních údajů (DPO, Data Protection Officer).
Správce dat definuje, jak jsou osobní data zpracovávána a pro jaké účely. Správce je také zodpovědný za dodržování podmínek u externích smluvních partnerů.
Zpracovatelé dat mohou být součástí interních skupin, které data uchovávají a zpracovávají nebo také to mohou být outsourcingové firmy, jež všechny výše vypsané aktivity (nebo jen některé) pro příslušnou firmu zajišťují.
Z úniku dat nebo nedodržení podmínek viní GDPR právě zpracovatele dat. Je tedy například možné, že jak vaše společnost, tak její partner – zpracovatel, jako je třeba cloudový poskytovatel, budou za únik dat nebo nedodržení podmínek potrestáni.
GDPR vyžaduje, aby správce a zpracovatelé určili pověřence pro ochranu osobních údajů, který bude dohlížet na datovou bezpečnostní strategií a dodržování GDPR.
Společnosti, které musejí pověřence pro ochranu osobních údajů mít, jsou ty, které zpracovávají nebo uchovávají velké množství informací o obyvatelích Evropské unie, uchovávají či zpracovávají zvláštní osobní data nebo pravidelně monitorují data subjektů, případně jsou veřejnou autoritou.
GDPR také jasně určuje podmínky vnitřní archivace informací, a že pověřenec pro ochranu osobních údajů bude povinná pracovní pozice pro ty kontroly a zpracovatele, jejichž základní povinnosti zahrnují pravidelný monitoring dat velkého množství subjektů, zpracovávání speciálních kategorií dat nebo dat týkajících se zločinů.
Pověřenec pro ochranu osobních údajů je tedy naprosto klíčovou osobou pro fungování firmy pod novým nařízením. GDPR určuje, že DPO:
- Musí být jmenovaný na základě profesních kvalit a především expertních znalosti zákonů o ochraně dat a jim odpovídající praxe.
- Může být zaměstnancem firmy nebo externím poskytovatelem služeb.
- Musí mít k dispozici nutné zdroje, které potřebuje k vykonávání svých úkolů a udržení expertních znalostí.
- Musí se zodpovídat přímo nejvyššímu managementu firmy.
- Nesmí vykonávat jiné úkoly, které by byly v konfliktu zájmů.
Důležitost SoD
Oddělení povinností zůstává velmi důležitým bezpečnostním principem. Je klíčové, aby mezi implementací, vývojem a testováním bezpečnosti existovalo oddělení povinností, které sníží riziko zločinné aktivity nebo neoprávněného přístupu k důležitým informacím.
Povinnosti musejí být mezi jednotlivce odděleny, tak aby omezily možnost a lákavost neoprávněného zneužití dat či jiného podvodu.
Pamatujte, že oddělení povinností nejen ve finanční, ale i v IT sféře bude nyní ještě důležitější právě kvůli GDPR, jež nařízení definuje nové střety zájmů, jimž se bude nutné vyhnout.
Kontrolní techniky kolem SoD navíc podléhají kontrole ze strany externích auditorů. Auditoři v minulosti uváděli tento problém jako významný nedostatek auditorské zprávy, když zjistili, že rizika jsou vysoká.
Tento příspěvek vyšel v Securityworldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU