W czasach pandemii konieczna jest aktualizacja strategii cyberbezpieczeństwa – zaleca Deloitte. Wynika to z tego, że zmieniło się funkcjonowanie firm w wirtualnej przestrzeni. Wiele z nich przeszło na tryb pracy i komunikacji zdalnej, na korzystanie z platform chmurowych, co rodzi nowe wyzwania związane bezpieczeństwem cyfrowym i ochroną danych, szczególnie tych krytycznych.

Deloitte radzi, by departamenty prawne włączyć do działań mających na celu zapewnienie ochrony cyfrowej organizacji. Trzeba je zaangażować w proces adopcji nowych rozwiązań technologicznych.

Warto też włączyć dział prawny do procesu monitorowania programów cyberbezpieczeństwa. Powinien mieć wiedzę na temat regulacji w zakresie cyfryzacji danych.

Przedsiębiorstwa w związku ze zmianą modelu działania i zagrożeniami w czasach Covid-19 muszą zadbać o strategię odtwarzania awaryjnego, czyli procesy, polityki i procedury związane ze wznowieniem lub utrzymywaniem krytycznej infrastruktury ICT. Przy określeniu planów odzyskiwania danych ekspertyza prawników jest niezbędna by określić, czy wypracowane metody spełniają obowiązujące normy i przepisy.

Deloitte postuluje aktywność prawników w obszarze cyberochrony firmy, a nie reaktywność, np. jakieś kroki w odpowiedzi na zmianę przepisów. Zalecane są intensywne szkolenia z zagadnień ICT dla działu prawnego.

Oczywisty jest też udział prawników w reakcji na incydenty związane z danymi osobowymi, procedury odtwarzania sprawności działania czy procesy zarządzania kryzysowego.

 
Słabo z przygotowaniem

Działy prawne są jednak kiepsko przygotowane do zrozumienia zmian i sprawnego reagowania. Otóż 40 proc. z nich nie ma pełnej świadomości co do tego, jak obowiązki, wynikające z przepisów oraz związane z compliance, realizowane są w praktyce we wszystkich funkcjach i działach biznesowych w firmie.

Nie wiedzą również, jak dokładnie działają inne funkcje oraz linie biznesowe wewnątrz tej samej organizacji. W rezultacie nie są w stanie wskazać wszystkich regulacji, które powinny być stosowane.

„To poważny błąd. Organizacje powinny wykorzystać kompetencje prawników. Otoczenie prawne, zarówno na poziomie krajowym, jak międzynarodowym ulega ciągłym zmianom. Dlatego też niezwykle ważne jest, aby po stronie organizacji istniała świadomość tych zmian i działań, jakie powinny podjąć w celu zapewnienia zgodności” – mówi Agata Jankowska-Galińska, radca prawny, senior managing associate w Deloitte Legal.

Wielkie deklaracje i małe budżety

Według badania Deloitte, aby uprościć środowisko IT oraz zwiększyć jego wydajność, zarządy priorytetowo traktują wiele inicjatyw w zakresie transformacji cyfrowej. Ale na unowocześnienie firmowych systemów i procedur przeznaczają mniej niż 10 proc. budżetu. Na brak odpowiednich środków finansowych zwraca uwagę 13 proc. badanych.

Wśród najtrudniejszych aspektów zarządzania bezpieczeństwem cyfrowym w organizacji 15 proc. ankietowanych dostrzega trudność w określeniu priorytetów dotyczących ryzyka cybernetycznego w całej firmie, jednocześnie 14 proc. podkreśla brak dostosowania sposobu zarządzania do określonych priorytetów. Tyle samo ankietowanych uważa, że brakuje wykwalifikowanych specjalistów ds. cyberbezpieczeństwa.