Кто отвечает за кибербезопасность и конфиденциальность?

ВСЕ мы несем ответственность — коллективную и индивидуальную

Во многих организациях преобладает мнение, что кибербезопасностью занимается только директор по информационной безопасности, а за конфиденциальность отвечает только отдел нормативно-правового соответствия. В отсутствие более коллективной ответственности как за кибербезопасность, так и за конфиденциальность наши данные не будут в безопасности. А если что-то пойдет не так, отвечать будем мы все — как коллективно, так и индивидуально.

В таких организациях высшее руководство все еще не подходит к вопросам кибербезопасности и конфиденциальности данных ответственно. Слишком часто они полагают, что эти задачи можно делегировать директору по информационной безопасности (CISO) или ответственному за защиту данных (DPO) и забыть о них. Если высшее руководство продолжает смотреть на вещи таким образом, то неудивительно, что такое отношение проникает вниз по организационной структуре к сотрудникам на всех уровнях, которые также не воспринимают эти вопросы серьезно.

3 вещи, о которых следует подумать организациям:

1. Выбирает ли ваш менеджер по закупкам незашифрованные устройства

Если решение о приобретении незашифрованных USB-накопителей, твердотельных накопителей или устройств Интернета вещей основывается исключительно на цене, без учета того, являются ли они безопасными или имеют ли аппаратное шифрование, то эти незашифрованные устройства создают уязвимость с точки зрения кибербезопасности. Это подвергает всю организацию риску утечки данных.

2. Используют ли сотрудники пароли повторно или используют ли ярлыки для обхода мер безопасности

Если сотрудники не соблюдают основные правила кибербезопасности и небрежно обращаются с паролями или вложениями электронной почты, они ставят под угрозу безопасность всей организации. Киберпреступники активно используют слабые или известные пароли и применяют тактики фишинга, чтобы нарушить безопасность своих жертв. Это одни из наиболее распространенных векторов кибератак.

3. Использует ли директор по маркетингу персональные данные время от времени

Общий регламент ЕС по защите персональных данных указывает, что персональные данные допускается собирать только с согласия их владельца и только для указанной цели. Если вы собираете или передаете данные незаконно, вы подвергаете всех риску крупных штрафов и судебных разбирательств.

Мы все должны серьезно относиться к кибербезопасности и конфиденциальности данных

Если вы видите, что в вашей организации используются незашифрованные USB-накопители, твердотельные накопители или незащищенные устройства Интернета вещей, вы должны сообщить об этом. Если вы замечаете, что ваши коллеги не соблюдают правила кибербезопасности, вам нужно рассказать об этом. Если вы стали свидетелем того, как сотрудник отдела маркетинга ненадлежащим образом использует данные клиентов, вам нужно рассказать об этом.

Изменение культуры — ключ к успеху

Если мы хотим изменить отношение и заставить людей серьезно относиться к кибербезопасности и конфиденциальности данных на всех уровнях организации, нам необходимо изменить склад мышления.

Для этого у организаций есть множество стимулов. Есть наглядные свидетельства того, что клиенты будут с удовольствием вести дела с организациями, которые, по их мнению, будут заботиться об их данных, и более неохотно будут вести дела с теми, кто этого не делает. Сохранение доверия клиентов и предотвращение любых инцидентов кибербезопасности, которые могут подорвать такое доверие, должны быть главной задачей для всех нас.

Кроме того, существует множество сдерживающих факторов, заставляющих организации серьезно относиться к защите данных. Во-первых, регламент GDPR предусматривает максимальный штраф в размере 20 миллионов евро или 4% от годового глобального оборота (в зависимости от того, что больше) за КАЖДЫЙ инцидент. Затраты на устранение инцидента могут исчисляться миллионами евро, а если это атака с использованием программы-вымогателя, киберпреступники могут сверх этого потребовать многомиллионный выкуп. Вы также можете столкнуться с судебным разбирательством со стороны людей, чьи данные были скомпрометированы.

Помимо таких санкций против организации в целом появляются санкции и против физических лиц. Недавнее дело в США создало новый прецедент в области кибербезопасности, когда члены совета директоров и директор по информационной безопасности были индивидуально названы ответчиками. Отчет аналитической компании Gartner прогнозирует, что вскоре главные исполнительные директора, вероятно, станут нести личную ответственность за кибератаки.

Как граждане и как клиенты мы хотим, чтобы организации защищали наши данные. И когда мы отвечаем за данные других, стандарты должны быть такими же высокими. Мы должны быть обеспокоены, как коллективно, так и индивидуально, тем, что мы все можем нести ответственность. Но кроме того мы должны стремится обеспечить защиту данных и потому, что это правильно.

#KingstonIsWithYou