Sut i asesu risg eich platfform trydydd parti i ddarparu gwasanaeth ar-lein
Awdur: Joe Roberson;
Amser Darllen: 8 munud
Mae hwn yn adnodd agored. Mae croeso i chi ei gopïo a'i addasu. Darllenwch y telerau.
Os hoffech gymorth pellach gyda'ch her ddigidol, trefnwch sesiwn am ddim gyda DigiCymru
Rydych chi eisiau symud ymlaen gyda gwasanaeth digidol, efallai symud rhywfaint o’ch gwasanaeth presennol ar-lein, gan newid neu ehangu’r gwasanaeth rydych chi’n ei gynnig. Ydych chi wedi cynnal asesiad risg i’ch helpu i benderfynu sut i wneud hynny’n ddiogel? Mae’r erthygl hon yn eich helpu i gychwyn wrth gyflwyno proses gadarn a chanllaw gellir lawrlwytho
Pam asesu risg?
Rydych chi eisiau symud eich gwasanaeth ar-lein, ond mae angen iddo fod yn ddiogel. Rydych chi’n poeni am ddewis yr ateb ar-lein anghywir, neu ei ddefnyddio’n anghywir, ac achosi niwed i rywun neu dorri amodau preifatrwydd. Rydych chi’n deall bod angen diogelu eich defnyddwyr, yn ogystal â’ch gwirfoddolwyr a’ch staff. Mae’n debyg eich bod chi hefyd yn ystyried enw da eich sefydliad.
Efallai bod y naid wedi ei gwneud eisoes gan fod angen i chi aros yn weithredol, neu barhau â gwasanaeth hanfodol, yn ystod y pandemig Covid. Os gwnaethoch chi hyn, efallai nad oedd yr un ystyriaeth wedi ei rhoi i ddiogelu a diogelwch fel y byddai wedi bod ar gyfnod gwahanol.
“Mae llawer o sefydliadau’n ceisio trefnu datrysiad cyflym i gael trefn yn syth. Felly mae’n debyg nad yw diogelu a diogelwch wedi cael yr un rhagfeddwl nag y byddai fel arfer.” – Alison Stone, Cydlynydd Seiber-Gwydnwch yng Nghyngor Sefydliadau Gwirfoddol yr Alban
Yn debyg i all-lein
Felly, mae angen proses asesu risg arnoch. Dyma’r ffordd orau i feddwl am yr holl gamau gweithredu ac addasiadau gellir eu gwneud i ddarparu gwasanaeth digidol yn ddiogel. Er y gallai hyn swnio fel tasg frawychus, y newyddion da yw ei bod yn debyg i asesu risg gwasanaeth neu brosiect all-lein. Yn gryno:
- Mae’n debyg i all-lein
- Mae egwyddorion cyffredinol yn debyg
- Nid yw’n bosib rheoli popeth sy’n digwydd ar-lein
- Mae risgiau’n parhau. Nid oes datrysiad sydd 100% yn ddiogel
- Mae risg derbyniol (lefel resymol o dderbyn risg) yn gysyniad allweddol i’w ddeall
Darllenwch ymhellach am ‘Sut i feddwl am ddiogelu wrth ddarparu gwasanaethau ar-lein’ yma.
Beth yw diogelu a diogelwch ar-lein?
“Mae diogelu yn meddwl am yr unigolyn. Mae diogelwch gwybodaeth yn ymwneud â systemau a diogelu data.” – Kevin Burns, Pennaeth TG, Royal Blind
Gall diogelu digidol olygu gwahanol bethau ar draws y sector. Yn y cyd-destun o gael eich gwasanaeth ar-lein mae’n cynnwys:
- Diogelu: amddiffyn pobl wrth ddefnyddio technoleg ar-lein i ymgysylltu â nhw. Meddyliwch am alwadau fideo, apiau negeseuon, gofodau sgwrsio rhyngweithiol ac ati.
- Preifatrwydd a chaniatâd: parchu a sicrhau preifatrwydd a dewis pobl wrth ymgysylltu â nhw’n ddigidol. Gan fod gweithgaredd a manylion yn gallu bod yn fwy gweladwy ar-lein.
- Diogelwch gwybodaeth: sut rydych yn diogelu systemau a data pobl rhag cael ei gamddefnyddio neu rywun yn cael mynediad heb ganiatâd. Mae diogelwch technegol yn bwysig, ond ymarfer staff sydd yn gwneud y gwahaniaeth mwyaf.
Mae Cyngor Sefydliadau Gwirfoddol yr Alban yn disgrifio sawl enghraifft, fel y mae The Association Of Adult and Child Online Safety Specialists yn y fideo a’r trawsgrifiad yma.
Sut i leihau risg
“Mae rheoli risg yn ymwneud â dadansoddi ein hopsiynau a’u canlyniadau yn y dyfodol, a chyflwyno’r wybodaeth yma mewn ffurf ddealladwy, y gellir ei defnyddio er mwyn gwella’r broses o wneud penderfyniadau.” – Lucas Allen, Prif Swyddog Gweithredol Ln2X
Bydd cynnal asesiad risg yn eich helpu i leihau’r peryglon. Bydd yn rhoi cyfle i chi edrych ar nodweddion diogelwch eich llwyfan ac ystyried y materion gallai godi o ddarparu gwasanaethau drwyddo. Er bod rhai peryglon yn debyg ar draws llwyfannau, mae rhai yn unigryw, ac mae rhai yn dibynnu ar sut mae eich gwasanaeth yn defnyddio’r llwyfan. Nid yw un peth yn gweddu popeth.
Gweithio ar asesiad risg eich hun ac adnabod sut gallech chi reoli’r peryglon a ddaw ohono yw’r unig ffordd i leihau’r peryglon ddigon fel bod y buddion yn eu gorbwyso. Byddwch mewn lle cryf iawn ar ôl cwblhau’r gwaith yma. Byddwch:
- Yn fwy ymwybodol o’r hyn gallai fynd o’i le
- Wedi rhoi rhai rheolaethau ar waith
- Yn adnabod digwyddiadau’n gynt
- Yn fwy parod i ymateb i ddigwyddiad
Dyma’r mwyaf y gallech chi ei wneud fel arfer. Gan nad oes dim yn 100% yn ddiogel, ar-lein nac all-lein.
“Mae’r holl broses yma yn golygu eich bod wedi cynllunio, rydych chi wedi ceisio rhoi rhai rheolaethau ar waith ac rydych yn barod i ddelio â’r hyn a allai ddigwydd. Mae gennych chi ryw syniad o sut y gallech chi ymateb.” — Lucas Allen
Y broses 5 cam
1. Ymchwil
Wrth ddarllen yr erthygl yma rydych chi eisoes wedi cychwyn arni. Efallai eich bod chi wedi dewis datrysiad sy’n diwallu anghenion eich defnyddwyr ac anghenion gweithredol eich elusen yn barod. Os ddim, yna rhestrwch 2-3 opsiwn a chyfiawnhewch unrhyw nodweddion y mae’n rhaid eu cael.
O’r pwynt yma ymlaen, fel egwyddor gyffredinol, mae angen dogfennu popeth a wnewch. Bydd gennych gofnod o’r broses a lywiodd eich penderfyniad.
Yna rhestrwch yr holl beryglon gallech chi feddwl amdanynt. Bydd yr erthygl yma a ‘Sut i feddwl am ddiogelu wrth ddarparu gwasanaethau ar-lein’ yn rhoi rhai syniadau i chi, fel y bydd erthygl SCVO a’i adran dolenni. Gallech chi hefyd ddarllen yr astudiaeth achos yma.
Peidiwch â gwneud hyn ar eich pen eich hun. Dylech gynnwys eraill, gorau po fwyaf o safbwyntiau. Fel hyn, byddech yn fwy hyderus eich bod yn casglu anghenion a safbwyntiau pawb ar y peryglon.
“Casglwch sawl safbwynt ar eich peryglon. Yn enwedig y rhai mwyaf. Bydd yn gwneud gwahaniaeth i’ch derbyniad risg a chanlyniad yr asesiad.” – Alison Stone
2. Aseswch y risgiau
Ychwanegwch eich peryglon at daenlen. Mae’r canllaw yma gellir ei lawrlwytho yn awgrymu rhai penawdau.
Graddiwch eich risgiau.
Disgrifiwch sut y byddwch yn lliniaru neu’n rheoli pob perygl.
Penderfynwch pa beryglon rydych yn fodlon eu derbyn neu os oes rhai sy’n parhau i fod yn annerbyniol.
Sicrhewch gefnogaeth allanol os oes angen. Dylech fedru rheoli’r rhan fwyaf o’r broses, neu’r broses gyfan, yn fewnol. Os cewch gefnogaeth chwiliwch am rywun sy’n deall y sector.
Adolygwch eich 10 prif risg eto ac yna gwneud penderfyniad.
“Mae posib lleihau llawer o risg wrth ymchwilio llwyfan a darganfod ei nodweddion diogelwch, yna eu defnyddio.” — Declan Doyle, Haciwr Moesegol yn y Scottish Business Resilience Centre
3. Gwneud penderfyniad
Mae’n rhaid i rywun wneud penderfyniad i dderbyn (neu beidio) y risgiau a ddaw gyda’ch platfform dewisol. Yn ddelfrydol, bydd hyn yn ddau uwch berson dynodedig, ac mae’n rhaid iddynt gytuno cyn i’r elusen symud ymlaen.
Ond nid yw gwneud penderfyniad yn unig yn ddigon. Dylech ysgrifennu eich rhesymeg hefyd. Efallai mai datganiad yn unig yw hwn am sut rydych chi wedi dadansoddi’r peryglon ac yn ystyried y buddion i orbwyso’r risgiau. Efallai eich bod yn sôn am beryglon allweddol penodol a sut i’w lliniaru, neu efallai eich bod yn cyfeirio’n uniongyrchol at y ddogfen asesu risg. Ceisiwch egluro pam eich bod wedi gwneud y penderfyniad yma.
4. Disgrifio eich dull
Yna disgrifiwch sut rydych chi’n bwriadu defnyddio’r llwyfan dewisol. Gallai hyn fod yn rhestr pwynt bwled fer, neu’n sawl tudalen. Mae’n dibynnu ar yr hyn rydych chi’n ei ddefnyddio a sut.
Dylech gynnwys y canlynol o leiaf:
- Crynodeb o sut byddech yn ei ddefnyddio
- Unrhyw bethau allweddol y byddwch chi neu staff yn ei wneud i leihau risg (edrychwch ar y rheolaethau ar eich asesiad risg)
- Yr arweiniad a’r gefnogaeth y byddwch yn eu darparu i staff pan ddaw at arfer diogel (e.e. cyfrineiriau, briff polisi, hyfforddiant ac ati)
- Unrhyw bolisïau newydd y byddwch yn eu creu
“Mae hyn yn ymwneud mwy â phroses. A yw pobl yn deall polisïau, a yw staff wedi’u hyfforddi, a ydynt yn gwybod beth i’w wneud os bydd mater yn codi? Y pethau diflas!” — Jess McBeath, Arbenigwr Diogelwch Ar-lein a Dinasyddiaeth Ddigidol, Jess Ltd
5. Adolygu a strategaeth ymadael
Sut y byddwch yn cadw llygad ar weithrediad eich gwasanaeth newydd? Beth yw pwrpas eich Cynllun B os nad yw’n llwyddiannus?
Disgrifiwch eich proses adolygu. Gallai hyn fod yn debyg i’ch proses adolygu risg arferol, ond bydd angen i chi ei gynnal yn amlach am ychydig wythnosau cyntaf darparu gwasanaeth ar-lein.
Nodwch eich Cynllun B (a C os oes gennych chi un).
Nodwch sut y byddwch yn adolygu’r gwasanaeth os bydd unrhyw newidiadau.
Lawrlwythiad am ddim i’ch helpu i gychwyn
Rydym wedi creu canllaw i’w lawrlwytho i’ch helpu i ddilyn y broses a ddisgrifir uchod.
Adnoddau seiberddiogelwch ychwanegol
Mae’r adnoddau yma yn canolbwyntio ar seiberddiogelwch cyffredinol. Bydd rhai yn ddefnyddiol.
- Gweithredu pum rheolaeth dechnegol a argymhellir gan y Ganolfan Seiberddiogelwch Genedlaethol fel rhan o’ch camau lliniaru ac adeiladu eich gwybodaeth am ddiogelwch gwybodaeth gyda’u canllaw: Seiberddiogelwch ar gyfer Elusennau Bach.
- Adeiladu gallu eich Bwrdd Ymddiriedolwyr i sgwrsio â chi am ddiogelu digidol gyda Phecyn Cymorth Bwrdd yr NCSC.
- Ystyriwch Ymarfer mewn Bocs yr NCSC fel ffordd i asesu sefyllfa diogelwch gwybodaeth eich sefydliad.
Diolch i Douglas Trainer, Declan Doyle, Alison Stone, Jess McBeath, Kevin Burns a Lucas Allen am eu hamser a’u mewnwelediad i ddiogelu digidol a diogelwch gwybodaeth.
Wedi'i gomisiynu gan Catalyst