Ki a felelős a vállalati kiberbiztonságért és adatvédelemért?

Ha meghalljuk a GDPR mozaikszót, az üzleti szférában ma már jó eséllyel mindenki tudja, hogy mit jelent. A vállalatvezetőknek és az informatikai szakembereknek pedig óriási összegek lebegnek a szemük előtt, ha a cégeket fenyegető bírságokra gondolnak.

2021. március 7.

Piac&Profit

3. Ha a marketingvezető „kreatív módon” kezeli a személyes adatokat

A GDPR előírja, hogy csak beleegyezés birtokában, meghatározott célra lehet személyes adatokat gyűjteni. Ha azonban a marketing osztály ezt nem veszi figyelembe, és törvénytelen módon gyűjti, illetve osztja meg az adatokat, az komoly bírságokat és pereket vonhat maga után.

„Ilyen esetekben a szervezetnek és a munkatársaknak egyénileg is felelősséget kell vállalniuk. Ha például valaki azt látja, hogy a cégnél titkosítatlan USB-meghajtókat, SSD-ket vagy védelem nélküli IoT-eszközöket használnak, szólnia kell róla. Ha észreveszi, hogy a kollégák nem tartják be a kibervédelmi alapszabályokat, úgyszintén. Ez a helyzet akkor is, ha a marketingosztály valamelyik munkatársa kifogásolható módon használja fel az ügyféladatokat” – hangsúlyozta Bill Mew.

Elengedhetetlen a kultúraváltás

Ha a vállalatvezetők meg akarják változtatni a dolgozók hozzáállását, és el akarják érni, hogy a vállalat minden szintjén komolyan vegyék az internetes biztonságot és az adatvédelmet, át kell alakítaniuk a szervezeti kultúrára jellemző gondolkodásmódot. Az edukáció kiemelt része, hogy ismertessük a szabályok mögötti szándékot, személyes példákkal alátámasztva magyarázzuk el az adatbiztonság fontosságát, és tudatosítsuk az egyéni felelősséget a kollégákban. A vállalatokat rengeteg dolog ösztönzi erre, hiszen minden cégnek kiemelten kell törekednie az ügyfelek bizalmának fenntartására és az azt aláásó kiberbiztonsági incidensek elkerülésére. Nyilvánvaló, hogy az ügyfelek szívesebben fordulnak olyan cégekhez, amelyek tudomásuk szerint gondosan kezelik az adataikat, és kevésbé kötnek üzletet olyanokkal, amelyek nem.

Ezenkívül számos egyéb tényező van, ami meggyőzheti a szervezeteket az adatvédelem fontosságáról. Például a GDPR minden egyes incidens esetében 20 millió eurós vagy a globális árbevétel 4 százalékának megfelelő bírság kivetését teszi lehetővé (attól függően, hogy melyik a magasabb összeg). Az eset utáni helyreállítás költsége is milliókba kerülhet, továbbá zsarolóvírus-támadás esetén a bűnözők ezen felül még több millió eurós váltságdíjat követelhetnek a vállalattól. Ráadásul azok a magánszemélyek is beperelhetik a szervezetet, akiket érintett az adatlopás. Sőt, a legújabb szabályozás értelmében már a felelős személyeket is szankcionálják. Például az USA-ban a közelmúltban egy internetes biztonsági incidens kapcsán az igazgatósági tagokat és a CISO-t is vádlottként nevezték meg.

Véleményvezér