Firmy zaniepokojone ochroną danych osobowych przy pracy zdalnej – ta ma coraz większe znaczenie w biznesie
20.05.2021 | Autor: Damian Jemioło
Pandemia koronawirusa bardzo mocno zmieniła to, w jaki sposób klienci oraz firmy postrzegają ochronę danych osobowych. Z powodu oddelegowania wielu pracowników do pracy z domu, przedsiębiorstwa musiały wdrożyć dodatkowe zabezpieczenia czy przeszkolić kadrę z zakresu ochrony danych osobowych. Również państwa i organizacje ponadnarodowe coraz więcej wymagają od firm w tym zakresie. Jak obecnie wygląda polityka ochrony prywatności?
Prowadzisz firmę? Ucz się od najlepszych w branży i weź udział w najbardziej przedsiębiorczej konferencji w Polsce, Founders Mind 🧠
Sprawdź szczegóły wydarzeniaFirmy zaniepokojone ochroną danych osobowych przy pracy zdalnej
Pandemia koronawirusa wymusiła wiele zmian w sposobie pracy przeróżnych przedsiębiorstw. Zmiana trybu pracy na home office, czy przetwarzanie coraz większej ilości informacji na temat klientów bądź pracowników, tj. np. o ich stanie zdrowia, spowodowało, iż firmy zaczęły wdrażać coraz więcej działań w zakresie polityki prywatności. Ochrona danych osobowych stała się ważniejsza niż kiedykolwiek przedtem. Wzrosło także znaczenie zespołów zajmujących się cyberbezpieczeństwem czy zasadami prywatności.
W raporcie Cisco „Forged by the Pandemic: The Age of Privacy” czytamy, że aż 93% organizacji stwierdziło, że ich działy ochrony danych osobowych odegrały znaczącą rolę, pomagając reagować na wyzwania związane z pandemią koronawirusa. Mowa tutaj przede wszystkim o przechodzeniu pracowników na formę pracy zdalnej, określanie, kiedy i jak udostępniać dane osobowe oraz jak wdrażać mechanizmy kontrolne, które zapobiegać będą wyciekom i wykorzystaniu przez osoby trzecie danych poufnych. Było to naprawdę spore wyzwanie, tym bardziej że jak czytamy w badaniu – tylko 41% organizacji określiło, że była w pełni przygotowana na nadchodzące zmiany.
Źródło danych: Cisco
Organizacje są zaniepokojone ochroną danych osobowych podczas trybu home office.
Aż 91% przebadanych przez Cisco firm miało co najmniej 1/4 zespołu pracującą w trybie home office. To znacząco przełożyło się na obawy organizacji względem tego, jak ich pracownicy radzą sobie z ochroną danych ich klientów. 87% organizacji w różnym stopniu wyraża zaniepokojenie tym, czy dane poufne są właściwie zabezpieczane przez ich pracowników pracujących zdalnie.
Firmy podwajają wydatki na ochronę danych osobowych
Według raportu Cisco organizacje dodatkowo podwoiły budżety przeznaczane na ochronę danych osobowych swoich klientów czy pracowników. W 2020 r. średni roczny budżet wynosił 1,2 mln dolarów, obecnie wynosi on 2,4 mln dolarów. Należy jednak wziąć pod uwagę, że kwoty te zawyżane są przez duże firmy, które również brały udział w badaniu. Przykładowo dla przedsiębiorstw zatrudniających od 250 do 499 pracowników, średni roczny budżet przeznaczony na ochronę danych osobowych i prywatności wzrósł z 800 tys. dolarów do 1,6 mln dolarów. Z kolei dla organizacji, które mają ponad 10 tys. pracowników, budżet zmienił się z 1,9 mln dolarów na 3,7 mln dolarów.
Źródło danych: Ciso
Obawy związane z wykorzystaniem danych osobowych w trakcie pracy w trybie home office.
– Obserwując rynek, widzimy, że wiele firm nie było gotowych na nowe realia, zarówno organizacyjnie, jak i technologicznie. Sprzedaż, marketing, obsługa klientów – te procesy przeniosły się niemal zupełnie do kanałów zdalnych. W związku z tym bezpieczeństwo IT i ochrona danych odgrywa jeszcze ważniejszą rolę niż dotychczas. Zaczęliśmy mierzyć się z zupełnie nowymi problemami – czy domowe routery sieciowe pracowników są zabezpieczone hasłem? Czy rodzice udostępniają służbowe laptopy swoim dzieciom do gier i zabaw? Czy zewnętrzne systemy chmurowe są bezpieczne? Wyjście poza spokojną twierdzę biur ujawniło zupełnie nowe wyzwania dla procesów bezpieczeństwa IT i ochrony danych, a przede wszystkim konieczność szybkiego – zaadresowania ich – mówi Jakub Roszewski, Security Consultant w Accenture.
Certyfikaty prywatności przykuwają uwagę firm
Raport „Forged by the Pandemic: The Age of Privacy” wskazuje też, jak ważne dla przedsiębiorstw stały się zewnętrzne certyfikaty dot. ochrony prywatności czy danych (nie tylko tych osobowych) samych w sobie. Jednym z kluczowych sposobów, w którym firmy działające w modelu B2B weryfikują się – stało się uzyskanie certyfikatów, takich jak np. ISO 27701 czy APEC Cross-Border (umożliwiające międzynarodowe transfery danych). Na pytanie, czy owe certyfikaty są brane pod uwagę jako czynnik zakupowy przy wyborze firmy, aż 90% badanych odpowiedziało, że tak.
Rafał Stępniewski – CEO Rzetelna Grupa, właściciel marki politykabezpieczenstwa.pl, twierdzi, iż bez wątpienia głównymi czynnikami wpływającym na podjęcie decyzji o wdrożeniu normy ISO 27701 są względy wpływające na zwiększenie sprzedaży w firmie. Jego zdaniem można to uzyskać poprzez:
- większą wiarygodność w oczach klientów, która jest budowana poprzez poczucie bezpieczeństwa i profesjonalizmu firmy
- wyróżnienie się na tle konkurencji,
- możliwość uczestnictwa w przetargach, gdzie wymogiem jest posiadanie certyfikat.
– Można powiedzieć, że efektem pobocznym, jaki firma uzyskuje, jest bezpieczeństwo biznesowe. Minimalizujemy ryzyko związane z niespełnieniem wymogów RODO i ewentualnymi problemami w związku z utratą danych na skutek awarii albo wycieku. Powyższe wymienione elementy powinny dać firmie nowe możliwości rozwoju i szansę na wzrost. – podkreśla Rafał Stępniewski.
Stępniewski zaznacza także, że uzyskanie certyfikatu nie jest ani prostym, ani szybkim procesem.
– Uogólniając, proces składa się z kilku etapów. Firma musi wdrożyć u siebie wymagania standardu ISO 27701, co powinno być potwierdzone przez tzw. audyt wewnętrzny. Kolejny etap to zgłoszenie do akredytowanej jednostki certyfikującej chęci uzyskania takiego certyfikatu. Wiąże się to wykonaniem tzw. audytu zewnętrznego, który polega na weryfikacji systemu bezpieczeństwa zarówno na poziomie dokumentacji, jak i na poziomie faktycznego funkcjonowania w organizacji – podsumowuje CEO Rzetelnej Grupy.
Jeżeli firma pomyślnie przejdzie weryfikację. Wówczas przez 24 miesiące może legitymować się posiadaniem certyfikatu ISO 27701. Na tym według Rafała Stępniewskiego praca jednak się nie kończy, gdyż wdrożony system bezpieczeństwa musi żyć wraz z organizacją. – Oznacza to prowadzenie takiej dokumentacji i nadzór nad funkcjonowaniem procesów objętych certyfikacją, tak aby po 24 miesiącach była możliwość odnowienia certyfikatu – dodaje.
– Firmy korzystają z wyspecjalizowanych zewnętrznych usług, często chmurowych, aby docierać do klientów. Tym samym wiedzą coraz lepiej, jak bardzo bezpieczeństwo danych ich klientów zależy od partnerów i dostawców. Certyfikacje SOC czy ISO są zawsze prostym i wiarygodnym narzędziem w celu oceny poziomu bezpieczeństwa partnera. Wydawane przez akredytowane jednostki na podstawie szczegółowych audytów, pozwalają na zwiększenie zaufania. Dobrą praktyką jest poprosić o przedstawienie takiego certyfikatu na etapie negocjowania współpracy. Pozwoli to rozpoznać rzetelnego, doświadczonego dostawcę, który z większym prawdopodobieństwem zadba o bezpieczeństwo powierzanych mu danych – dodaje Jakub Roszewski.
Konsumenci zwracają uwagę na politykę ochrony prywatności
Badanie Ciso pokazuje też, iż trend przykładania uwagi do ochrony danych osobowych oraz prywatności, nie jest wyłącznie istotna dla firm. Klienci również chcą, aby ich dane poufne były w odpowiedni sposób przechowywane i zabezpieczane. Większość reaguje raczej pozytywnie na zmieniające się regulacje i nowe przepisy dot. prywatności. To na co jednak uskarżali się konsumenci, to transparentność. Według nich firmy oraz rządy mogłyby jaśniej i przejrzyściej informować o tym, jak przechowywane i zabezpieczane są dane klientów oraz jak dbają o ich prywatność.
Złożoność treści polityki prywatności, skomplikowanie analiz, wniosków czy algorytmów dla większości społeczeństwa jest zwyczajnie niejasna. Mimo to coraz więcej konsumentów zwraca uwagę na to, w jaki sposób np. e-commercy konstruują swoją politykę prywatności. Z badania dowiadujemy się bowiem, że aż 1/3 konsumentów, dla których ochrona danych osobowych jest istotna, nie decyduje się na kupienie produktu od firmy, z powodu praktyki bądź zasad prywatności, jakie ta stosuje.
Coraz więcej przedsiębiorstw jest świadoma tego, jak istotną rolę odgrywa obecnie prywatność i ochrona danych osobowych. 90% przebadanych przez Ciso organizacji stwierdziło, że ich klienci nie kupią od nich produktów, jeśli nie mają pewności co do praktyk firmy i ochrony swoich danych. Co ciekawe w różnych miejscach na świecie obywatele odmiennie oceniają restrykcje dot. ochrony danych osobowych. Już ponad 130 krajów ma zbiorcze przepisy dot. prywatności i w ciągu kilku ostatnich lat, w wielu z nich dochodziło do pewnych modyfikacji tego prawa.
Zdecydowana większość firm oraz klientów uważa, że skodyfikowane przepisy dot. prywatności są skutecznym sposobem na określenie spójnych standardów i podstaw ochrony danych osobowych. Daje im to też poczucie, iż owe dane są przetwarzane we właściwy sposób. Wśród ankietowanych aż 79% uważa, że przepisy dot. prywatności miały pozytywny wpływ na standardy organizacji i państw. Ciso, wskazało też, jak odpowiadali obywatele poszczególnych państw. Okazuje się, że najczęściej pozytywnie przepisy i regulacje dot. prywatności oceniali Rosjanie (90%), a najrzadziej Japończycy (55%).
Wiedza o ochronie danych osobowych podstawową kompetencją
Wszystkie te czynniki przekładają się na zwiększoną świadomość dot. cyberbezpieczeństwa i ochrony danych osobowych wśród firm. Z raportu Ciso dowiadujemy się, iż wiedza o ochronie danych osobowych i prywatności, stała się jedną z najważniejszych kompetencji wśród pracowników. Organizacje przydzielają swoje zespoły związane z cyberbezpieczeństwem czy ochroną danych do przeszkalania pracowników pracujących w trybie home office. Wszystko po to, aby ci wiedzieli, jak prawidłowo dbać o dane zarówno klientów, jak i samego przedsiębiorstwa. Ciso, poprosiło ankietowanych specjalistów ds. bezpieczeństwa, aby ci wskazali najważniejsze obszary dot. bezpieczeństwa właśnie. Trzema najczęściej wskazywanymi sektorami były – ochrona i przetwarzanie danych (34%), analiza i zarządzanie ryzykiem (31%) oraz analiza i reagowanie na zagrożenia (29%).
Co ciekawe zadania zespołów ds. bezpieczeństwa zmieniły się przez wzgląd na pandemię. Obecnie już nie tylko zapobiegają oni dotarciu do danych osobom nieupoważnionym, ale równie często współpracują z pracownikami firmy w celu zapewnienia, że ci obchodzą się z danymi w odpowiedni sposób.
– Tak wielkie zapotrzebowane na specjalistów bezpieczeństwa wynika z kilku czynników, które pogłębiły się podczas pandemii. Najważniejszym z nich jest przyspieszona transformacja cyfrowa firm, w tym migracja do chmury. Nagle ogromne ilości wrażliwych danych są migrowane do systemów, transferowane online i dzielone między pracownikami, a także stronami trzecimi, w sposób znacząco mniej kontrolowany niż dotychczas. Jednocześnie należy pamiętać o przepisach ochrony danych, na czele z RODO. Aby dane klientów były bezpieczne, potrzeba zarówno ekspertów bezpieczeństwa, jak i wiedzy po stronie całej organizacji, aby chronić dane w każdym etapie cyklu ich życia. Synergia w organizacji zawsze była istotna, ale teraz jest krytyczna jak nigdy – podsumowuje Jakub Roszewski z Accenture.
Zostaw komentarz