Forcepoint se je odločil razčistiti nejasnosti glede nadzora aktivnosti osebja v kibernetskem okolju komercialne organizacije

Forcepoint.News.Slovenian

“Managing Workforce Cyber Risk in a Global Landscape: A Legal Review” – ‘bela knjiga’ podjetja Forcepoint pripravljena v sodelovanju s pravniško firmo Hogan Lovells.

Forcepoint je januarja v sodelovanju s pravno pisarno Hogan Lovells pripravil dokument, v katerem predstavlja rezultate raziskav o morebitnih vprašanjih v zvezi z nadzorom sodelavcev v informacijskem okolju. Analitiki so preučili 10 različnih nadzornih aktivnosti v 15 državah, poročilo je bolj kot zaradi rezultatov pomembno zaradi napotkov in pomoči za razrešitev mnogih nejasnosti, ki se lahko pojavijo na primer v podjetjih v EU zaradi GDPR oz. pač v vseh primerih, ko je treba zaradi kibernetske varnosti do določene mere spremljati aktivnosti osebja znotraj informacijskega sistema podjetja. Čtivo je lahko zelo zanimivo za vse organizacije, ki se bodo sploh v zvezi z GDPR soočale s prepadom med varovanjem osebnih podatkov in legalnim spremljanjem aktivnosti na delovnem mestu.

En od najpomembnejših načinov vzdrževanja skladnosti z GDPR je spremljanje dostopa do podatkovnih shramb in virov informacij, kajti v njih je najbrž tudi veliko zasebnih podatkov. Tukaj pa že lahko prihaja do kresanja mnenj med informatiki, pravniki, kadrovniki in seveda osebjem samim – nadzor ali GDPR, GDPR ali nadzor? Še posebej pa se dodatno zaplete pri podjetjih z oddaljenimi pisarnami oz. mednarodnih podjetjih, kjer se na delovna mesta poleg recimo enotnega GDPR lahko nanašajo tudi mnogi različni nacionalni zakoni in pravilniki.

KO NALETIMO NA ZAKONE IN REGULATIVE

Forcepoint: »Med izgradnjo za naše lastne interne potrebe  okoli osebja orientirane varnostne strategije smo kaj hitro spoznali, da sami ne moremo naprej, da potrebujemo strokovno pravno pomoč. Naše stranke bodo najbrž prišle do te iste ovire, ki jih kaj hitro lahko ‘prestraši’. Zato smo najeli na področjih zasebnosti in skladnosti izkušeno pravno pisarno, da za nas pripravi podrobno študijo te problematike, nakar smo se odločili, da jo ponudimo javnosti oz. vsem podjetjem in njihovim strokovnjakom kibernetske varnosti. Koliko vemo je to prva analiza te vrste, predvsem traka, ki preučuje mednarodne za globalno občinstvo zanimive pravne vidike kibernetske varnosti in kadrovske problematike.«

Ekipa je preučila in pripravila napotke s treh zakonskih področij, ki urejajo kibernetsko varnostno spremljanje osebja:

  • zakoni, ki se nanašajo na zasebnost podatkov in zakonska določila zaščite podatkov,
  • zakoni, ki urejajo varnost in zasebnost komunikacij, ter
  • zakoni, ki se nanašajo na osebje oz. kadrovanje.

Dokument vsebuje vprašanja, na katera bi si morali odgovoriti, ter njim ustrezne korake za zaščito zasebnosti, ter nabor najboljših splošnih praks za vsako podjetje oz. organizacijo. Ter tudi specifične informacije o regulativah v 15 obdelanih državah.

Hogan Lovells: »Mnogi nedavni incidenti kibernetske varnosti so prekinili poslovni proces, v javnosti osramotili organizacije ali sprožili regulativne in celo pravne postopke proti njim, pa čeprav so bili dobesedno žrtve. V tem kontekstu kibernetske varnost je vso osebje vir tveganja, ne glede na to ali se gre za pomanjkanje znanja, nerodnost ali namerno škodljive aktivnosti. Učinkovito ukrepanje proti kibernetskim grožnjam mora obdelovati zunanje in notranje nevarnosti. Po naših izkušnjah eden za zmanjšanje tveganja najbolj učinkovitih ukrepov spremljanje interakcije med uporabniki in najbolj pomembnimi poslovnimi podatki ter viri in shrambami informacij vseh vrst.«

MEDNARODNI VIDIKI IN NASPROTJA

Nič kaj presenetljivo ni, da se po pravnih vidikih spremljanja aktivnosti osebja preučevane države precej razlikujejo ena od druge. V nekaterih lahko imajo podjetja skoraj popoln nadzor nad dogajanjem v omrežju, ki je v njihovi lasti; pomeni, da se mora osebje privzeto strinjati z mnogimi nadzornimi ukrepi. V drugih pa na primer razen v izjemnih primerih z upravičenim in dokumentiranim sumom škodovanja podjetju se le-to ne sme dotikati osebnih komunikacij, pa čeprav so na delovnem mestu, med sodelavci ali iz službenega predala elektronske pošte. Poročilo dodeljuje vsaki državi številčno oceno glede na pravno kompleksnost nadzornih aktivnosti.

Dve popolni nasprotji sta ZDA in Finska, v eni kot da vlada samo kapital, v drugi pa predvsem človeška rasa. V ZDA so podjetja razrešena vseh pravnih posledic glede nadzornih aktivnosti znotraj njihovega omrežja, ki so del ukrepov kibernetske varnosti. Pomeni da lahko praktično nadzirajo karkoli, brez da bi to posebej kjerkoli razglašali ali celo prosili osebje za strinjanje z ukrepi kibernetske varnosti. Finska pa na splošno in privzeto prepoveduje dostop do in vpogled v elektronske komunikacije, ki jih osebje dobi ali pošlje na oz. iz delovnega mesta.

Forcepoint: “Ne glede na državo, najbolje je, če so ukrepi spremljanja aktivnost osebja proporcionalni z zahtevami kibernetske varnosti, hkrati pa transparentni in spoštljivi do osebja, tako lahko vzdržujemo obojestransko zaupanje. V pravilno uravnoteženem okolju delajo osebje in delodajalci skupaj za skupno varnost in uspešno prihodnost. Za boljšo varnost vseh ljudi v podjetju, poslovnih podatkov in zasebnih informacij.

Povezava za dostop do te bele knjige: »Managing Workforce Cyber Risk in a Global Landscape, by Hogan Lovells«

Slovenija nekoliko majhna, zato je seveda ni na seznamu teh 15t držav, na katere so posebej pogledali, pa vendar je mnogo ugotovitev uporabnih tudi v našem okolju: Finska, Francija, Nemčija, Italija, Nizozemska, Španija, Švedska, Švica, Združeno Kraljestvo, Avstralija, Kanada, Singapur, Turčija ter Združene Države.