Słowo „odpowiedzialność” zostało odmienione przez wszystkie przypadki wraz z pojawieniem się rozporządzenia RODO. Nikt nie chce zostać pociągnięty do odpowiedzialności za naruszenie poufności danych osobowych i ich wyciek w obawie przed surowymi sankcjami. Tym bardziej, że istotny wyciek danych może doprowadzić do utraty wiarygodności firmy i odpływu klientów. W rozmowach na temat bezpieczeństwa IT i stosowanych do zapewniania go rozwiązań warto uzmysłowić decydentom biznesowym, że ochrona firmowych danych nie spoczywa wyłącznie na barkach działu IT i oni też są za nią bezpośrednio odpowiedzialni.

Według badania Axence przeprowadzonego wśród administratorów IT (raport.axence.net) aż 24 proc. z nich było świadkami wycieku danych z firmy. Jednocześnie 30 proc. respondentów odczuwa brak zrozumienia potrzeb IT. To najważniejsze wyzwania, z jakimi mierzą się specjaliści z tej branży. Zdaniem badanych bardzo często źródłem problemów są niekompetentni pracownicy.
Budowanie polityki bezpieczeństwa wymaga uznania, że ochrona cennych, strategicznych zasobów to nie tylko cel sam w sobie, ale też gwarancja utrzymania wiarygodności na konkurencyjnym rynku. Menedżerowie muszą zdefiniować, jakie informacje i dane należy szczególnie chronić, bo ich utrata czy ujawnienie spowoduje stratę finansową lub wizerunkową.

Kompleksowe systemy do zarządzania IT, np. Axence nVision, zapewniają również utrzymanie standardów bezpieczeństwa. Podnosi to komfort pracy osób odpowiedzialnych za zarządzanie zasobami IT i ułatwia budowanie polityki ochrony danych w firmie – podkreśla Marcin Matuszewski, starszy inżynier wsparcia technicznego w Axence.

Grzegorz Oleksy
prezes zarządu, Axence

Obecnie rośnie nie tylko zakres obowiązków, ale i odpowiedzialność biznesowa działów IT, bowiem współtworzą politykę zarządzania zasobami informatycznymi. Nie wystarczają im już „jakieś” narzędzia, potrzebują kompleksowych rozwiązań, by spełniać precyzyjne wymagania. Administratorzy muszą dzielić czas między zarządzanie, ochronę, tworzenie stabilnego i optymalnego środowiska pracy oraz działania mające na celu rozwój biznesu. Dlatego, aby w rozmowach z firmami nadać bezpieczeństwu IT odpowiednio wysoką rangę, integratorzy powinni komunikować się z osobami na wysokich stanowiskach, np. członkami zarządu. Dzięki temu potrzeby działów IT będą lepiej słyszane i rozumiane.

Prawo zwiększa wymagania

Znaczenie cyberbezpieczeństwa podniosło oczekiwania wobec działów IT. Kiedyś rola informatyków była ograniczona do zarządzania komputerami. Obecnie mają dużo więcej obowiązków i ponoszą większą odpowiedzialność, wynikającą z konkretnych norm typu ISO lub regulacji prawnych (przede wszystkim RODO).

Wymogi wobec przedsiębiorstw w zakresie stosowania adekwatnych do zagrożeń środków bezpieczeństwa są różne w poszczególnych sektorach. Na przykład, branżę finansową obowiązuje Rekomendacja D, zaś sektor publiczny musi respektować Krajowe Ramy Interoperacyjności.Produkty z rynków zagranicznych często nie uwzględniają tych zależności, więc podmioty z sektorów wymagających szczególnej troski o dane (medycznego, usług publicznych, administracji, finansów) szukają rodzimych rozwiązań. Dlatego w rozmowach z przedstawicielami firm i próbach przekonania ich do wdrożenia stosownych zabezpieczeń warto wspomnieć o ryzyku biznesowym oraz konsekwencjach cywilnych i karnych, jakie będą ponosić w przypadku ich braku.
Menedżerowie muszą mieć świadomość grożacych im kar administracyjnych i roszczeń cywilnych. Duże zasługi w jej krzewieniu miało RODO i ryzyko wysokich kar za naruszenie ochrony danych osobowych. Trzeba też przypominać, że członkowie zarządu mogą odpowiadać karnie za niedopełnienie obowiązków i brak należytej staranności w pełnieniu funkcji – na podstawie art. 296 kodeksu karnego grozi za to do 10 lat pozbawienia wolności.

Dodatkowe informacje:

Łukasz Szefler, kierownik sprzedaży partnerskiej, Axence, tel. 531 509 333,
lukasz.szefler@axence.net, www.axence.net