Deloitte – Wsparcie prawne istotnym elementem budowy strategii cyberbezpieczeństwa. Firmy na unowocześnienie systemów wydają mniej niż 10% budżetu. Czy w związku z COVID-19 będą przeznaczać więcej?

Szereg działań legislacyjnych podejmowanych jest w celu zapewnienia ochrony prywatności i bezpieczeństwa danych. Według prognoz World Economic Forum cyberataki będą stanowić jedno z największych zagrożeń w 2020 roku. W ostatnich tygodniach obserwujemy pojawienie się cyberataków wykorzystujących fake newsy związane z koronawirusem SARS-CoV-2.

 

Jak pokazuje raport firmy doradczej Deloitte „Tech Bytes Part 3: Cyber. Three things chief legal officers can do now to become more cyber-savvy”, transformacja cyfrowa jest jednym z najważniejszych i najtrudniejszych aspektów zarządzania ryzykiem związanym ze środowiskiem cyfrowym. Może być ono jednak ograniczone dzięki stosowaniu odpowiednich wewnętrznych regulacji prawnych. Tymczasem 40 proc. działów prawnych nie ma pełnej świadomości tego, jak cyberobowiązki wynikające z przepisów oraz związane z tzw. compliance są realizowane we wszystkich funkcjach oraz liniach biznesowych wewnątrz firmy.

 

Trwająca pandemia koronawirusa SARS-CoV-2 bez wątpienia znacząco wpływa na funkcjonowanie firm w świecie wirtualnym. Wiele z nich zdecydowało się na wprowadzenie trybu pracy zdalnej, a spotkania  zarządów odbywają się w ramach wideokonferencji. Obecna sytuacja rodzi tym samym wyzwania, przed którymi stają firmy, a są nimi zagrożenia związane z cyberbezpieczeństwem i ochroną danych, szczególnie tych krytycznych dla działania przedsiębiorstwa. Konieczne jest więc zaktualizowanie strategii cyberbezpieczeństwa. Według badania przeprowadzonego przez ekspertów Deloitte, by uprościć środowisko IT oraz zwiększyć jego wydajność, liderzy firm priorytetowo traktują wiele inicjatyw w zakresie transformacji cyfrowej. Co jednak warte odnotowania, na kwestie związane z unowocześnieniem firmowych systemów i procedur zarządy przeznaczają mniej niż 10 proc. budżetu. Na brak odpowiednich środków finansowych zwraca uwagę 13 proc. badanych.

 

Wśród najtrudniejszych aspektów zarządzania bezpieczeństwem cyfrowym w organizacji 15 proc. ankietowanych dostrzega trudność w określeniu priorytetów dotyczących ryzyka cybernetycznego w całej firmie, jednocześnie 14 proc. podkreśla brak dostosowania sposobu zarządzania do określonych priorytetów. Tyle samo ankietowanych uważa również, że brakuje wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Biorąc pod uwagę fakt, że to właśnie kwestie organizacyjne mogłyby w dużej mierze przyczynić się do zachowania najwyższego poziomu bezpieczeństwa cyfrowych zasobów przedsiębiorstwa, te statystyki budzą wiele pytań.

„Departamenty prawne powinny stanowić nieodłączną, aktywną część procesu, mającego na celu zapewnienie cyberbezpieczeństwa organizacji. Z perspektywy dyrektorów działów prawnych luki systemowe i organizacyjne powinny być postrzegane jako poważny problem, ponieważ mogą szybko doprowadzić do incydentów o potencjalnie negatywnych skutkach operacyjnych, finansowych, regulacyjnych lub reputacyjnych. Pamiętajmy, że transformacja cyfrowa ze wszystkimi korzyściami, jakie oferuje, zwiększa jednocześnie ryzyko związane z cyberbezpieczeństwem.” – mówi Agata Jankowska-Galińska, radca prawny, senior managing associate w Deloitte Legal.

Monitoring zmieniających się regulacji

Wiele działań legislacyjnych na całym świecie podejmowanych jest w celu ochrony prywatności i bezpieczeństwa danych. Jest to tylko jeden z aspektów szybko zmieniającego się globalnego środowiska prawnego i regulacyjnego, obejmującego cyberprzestrzeń. Jak przygotowane są działy prawne do zrozumienia tych zmian i sprawnego reagowania? Ankieta przeprowadzona przez Deloitte wskazuje, że 40 proc. działów prawnych nie ma pełnej świadomości co do tego, jak obowiązki, wynikające z przepisów oraz związane z compliance, realizowane są w praktyce we wszystkich funkcjach oraz liniach biznesowych wewnątrz firmy. Prawnicy często nie wiedzą również, jak dokładnie działają inne funkcje oraz linie biznesowe wewnątrz tej samej organizacji. W rezultacie nie są w stanie wskazać wszystkich regulacji, które powinny znaleźć zastosowanie.

„To poważny błąd. Organizacje powinny wykorzystać kompetencje prawników. Otoczenie prawe, zarówno na poziomie krajowym, jak międzynarodowym ulega ciągłym zmianom. Dlatego też niezwykle ważne jest, aby po stronie organizacji istniała świadomość tych zmian i działań, jakie powinny podjąć w celu zapewnienia zgodności. Po stronie prawników powinna leżeć z kolei dobra znajomość organizacji.” – mówi Agata Jankowska-Galińska.

Równolegle do znacznego postępu technologicznego powstają nowe obszary biznesowe, które należy objąć już istniejącymi lub nowymi regulacjami wewnętrznymi. To sprawia, że firmowe działy prawne powinny szybko i aktywnie wchodzić w proces zmian. Do tego niezbędne jest pozyskanie przez nich wiedzy na temat środowiska zagrożeń cybernetycznych, a także zmiana podejścia wewnątrz organizacji, polegająca na wprowadzeniu na stałe perspektywy prawnej do decyzji strategicznych, taktycznych i operacyjnych.

 

Wsparcie prawne w zakresie cyberbezpieczeństwa

Dyrektorzy działów prawnych nie mogą przyjmować biernej postawy. W związku z koniecznością budowania skutecznej strategii cyberbezpieczeństwa działy prawne powinny odznaczać się aktywnością, zaangażowaniem i wiedzą na temat najnowszych międzynarodowych regulacji w zakresie cyfryzacji danych. Stworzenie strategii bezpieczeństwa cyfrowego z uwzględnieniem w niej prawnego punktu widzenia sprawi, że firma będzie lepiej przygotowana do radzenia sobie z ryzykiem cybernetycznym.

„Wsparcie prawne jest istotnym elementem budowy strategii bezpieczeństwa i odporności organizacji. Najczęściej jednak funkcjonuje w trybie reaktywnym, np. w odpowiedzi na wprowadzaną zmianę legislacyjną i niestety w trybie kaskadowym tzw. waterfall, a wiec wolno i nieelastycznie, przy wysokim koszcie wprowadzania kolejnych zmian.” – zauważa Marcin Ludwiszewski, dyrektor działu Cyberbezpieczeństwa w Deloitte.

Aktywność prawnicza mobilizuje organizację. Z drugiej strony – jeżeli nie jest stosowana w szerszym kontekście – koncentruje się jedynie na osiągnięciu niezbędnego minimum zgodności prawnej, a nie faktycznym zwiększeniu odporności na cyberataki. Działy prawne muszą dostosować się do nowej dynamiki biznesowej i otoczenia, aby proaktywnie i elastycznie wspierać organizację.

 

Zaangażowanie prawników ma również znaczenie przy opracowaniu wyjściowych standardów bezpieczeństwa. Powinny mieć taką formę, by biznes mógł z nich samodzielnie korzystać i angażować działy prawne tylko w razie wyjątków od przyjętych standardów. Pełne zaangażowanie prawne powinno też towarzyszyć adopcji nowych rozwiązań technologicznych, otoczenia prawnego i cyklu zmiany organizacji – uwzględniając przy tym możliwość podejmowania szybkich decyzji i ryzyka w danym zakresie. Oczywiście istnieje szereg innych działań, dla których ekspertyza prawna jest niezbędna, jak chociażby reagowanie na incydenty związane z danymi osobowymi, procedury odtwarzania sprawności działania czy procesy zarządzania kryzysowego. Trzeba przy tym pamiętać, że jak kiedyś dbałość o bezpieczeństwo, tak dziś zaangażowanie prawne może spowalniać podejmowanie inicjatyw.

 

Reagowanie na incydenty i naprawianie szkód

Według ekspertów Deloitte organizacje powinny mieć przygotowane procedury reagowaniana incydenty cybernetyczne oraz naprawiania szkód. Są one przydatne szczególnie teraz w sytuacji wzmożonego zagrożenia cyberatakami z powodu trwającej pandemii koronawirusa SARS-CoV-2 i wynikających z niej ograniczeń. Wobec wzrostu użytkowania platform chmurowych oraz przeniesienia życia biznesowego do świata wirtualnego, warto zadbać o strategię odtwarzania awaryjnego, czyli procesy, polityki i procedury związane ze wznowieniem lub utrzymywaniem krytycznej dla organizacji infrastruktury teleinformatycznej po wystąpieniu katastrofy naturalnej lub wywołanej przez człowieka. W ramach określenia istniejących planów odzyskiwania danych w przypadku awarii i innych incydentów cybernetycznych ekspertyza prawników jest niezbędna do określenia tego, czy wypracowane metody spełniają wszelkie obowiązujące normy i przepisy branżowe. Warto włączyć dział prawny do procesu monitorowania programów cyberbezpieczeństwa. Aby umożliwić bardziej efektywne zaangażowanie strategiczne, taktyczne i operacyjne, należy rozważyć przeprowadzenie głębszych szkoleń z zakresu zagadnień cybernetycznych dla swojego działu prawnego lub jego podzespołu.

Raport Tech Bytes Part 3: Cyber

Przejdź do strony raportu

 

https://itreseller.pl/itrnewaz-3-4-polskich-cfo-spodziewalo-sie-spowolnienia-gospodarczego-przed-wybuchem-pandemii-recesja-jest-nieunikniona-ale-glebokiego-kryzysu-byc-moze-uda-sie-uniknac-zdaniem-ekspertow-deloitte/