Kto odpowiada za cyberbezpieczeństwo i ochronę poufności danych?

WSZYSCY jesteśmy odpowiedzialni — zbiorowo i indywidualnie

W wielu organizacjach panuje przekonanie, że cyberbezpieczeństwo to kwestia, którą zajmuje się wyłącznie dyrektor ds. bezpieczeństwa informacji, lub że ochrona poufności to wyłącznie domena działu ds. zapewnienia zgodności. Jeśli ogólne poczucie odpowiedzialności za cyberbezpieczeństwo i ochronę poufności nie zmieni się, nasze dane nie będą bezpieczne, a jeśli coś pójdzie nie tak, wszyscy będziemy odpowiedzialni — zarówno zbiorowo, jak i indywidualnie.

W wielu organizacjach kierownictwo wyższego szczebla nadal nie traktuje kwestii cyberbezpieczeństwa i ochrony poufności danych wystarczająco poważnie. Zbyt często dominuje przekonanie, że są to zadania, które można powierzyć dyrektorowi ds. bezpieczeństwa informacji lub inspektorowi ochrony danych, i całkowicie o nich zapomnieć. Jeśli kierownictwo wyższego szczebla postrzega to w ten sposób, trudno się dziwić, że takie podejście przenosi się na całą organizację i pracowników na wszystkich szczeblach, którzy również nie traktują tego zagadnienia poważnie.

3 kwestie, które organizacje powinny wziąć pod uwagę:

1. Gdy kierownik ds. zaopatrzenia chce zakupić nieszyfrowane urządzenia

Jeśli decyzja o zakupie nieszyfrowanych pamięci USB, dysków SSD lub urządzeń IoT opiera się wyłącznie na cenie, bez uwzględnienia kwestii bezpieczeństwa i funkcji szyfrowania sprzętowego, takie nieszyfrowane urządzenia będą stanowić zagrożenie dla cyberbezpieczeństwa. Narazi to całą organizację na ryzyko naruszenia ochrony danych.

2. Gdy pracownicy stale używają tych samych haseł lub "chodzą na skróty", aby uniknąć stosowania środków bezpieczeństwa

Jeśli pracownicy nie przestrzegają podstawowych zasad cyberbezpieczeństwa i nie dbają o hasła lub załączniki do wiadomości e-mail, narażają na zagrożenie bezpieczeństwo całej organizacji. Cyberprzestępcy aktywnie poszukują słabych lub znanych haseł i wykorzystują taktykę phishingu, aby obejść zabezpieczenia stosowane przez swoje ofiary. Są to jedne z najczęściej stosowanych metod ataków w przypadku incydentów związanych z cyberbezpieczeństwem.

3. Gdy dyrektor ds. marketingu podejmuje ryzyko wykorzystania danych osobowych

Zgodnie z rozporządzeniem RODO (GDPR) dane osobowe można gromadzić wyłącznie za zgodą osób, których one dotyczą, i tylko w określonym celu. Nielegalne gromadzenie lub udostępnianie takich danych naraża wszystkich na poważne kary finansowe i sprawy sądowe.

Wszyscy musimy poważnie traktować kwestie cyberbezpieczeństwa i poufności danych

Jeśli widzisz, że Twoja organizacja korzysta z nieszyfrowanych urządzeń pamięci USB, dysków SSD lub niezabezpieczonych urządzeń IoT, musisz otwarcie o tym powiedzieć. Jeśli zauważysz, że Twoi współpracownicy nie przestrzegają zasad cyberbezpieczeństwa, musisz otwarcie o tym powiedzieć. Jeśli jesteś świadkiem niewłaściwego wykorzystania danych klientów przez pracownika działu marketingu, musisz otwarcie o tym powiedzieć.

Kluczem jest zmiana kultury

Jeśli mamy zmienić nastawienie i sprawić, by ludzie poważnie podchodzili do kwestii cyberbezpieczeństwa i poufności danych w organizacji, musimy zmienić sposób myślenia.

W tym celu organizacje mogą wykorzystać wiele zachęt. Istnieją wyraźne dowody na to, że klienci chętnie nawiązują relacje biznesowe z organizacjami, które w ich ocenie będą dbać o ich dane, a jednocześnie są bardziej niechętni do prowadzenia interesów z organizacjami, które tego nie robią. Utrzymanie zaufania klientów i unikanie wszelkiego rodzaju incydentów związanych z cyberbezpieczeństwem, które mogłyby podważyć takie zaufanie, powinno być priorytetem dla nas wszystkich.

Dodatkowym czynnikiem skłaniającym organizacje do poważnego traktowania ochrony danych są grożące sankcje. Rozporządzenie RODO (GDPR) przewiduje maksymalną karę w wysokości 20 milionów euro lub 4% rocznego obrotu (w zależności od tego, która z tych wartości jest większa) za KAŻDY incydent. Koszt naprawy skutków incydentu może sięgać milionów euro, a jeśli jest to atak z wykorzystaniem oprogramowania ransomware, cyberprzestępcy mogą dodatkowo zażądać wielomilionowego okupu. Organizacja może również stanąć w obliczu pozwu sądowego ze strony osób, których dane zostały naruszone.

Jakby tego było mało, oprócz sankcji grożących organizacjom możliwe są również sankcje wobec osób fizycznych. Niedawna sprawa w USA, w której członkowie zarządu i dyrektor ds. bezpieczeństwa informacji zostali indywidualnie postawieni w stan oskarżenia, ustanowiła nowy precedens dla incydentów w sferze cyberbezpieczeństwa. Raport firmy analitycznej Gartner wskazuje, że prawdopodobnie wkrótce dyrektorzy generalni będą osobiście ponosić odpowiedzialność za skutki cyberataków.

Jako obywatele i klienci chcemy, aby organizacje odpowiednio chroniły nasze dane, a kiedy sami jesteśmy odpowiedzialni za dane innych osób, powinniśmy przestrzegać równie wysokich standardów. Powinniśmy brać pod uwagę — zarówno zbiorowo, jak i indywidualnie — możliwość poniesienia odpowiedzialności. Jednocześnie powinniśmy być równie mocno zmotywowani do ochrony danych przez sam fakt, że jest to właściwe postępowanie.

#KingstonIsWithYou