Szefowie, dyrektorzy, kierownicy – to osoby które w ramach swoich obowiązków odpowiadają nie tylko za określoną grupę ludzi, w tym przydzielanie im odpowiedniej ilości zadań czy rozliczania z ich efektywności ale także za wypełnianie nadrzędnych celów firmy czy jednostki administracji publicznej.
Prócz wymienionych powyżej obowiązków, każda z tych osób musi realizować jeszcze jeden obowiązek którym bez wątpienia jest zapewnienie bezpieczeństwa danych przetwarzanych w ramach pracy swojej organizacji. Wydawać by się mogło, że to zadanie nie wykracza poza standardowy zakres pracy osób na stanowisku kierowniczym lub wyższym – a jednak.
Jak wskazuje raport firmy McAfee[1], w którym opublikowano wyniki rozmów z 700 administratorami bezpieczeństwa w różnych organizacjach, blisko 61% z nich uważa, że kierownictwo i dyrekcja domagają się większej łagodności przy realizacji postanowień wdrożonych polityk oraz procedur jak
i cyberbezpieczeństwa.
Co ciekawe, dotyczy to także braku obowiązku obecności na okresowych szkoleniach oraz niepodleganiu kontroli ze strony innych osób, w tym inspektora ochrony danych.
Ta jedna pozycja w raporcie wskazuje na problem, który można zaobserwować wśród wielu organizacji – osoby będące wyżej w hierarchii nie zdają sobie sprawy z tego, iż to oni są wielokrotnie częściej sprawcami naruszeń bezpieczeństwa danych i że to właśnie na nich spoczywa ogromna odpowiedzialność w kontekście bezpieczeństwa danych i informacji.
4 powody dla których szefowie muszą uważać bardziej
Częstym powodem takiego zachowania wydaje się być przeświadczenie, że naruszenia danych występują tylko i wyłącznie wśród wielkich korporacji – nic bardziej mylnego, mogą one przytrafić się w każdej wielkości organizacji i każdej osobie, w tym także przełożonym.
Dlaczego więc przełożeni muszą zwracać szczególną uwagę na bezpieczeństwo danych? Dzieje się tak ponieważ to przełożeni:
- mają największy dostęp do danych spośród wszystkich pracowników
W większości organizacji to właśnie przełożeni (poza administratorami IT) mają przydzielane najszersze uprawnienia dostępowe do wewnętrznej bazy danych, CRM. Im więcej uprawnień tym więcej kategorii informacji może zostać przechwyconych przez osoby nieuprawnione.
- podejmują ostateczne decyzje co do wydatkowania środków z budżetu
Każdą bardziej istotną rzecz, ostatecznie musi „przypieczętować” przełożony. Często dzieje się to drogą e-mailową, co jest bardzo wygodne natomiast – co wtedy, gdy szef utraci dostęp do swojej skrzynki pocztowej?
- często korzystają w pracy z urządzeń przenośnych w tym laptopów, tabletów, smartfonów.
Praca osób decyzyjnych często wiąże się z wyjazdami oraz pracą w nienormowanym zakresie godzin. W związku z tym najwygodniejszą formą dostępu do danych jest praca na urządzeniach przenośnych – laptopach czy tabletach. Praca „w terenie” wiąże się z większym ryzykiem utraty danych, kradzieży czy zepsucia sprzętu niż w przypadku pracy stacjonarnej.
- stanowią przykład postępowania dla innych pracowników
Powszechny stosunek do zabezpieczenia danych wynika z decyzji i działań podejmowanych przez najwyższe kierownictwo. Unikanie okresowych kontroli lub lekceważenie organizowanych szkoleń z zakresu bezpieczeństwa pokazuje innym pracownikom, że nie jest to na tyle istotne aby rzeczywiście się tym przejmować.
Co więcej, jak wynika z ostatniego raportu Verizon’s 2019 Data Breach Investigations Report,
w porównaniu do roku 2017, pracownicy wyższego szczebla otrzymują 12-krotnie więcej wiadomości phishingowych niż pracownicy niższego szczebla i aż 9-krotnie częściej padają ofiarą phishingu!
Jak minimalizować ryzyko naruszenia ze strony przełożonych?
Jak wynika z przedstawionych danych minimalizowanie ryzyka naruszenia w organizacji w znaczącym stopniu opiera się o najwyższe kierownictwo. Tworzenie swoistego rodzaju „kultury bezpieczeństwa” w organizacji musi być inicjatywą osób decyzyjnych co nie jest zadaniem łatwym. Natomiast poprzez wdrożenie zestawu prostych czynności można w skuteczny sposób pokazać, że bezpieczeństwo informacji to zadanie każdego członka organizacji – w tym także przełożonego. Dlatego skutecznym sposobem na obniżenie ryzyka naruszenia będącego efektem zachowania przełożonych jest zastosowanie się do poniższych wskazówek:
- przełożeni powinni brać udział w szkoleniach z zakresu bezpieczeństwa danych czy cyberbezpieczeństwa.
Ryzyko naruszenia maleje jeżeli nie popełnia się prostych błędów. Dlatego tak jak pracownicy powinni być okresowo szkoleni z aktualnych zagrożeń dla danych, tak i przełożeni również powinni brać udział w tych spotkaniach.
Okresowe szkolenia przypominają pracownikom o tym, jak należy postępować aby zapewniać wysoki poziom bezpieczeństwa oraz powinny wskazywać na aktualne wyzwania takie jak rozpoznawanie phishingu, zapobieganie ransomware czy też tłumaczyć kwestie organizacyjne jak np. zgodność z RODO lub normą ISO 27001.
- należy zachowywać czujność i wspomagać się technologią.
Zachowanie czujności i uważności w codziennej pracy na danych jest kluczowe. Codziennie zasypują nas setki e-maili, które mogą okazać się wyrafinowaną próbą phishingu (szczególnie po kilku godzinach pracy, kiedy myślimy tylko o tym aby odpocząć). Dlatego warto korzystać
z pomocy rozwiązań z zakresu bezpieczeństwa IT – ze szczególnym wyróżnieniem tych
z funkcjami Sandboxingu oraz Antyspamu.
- regularne testowanie i mierzenie receptą na zachowanie bezpieczeństwa.
Specyfika pracy może zmienić się z dnia na dzień (czego możemy doświadczyć obecnie funkcjonując w trakcie pandemii). Dostosowanie się do zmieniających okoliczności to nie tylko wysiłek dla pracowników, to także wysiłek dla przełożonych. Dlatego łatwo jest zapomnieć
o tym, że zmianie ulega także ryzyko naruszenia bezpieczeństwa informacji. Najlepszym rozwiązaniem w takich okolicznościach jest przeprowadzenie analizy obecnych ryzyk i sprawdzenie czy zmianie uległy ich kluczowe czynniki. Taką analizę może przeprowadzić zespół wyznaczonych pracowników lub zatrudniona do tego firma zewnętrzna.
- należy bezwzględnie chronić dane, są ważniejsze niż może się wydawać
Świadomość istotności danych standardowo rośnie wtedy, kiedy już je utraciliśmy. Dzieje się tak zarówno w życiu prywatnym jak i zawodowym. Z tego powodu zapobiegając popełnianiu prostych błędów ze strony pracowników, a w szczególności przełożonych, chronimy dane. Wdrożenie odpowiednich procedur zapobiegających możliwość wynoszenia danych
w formie papierowej z siedziby firmy czy w przypadku danych w formie elektronicznej, regularne tworzenie kopii zapasowej skutecznie niwelują konsekwencje błędów ludzkich.
Ryzyko utraty danych jest nieodzownym elementem działania każdej organizacji. W zależności od podjętych zadań ryzyko może być wysokie lub też niskie natomiast jedno jest pewne – będzie obecne zawsze. Dlatego tak istotne jest wprowadzenie do codziennego życia modelu zachowań, służącemu temu aby zapewnić należyte bezpieczeństwo informacji w organizacji. W sposób szczególny zadanie to spoczywa na osobach decyzyjnych i wyższym kierownictwie, którzy do swoich obowiązków powinni zaimplementować także racjonalne działanie gwarantujące bezpieczeństwo danych i informacji.
[1] https://www.mcafee.com/enterprise/en-us/assets/executive-summaries/es-data-exfiltration-2.pdf (dostęp: 16.06.2020)
