Biznesmen zabezpieczający dane osobowe w interfejsie wirtualnym

Zarządzający firmami powinni unikać zbędnego ryzyka

wrz 2020

By Bill Mew

#KingstonCognate przedstawia Billa Mew

Bill Mew to ceniony lider opinii, działacz na rzecz etyki cyfrowej i przedsiębiorca. Jako ceniony lider opinii Bill skupia się na znalezieniu właściwej równowagi między „skuteczną ochroną”, w dziedzinie której został uznany za największego międzynarodowego influencera działającego na rzecz ochrony poufności danych, a „maksymalizacją wartości ekonomicznej i społecznej”, w której jest jednym z najbardziej opiniotwórczych specjalistów – poczynając od cyberbezpieczeństwa i transformacji cyfrowej, a kończąc na nowych technologiach w sektorze publicznym i inteligentnych miastach. Jako ekspert pojawia się także co tydzień w radiu i telewizji (BBC, RT itp.), będąc najczęściej zapraszanym brytyjskim specjalistą ds. technologii.

Bill jest też założycielem i dyrektorem generalnym firmy CrisisTeam.co.uk, w której współpracuje z elitarnym zespołem ekspertów w dziedzinach reagowania na incydenty, prawa cybernetycznego, zarządzania reputacją i oddziaływania społecznego, by pomagać klientom minimalizować skutki cyberataków.

Korporacyjna kultura podejmowania ryzyka może mieć negatywne skutki dla świata

Menedżerowie pracujący przy dużym tablecie wideo

Podejmowanie pewnych rodzajów ryzyka jest nierozsądne. Większość kredytów bankowych typu subprime (to one doprowadziły do załamania rynku kredytowego i ostatecznie do światowego kryzysu finansowego) oferowano ludziom, których nigdy nie było stać na kredyt. A jednak robiły to prawie wszystkie banki.

W bliższej nam przeszłości nikt nie przewidział lockdownu ani tego, że codzienne czynności, takie jak chodzenie do szkoły i pracy, spotkania z przyjaciółmi czy wyjście na plażę, będą kiedykolwiek stanowić zagrożenie dla naszego życia i otaczających nas osób. Teraz, gdy znamy kontekst, wydaje się to oczywiste.

Zarówno światowy kryzys finansowy w 2008 r., jak i obecna pandemia są wydarzeniami niezwykle destrukcyjnymi, których skutków można było uniknąć (lub przynajmniej je złagodzić), gdybyśmy bardziej docenili ryzyko lub słuchali wcześniej specjalistów ds. ryzyka kredytowego oraz ekspertów w dziedzinie ochrony zdrowia.

Młody biznesmen wskazuje na słowa: Zarządzanie ryzykiem

Czy kultura korporacyjna nie docenia ryzyka?

Sposób, w jaki uwzględniamy ryzyko, jest również często nielogiczny i nieprzewidywalny. Mamy do czynienia z masowym zjawiskiem pracy zdalnej, co otworzyło nowe możliwości dla cyberprzestępców szukających okazji zarobku. Można by oczekiwać, że organizacje skupią się na zapewnieniu bezpieczeństwa swoich aplikacji w chmurze, jednak zbyt często zakładają one, że zadba o to dostawca tych usług. Tymczasem niewłaściwa konfiguracja instancji w chmurze jest faktycznie jedną z najczęstszych przyczyn naruszania bezpieczeństwa danych.

Choć zapewne nikt nie zostawia swojego laptopa ani aplikacji w chmurze bez zabezpieczenia hasłem lub innej ochrony, firmy często zlecają zakup urządzeń IoT i podstawowego sprzętu (jak nośniki pamięci USB) swoim działom zaopatrzenia. Naturalnie prowadzi to do zakupu najtańszych dostępnych urządzeń i nikt nie pomyśli nawet o tym, by zapłacić nieco więcej za dodatkowe funkcje, jak np. szyfrowanie. Warto zadać sobie pytanie: czy pamięć USB, której obecnie używam, jest szyfrowana i chroniona hasłem? Jeśli odpowiedź brzmi „nie”, w firmie należy przeprowadzić pilny audyt ryzyka cybernetycznego.

Nieuwzględnianie ryzyka ma nie tylko charakter kulturowy (dotyczy zarówno osób robiących sobie selfie, jak i specjalistów ds. zaopatrzenia), ale wynika także ze sposobu działania organizacji.

Kto jest odpowiedzialny za ryzyko cybernetyczne?

Ochrona danych i cyberbezpieczeństwo w interfejsie wirtualnym

Bankowcy nie docenili ryzyka kredytowego, ponieważ ich wyniki oceniano wyłącznie w kategoriach przychodu i zysku. Wszystkie działy w praktycznie każdej firmie traktują przychód i zysk jako miernik wydajności, który jest podstawą do ich oceny i przyznawania nagród. Są to wskaźniki zwrotu z inwestycji (ROI). Dopóki jednak będzie to sposób na motywowanie pracowników i zarządzanie organizacjami, efektywność oceny ryzyka będzie niewielka lub żadna.

Jedynym menedżerem wyższego szczebla, który skupia się nie na ROI, lecz na wskaźniku zwrotu z ryzyka (ROR), jest główny inspektor ds. bezpieczeństwa informacji (CISO)^*. Zależnie od skłonności organizacji do podejmowania ryzyka, a także jej budżetu, CISO robi wszystko, co możliwe, aby ograniczyć cyberzagrożenia i przeciwdziałać cyberatakom. Niestety takie podejście – które stoi w opozycji do reszty zespołu zarządzającego – oznacza, że CISO często są nie tylko odizolowani (co określam mianem CISOlacji), ale czasem także zostają kozłami ofiarnymi, nawet jeśli naruszenie bezpieczeństwa danych jest konsekwencją działań dyrektora ds. marketingu (CMO)^** albo wynika ze zignorowania ostrzeżeń przez dyrektora ds. informatycznych (CIO)^***.

To trochę tak, jakby członkowie najwyższego kierownictwa oglądali telewizję, w której widać tylko dwa z trzech sygnałów kolorów (przychód i zysk). Mogą oni z grubsza zobaczyć, co dzieje się w firmie, ale nie mają pełnego obrazu sytuacji. Kiedy pojawiają się poważne zagrożenia, co często dzieje się niespodziewane, są one widoczne dla CISO, lecz nie dla innych. A jeśli ostrzeżenia są rzeczywiście ignorowane, może to prowadzić do katastrofy.

Należy zawsze brać pod uwagę wszystkie trzy kluczowe elementy

Można mieć nadzieję, że ostatnie doświadczenia uczynią nas dużo bardziej świadomymi istniejącego ryzyka. Zarządzający firmami powinni zmienić sposób, w jaki motywują zespoły i zarządzają nimi, a także uwzględnić w swojej perspektywie wszystkie trzy kluczowe elementy: przychód, zysk ORAZ ryzyko. Dyrektorzy ds. zaopatrzenia powinni być świadomi ryzyka i rozumieć, że decyzje dotyczące zakupu zarówno stosunkowo tanich urządzeń (dyski z funkcją szyfrowania nie są dużo droższe), jak i większych, złożonych systemów, muszą być podejmowane z uwzględnieniem cyberbezpieczeństwa.

W kulturze świadomości ryzyka konieczność zapłacenia nieco wyższej ceny za bezpieczeństwo cybernetyczne w postaci bezpiecznych, zaszyfrowanych urządzeń czy złożonych systemów wielochmurowych jest rozsądną inwestycją, a CISO może być spokojny, że jego ostrzeżenia nie zostaną zignorowane.

Spotkanie pracowników omawiających plany finansowe

Niezbędna jest zmiana kulturowa

Jako społeczeństwo nigdy dotąd nie byliśmy tak wzajemnie powiązani ani tak zależni od technologii – i w efekcie tak podatni na zagrożenia. Zwłaszcza w obliczu ich nieustannej ewolucji i rozwoju.

Aby zmienić sposób postępowania zespołów zarządzających i podlegających im pracowników, niezbędne jest skuteczne przywództwo, a zmiana kulturowa w kierunku większej świadomości ryzyka musi pochodzić z samej góry. Kultura etyki cyfrowej (w tym ochrony prywatności i bezpieczeństwa danych) musi przenikać wszystkie poziomy – z góry na dół. Organizacje, które mają kulturę etyki cyfrowej i świadomość ryzyka, są nie tylko mniej narażone na naruszenie danych, ale potrafią także lepiej reagować w przypadku jego wystąpienia.

Powody, by postępować właściwie, są wszędzie

Zbliżenie na listę z zaznaczonymi wszystkimi polami wyboru

Jeśli jako motywacja nie wystarczą kary przewidziane przez RODO, sankcje w postaci utraty prawa do przetwarzania danych, pozwy sądowe czy szkody na wizerunku, jest także prawdziwa nagroda za właściwe postępowanie. Podobnie jak konsumenci i inwestorzy porzucają marki, które są nękane cyberatakami i naruszają zasady ochrony prywatności, są oni również skłonni zapłacić więcej za produkty i usługi zaufanych marek, które przestrzegają zasad etyki cyfrowej.

Klienci we wszystkich branżach, nie tylko w branży technologicznej, stają się coraz bardziej świadomi i wymagający. Badania dotyczące ich oczekiwań wobec firm (bardziej niż wobec rządów) wykazały, że bezpieczeństwo danych i ochrona prywatności przewyższyły nawet znaczenie różnorodności i dbałości o środowisko. Bezpieczeństwo i ochrona prywatności są teraz najważniejszymi kwestiami, których konsumenci oczekują od firm. Niespełnienie tych oczekiwań nie zostanie wybaczone. Dlatego naprawdę warto postępować we właściwy sposób!

#KingstonIsWithYou

Ask an Expert

Kingston przeprowadzi niezależną analizę istniejącej lub planowanej konfiguracji sprzętu w Twojej organizacji.

Samoszyfrujące dyski SSD

Oferujemy porady na temat korzyści płynących z zastosowania dysków SSD w określonym środowisku. Pomożemy także wybrać dyski SSD, które zapewnią bezpieczeństwo pracy mobilnej i zadań wykonywanych poza biurem.

Zapytaj eksperta o SSD

Szyfrowana pamięć USB

Oferujemy porady na temat korzyści dla organizacji płynących z zastosowania szyfrowanej pamięci USB. Pomożemy także wybrać pamięć, która odpowiada Twoim potrzebom biznesowym.

Zapytaj eksperta o USB

Kingston IronKey Vault Privacy 80 Zewnętrzny dysk SSD
Szyfrowanie XTS-AES z 256-bitowym kluczem

USB 3.2 Gen 1

480 GB, 960 GB, 1920 GB

Odczyt do 250 MB/s, zapis do 250 MB/s
Dowiedz się więcej Kup
Dysk SSD SATA KC600 2,5"
Obsługa pełnego pakietu zabezpieczeń

Formaty: 2,5 cala i mSATA

256GB, 512GB, 1TB, 2TB

Odczyt do 550MB/s, zapis 520MB/s
Dowiedz się więcej Kup
Szyfrowana pamięć flash USB DT4000G2
Szyfrowanie XTS-AES z 256-bitowym kluczem

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Odczyt do 250MB/s, zapis 85MB/s
Dowiedz się więcej Kup
Szyfrowana pamięć flash USB Kingston IronKey S1000
Wbudowany chip szyfrujący

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Odczyt do 230MB/s, zapis 240MB/s

Zabezpieczenie złożonym hasłem lub wyrażeniem hasłowym
Dowiedz się więcej Kup
Szyfrowana pamięć flash USB Kingston IronKey D300S
Zaawansowane zabezpieczenia

Dostępna wersja przystosowana do zarządzania

4 GB, 8 GB, 16 GB, 32 GB, 64 GB, 128 GB

Szybkość interfejsu USB 3.1 Gen 1
Dowiedz się więcej Kup