Jakimi danymi zarządzacie jako agencja i jakie zagrożenia są z tym związane?
Albedo Marketing specjalizuje się w programach lojalnościowych B2B i wsparciu sprzedaży przez aktywacje konsumenckie. Realnie gromadzimy trzy rodzaje danych: dane ogólnodostępne, do których wgląd ma każdy, dane stanowiące tajemnicę firmy (TF) oraz dane osobowe (DO).
Najbardziej newralgiczne są oczywiście dane osobowe oraz dane stanowiące tajemnicę firmy. Do danych stanowiących tajemnicę firmy zaliczamy m.in. te, które otrzymujemy od naszych klientów, np. dane finansowe, inne poufne materiały, które są niezbędne do dalszej pracy na powierzonych przez naszych klientów projektach, dane gospodarcze oraz informacje o naszych kontrahentach, a nawet projekty graficzne.
Zobacz również
Największe zagrożenie związane z zarządzaniem danymi to ich wyciek lub utrata (np. poprzez awarię systemu IT).
Czym takie zagrożenia mogą skutkować dla agencji? Na jakie kary i reperkusje może zostać ona narażona?
Skutki mogą być naprawdę bardzo poważne. Od strat finansowych, liczonych nawet w milionach złotych, po straty wizerunkowe związane z nagłym spadkiem zaufania klientów, utratę wiarygodności na rynku. Skutki te mogą wpłynąć na poważną destabilizację sytuacji w firmie.
Praktycznie z większością klientów mamy podpisane umowy o zachowaniu poufności (NDA). Jako agencja mamy zawarte w nich określone obowiązki i podchodzimy do tego bardzo rzetelnie, mając świadomość, że dla klientów przekazywane nam dane są bardzo ważne w ich działalności biznesowej. Sama obietnica, że będziemy dyskretni, nie wystarczy – za dużo rzeczy może pójść nie tak, dlatego potrzebujemy systemu, który pomoże nam realizować nasze zobowiązania.
Movember/Wąsopad: jak marki zachęcają do profilaktyki męskich nowotworów [PRZEGLĄD]
Czy często agencje są narażone na tego typu zagrożenia związane z przechowywaniem i zarządzaniem danymi?
Bardzo. Być może nawet bardziej agencje niż inne przedsiębiorstwa. Wysokie tempo działań, duża rotacja pracowników, wiele projektów dla wielu klientów, olbrzymia ilość pozyskiwanych danych, szybko zmieniająca się sytuacja, wieczny niedoczas – to wszystko czynniki, które nie pomagają troszczyć się o dane.
Słuchaj podcastu NowyMarketing
Rzecz w tym, iż w moim odczuciu wiele agencji nadal uważa, że gdy pracujemy dla klienta, to liczą się tylko błyskotliwa strategia, kreacja, która zwraca uwagę i sprawna egzekucja. Że tylko to buduje wartość agencji. A reszta? Jakoś to będzie, poradzimy sobie. W efekcie obszar związany z bezpieczeństwem informacji jest, delikatnie mówiąc, zaniedbany. Część agencji w ogóle nie zdaje sobie sprawy z zagrożeń, na które są narażone. Całe szczęście jednak, że polski rynek reklamowy przez ostatnie lata się profesjonalizuje: w agencjach pojawiają się HR-owcy, specjaliści od komunikacji wewnętrznej, logistycy, informatycy, a także… specjaliści od bezpieczeństwa informacji. Trzeba przyznać, że częściowo te zmiany wymuszają klienci, formułując konkretne oczekiwania wobec partnerów lub wpisując w przetargi odpowiednie wymagania dot. bezpieczeństwa danych.
Jak w takim razie agencje mogą przeciwdziałać tego typu sytuacjom? Jakie standardy wdrożyć, jakich norm przestrzegać?
Na niektóre sytuacje ciężko mieć 100% wpływ, np. na atak hakerski, ale można zminimalizować ryzyko. Są też takie, na które możemy mieć duże oddziaływanie, np. w zakresie zabezpieczeń sprzętu, tworzenia dodatkowych kopii zapasowych czy standardów przechowywania dokumentów i danych.
Kluczem jest dobrej klasy fachowiec z zakresu administrowania systemami informatycznymi, który powinien proponować rozwiązania dotyczące zabezpieczeń systemu IT. Z mojej perspektywy jednak wdrożenie ISO okazało się mimo wszystko najbardziej sensowne głównie z tego powodu, że system cały czas będzie weryfikowany podczas kolejnych audytów. Bezustannie więc wymaga od nas nadzoru i konsekwencji w jego usprawnianiu. Więc nie jest tak, że „mamy to” i możemy już przestać się starać.
Na czym polega taki proces certyfikacji ISO 27001 i czego dokładnie dotyczy? Jak wyglądał on w Waszym przypadku, jakie podjęliście działania?
Sam proces był dość skomplikowany i czasochłonny. Prace rozpoczęliśmy w październiku 2021 r. Najpierw powołaliśmy zespół projektowy, w skład którego wchodzili: pełnomocnik zarządu ds. wdrożenia ISO, przedstawiciel zarządu Albedo, inspektor RODO, ASI (administrator systemów informatycznych) oraz szefowie zespołów. Rozpoczęcie prac otwierał audyt wstępny, który związany był z poznaniem naszej organizacji pod kątem specyfiki naszej pracy, klientów, schematu organizacyjnego, procesów.
Dalej rozpoczęły się szkolenia z wymagań normy ISO oraz opracowanie analizy ryzyka. Najbardziej istotnym elementem było stworzenie polityk bezpieczeństwa wg ISO 27001 i wdrożenie procedur w życie. Realnie to cała księga opracowanych procedur, która reguluje m.in. politykę postępowania z informacją, klasyfikację informacji, odpowiedzialności i uprawnienia pracowników, zasady korzystania z oprogramowania etc. Ważnym aspektem było przygotowanie też planu ciągłości działania, czyli zasad postępowania w różnych przypadkach, np. spowodowanych awarią serwera, kradzieżą sprzętu czy awarią zasilania. Dzięki temu w przypadku zaistnienia incydentu wiemy, co mamy robić i w jakim czasie.
Po opracowaniu całej dokumentacji oraz szkoleniach rozpoczęły się audyty wewnętrzne, których celem była weryfikacja etapu wdrożenia całego systemu w Albedo. Po audytach i omówieniu działań poaudytowych przeprowadziliśmy przegląd zarządzania i wprowadziliśmy niezbędne korekty. Ostatnim elementem były dwa audyty certyfikujące (wstępny i ostateczny) i oczekiwanie na decyzję jednostki certyfikującej, którą otrzymaliśmy w maju 2022. Była oczywiście pozytywna.
W trakcie całego procesu musieliśmy zrewidować niektóre aspekty, m.in. wprowadzić korekty i dodatkowe zabezpieczenia w naszej infrastrukturze IT oraz w zabezpieczeniach fizycznych w naszej siedzibie. Sam audyt certyfikujący był bardzo szczegółowy, opierał się na próbkowaniu, weryfikacji fizycznej, np. użytkowanego oprogramowania i jego zabezpieczenia czy rozmów z pracownikami w kontekście opracowanych polityk bezpieczeństwa.
Co jest najtrudniejszego dla agencji w takim procesie?
Wdrożenie, i to w dwóch aspektach. Wdrożenie systemu, ale także odpowiedniej mentalności w organizacji. Bardzo ważne jest, aby wdrożenie procesu i jego funkcjonowanie nie było postrzegane przez pracowników jako element utrudniający im pracę. Ważne jest, aby każdy znał cel wdrożenia ISO i szerszy kontekst. Wydaje mi się, po zakończeniu wdrożenia i z codziennej obserwacji, że się nam to udało.
A z jakimi kosztami się to wiąże?
Dokładnych nie chciałbym zdradzać, zresztą taki proces oprócz pieniędzy kosztuje także drugą najcenniejszą walutę w agencji: czas i zaangażowanie pracowników. Ale ujmę to tak: koszt wdrożenia ISO jest wielokrotnie niższy niż koszty, które wiążą się z potencjalnymi konsekwencjami wydarzeń, przed którymi procedura ISO zabezpiecza. Więc rachunek jest tu (mimo że wysoki) w gruncie rzeczy bardzo prosty.
Jak posiadanie przez firmę tego typu certyfikatu i przestrzeganie norm ISO wpływa na dalszy jej rozwój i podejmowane współprace biznesowe? Czy tego typu działań oczekują potencjalni partnerzy biznesowi?
Wydaje mi się, że najważniejsze jest to, iż jesteśmy postrzegani przez naszych klientów jako firma, która przykłada dużą wagę do bezpieczeństwa danych i informacji i jest to dla nas kwestia priorytetowa.
Dzięki wdrożeniu ISO 27001 i certyfikacji nasi klienci mają pewność, że ich dane są odpowiednio chronione i zabezpieczone. To niewątpliwie stanowi wartość dodaną przy współpracy i uwiarygodnia nas jako partnera biznesowego. Dodatkowo nasi klienci mają gwarancję, że jako agencja spełniamy konkretne, mierzalne i porównywalne normy w zakresie bezpieczeństwa informacji, czego dowodem jest certyfikat niezależnej instytucji.
Jakich porad udzieliłbyś innym agencjom w kwestii bezpieczeństwa danych i wdrażania norm ISO z tym związanych?
Przede wszystkim, aby przykładać większą uwagę do tych obszarów i nie bać się inwestować w rozwiązania, które poprawią bezpieczeństwo danych. To ważne także dlatego, że konsekwencje mogą być opłakane w skutkach i w skrajnych przypadkach całkowicie zdestabilizować funkcjonowanie agencji.