Kockázattudatos vállalati kultúra építése

Az Európai Unió Kiberbiztonsági Ügynöksége, az ENISA 2012. óta minden év októberében kiemelt figyelmet fordít a kiberbiztonság tudatosítására (https://cybersecuritymonth.eu/). 2019-ben szintén elindult az európai nemzetközi kiberbiztonsági kampány. A kampányt Magyarországon a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete szervezi és koordinálja. Az idei kampány kiemelt témái a kiber-higiéniai készségek fejlesztése, valamint a feltörekvő technológiák használatával kapcsolatos kockázatok tudatosítása. A kiberbiztonsági és ezen belül az adatvédelmi kockázatok, valamint a kapcsolódó incidensek kezelésének alapja azonban nem kizárólag a jogszabályi kötelezettség merev teljesítéséből fakad. Az egyes vállalatok belső vállalati kultúrája nagymértékben meghatározza azt, hogy a vállalat mennyiben képes egyáltalán a megfelelő módon, a hatályos jogszabályokkal és adatvédelmi joggyakorlattal összhangban kezelni a kockázatait, illetve időben észlelni, felismerni, kezelni, majd visszacsatoláson keresztül tanulni az egyes adatbiztonsági eseményekből.

Vállalati kultúra fejlesztése

A vállalati kultúrát leginkább az adott szervezeten belül a helyben szokásos viselkedéssel, személyek közötti íratlan szabályokkal és viszonyrendszerekkel, hierarchia szintekkel, személyek egymás közötti bizalmi viszonyaival, a vállalati tudásmegosztás formájával, módjával, valamint az egyes viselkedések jutalmazásával, propagálásával, eltűrésével és szankcionálásával lehet leírni, amely minden szervezet esetében egyedi. A vállalat irányítása, a vállalat munkavállalóinak a viselkedése ezen egyedi vállalati kultúrán keresztül érvényesül. A hatékony, jól működő és kockázattudatos vállalati kultúrában az elsődleges kérdésnek nem kizárólag arra kell keresnie a választ, hogy a szervezet a jogszabályi előírások szerint működik-e vagy sem. A kiberbiztonsági, adatvédelmi, compliance programok hatékonyságát nem csak ezen a szempontrendszer alapján lehet értékelni. A vállalati irányítási rendszereknek, így az adatvédelmi irányításnak, az adatvédelmi funkciónak is három rétegű struktúrát szükséges szabályoznia:

    (i) az egyes személyek magatartásait, jogait és kötelezettségeiket (elsősorban a munkavállalókét, illetve a vállalat számára munkát végző személyekét);
    (ii) az irányításhoz szükséges folyamatokat (például az adatvédelmi terület vagy funkció megfelelő időben történő becsatornázását a vállalati kezdeményezésekbe, projektekbe), valamint
    (iii) az ezeket támogató és kiszolgáló rendszereket és technológiákat (ideértve a core üzleti folyamatokat támogató, a kiegészítő, illetve a kifejezetten adatvédelmi technológiákat).

Természetesen e hármasból az irányítási rendszer eredményessége legnagyobb mértékben a szervezetben dolgozó személyektől, az egyéni motivációjuktól és együttműködési hajlandóságuktól, illetve ennek a három rétegnek az összehangoltságától függ. Az adatvédelmi funkciónak, mint tanácsadói, támogató, compliance területnek meg kell jelennie a vállalat életében és be kell épülnie az egyes folyamatokba, így különösen a projekt menedzsment módszertanba, az egyes termék- és szoftverfejlesztési, operációs kockázatkezelési, ügyfél- és panaszkezelési folyamatokba.

Az alacsony kockázattudatosságú, alacsony érettségi fokú vállalatoknál jellemző, hogy az üzleti területek képviselői, döntéshozói késleltetik a compliance és adatvédelmi területek bevonását attól tartva, hogy e területek véleménye nem tenné lehetővé az adott kezdeményezés megvalósítását. A gyakorlatban ez a késői bevonás számszerűsíthető kiadást és költségeket jelent a vállalat számára a nem megfelelően, nem a kellő időben felmért és kezelt adatvédelmi kockázatok miatt.

Kiemelten jelentkezik a fent említett három réteg összehangoltságnak az igénye a kiberbiztonsági, adatvédelmi incidenskezelési folyamatok esetében. Tehát a jól megszervezett, az érintett munkavállalók részére leoktatott és begyakorolt incidenskezelési folyamatok, valamint a technológiai képességek és támogatás mellett kiemelt jelentősége van annak, hogy milyen belső motivációt tud támasztani a szervezet a munkavállalóival, közreműködőivel szemben. Ez azt jelenti, hogy mind a kiberbiztonsági, mind az adatvédelmi incidenskezelés alapja a megfelelő szintű, kockázattudatos vállalati kultúra kialakítása és fenntartása. Gyakorlati tapasztalat, hogy a nem megfelelő, nem az erre bátorító vállalati kultúrában a vállalat munkavállalói vagy közreműködői nem jelentik az egyes biztonsági eseményeket, így a technológiai beruházások, befektetések nem hozzák vissza az elvárt hasznot.

Hogyan alakítható ki ilyen kockázattudatos vállalati kultúra, hogyan növelhető az ilyen kultúra iránti elkötelezettség a szervezeten belül?

Vezetői kommunikáció (tone at the top): jelentős hatással tud lenni, ha a vállalat vezetői, első számú döntéshozói kiemelt területként kezelik az adatvédelmi funkciót, illetve kiemelten hangsúlyozzák a fontosságát és bátorítják a munkavállalókat, egyéb közreműködőket, hogy a megfelelő, formális csatornákon keresztül jelentsék az egyes biztonsági eseményeket. Hangsúlyos lehet az is, ha a kommunikáció egyértelművé teszi az együttműködés fontosságát és retorzió mentességet és elsődlegesen a bejelentés fontosságára összpontosít.Kiemelendő, hogy a vezetői kommunikációnak összhangban kell lennie a hatályos adatvédelmi jogszabályokkal és joggyakorlattal, de célszerű hangsúlyozni, hogy a jogszabályi megfelelőség önmagában nem fogja biztosítani a vállalati üzleti célok elérését, hanem az adatvédelmi [compliance] területek hatékony, üzletbarát támogatására van szükség.

Együttműködés az adatvédelmi területtel a vállalaton belül:fontos, hogy „szem előtt” legyen az adatvédelmi funkció és a vállalat munkavállalói olyan belső tanácsadóként tudjanak tekinteni rá, amit be tudnak vonni a mindennapi munkájukba is. Ehhez szükséges, hogy az adatvédelem ne korlátokat jelentsen, ne olyan falként jelenjen meg, amely az üzleti, fejlesztési ötletek, kezdeményezések elfojtására szolgál a jogszabályi megfelelőség köntösében, hanem az adatvédelmi technológiai és jogi kockázatok megfelelő, előzetes, folyamatos felmérését, értékelését és az érintett döntéshozók felé történő kommunikációját jelentse összhangban a hatályos európai és haza adatvédelmi gyakorlattal.

Közkeletű eszköz az adatvédelem (és egyéb compliance területek) jelenlétének erősítésére az adott szervezeten belül a koordinátori, kapcsolattartói szerepkörök kialakítása (pl. privacy champions, privacy ambassadors, stb.) és rajtuk keresztül történő kommunikáció becsatornázása a mindennapi adatvédelmi megfelelőségi feladatok közé.

Adatvédelmi tudatossági kampányok: az adatvédelmi kötelezettségek és a megfelelőség tudatosításának nem rutin vagy évente egyszeri, hanem folyamatos feladatnak kell lennie és célszerű az információbiztonsági kontextusba helyezni. A tudatossági oktatásnak célszerű kiterjednie a vállalati belső szabályozók, normák és dokumentált folyamatok, szabályzatok mellett olyan praktikus dolgokra is, mint az, hogy hogyan lehet felismerni az érintetti kérelmeket; kinél és hogyan, milyen formában lehet bejelenteni az adatvédelmi incidens gyanúját, vagy kihez kell fordulni, ha valamely kérdéssel kapcsolatosan az adatvédelmi terület bevonása szükséges.

A tudatosság növelésének három különböző előnye is lehet a vállalat számára. Egyrészről hasznos magának a vállalatnak, mert közvetíti és kiegyenlíti a saját belső elvárásait, kommunikálja a munkavállalói és közreműködői felé azok jogait és kötelezettségeit és homogén nívót állít fel. Másrészről szükséges a jogszabályi, szabályozói megfelelőség biztosításához. Harmadrészről a tudatosság növelésének haszna megjelenik az egyén szintjén is (pl. biztonság tudatosság, jelszóhasználat, személyes adatok közzététele a közösségi média felületeken).

A tudatossági kampányok, adatvédelmi oktatások sem feltétlenül kell, hogy „iskola szagú” tantermi oktatások legyenek. A nemzetközi legjobb gyakorlat például az élő oktatás mellett az egyéni, online kurzusok, üzenőfelületek (pl. bejelentkezési képernyők, tudatossági plakátok) alkalmazása, valamint a vezetői kommunikációban leírt magatartás követésének a jutalmazása.