На прошлой неделе провели с Ксенией Шудровой (RISC) и Денисом Лукашем (Infobip) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом.
Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO, происходящих из нормативных требований и лучших практик. Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео .
Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта.
Рекомендую вам самостоятельно ознакомится с записью вебинара , и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения:
· “точка зрения юриста является преобладающей”
· “мы не видим, что целью закона 152-ФЗ является защита персональных данных”
· “закон не про защиту данных бизнеса”
· “какой риск аппетит у бизнеса?”
· “в большой компании изменение бизнес процесса из-за предписание будет стоить очень дорого”
· “нужно сразу строить правильные бизнес процессы, которые не потребуется менять долгие годы”
· “к CEOили правлению нужно приходить не с проблемой, а с решением”
· “DPOдолжен уметь переводить нарушения прав субъектов на бизнес риски”
· “privacyдля небольших типовых компаний легче делать с использованием внешнего аутсорсера. Стандартные риски”
· “знание процессульного права необходим, когда мы делаем анализ рисков для бизнес процесса”
· “когда в организации есть человек занимающийся защитой данных, также принимает много организационных мер, почему бы не разработать ещё организацией обработки”
· “так как штрафы маленькие, то юристам совершенно не интересно заниматься этой темой”
· “хорошо, когда работает рабочая группа в тесном взаимодействии”
· “большой драйвер персональных данных использовался для того, чтобы решать проблемы ИБ”
· “во многом современный CISO уже умеет разговаривать с бизнесом на одном языке и доносить информацию о рисках”
· “безопасники лучше анализируют информационные системы и ИТ-процессы”
· “непрофильную активность спихиваем на аутсорсинг”
· “хочется переложить часть рисков, часть ответственности и получить поддержку при проверках”
· “С чего начать: бизнес строится вокруг внешних взаимодействий. Нужно провести ревизию всех внешних договоров, контрагентов и обязательств.”
· “С чего начать: проанализировать бизнес процессы, выявить слабые места”
· “Безопасник должен уметь слушать представителей бизнеса”
· “Инженер ИБ по верхам читает законы”
· “Подход с тем чтобы раз в 3 года выполнять проект по актуализации документов показал свою неэфективность”
· “прежде чем выходить на руководство с информацией об изменениях законодательства, нужно проанализировать затраты на изменения процессов, возможные риски и подготовить несколько вариантов действий”
· “аутсорсер как правило готовит дайжест по изменению законодательства с выводами на какие компании и сферы деятельности распространяется, какой типовой порядок действий необходимо предпринять”
· “нет готовых коммерческих курсов для DPO на русском языке, полезная информация скорее на небольших семинарах, вебинарах экспертов”
· “полезно пройти обучение по GDPR даже для российских DPO, так как дает хорошее понимание именно в privacy”
· “при планировании инструктажей сотрудников нужно в первую очередь ориентироваться на бизнес-риски. Решаем задачи бизнеса”
· “аутсорсер как правило ориентируется на типовые вводные инструктажи по законодательству, разработанным политикам и регламентам”
· “не забывать про системы дистанционного обучения и готовые микрокурсы повышения осведомленности”
· “лучше начинать повышение осведомленности с раскрытия угрозы фишинга”
· “внутренние проверки лучше начитать с наиболее высоких рисков”
· “аутсорсер предпочитает типовые внутренние проверки, по которым есть сложившаяся практика и наибольшая вероятность нарушений”
· “в первую очередь проверить аттестованные системы”
Слайды презентации c вебинара традиционно можно скачать в группах в VK и FB
