Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
Powrót

Strategie wdrażania cyberbezpieczeństwa

09 kwiecień 2024

Strategie wdrażania cyberbezpieczeństwa
Magdalena Celeban

Magdalena Celeban

W ciągu kilku najbliższych miesięcy będziemy mieli do czynienia z kolejnymi wyzwaniami związanymi ściśle z zapewnieniem bezpieczeństwa przetwarzania danych osobowych, będziemy poddani próbie jakiej jeszcze nie doświadczyliśmy.  Przed nami „tsunami aktów prawnych” oraz nowych wytycznych. 

Strategie wdrażania cyberbezpieczeństwa

W ciągu kilku najbliższych miesięcy będziemy mieli do czynienia z kolejnymi wyzwaniami związanymi ściśle z zapewnieniem bezpieczeństwa przetwarzania danych osobowych, będziemy poddani próbie jakiej jeszcze nie doświadczyliśmy.  Przed nami „tsunami aktów prawnych” oraz nowych wytycznych. 

DSA i NIS

Pierwszym sprawdzianem w niedalekiej przyszłości będzie Akt o usługach cyfrowych (DSA), jednak tuż za rogiem czeka na nas “próba”, która będzie dotyczyła większego grona odbiorców — jest to Dyrektywa w sprawie środków na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa na terytorium UE -  NIS 2. Jest to tylko wierzchołek góry lodowej, gdyż nie możemy zapomnieć o: DA, CER, CRA, E-EVIDENCE/EHDS. Sektor finansowy, chyba obecnie najbardziej porusza Rozporządzenie DORA, w sprawie operacyjnej odporności cyfrowej. 

Administrator danych osobowych

Nie sposób nie zauważyć zależności poziomu bezpieczeństwa w organizacji ze stylem zarządzania nią. W najbliższych latach ważną rolę będzie odgrywał Administrator Danych Osobowych, który jako osoba odpowiedzialna za organizację całościową procesu, zarówno tego związanego z zapewnieniem dochodów firmie, borykającą się z problemami w zatrudnieniu wykwalifikowanych pracowników, będzie musiała również zapewnić ciągłość działania oraz cyberbezpieczeństwa swojej organizacji. 

Już w rozporządzeniu unijnym RODO została silnie naznaczona rola Administratora Danych Osobowych (ADO), w art. 24 możemy przeanalizować obowiązki, a w szczególności należy zwrócić uwagę na pkt. 1 w którym znajdujemy zapis: “Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”

W mojej opinii największym wyzwaniem w organizacjach jest obecnie uwzględnianie ochrony danych osobowych w fazie projektowania o czym możemy przeczytać w art. 25 RODO. 

Wspomniana wyżej regulacja prawna, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) – nazywane skrótowo DSA ma zagwarantować większe bezpieczeństwo użytkownikom w sieci, ale nakłada także nowe obowiązki na dostawców cyfrowych treści, czyli ADO.  W ramach aktu o usługach cyfrowych wprowadzony został szereg nowych czynności, które będą wymagały zaopiekowania przez ADO, jak na przykład przeprowadzenie analizy ryzyka, weryfikacja rejestrów czynności przetwarzania, czy szkolenie pracowników. 

Wiele nowych obowiązków zostało również nałożonych na ADO w związku z wdrażaniem NIS2, co jest już widoczne wśród podmiotów, które rozpoczęły przygotowania do nowej regulacji w tym zakresie. 

Zarządzanie procesem

Aby móc spełnić powyższe wytyczne od osoby zarządzającej czy to małą firmą, czy też dużym przedsiębiorstwem, będzie się wymagało w najbliższym czasie zwiększenia kompetencji, zarówno tych specjalistycznych, technicznych, jak również, a może przede wszystkim, umiejętności miękkich. 

Wdrażanie nowych zasad czy procedur w firmie musi zawsze wiązać się z zaangażowaniem najwyższego kierownictwa. To prezesi, dyrektorzy czy właściciele firm ponoszą odpowiedzialność za prawidłowe i zgodne z wytycznymi wdrożenie przepisów prawa jak również zorganizowanie finansów oraz zasobów ludzkich do ich obsługi. 

Dotychczasowe zarządzanie będzie musiało przejść modyfikację w organizacjach, gdzie do tej pory mówiliśmy głównie o specjalistach, którzy mają za zadanie wspierać najwyższe kierownictwo, teraz będzie się oczekiwało wzmożenia podejmowanych działań. 

Już nie wystarczy, aby prezes posiadał wykwalifikowana kadrę, ale będzie musiał silniej się zaangażować również czasowo. W mojej opinii obecne osoby zasiadające w radach nadzorczych nie są zainteresowane w większości zaangażowaniem się w cyberbezpieczeństwo, nad czym wielce ubolewam. 

Innowacyjne zarządzanie

Najbliższe lata będą nam kreować nowych przywódców, mimo że wydaje nam się to obecnie niemożliwe w wielu firmach, a w szczególności w tych małych. Już za kilka lat świadomy ADO to osoba, która będzie posiadała podstawową wiedzę z zakresu bezpieczeństwa informacji oraz zarządzania cyberbezpieczeństwem. 

Innowacyjne zarządzanie będzie w większym znaczeniu uwzględniało umiejętności miękkie, gdzie będzie należało zacząć od uświadamiania pracowników. Świadomy właściciel czy prezes firmy to świadomy pracownik, kontrahent. 

Badania pokazują, że ludzie zajmujący się biznesem mają większą odporność na ryzyko. Problemy w firmie czy z firmą są zupełnie czymś innym dla pracownika, a czymś innym dla zatrudniającej go osoby. Pracownik podlega wymogom samej firmy, natomiast pracodawca musi uwzględniać presje pracowników oraz swoich współpracowników. 

Nowe regulacje prawne dodatkowo wymagają od pracodawców zaangażowania dodatkowego czasu, siły oraz podejścia do zarządzania stresem i ryzykiem organizacji. To ci świadomi pracodawcy będą zarządzać wkrótce naszym bezpieczeństwem. 

Zmieni się również rola inspektorów ochrony danych, administratorów bezpieczeństwa informacji oraz działów informatycznych. Znajomość zarówno przepisów prawa jak i nowych technologii będą kluczowymi umiejętnościami wymaganymi od naszych przedsiębiorców. 

Specjaliści będą doprecyzowywać pewne wytyczne czy zapisy, będą tworzyli wewnętrzne regulacje. Jednak to ADO będzie miał za zadanie w swoim skutecznym zarządzaniu motywować i mobilizować pracowników do podejmowania działań zmierzających do zapewnienia bezpieczeństwa danych osobowych. 

Atomowe nawyki w zarządzaniu cyberbezpieczeństwem

James Clear w swojej bestsellerowej książce “Atomowe nawyki” namawia swoich czytelników do podjęcia drobnych zmian w swoim życiu, aby zaszły niezwykłe efekty. Podążając za tymi słowami, warto jest już teraz podjąć działania w naszej firmie, związane z wdrożeniami systemów zapewniających bezpieczeństwo w naszej firmie. 

Te małe działania, jak szkolenie personelu, weryfikacja dokumentacji, stworzenie procedur polityk, to są początkowe działania, jednak jak ważne i kluczowe. Jeżeli zmiana zarządzania organizacją sprawia problemy pracownikom, to problem nie tkwi w nich, problemem jest system. 

Złe nawyki w firmie związane z naruszeniami i incydentami, które się powtarzają, nie wynikają z tego, że pracownicy nie chcą ich wyeliminować, ale dlatego, że używamy złych metod do zmiany systemu. Nie osiągniemy celów, które sobie postawimy w procesie zarządzania cyberbezpieczeństwem, bo bardzo często przegrywamy na poziomie systemów ich osiągania. Dlatego tak ważna jest zmiana w podejściu i nastawieniu całej organizacji, czy innowacyjnym zarządzaniu procesami. Chcąc osiągnąć zamierzone cele musimy nauczyć się zarządzać tym systemem. 

Skuteczny Administrator Danych Osobowych – przedsiębiorca

Innowacyjne zarządzanie cyberbezpieczeństwem to innowacyjne przywództwo, które ma na celu motywowanie ludzi, aby chcieli osiągnąć określony cel w cyberbezpieczeństwie. ADO musi zaplanować działania i etapy w procesie budowania skutecznej komunikacji w organizacji. 

Fundamentalne będzie przeanalizowanie płaszczyzn, na jakich będzie odbywała się komunikacja, jak również kanały komunikacji dostosowane do specyfiki organizacji oraz jej zasobów. Kolejny krok dla świadomego przedsiębiorcy to obranie właściwej strategii, planowanie strategiczne, to proces tworzenia długofalowej taktyki ukierunkowanej na określenie i zaplanowanie celów. 

W cyberbezpieczeństwie wyjątkowe ważne jest planowanie strategiczne (powyżej 5 lat), plan przyszłości, wytyczenie ścieżki postępowania i zaplanowanie decyzji w zakresie zasobów i priorytetów. Wdrażanie nowych rozwiązań w organizacji wymaga czasu, świadomości pracowników oraz znacznych zasobów finansowych. 

Podsumowanie

Innowacyjne zarządzanie cyberbezpieczeństwem w organizacji wymaga od ADO, czyli przedsiębiorcy wyznaczenia kierunku rozwoju, na pewno będzie nam tu pomocna wiedza z zarządzania, która wskazuje nam etapy rozwoju:

    1. Określenie wizji – gdzie chcemy być.
    2. Określenie misji organizacji.
      1. Gdzie działamy (analiza sektora, działań, jakie regulacje prawne nas dotyczą).
        1. Określenie segmentu klientów, aby wiedzieć, jakie wymagania będą wobec nas stawiane pod względem zapewnienia cyberbezpieczeństwa w firmie, czyli również jakie koszta będziemy musieli w związku z tą współpracą ponieść. 

          W najbliższych latach wizerunek firmy będzie bardzo silnie uzależniony od poziomu zapewnienia bezpieczeństwa organizacji w procesie przetwarzania danych osobowych. Innowacyjne produkty w sektorze cyberbezpieczeństwa i cyfryzacji będą wymuszać ciągłe doskonalenie. 

          Jak będzie wyglądało zarządzanie za kilka lat? Na ile zmieni się rola lidera organizacji? Na pewno to są pytania, na które nie znamy odpowiedzi, ale jestem pewna, że bardzo szybko będziemy ewaluować, nowe technologie nie tylko zmieniają nasze codzienne życie, ale również mają olbrzymi wpływ na kształtowanie się naszych umiejętności miękkich, które są tak bardzoważne w procesie zarządzania.  

          Powiązane materiały

          Zapisz się do newslettera

          Bądź na bieżąco z najnowszymi informacjami na temat
          cyberbezpieczeństwa



          Zasady ochrony danych osobowych - polityka prywatności