Na czym polega praca administratora systemów?

Na czym polega praca administratora systemów?

Odpowiednie zarządzanie danymi osobowymi w firmie oraz ich bezpieczeństwo to podstawa w każdej organizacji. Każda firma musi stosować się zarówno do przepisów Europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO, jak i do Ustawy o Ochronie Danych Osobowych). Ani jedno, ani drugie nie określa jednak obowiązku zatrudniania pracownika na stanowisko ASI, czyli administratora systemów informatycznych. Definiują one tylko funkcję administratora danych, osób upoważnionych czy inspektora ochrony danych. Skąd wziął się więc administrator systemów informatycznych i na czym polega jego praca?

Kim jest administrator systemów (ASI)?

Administrator systemów informatycznych to osoba, która zobowiązana jest do zarządzania systemem informatycznym (wykorzystywanym w trakcie przetwarzania danych osobowych). Głównym zadaniem jest współdziałanie z inspektorem ochrony danych. Inspektor ochrony danych zajmuje się ochroną przetwarzanych przez organizację danych osobowych, jeśli chodzi o zabezpieczenia teleinformatyczne. To stanowisko miało szczególnie znaczenie przed 25 maja 2018 roku.

Jednakże uznano, że inspektor ochrony danych (IOD) bardzo często nie ma wystarczającej wiedzy dotyczącej zabezpieczeń w branży IT. Z tego powodu wśród pracowników, którzy zajmują się zarządzaniem i ochroną danych osobowych pojawiło się stanowisko: administrator systemów informatycznych. Administrator systemów jest odpowiedzialny za bezpieczeństwo danych osobowych, a także ma przeciwdziałać, żeby osoby niepowołane nie otrzymały dostępu do systemu, gdzie przetwarzane są dane osobowe.

Należy zdawać sobie sprawę z tego, że każda sekunda awarii witryny lub serwera oznacza utratę produktywności, przychodów i ogromne koszty przestojów. Biorąc pod uwagę liczne systemy operacyjne, konfiguracje sieci i kwestie bezpieczeństwa, o których należy pamiętać – bycie skutecznym administratorem systemu oznacza, że ​​administrator systemów (ASI) musi ciągle wzbogacać swoją wiedzę dotyczącą systemów teleinformatycznych.

Kto może być administratorem systemów (ASI)?

Osoba chcąca być ASI powinna posiadać niezbędną wiedzę na temat „techniki informatycznej” (IT), a także ciągle interesować się nowymi zagrożeniami oraz rozwiązaniami w tematyce bezpieczeństwa danych, pojawiającymi się na rynku. Wiedzę tę można uzyskać biorąc udział w specjalistycznych szkoleniach, konferencjach i innych spotkaniach, które są ściśle powiązane z tym tematem.

Z pełnieniem funkcji administratora systemów informatycznych wiąże się również szereg różnego typu formalności. Osoba, która pracuje wewnątrz w firmie, otrzymuje uprawnienia do przetwarzania danych osobowych. Chcąc nadać takie uprawnienia osobie zewnętrznej, trzeba zawrzeć adekwatne zapisy w umowie.

Idealny kandydat na administratora systemu będzie miał doświadczenie z bazami danych, sieciami, modernizacją sprzętu i oprogramowania, projektowaniem sieci, infrastruktury sieci LAN, rozwiązywaniem problemów z awariami sieci i użytkownikami oraz umiejętność przejrzystej komunikacji. Będzie również na bieżąco z najnowszymi protokołami bezpieczeństwa dla sieci LAN i rozległej (WAN) oraz umie edukować użytkowników, jak postępować z podejrzanymi wiadomościami e-mail i zasadą zachowania poufności informacji.

Na czym polega praca administratora systemów?

Podstawowe zadanie administratora systemów informatycznych, to współpraca z inspektorem ochrony danych. Współpraca ta odbywa się w zakresie kontroli przestrzegania zasad ochrony danych osobowych w firmie, jeśli chodzi o zabezpieczenia teleinformatyczne i obejmuje szereg zadań, do których należą następujące kwestie:

1. Współpraca w kwestii przygotowania, wdrażania oraz respektowania dokumentów związanych z ochroną danych osobowych przez pracowników

Przede wszystkim jest to związane z instrukcją zarządzania systemem informatycznym. Przepisy RODO nie wskazują bezpośrednio wystarczającego zakresu procedur w obrębie takiego dokumentu (w przeciwieństwie do przepisów, które obowiązywały wcześniej). W RODO istotna jest tak zwana zasada rozliczalności, w oparciu o którą administrator systemów ma obowiązek wdrożenia odpowiednich zabezpieczeń technicznych oraz organizacyjnych, a ich wykazanie musi być możliwe w ramach podjętej kontroli. Według RODO każda firma powinna przyjąć właściwą politykę, ale znów nie jest określony jej zakres. Obszary, które muszą być uregulowane zabezpieczeniem organizacyjnym w ramach odpowiedniej dokumentacji zostały podane przez Prezesa Urzędu Ochrony Danych Osobowych.

2. Współpraca przy okresowych kontrolach

Chodzi tutaj o kontrolowanie przestrzegania przepisów RODO, działania zwiększające wiedzę, szkolenie pracowników, którzy uczestniczą w procesach przetwarzania danych osobowych i inne procesy z tym powiązane. W przepisach nie ma jednak nic o tym, w jakich odstępach czasowych powinny być przeprowadzane takie działania. Praktyki stosowania przepisów, które obowiązywały przed RODO wskazały, że z powodu często występujących trudności, czasochłonności wdrażania zabezpieczeń oraz ich modyfikacji, a szczególnie na tempo pojawiania się kolejnych zagrożeń, a także to, jak szybko rozwijają się technologie, takie kontrole systemów informatycznych powinny być przeprowadzane przynajmniej 1 raz w roku.

3. Zabezpieczenie systemów przed złośliwymi oprogramowaniami

Zadaniem złośliwych oprogramowań i hakerów często jest właśnie uzyskanie dostępu do danych. Administrator musi sprawować piecze nad tym, by nie dostały się one w ręce kogoś nieuprawnionego. Podstawą są programy antywirusowe z aktualną bazą wirusów, które muszą zostać wdrożone nie tylko w systemach teleinformatycznych w firmie, ale także w systemach w służbowych, dostępnych zarówno w smartfonach czy tabletach.

4. Współpraca przy procesie analizy ryzyka

Analiza ryzyka jest procesem, podczas którego weryfikowane są obszary, które nie zostały zabezpieczone lub wymagają lepszej jakości zabezpieczeń,  ponieważ aktualne okazują się niewystarczające. Chodzi szczególnie o te, w których jest największe prawdopodobieństwo pojawienia się możliwych zagrożeń, co oznacza większe ryzyko dotyczące bezpieczeństwa danych osobowych. RODO tutaj również nie określa, jak często powinien być przeprowadzany ten proces. Istnieje jedynie informacja, że jest to proces ciągły, a nie jednorazowy. W Wytycznych Grupy Roboczej pojawia się, że analizę ryzyka warto wykonywać przynajmniej raz na 3 lata.

5. Dostosowanie do wymogów RODO systemów służących do przetwarzania danych

Polega to na zapewnieniu możliwości realizacji prawa do przenoszenia danych, ograniczenia przetwarzania czy zgłoszenia sprzeciwu w związku z podejmowanymi działaniami marketingowymi. Warto mieć tutaj na uwadze możliwości weryfikacji daty i godziny wyrażenia bądź wycofania takiej zgody.

6. Współpraca przy zapewnieniu ciągłości działania systemu

Zadaniem ASI jest również zabezpieczanie samych danych osobowych wraz z programami do ich przetwarzania, w czym chodzi o regularne wykonywanie kopii zapasowych. Do tego ASI musi zadbać również o przechowywanie tych kopii, żeby nie dostały się one w niepowołane ręce i ich modyfikację, uszkodzenie czy zniszczenie. Najczęściej kopie zapasowe są zapisywane poprzez nośniki zewnętrzne i zabezpieczane w miejscach z zakazem wstępu dla nieupoważnionych lub w strefie pożarowej.

7. Ochrona przed zagrożeniami z sieci publicznej

Ochrona taka polega na wdrożeniu fizycznych bądź logicznych zabezpieczeń, które chronią przed dostępem nieuprawnionych osób i oprogramowań. Mogą to być firewalle, filtry antyspamowe, VLAN-y, urządzenia, które mogą mieć dostęp do sieci produkcyjnych oraz inne rozwiązania uwzględniające określone technologie oraz środki finansowe na to przeznaczone.

8. Zapewnienie zasilania awaryjnego i zabezpieczenie przed zakłóceniami

Nagła przerwa w pracy urządzeń i programów do przetwarzania danych osobowych często powoduje ich utratę bądź wyciek. Najczęściej stosowane są tutaj urządzenia typu UPS, które podtrzymują sieć i serwery krytycznych systemów przed bezpiecznym wyłączeniem. Ważne jest zarówno wdrożenie systemu powiadomień o przełączeniu na zasilanie awaryjne.

9. Nadzór napraw oraz likwidacji sprzętu komputerowego

Przeznaczone do likwidacji, naprawy czy przekazania komuś nieuprawnionemu do przetwarzania znajdujących się na nich danych urządzenia i nośniki danych muszą zostać wyczyszczone z danych tak, by ich odzyskanie nie było w żaden sposób możliwe. Musi to odbywać się pod kontrolą administratora systemów, aby zostało to wykonane prawidłowo.

10. Kontrola przeglądów i konserwacji urządzeń oraz systemów służących do przetwarzania danych osobowych

Przeglądy i konserwacje powinny odbywać się wyłącznie przy użyciu oprogramowania, gdzie istnieje wsparcie producenta oraz regularne jego aktualizowanie. Proces przeglądów i aktualizacji nie powinien dotyczyć tylko systemów stosowanych na urządzeniach serwerowych i stacjach roboczych.

11. Zabezpieczenie pomieszczeń, gdzie przetwarzane są dane

Określone pomieszczenia muszą być zabezpieczone przed wstępem nieuprawnionych osób czy też innymi losowymi zdarzeniami.

Warto wspomnieć o tym, że wymienione zadania to nie wszystkie obowiązki ASI. To tylko jego podstawowe zadania. Często zakres wdrażanych i nadzorowanych przez niego zabezpieczeń jest większy niż wskazywany w przepisach, a działania są związane z innymi regulacjami, nie tylko bezpośrednio z RODO.

Bezpieczna sieć to podstawa – zagwarantuj ją sobie już teraz!

Na nic zda się ochrona danych osobowych we współpracy IOD z ASI, jeśli w firmie nie będzie wysokiej jakości sieci komputerowej i łącza internetowego. To zapewnić może firma ITH, która oferuje profesjonalne usługi sieciowe i internetowe, teraz dostępne w ramach tarczy antykryzysowej, jako usługa Freemium, z której można skorzystać do 31 grudnia 2022 roku.

W ramach tarczy można wypróbować usługi ITH, takie, jak łącze światłowodowe, publiczna podsieć IP i hosting za jedynie złotówkę i dopiero później podjąć decyzję o przedłużeniu korzystania z usług. Grupa ITH to prawdopodobnie pierwszy w pełni elastyczny operator telekomunikacyjny, który zrzesza wielu partnerów, oferujących rozmaite usługi związane również z budową firmowej sieci oraz jej ochroną. ITH zapewnia pełne bezpieczeństwo łącza.

Wystarczy wybrać najbardziej odpowiadający pakiet i sprawdzić, czy lokalizację firmy obejmuje tarcza ITH. Jeśli tak, w około 7 dni od zamówienia odbędzie się instalacja usługi ITH Net. Zakup usług jest naprawdę prosty, a same usługi można idealnie dopasować do potrzeb firmy. Nie warto zwlekać, ponieważ nie zostało już wiele czasu na wypróbowanie usług ITH w tak atrakcyjnej, promocyjnej ofercie. Warto sprawdzić usługi zanim trzeba będzie za nie zapłacić.