Wywiad miesiąca.
Panuje Pan nad dokumentami w swojej firmie?
Iron Mountain Polska jest światowym liderem w dziedzinie skutecznego zarządzania informacją. Mamy doświadczenie globalne od ponad 60 lat, a w Polsce od 18. Tak długa i stabilna obecność na rynku jest dowodem, że jesteśmy w tym naprawdę niezawodni.
Przez te wszystkie lata, staramy się uczyć przedsiębiorców jak skutecznie panować nad przetwarzanymi w firmie informacjami. Firma Iron Mountain pomaga organizacjom na całym świecie zmniejszać koszty i ryzyko związane z ochroną i przechowywaniem informacji. Oferujemy kompleksowe usługi w zakresie zarządzania dokumentacją, ochrony danych i niszczenia informacji, jak również usługi doradcze i project management w zakresie ekspertyz i analiz z zakresu archiwów i zarządzania informacją.
Posiadamy wiedzę i doświadczenie niezbędne do rozwiązywania skomplikowanych problemów związanych z zarządzaniem informacją, jej bezpiecznym przechowywaniem i niszczeniem.
Posiadamy niezawodnych specjalistów, od których czerpiemy wiedzę jak panować nad dokumentami wewnątrz firmy. Dlatego wszyscy pracownicy w IM świetnie radzą sobie również z dokumentami na własnych biurkach.
Już wyjaśniam dlaczego takie pytanie jako pierwsze zadałem – otóż społeczeństwo XXI w., które szumnie socjologowie określają mianem „społeczeństwa informacyjnego opartego na wiedzy” jest wręcz „zalewane” ilością informacji. W skali organizacji jest to już znaczący problem – uogólniając istnieją narzędzia by nad tym „potopem” zapanować?
Iron Mountain Polska stosuje i promuje kilka zasad, które mają pomagać przedsiębiorcom w panowaniu nad potopem informacyjnym.
Stosujemy takie zasady również wewnątrz co pozwala nam świecić przykładem również na zewnątrz.
8 WSKAZÓWEK, JAK CHRONIĆ INFORMACJE BIZNESOWE
- Uporządkuj dane – odpowiedź na pytanie „co mam i gdzie to jest?” to podstawowa zasada bezpiecznego zarządzania informacjami. Źle opisane dane nie tylko niekorzystnie wpływają na efektywność pracy, ale zwiększają też ryzyko utraty informacji. Trzeba stworzyć model przechowywania danych, który pokaże, jakie informacje mamy i gdzie są zlokalizowane. dotyczy to zarówno danych tradycyjnych (dokumenty papierowe) jak i elektronicznych.
- Oszacuj ryzykowne dane, oceń zagrożenia – zrozumienie niebezpieczeństw pozwala odpowiednio chronić dane, umożliwia znalezienie metody przeciwdziałania. Zwykła ocena zagrożenia pozwoli w bezpieczny i kompleksowy sposób ochronić powierzone informacje.
- Upewnij się, że możesz odzyskać dane – możesz przechowywać dane na nośnikach, w zewnętrznych archiwach (poza Twoją firmą). Odkryj „chmurę”, jako bezpieczne rozwiązanie do przechowywania informacji, szczególnie tych, które muszą być szybko udostępniane. Powyższe rozwiązania wraz z Disaster Recovery (odzyskiwanie danych po awarii) i Planem Ciągłości Działania stanowią najbardziej niezawodne rozwiązanie, jak nie utracić powierzonych danych.
- Ustaw uprawnienia dostępu – uprawnienia dostępu do danych muszą być skrupulatnie kontrolowane. Model firmowej polityki wewnętrznej ochrony danych, zezwalający na informację o użytkowniku, powinien bazować na specjalnym zezwoleniu lub stanowiskach. Uprawnienia dostępu muszą być czasowo sprawdzane.
- Przestrzegaj ustawowego okresu przechowywania danych – tak samo jak zwiększa się liczba przepisów regulujących przechowywanie danych, rośnie również liczba kar za ich naruszenie. Pamiętajmy o sprawdzaniu ustawowych okresach przechowywania danych.
- Jeden za wszystkich, wszyscy za jednego – musisz mieć poparcie Zarządu we wszelkich działaniach związanych z polityką ochrony danych. To ułatwi Twoją pracę. Skorzystaj z procesu oceny ryzyka i wskaż obszary biznesu, które są najbardziej zagrożone.
- Szkolenia, szkolenia, szkolenia! – pracownicy muszą być regularnie szkoleni w zakresie zasad bezpieczeństwa danych oraz reguł, które ustawowo dotyczą danych wrażliwych. Ludzie są najsłabszym ogniwem i największym zagrożeniem przy nadużyciach związanych z ochroną informacji. Ale odpowiednio wykwalifikowani mogą być również najlepszą obroną.
- Kompetencje – nie wahaj się prosić o pomoc! Jest wiele organizacji, które mogą ci pomóc w spełnianiu wymogów ochrony informacji. Najlepszym rozwiązaniem jest umożliwienie, szkolenie i egzekwowania polityki bezpieczeństwa informacji. W połączeniu mogą doprowadzić do współpracy z ekspertami z branży i zapewnić bezpieczne zarządzanie informacjami.
Współcześnie archiwizacja łączy się z digitalizacją – jak Pan ocenia proces cyfryzacji polskich firm jak i podmiotów publicznych?
Niestety nawet rewolucja informatyczna nie wyeliminowała z naszych domów i biur drukarek i skanerów. Sklepy internetowe, systemy poczty e-mai wywołały boom na drukowanie maili, potwierdzeń zamówień i otrzymywanych faktur. Rozwój technologiczny tych urządzeń sprawia, że koszty wydruku i skanowania spadają regularnie o kilkadziesiąt procent. Wiele istotnych dokumentów, pokwitowań, czy kontraktów ma wciąż papierową postać. Jak wskazują statystyki , w ciągu ostatnich trzydziestu lat, a więc w okresie intensywnej rewolucji informatycznej, zużycie papieru na świecie wzrosło o 50%.
Prawdopodobnie era papieru kiedyś się skończy a wersja papierowa odejdzie do lamusa. Zanim to jednak nastąpi trzeba się liczyć z faktem, że z wersji papierowej wcale nie trzeba rezygnować.
Obecnie rynek papieru biurowego w Polsce pierwszy raz w historii się skurczy o ok. 1%-2% w skali roku, w Europie Zachodniej to tempo spadku jest na poziomie ok. 5%-7% i trwa już od wielu lat. Nadal jednak w Polsce konsumpcja papieru biurowego to ok. 160 tyś ton rocznie, co daje nam ok. 32 miliardy stron papieru A4 rocznie drukowanych, niszczonych, archiwizowanych, skanowanych, wysyłanych i zagubionych (ok. 64 miliony ryz papieru). Przy takim tempie spadku za 10 lat nadal to będzie kilkadziesiąt milionów ryz papieru rocznie.
Digitalizacja stanowi nierozłączny element bezpiecznego przechowywania dokumentów. Dziś, kiedy nadal lubimy drukować traktujmy digitalizację jako kolejny krok ku zmniejszeniu ryzyka utraty informacji. Musimy pamiętać, ze obecnie elektroniczna komunikacja wymusza digitalizację papieru, dokument papierowy często „otwiera” i „zamyka” proces.
Czy uwarunkowania prawne ograniczają postęp cyfryzacji i gdzie on ma granice?
XXI wiek często nazywany jest epoką informacji. Panuje przeświadczenie, że ludzka działalność opiera się głownie na nieustającej wymianie informacji. Postęp technologiczny umożliwia zbieranie informacji w tym danych osobowych. Dzięki coraz większym możliwościom, wzrasta również ryzyko naruszania prywatności i niepożądane konsekwencje.
Ustawodawca polski przewiduje nie tylko coraz więcej rozwiązań ale również pojawiają się kary za nieprzestrzeganie zasad dotyczących ochrony danych osobowych.
Przepisy prawa nie tylko zezwalają do sporządzanie elektronicznych wersji dokumentów. W niektórych przypadkach wręcz zakreślają obowiązek prowadzenia dokumentacji w takiej formie. Np. od połowy 2017 r. wprowadzony zostanie obowiązek prowadzenia dokumentacji medycznej w formie elektronicznej, zgodnie ze znowelizowaną ustawą o systemie informacji w ochronie zdrowia.
Warto podkreślić, że dane dotyczące zdrowia to w myśl ustawy o ochronie danych osobowych dane szczególnie chronione, rozporządzenie dotyczące dokumentacji medycznej.
Jako przykład można podać również proponowane zmiany do kodeksu pracy. Obecnie pracodawcy zobowiązani są do przechowywania dokumentacji pracowniczej aż 50 lat. W tym okresie bardzo często dochodzi do przeprowadzek, kataklizmów co w konsekwencji powoduje utratę przechowywanych informacji. W nowelizacji przepisów, ustawodawca przewidział obowiązek skanowania tzw. teczki kadrowej. Zmniejszyłoby to ryzyko utraty kluczowych danych osobowych służących do określenia wymiaru emerytury np. obecnego praktykanta w wieku 18 lat za ok. 50 lat jego pracy.
Jak duża organizacja powinna rozważyć wdrożenie kompleksowej polityki zarządzania dokumentacją?
Podkreślenia wymaga fakt rozróżnienia dwu polityk. Polityka bezpieczeństwa i polityka zarządzania dokumentacją.
Ta pierwsza powinna być nierozłącznym elementem każdego przedsiębiorstwa. Powinna być zbiorem reguł i procedur według których dana organizacja buduje, zarządza oraz udostępnia informacje. Określa ona, które zasoby i w jaki sposób mają być chronione. Polityka powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania). Najważniejsze jest, aby każdy pracownik miał dostęp do takiego dokumentu. Tu trzeba również dodać, że polityka bezpieczeństwa może również dotyczyć klientów firmy.
Przy planowaniu i wdrażaniu polityki należy zastanowić się czy przedsiębiorca będzie w stanie ponieść koszty jej wdrożenia w życie. Zwiększenie bezpieczeństwa odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce. Każdorazowo należy dokonać analizy ryzyka i ustalenia akceptowalnego poziomu ryzyka.
Przy zarządzaniu dokumentacją można przyjąć pewien cykl życia dokumentu, czyli moment jego wytworzenia (ustalenie celu i zakresu zbieranych informacji oraz sposobu wytworzenia dokumentu), sposobu użycia w procesach biznesowych czyli dookreślenia na jakich zasadach może odbywać się odczyt, edycja danego typu dokumentu, gdzie dokument będzie składowany, wymaganego czasu w jakim informacja ma być udostępniona oraz ostatnim etapie cyklu życia czyli ustalenia procesu usunięcia/zniszczenia dokumentu (ustalenie czasu w jakim dokument musi być usunięty oraz sposobu niszczenia informacji) i to wszystko z zapewnieniem adekwatnego poziomu bezpieczeństwa wyrażonego przez podstawowe atrybuty jakimi są poufność, dostępność, integralność i policzalność.
Przy przetwarzaniu informacji, tam gdzie jest to wymagane przewiduje się dokumentację szczegółową w postaci instrukcji dla użytkowników opisującą sposób pracy z danym dokumentem (papierowy i/lub systemem informatycznym), opisy obiegu dokumentacji w firmie, inwentaryzację i klasyfikację dokumentów z dookreśleniem wartości stanowiącej dla firmy, miejsce i czas składowania, ustalenie procedur udostępniania dokumentów oraz ich bezpiecznego zniszczenia jeżeli nie będą już potrzebne, zapewnienie właściwego poziomu bezpieczeństwa (z użyciem procesu analiza ryzyka). Wspomnianą dokumentację tworzymy z uwzględnieniem wymagań prawnych stanowiących otoczenie prawne danej firmy oraz wymagań kontraktowych.
Dlatego, wracając do samego pytania, każda organizacja może rozważyć wdrożenie kompleksowej polityki zarządzania dokumentacją, czy jest to biuro notarialne, producent okien pod Lublinem, salon samochodowy w Krakowie, hotel w Zakopanem czy największa sieć sklepów dyskontowych w Polsce. Różnić się mogą rozwiązania i zakres polityki, ale rdzeń pozostaje ten sam: skupiamy się na naszym głównym biznesie a zarządzanie dokumentacją powierzamy profesjonalistom, podobnie jak księgowość, IT, czasami rekrutację i kadry.
Ile czasu trwa wdrożenie usług takich jakie oferuje Iron Mountain i od czego jest to uzależnione?
Usługi IM są dostosowywane indywidualnie do potrzeb klienta w zależności od złożoności, czasu przejęcia dokumentów lub innych czynników.
IM dysponuje wykwalifikowaną i doświadczoną kadrą, przez co maksymalnie skracamy okres przygotowania i wdrożenia oferty.
Rekordowy miesiąc pokazał, że jesteśmy w stanie przenieść 100 000 kartonów od klienta do magazynu Iron Mountain w ciągu zaledwie kilku tygodni a w dużej firmie logistycznej od pierwszego telefonu z potrzebą do uruchomienia procesu skanowania dokumentów minęło 2 tygodnie, włączając w to etap projektowania procesów i spinanie systemów.
Nie można wprost powiedzieć ile czasu trwa wdrożenie. Są przypadki kiedy od momentu przedstawienia przez Iron Mountain Polska propozycji procesu do momenty wdrożenia to kilka do kilkunastu miesięcy. Zależy to od oczekiwań klienta, wielkości przedsiębiorstwa, od tego czego ma dotyczyć usługa (a mamy ich kilkanaście).
Najważniejsze jest, że coraz więcej osób korzysta z naszej eksperckiej pomocy – to świadczy tylko tym, że coraz więcej osób myśli nie tylko o oszczędności czasu i miejsca w firmie, przede wszystkim przedsiębiorcy coraz bardziej liczą się z konsekwencjami prawnymi i chcą eliminować ryzyko utraty informacji.
Oferujecie Państwo kilka „rozwiązań sektorowych” adresowanych do konkretnych branż – dlaczego akurat taki podział i co determinowało stworzenie takich rozwiązań”?
Iron Mountain Polska działa w kilku podstawowych płaszczyznach jakimi są, zarządzanie informacją i jej przechowywanie, kopie zapasowe i odzyskiwanie danych, skanowanie i digitalizacja oraz bezpieczne niszczenie.
Warto wspomnieć, że dla każdego klienta, który chce z nami współpracować jesteśmy w stanie dopasować ofertę tak aby sprostać najtrudniejszym zadaniom. Wymaga to oczywiście nakładu pracy oraz analizy ze strony IM ale ilość obsługiwanych klientów świadczy o tym, że przedsiębiorcy ufają nam i są zadowoleni.
Rozwiązania sektorowe determinowane są również przepisami prawa. Nadrzędna dla nas jest ustawa o ochronie danych osobowych i współpraca z GIODO, dopuszcza ona wiele rozwiązań, których np. nie dopuszcza już prawo bankowe i KNF. Są też jednostki budżetowe które podlegają pod prawo publiczne, są firmy energetyczne czy telekomunikacyjne i one tez mają swoje prawa i swoich regulatorów. Stąd stworzyliśmy kompetencje sektorowe i tak też dedykujemy swoich ludzi zarówno po stronie sprzedaży jak i po stronie Project Managementu przy wdrażaniu procesów.
Rośnie świadomość społeczeństwa w zakresie praw i obowiązków wynikających z ochrony danych osobowych itp. – jak ocenia Pan rozwój tej dziedziny?
Ustawa o ochronie danych osobowych na przestrzeni 18 lat zmieniła się prawie 30 razy. Jest kilka przepisów, które na pewno były znaczące nie tylko dla obywatela ale również dla osób, które zarządzają organizacjami.
Jedną z nich, która miała miejsce w 2010 roku jest możliwość nakładania kar finansowych przez GIODO. Praktyka wskazuje, że na dzień dzisiejszy nikt takiej kary nie potrzymał w Polsce, ale ustawodawca do tego dąży gdyż ilość naruszeń rośnie z każdym rokiem.
Ważną zmianą jest powołanie Administratora Bezpieczeństwa Informacji, które miało miejsce w styczniu 2015 roku. Obecność ABI w przedsiębiorstwie zwiększa nie tylko znajomość prawa w przedsiębiorstwie, daje również szereg możliwości związanych z kontrolowaniem polityki przetwarzania danych osobowych.
Należy pamiętać, że każda organizacja w posiadaniu informacji wymagających ochrony, niezależnie od wielkości i sektora, jest zagrożona. Dziś w dobie tak intensywnego rozwoju cyfryzacji, powszechnej inwigilacji oraz udostępniania informacji na swój temat nieustannie zwiększamy ryzyko utraty tożsamości. w czasach, gdy liczba naruszeń bezpieczeństwa danych, cyberataków i katastrof w mediach społecznościowych utrzymuje się na najwyższym poziomie w historii, przedsiębiorstwa są narażone na bezprecedensowe ryzyko. Widoczny jest ewidentny brak zaufania do organizacji, które doświadczyły naruszenia danych a te, które potrafią wykazać się właściwym podejściem wobec danych osiągną znaczną przewagą konkurencyjną. Spoczęcie na laurach, sprzeczne zachowania, złe praktyki zarządzania danymi i brak świadomości wartości informacji to nie tylko ryzyko dla przedsiębiorstw. Powstrzymują je przed osiągnięciem pełnego potencjału na rynku.
Iron Mountain Polska dba o popularyzację wiedzy z zakresu skutecznego zarządzania informacją w tym ochrony danych osobowych, czego przykładem są cykliczne warsztaty edukacyjne dla przedsiębiorców z całej Polski.
Zależy nam na budowaniu świadomości oraz aby przedsiębiorcy, że jesteśmy firmą, której można zaufać.
Moja rada dla przedsiębiorców ?
ANALIZUJ – Uzyskaj wsparcie zarządu w strategicznym podejściu do ochrony informacji: Opracuj skuteczną strategię ochrony informacji i monitoruj jej skuteczność. Wprowadź kulturę współodpowiedzialności
BĄDŹ ŚWIADOMY – Zidentyfikuj i wprowadź klasyfikację informacji: Wprowadź proces zarządzania informacjami (kto, co i jak). Określ proces kontroli dostępu i używania do wrażliwych informacji. Nagradzaj pozytywne zachowania – wprowadź okres „amnestii” dla pracowników.
MONITORUJ – Prowadź politykę kontrolowanego zaufania: Opracuj przejrzystą politykę korzystania i ochrony informacji. Edukuj i przeprowadzaj kontrolowane ćwiczenia wewnętrzne. Monitoruj i postępuj w zdecydowany sposób z sytuacjach naruszeń zasad.
Dziękuję za rozmowę