Odpowiednie obchodzenie się z danymi to klucz do sukcesu

Wszyscy zgadzamy się chyba, że odpowiedź na tytułowe pytanie naszej debaty brzmi "tak". Pan Chopra powiedział, że nie wiemy, jak będzie wyglądać rzeczywistość za pięć lat, jednak musimy się na tę rzeczywistość przygotować. Jak więc przygotować przedsiębiorstwa, organizacje i podmioty państwowe na coś, co jest nam obce?

Najważniejszym jest to, jak zarządzamy danymi. Odpowiednie obchodzenie się z danymi to klucz do sukcesu. Warto dodać, że jest to nowe wyzwanie, bowiem nigdy wcześniej nie mieliśmy do czynienia z tak dużą ilością informacji. Uwagę należy skupić na oprogramowaniu i technologii. Firmy nie zawsze zdają sobie sprawę z tego, że nieodpowiednie zabezpieczenie danych może mieć poważne konsekwencje, zarówno finansowe, jak i prawne. Co więcej, niedopatrzenia na tym polu wykluczają niektóre przedsiębiorstwa z konkurencji. Dane są dzisiaj główną walutą. Budowanie, zarządzanie i wykorzystywanie baz danych to clou każdego przedsięwzięcia. Firmy powinny odpowiedzieć sobie zatem na bardzo ważne pytanie: Jak można wykorzystać dane, żeby pozostać konkurencyjnym wobec innych podmiotów, które rozwijają zaawansowane systemy zarządzania. Pięć lat to ogrom czasu, decyzje trzeba podejmować teraz, zanim - być może w sposób niezauważony - wypadnie się z rynku. Jeśli spojrzy się na przedsiębiorstwa, które funkcjonują obecnie i funkcjonowały 10 lat temu, to można zobaczyć, jak zmieniło się podejście do zagadnienia, o którym mówimy.

Odpowiedziała pani także na pytanie - po co zarządzać danymi.

Oczywiście, konkurencyjność to ogromna wartość na rynku. Jeśli dane nie są bezpieczne i odpowiednio przetwarzane, może to skutkować wypadnięciem z tego wyścigu.

Duże wycieki danych to bardzo często efekty zaniedbań ze strony osób odpowiedzialnych za zarządzanie. Składa się na nie zarówno brak odpowiedzialności pracowników, błędne decyzje menedżerów, ale czasem również przestępstwa. W nowej rzeczywistości będą nadal działać stare praktyki biznesowe, z tym że dysponujące nowymi narzędziami w postaci dużych ilości informacji.

Spojrzę na to z innej perspektywy. Jak radzimy sobie z tempem zmian? Jedno z najciekawszych podejść to podejście globalne. Jest to złożony model zarządzania, który wymaga ścisłej współpracy na dwóch płaszczyznach jednocześnie - płaszczyźnie szybkiego reagowania i płaszczyźnie wolnego reagowania. Jedna drużyna musi działać błyskawicznie, wykrywać zagrożenia, bronić przed nimi i przewidywać, skąd mogą nadejść. Druga drużyna utrzymuje cały system. To jest koncepcja, która odpowiada na wyzwania stawiane przed nami przez nieprzewidywalną przyszłość. Jeśli chcemy odnaleźć się w szybkim świecie, to również musimy przyspieszyć.

Czyli proces przystosowawczy może pociągnąć za sobą duże zmiany strukturalne?

Niekoniecznie. Istnieje rozwiązanie, które również było odpowiedzią na błyskawiczne tempo rozwoju rynku internetowego - outsourcing, czyli wydelegowywanie usług. Są firmy, które specjalizują się w odpowiednim zabezpieczaniu zaplecza informatycznego innych organizacji. To bardzo dobry kierunek. Nie wymaga tworzenia specjalnej komórki czy całej infrastruktury informatycznej. Co ważne, takie rozwiązanie pozwala też na optymalizację kosztów.

Proszę powiedzieć, jak to wygląda w praktyce. Jak firmy zmieniają swoje modele biznesowe?

Doświadczamy zmian. To widać, że firmy zaczynają dostrzegać w danych bardzo duży potencjał - często, tak jak powiedziała pani Marja Laitinen - związany z utrzymaniem konkurencyjności. Jednak dużo przedsiębiorstw lokuje odpowiedzialność za zabezpieczenie danych w działach IT, zapominając o wielowymiarowości bezpieczeństwa informacji. Pracownicy bardzo często nie mają odpowiedniego przeszkolenia w zakresie cyberbezpieczeństwa, przez co stają się najsłabszym ogniwem systemu. Z drugiej strony wdrożone efektywne zarządzanie zasobami IT pomaga przedsiębiorstwom przejść przez transformację cyfrową lepiej zarządzając szansami i ryzykami przy utrzymaniu równowagi między wymaganiami zmieniającego się biznesu i bezpieczeństwa.

Pomówmy o odpowiedzialności prawnej.

Zanim na to odpowiem, to chciałbym nawiązać do wypowiedzi przedmówców. Wszystko zaczyna się od edukacji - uczymy nasze dzieci, żeby nie przechodziły na czerwonym świetle, ale nie uczymy, jak zachowywać się w cyberprzestrzeni. Zanim jednak to zrobimy, musimy sami się tego nauczyć.

Co do odpowiedzialności prawnej - przedsiębiorca jest odpowiedzialny za to, co dzieje się z danymi w jego firmie. W tym jest zobowiązany poczynić wszelkie starania, aby chronić te dane. Zaniechania w tym zakresie należałoby oceniać pod kątem ewentualnego naruszenia art. 296 kodeksu karnego, który reguluje wyrządzenie szkody majątkowej firmie albo sprowadzenie bezpośredniego niebezpieczeństwa takiej szkody w wyniku niedopełnienia swoich obowiązków. W wyniku cyberataku firma może stracić swoje pieniądze albo dane. Kradzież danych jest szkodą, którą da się wycenić, a więc szkodą majątkową, do tego zwykle większą niż kradzież pieniędzy. Jeżeli prezes firmy lub np. dyrektor IT dopuszcza się zaniedbań w zakresie ochrony systemów informatycznych i w ten sposób faktycznie umożliwia skuteczne przeprowadzenie cyberataku, sam też działa na szkodę swojej firmy. Zagrożenie jest poważne, bo mowa tu o karze do pięciu lat pozbawienia wolności w przypadku wyrządzenia znacznej szkody majątkowej i do trzech lat w przypadku sprowadzenia bezpośredniego niebezpieczeństwa wyrządzenia znacznej szkody majątkowej.

Cyberbezpieczeństwo jest więc obowiązkiem prezesów i dyrektorów IT. Musimy pamiętać, że kwestia zabezpieczenia danych zaczyna się i kończy na jednej osobie - najsłabszym ogniwie w firmie. Może to być pracownik firmy, który będąc podłączony do sieci, kliknie w nieodpowiednią wiadomość e-mailową albo podłączy do komputera zainfekowany pendrive. Trzeba być świadomym takiego ryzyka i dlatego tak ważna jest edukacja. Przestrzeń internetowa nie jest przyjazna i trzeba o tym pamiętać.

Pani Laitinen mówiła o ochronie danych, a pan Chopra o dzieleniu obowiązków. Jaką rolę odgrywa tu wzajemne zaufanie?

Jeśli weźmiemy pod uwagę to, że zarządzamy strategicznymi z punktu widzenia firmy danymi, to zaufanie jest bardzo ważne. Musimy pamiętać, że podmioty ze sobą konkurują, dlatego musimy przykładać wielką wagę do doboru współpracowników. Możemy takie dane umieszczać w chmurze, przez co są one łatwiej dostępne, ale trzeba pamiętać, żeby dobrze je zabezpieczyć. Wydaje się, że chmura jest rozwiązaniem łatwiejszym niż klasyczny system przechowywania danych, bo nie musimy zajmować się całym zapleczem. Jednak tym zapleczem musi zająć się ktoś inny, dlatego jak wspomniałam - musimy znaleźć zaufanego partnera. Wtedy cyfrowa transformacja będzie także naszym udziałem, nie zostaniemy z boku.

Jesteśmy tak zabezpieczeni jak nasz najsłabszy punkt. Tu nie chodzi nawet o zaplecze informatyczne. Każdy zainfekowany użytkownik może nam zaszkodzić. Podsumowując, zadam dwa pytania: Po pierwsze, czy monitorujemy nasze bezpieczeństwo? Po drugie, ile czasu spędzamy na poszukiwaniu zagrożeń? Niebezpieczeństwa czają się wokół i trzeba ich stale wyszukać. Najgorsza sytuacja jest wówczas, że już jesteśmy zainfekowani, a jeszcze o tym nie wiemy.

@RY1@i02/2017/211/i02.2017.211.21400020a.801.jpg@RY2@

fot. Wojtek Górski

Na zdjęciu od lewej: Mukul Chopra, dyrektor Digital Transformation Centre, COMPAREX; Marja Laitinen, starszy prawnik, Microsoft Digital Crimes Unit na region Europy Centralnej i Wschodniej; Bartosz Rychlewski, menedżer w zespole usług śledczych w PwC Polska; Paweł Sawicki, adwokat Sołtysiński Kawecki & Szlęzak, specjalizujący się w zagadnieniach cyberbezpieczeństwa i zwalczania cyberprzestępczości, Marek Tejchman, zastępca redaktora naczelnego DGP

Debatę prowadził Marek Tejchman

Oprac. Adam Pawluć

@RY1@i02/2017/211/i02.2017.211.21400020a.803.jpg@RY2@