Wiadomości|

10.08.2017

Cyberbezpieczeństwo jako podstawa współczesnej działalności biznesowej

Akademia Leona Koźmińskiego

Panuje powszechne przekonanie, że cyberataki dotyczą głównie sektorów rządowych. Prywatne przedsiębiorstwa często nie zdają sobie sprawy, że „ciosy” są wymierzane także w ich dane. Co zrobić, aby uniknąć zagrożenia? Czy w dobie cyfryzacji to w ogóle możliwe?

Jakie dane należy chronić? W pierwszej chwili wskażemy zapewne na maile, umowy i konta bankowe, ale tak naprawdę ścisłym nadzorem objęte są wszystkie informacje, które są istotne dla nas i dla firmy z punktu widzenia biznesowego, m.in. dane finansowe, technologia, wiedza, know-how i strategie marketingowe. To też dane klientów, które powierzyli nam w celu świadczenia usług, również podczas rozmów i czatów. Właśnie dlatego wszyscy jesteśmy zobligowani, by poznać zasady cyberbezpieczeństwa.

Ochrona przede wszystkim

Opieka nad danymi firmowymi obowiązuje przez cały czas. Jest niezwykle ważna z punktu widzenia wizerunkowego, ale też i prawnego. Trudno sobie wyobrazić, by klienci, których poufne informacje znalazły się na „czarnym rynku”, nie wystosowali w tej sprawie pozwu. Może to doprowadzić do odejścia kontrahentów oraz braku napływu nowych.

– Dlatego ważne jest zrozumienie, że obecnie dane nie są wyłącznie przetwarzane w systemach IT. Oznacza to, że firmy powinny nie tylko wdrażać techniczne zabezpieczenia, lecz także proaktywnie działać, podnosząc świadomość pracowników w zakresie istotnych zagrożeń dla bezpieczeństwa w miejscu pracy, jak i poza nim – mówi Marcin Marczewski, kierownik studiów podyplomowych „Cyberbezpieczeństwo – normy, standardy i dobre praktyki” w Akademii Leona Koźmińskiego.

Zatrudnieni nie zawsze rozumieją, co kryje się pod pojęciem cyberbezpieczeństwa. I choć w umowach zaleca się im ścisły nadzór nad informacjami dotyczącymi spółki, zabezpiecza firmowy sprzęt i prosi o podpisanie NDA, to do obowiązków pracodawcy należy ich merytoryczne przygotowanie – tak aby zrozumieli, jak istotne jest bezpieczeństwo informacji. Pomoże to zwłaszcza, gdy nastąpi wyciek poufnych danych, a to może zdarzyć się nawet najlepiej przeszkolonemu pracownikowi – w końcu wszyscy jesteśmy ludźmi i popełniamy błędy.

Szczerość w przypadku „wpadki”

Co zrobić w przypadku pojawienia się zagrożenia cyberbezpieczeństwa?

Najważniejszym aspektem jest jak najszybsze zgłoszenie incydentu odpowiednim osobom i pełna szczerość z pracodawcą. Możliwe jest wtedy ograniczenie strat wynikających ze zdarzenia oraz wdrożenie procesów powiadamiania klientów o wycieku danych – mówi ekspert.

Zatajenie takiego zajścia będzie miało dla pracownika poważne konsekwencje. Podobnie jest z umyślnym naruszeniem tajemnicy przedsiębiorstwa czy danych osobowych. Oprócz kar umownych sprawa może zostać skierowana do sądu. Warto pamiętać, że przekazanie informacji na temat zdarzenia w przypadku takich incydentów to również obowiązek pracodawców. Jeśli podwładnym nie zostanie wyjaśnione, jak wyglądają formalności w tym zakresie, nie można spodziewać się, że zadziałają zgodnie z nimi.

Szkolenia i testy

Za wyciek danych nie odpowiadają tylko osoby zatrudnione. Spora część odpowiedzialności leży po stronie pracodawcy. – Dla realnego podniesienia poziomu bezpieczeństwa w firmie potrzebny jest cały cykl szkoleń. Mogą to być wewnętrzne e-learningi przygotowywane przez dział IT. Ale muszą to być naprawdę dobre merytorycznie materiały, które zainteresują pracownika. Po każdym takim szkoleniu przeprowadźmy test on-line, który da władzom firmy obraz świadomości pracowników. Analizujmy wyniki tych sprawdzianów: ci, którzy nie osiągną odpowiednich rezultatów, powinni kurs powtórzyć – komentuje Marcin Marczewski.

Ekspert uważa również, że testy socjotechniczne powinny być przeprowadzane cyklicznie. To dobre rozwiązanie, żeby sprawdzić, czy zatrudnieni w firmie są świadomi zagrożeń oraz jak zapamiętują najważniejsze przekazy szkoleń. Dział IT będzie wiedział, jak sobie z tym poradzić, zwłaszcza że jednym z narzędzi są np. spreparowane maile, których celem jest choćby wyłudzenie danych do logowania.

Świadomość

Dobra ochrona to też sprawdzone zabezpieczenia. Ważne są zarówno programy służące do monitorowania aktywności pracowników, jak i kampanie uświadamiające. Jak zaznacza ekspert, w tym wypadku nie chodzi o prostą prezentację z pisemnym potwierdzeniem zapoznania się z treścią, a to niestety częsta praktyka w polskich firmach.

– Świadomość, świadomość i jeszcze raz świadomość. Nie ma lepszego sposobu dla pracodawcy na zminimalizowanie ryzyka związanego z bezpieczeństwem danych w firmie niż nieustanne akcje podnoszenia wiedzy: przypominanie zasad bezpieczeństwa teleinformatycznego, pokazywanie przykładów – negatywnych konsekwencji nieprzestrzegania zasad zarówno dla firmy, jak i dla osoby prywatnej. Powinniśmy sobie uświadomić, że cyberbezpieczeństwo nie jest stanem, a procesem. Jeśli organizacje nie postarają się o jego skuteczne wdrożenie, zawsze będą na straconej pozycji – podsumowuje specjalista z Akademii Leona Koźmińskiego.

Cyberataki przestały być iluzoryczne. Media cały czas nagłaśniają te skierowane w duże organizacje rządowe, ale następnymi ofiarami możemy być my. Choć teoretycznie każdy wie, co robić, okazuje się, że jako społeczeństwo nie potrafimy ochronić nawet własnego konta bankowego, nadając mu te same hasła, co do Facebooka i innych portali, z których mogą wyciekać dane.

Autor

Akademia Leona Koźmińskiego

Akademia Leona Koźmińskiego