dłoń z tyłu wraz z ilustracją blokady z płytką drukowaną i liniami sieci z miejskim pejzażem w tle

Kto odpowiada za cyberbezpieczeństwo i ochronę poufności danych?

#KingstonCognate przedstawia Billa Mew

Zdjęcie Billa Mew

Bill Mew to ceniony lider opinii, działacz na rzecz etyki cyfrowej i przedsiębiorca. Jako ceniony lider opinii Bill skupia się na znalezieniu właściwej równowagi między „skuteczną ochroną”, w dziedzinie której został uznany za największego międzynarodowego influencera działającego na rzecz ochrony poufności danych, a „maksymalizacją wartości ekonomicznej i społecznej”, w której jest jednym z najbardziej opiniotwórczych specjalistów – poczynając od cyberbezpieczeństwa i transformacji cyfrowej, a kończąc na nowych technologiach w sektorze publicznym i inteligentnych miastach. Jako ekspert pojawia się także co tydzień w radiu i telewizji (BBC, RT itp.), będąc najczęściej zapraszanym brytyjskim specjalistą ds. technologii.

Bill jest też założycielem i dyrektorem generalnym firmy CrisisTeam.co.uk, w której współpracuje z elitarnym zespołem ekspertów w dziedzinach reagowania na incydenty, prawa cybernetycznego, zarządzania reputacją i oddziaływania społecznego, by pomagać klientom minimalizować skutki cyberataków.

WSZYSCY jesteśmy odpowiedzialni — zbiorowo i indywidualnie

W wielu organizacjach panuje przekonanie, że cyberbezpieczeństwo to kwestia, którą zajmuje się wyłącznie dyrektor ds. bezpieczeństwa informacji, lub że ochrona poufności to wyłącznie domena działu ds. zapewnienia zgodności. Jeśli ogólne poczucie odpowiedzialności za cyberbezpieczeństwo i ochronę poufności nie zmieni się, nasze dane nie będą bezpieczne, a jeśli coś pójdzie nie tak, wszyscy będziemy odpowiedzialni — zarówno zbiorowo, jak i indywidualnie.

W wielu organizacjach kierownictwo wyższego szczebla nadal nie traktuje kwestii cyberbezpieczeństwa i ochrony poufności danych wystarczająco poważnie. Zbyt często dominuje przekonanie, że są to zadania, które można powierzyć dyrektorowi ds. bezpieczeństwa informacji lub inspektorowi ochrony danych, i całkowicie o nich zapomnieć. Jeśli kierownictwo wyższego szczebla postrzega to w ten sposób, trudno się dziwić, że takie podejście przenosi się na całą organizację i pracowników na wszystkich szczeblach, którzy również nie traktują tego zagadnienia poważnie.

3 kwestie, które organizacje powinny wziąć pod uwagę:

ręka wyjmująca jedną kostkę domina, powstrzymująca ją przed upadkiem i przewróceniem pozostałych kostek

1. Gdy kierownik ds. zaopatrzenia chce zakupić nieszyfrowane urządzenia

Jeśli decyzja o zakupie nieszyfrowanych pamięci USB, dysków SSD lub urządzeń IoT opiera się wyłącznie na cenie, bez uwzględnienia kwestii bezpieczeństwa i funkcji szyfrowania sprzętowego, takie nieszyfrowane urządzenia będą stanowić zagrożenie dla cyberbezpieczeństwa. Narazi to całą organizację na ryzyko naruszenia ochrony danych.

2. Gdy pracownicy stale używają tych samych haseł lub "chodzą na skróty", aby uniknąć stosowania środków bezpieczeństwa

Jeśli pracownicy nie przestrzegają podstawowych zasad cyberbezpieczeństwa i nie dbają o hasła lub załączniki do wiadomości e-mail, narażają na zagrożenie bezpieczeństwo całej organizacji. Cyberprzestępcy aktywnie poszukują słabych lub znanych haseł i wykorzystują taktykę phishingu, aby obejść zabezpieczenia stosowane przez swoje ofiary. Są to jedne z najczęściej stosowanych metod ataków w przypadku incydentów związanych z cyberbezpieczeństwem.

3. Gdy dyrektor ds. marketingu podejmuje ryzyko wykorzystania danych osobowych

Zgodnie z rozporządzeniem RODO (GDPR) dane osobowe można gromadzić wyłącznie za zgodą osób, których one dotyczą, i tylko w określonym celu. Nielegalne gromadzenie lub udostępnianie takich danych naraża wszystkich na poważne kary finansowe i sprawy sądowe.

Kto jest odpowiedzialny, gdy coś takiego się wydarzy? Organizacje, ale TAKŻE sami pracownicy!

zbliżenie na zespół ludzi składających razem swoje dłonie

Wszyscy musimy poważnie traktować kwestie cyberbezpieczeństwa i poufności danych

Jeśli widzisz, że Twoja organizacja korzysta z nieszyfrowanych urządzeń pamięci USB, dysków SSD lub niezabezpieczonych urządzeń IoT, musisz otwarcie o tym powiedzieć. Jeśli zauważysz, że Twoi współpracownicy nie przestrzegają zasad cyberbezpieczeństwa, musisz otwarcie o tym powiedzieć. Jeśli jesteś świadkiem niewłaściwego wykorzystania danych klientów przez pracownika działu marketingu, musisz otwarcie o tym powiedzieć.

Kluczem jest zmiana kultury

Jeśli mamy zmienić nastawienie i sprawić, by ludzie poważnie podchodzili do kwestii cyberbezpieczeństwa i poufności danych w organizacji, musimy zmienić sposób myślenia.

W tym celu organizacje mogą wykorzystać wiele zachęt. Istnieją wyraźne dowody na to, że klienci chętnie nawiązują relacje biznesowe z organizacjami, które w ich ocenie będą dbać o ich dane, a jednocześnie są bardziej niechętni do prowadzenia interesów z organizacjami, które tego nie robią. Utrzymanie zaufania klientów i unikanie wszelkiego rodzaju incydentów związanych z cyberbezpieczeństwem, które mogłyby podważyć takie zaufanie, powinno być priorytetem dla nas wszystkich.

zbliżenie na drewniane klocki z napisem FINE (kara) oraz młotek sędziowski

Dodatkowym czynnikiem skłaniającym organizacje do poważnego traktowania ochrony danych są grożące sankcje. Rozporządzenie RODO (GDPR) przewiduje maksymalną karę w wysokości 20 milionów euro lub 4% rocznego obrotu (w zależności od tego, która z tych wartości jest większa) za KAŻDY incydent. Koszt naprawy skutków incydentu może sięgać milionów euro, a jeśli jest to atak z wykorzystaniem oprogramowania ransomware, cyberprzestępcy mogą dodatkowo zażądać wielomilionowego okupu. Organizacja może również stanąć w obliczu pozwu sądowego ze strony osób, których dane zostały naruszone.

Jakby tego było mało, oprócz sankcji grożących organizacjom możliwe są również sankcje wobec osób fizycznych. Niedawna sprawa w USA, w której członkowie zarządu i dyrektor ds. bezpieczeństwa informacji zostali indywidualnie postawieni w stan oskarżenia, ustanowiła nowy precedens dla incydentów w sferze cyberbezpieczeństwa. Raport firmy analitycznej Gartner wskazuje, że prawdopodobnie wkrótce dyrektorzy generalni będą osobiście ponosić odpowiedzialność za skutki cyberataków.

Jako obywatele i klienci chcemy, aby organizacje odpowiednio chroniły nasze dane, a kiedy sami jesteśmy odpowiedzialni za dane innych osób, powinniśmy przestrzegać równie wysokich standardów. Powinniśmy brać pod uwagę — zarówno zbiorowo, jak i indywidualnie — możliwość poniesienia odpowiedzialności. Jednocześnie powinniśmy być równie mocno zmotywowani do ochrony danych przez sam fakt, że jest to właściwe postępowanie.

Ask an Expert

Kingston przeprowadzi niezależną analizę istniejącej lub planowanej konfiguracji sprzętu w Twojej organizacji.

Samoszyfrujące dyski SSD

Oferujemy porady na temat korzyści płynących z zastosowania dysków SSD w określonym środowisku. Pomożemy także wybrać dyski SSD, które zapewnią bezpieczeństwo pracy mobilnej i zadań wykonywanych poza biurem.

Zapytaj eksperta o SSD

Szyfrowana pamięć USB

Oferujemy porady na temat korzyści dla organizacji płynących z zastosowania szyfrowanej pamięci USB. Pomożemy także wybrać pamięć, która odpowiada Twoim potrzebom biznesowym.

Zapytaj eksperta o USB

Dowiedz się więcej na temat rozwiązań oferowanych przez pamięci szyfrowane firmy Kingston

Powiązane artykuły

Aby dowiedzieć się, jak wirus COVID-19 wpłynął na działanie naszej firmy, kliknij tutaj.

Pozostańmy w kontakcie! Zapisz się do naszego newslettera i otrzymuj informacje o nowościach od firmy Kingston.