A pandémia alatt 4-szeresére nőtt a kiberbűnözés. Hogy jön ide a HR szerepe?

2021.04.07.
Döbbenetes számok, óriási kitettségek

Egy 2020-ban zajlott felmérés szerint a dolgozók egyharmada hozzáfért az előző munkahelyén végzett feladataihoz szükséges adatállományaihoz. Ennek a kockázata nem igényel különösebb magyarázatot. De ha a kockázat ennyire egyértelmű, akkor vajon hogy lehetséges ez? Ennek gyökérokára egy másik kutatás eredménye adhat választ, eszerint a cégek mindössze 21%-a tekinthető GDPR tudatosnak. Közel 3 évvel a GDPR bevezetése után ezek elég drámai számok.

Bármilyen forrást is elemzünk, állíthatjuk, hogy ma az adatvédelmi tudatosság elég alacsony szinten mozog. A közvélemény és az üzleti élet is egyfajta „kötelezően megugrandó”, vagy „szükséges rossz kategóriába” sorolja a témát, illetve összekeverik az adatvédelmet a folyamatok részévé tett gondolkodást és a dokumentumok meglétét.

Tekintve, hogy a digitalizáció robog előre, és így egyre több appot, rendszert, szoftvert használnak a munkatársak a mindennapok során, a kockázati kitettség egyre nő. Amennyiben a tudatosság nem nő ilyen tempóban, egyre többször találhatjuk magunkat „szereljünk be egy riasztót, hogy legközelebb ne törjenek be” esetben. Röviden: egyre több adatot tárolunk egyre több helyen. Hogy lehet ezt biztonságosan művelni?

Nem akkor kell lépni amikor már baj van

Talán abban egyetérthetünk, hogy a cégvezetőknek legsúlyosabb reputációs és gazdasági kárt is az adatvesztés, betörés utáni adatszivárgás okozhatja. Egy kémkedésből, vagy haszonszerződésből kiinduló sikeres támadás az egész céget romba döntheti. Amikor a baj már megtörtént, csak a kármentésről beszélhetünk. Felelősöket keresni ilyenkor persze lehet, de sokkal értelmesebb megoldás a megelőzés.

Ügyfeleinknél sokszor találkozunk azzal a felállással, hogy a HR szerint az adatvédelem jogi, illetve IT feladat.

Igaz, hogy a jogi terület feladata a szabályozások elkészítése, az IT területé pedig a jogosultságok kiadása, hozzáférések beállítása. De ki tehet még kiemelten azért, hogy ne kelljen rettegni egy véletlen vagy szándékosan okozott adatvédelmi incidenstől?

A mai modern adatvédelmi elvárásokat a szervezetekben a HR szakmai és kulturális támogatása nélkül esélytelen megvalósítani.

Nézzünk néhány gyakorlati példát, hogyan segíthet a HR. Bontsuk háromfelé a bekapcsolódási pontokat: kultúra, tudás, szabályozás.

Kultúra, avagy a digitalizációs könnyelműség visszaszorítása, példamutatása

Nincs az az adatvédelmi (információbiztonsági, etikai, stb.) szabályzat, amit ne lehetne felrúgni. A digitalizáció terjedésével egyre több a mindenféle átgondoltság nélküli „partizánakció”. A legszabályozottabb szervezetekben is előfordul, pláne, ha egy vállalat nem nyújt egyszerű, gyors információáramlást biztosító lehetőségeket, hogy chat-en, Viberen küldenek egymásnak a dolgozók, vagy partnerek adatokat, állományokat, vagy a vállalati ügyek megbeszélésére Facebook csoportot nyitnak, az információ elmentése helyett fotót készítenek a rögzítendő információról egy nem megfelelően védett mobileszközzel.

Ezekkel nem az a baj, hogy ezek a megoldások nem szolgálnák a célt. Hanem az, hogy a dolgozónak és pláne a munkáltatónak fogalma sincs, hogy a céges üzleti és személyes adatok hova kerülnek és mi történik velük később. A kontroll teljesen elveszik az így megosztott információk, állományok fölött. Mivel az ilyen fajta tevékenység tipikusan sokszor ismétlődik, gyakorlatilag esélytelen a „kitett” állományok, információk utólagos törlése, megsemmisítése. Az „ottfelejtés”–ből származó kockázati kitettség hatalmas.

A céges szokások, minták betartásában leginkább azok a személyek tudnak segíteni, akik a HR, illetve people management tevékenységet kifejtik: ők a középvezetők. A középvezetők kultúraépítő, viselkedésformáló haladásában viszont a HR lesz az, aki nem hagyja őket magukra, hanem segíti őket jobb vezetőkké válni.A HR mint az egyik, ha nem a legnagyobb adatkezelő, élen kell, hogy járjon a tudatosság építésében, saját létezésével és tevékenységével példát mutatva ezeknek a vezetőknek. Az információban megtestesülő érték védelmét a vállalati értékek közé kell emelni, ez az értékteremtés pedig szintén elsősorban HR szerepkör.

A tudás és tájékozottság nem megy ki a divatból

Gondoljuk csak át néhány példát, hogy a kollégák, akikkel dolgozunk, vajon mennyire tudnának választ adni a következőkre?

  • Melyik appokat használhatom céges ügyek megbeszélésére, melyiket nem?
  • Mi történik, ha elveszítem a laptopomat, mobilomat, benne a céges levelezéssel?
  • Milyen kockázata van egy céges belépőkártya elvesztésének?
  • Miért baj, ha rövid egy jelszó?
  • Vezetőként mi a dolgom jogosultságok terén, ha a beosztottam távozik a cégtől vagy más munkakörbe kerül?
  • Kihez fordulhatok a cégnél, ha adatvédelmi, adatbiztonsági problémát észlelek?

Tekintve, hogy a pandémia alatt kiberbűnözés a 4-szeresére nőtt, a tájékozott kollégák nyilvánvalóan védettebbek a betörések, adatszivárgások ellen. Ráadásul ez a védettség a vállalati életen túl is elkíséri őket, mert a tudatos viselkedést a magánéletünkben is kamatoztathatják, a tudatosságuk növelésével tehát olyan pluszt adunk nekik, amit az élet más területén is segítheti őket.

Az adatvédelem sajnos nem túl érdekfeszítő téma sokaknak. Mint említettük, leginkább akkor válik érdekessé, amikor audit, vagy káros események miatt fókuszba kerül, mintha csak egy súlyos munkabaleset után osztanánk ki a munkavállalóknak a védőruhát. Ekkor történnek meg a kampányszerű oktatások, többfaktoros azonosítás bevezetése, folderszerkezet és jogosultságok revíziója, és hasonlók. Felkészült szervezeteknél az adatvédelmi tudatosság egy folyamatos téma. Mivel sokak számára önmagában száraz téma, nem egykönnyen oldható meg a tanulnivaló terjesztése. A HR-nek lesz abban kiemelt szerepe, hogy a tananyagot az adatvédelmi szakember bevonásával plasztikusan, a vállalati életben felmerülő kérdésekre fókuszálva, érdekesen fejtse ki, példákat találjon és eljuttassa a dolgozókhoz. A képzések ismétlése szintén lényeges. Általános ismeretanyag mellett az egyes dolgozói csoportok által végzett adatkezelésekre is szükséges koncentrálni. Érdemes azokat a munkavállalókat is alapszintű ismeretekkel ellátni, akik jellemzően nem kezelnek személyes adatot, hiszen a vállalat össz-adatbiztonságáért ők is sokat tehetnek. Mondhatjuk úgy is, hogy minden dolgozó része az információs védőernyőnknek.

Rend a lelke mindennek: a szabályozás fontossága

A fent említett szoft felelősségek – kultúra, tudásátadás – mellett szükség a konkrét, pontos és következetesen betartandó szabályzatok megléte is. Lefektetett és írott szabályok nélkül a számonkérés esélytelen.

Nézzük a kellemes oldalát a dolognak: egy adatvédelmi (ide tartozik még: információbiztonsági, felelősségi, etikai, stb) szabályzat elkészítése kiváló alkalom arra, hogy átgondoljuk magát a folyamatot. Folyamatról beszélünk, hiszen az adatkezelés soha nem önmagában és önmagáért létezik, mindig kísérője egy alapfolyamatnak. Ha a folyamatot feltérképezzük, annak során végig tudjuk nézni, hogy mennyiben felelünk meg a GDPR alapelveinek. Bár maguknak a szabályoknak az elkészítése nem HR feladat, mégis lényeges a szerepvállalás. A HR feladata leginkább az, hogy mivel ők foglalkoznak a következményekkel, vegyék komolyan az előbb említett oktatási és kulturális támogatást, illetve a munkajogi következmények alkalmazását, ha valakinek a szabályszegése miatt a vállalatnak kára keletkezik.

Azonnal bedobható megoldások

Egy cikkben a HR feladatait az adatvédelem kapcsán felsorolni, ütemezni nem lehet, hiszen az nagyban függ a folyamatainktól és a vállalatunk berendezkedésétől. Azonban gondolja át, hogy a vállalatánál be tudja-e építeni az alábbiakat, hogy egy tudatosabb és biztonságosabb működést segítsen elő:

 

  • Építse be a L&D (Képzés-fejlesztés) menetrendjébe az adatvédelmet, mint témát
  • Törekedjen teljesen megérthető tananyagok, képzések kialakítására
  • Mutasson be pozitív és elrettentő példákat a kollégáknak, magyarázza el, hogy milyen komoly eszköz van annak a birtokában, aki adatokat kezel
  • Frissítse a belső szabályzatok és időnként (félévente, vagy évente) ellenőrizze, hogy komolyan veszik-e
  • Az új belépők, új alvállalkozók felé kapjon hangsúlyt az adatvédelem témája
  • Fordítson energiát a kilépéskor a jogosultságok, eszközök, hozzáférések teljes visszavételére és munkaügyi adminisztrációjára
Összefoglalás

Ma cégeket az is megkülönböztet a piacon, hogy a saját, illetve ügyfelek adatait milyen módon védik. Ez ugyanis sokat mond arról, hogy mennyire bízhatjuk rájuk a saját üzleti, illetve személyes adatainkat, és mennyire érezhetjük magunkat biztonságban, ha az adott adatkezelő oldaláról támogatásra, esetleg azonnali cselekvésre van szükség. Az adatvédelembe fektetett energia jelentősége egyre nagyobb hangsúlyt kap idővel, érdemes tehát már most befektetni abba.

Példák, statisztikák forrása: The Digital Group weboldal, 2020.,Frederic Laloux: Reinventing organizations, Varonis weboldal, 2021.

about-us-page-gallery09-min

Csekő Katalin

Auchan DPO, MADAT Főtitkár

profile-pic1

Renfer Péter

HR IT szakértő, Nordconn

Tömeges reskilling az autóiparban: már benne vagyunk

Tömeges reskilling az autóiparban: már benne vagyunk

Aki csak járatos a HR területén, hallotta a reskilling fogalmát. Maga a fogalom nem új keletű, egyidős a HR eszköztárral. Ami azonban több, mint nyugtalanító a cégvezetők és a HR vezetők számára, az az, hogy a következő két évben a munkavállalók 35%-ánál várható...

Erőforráselosztás, mint versenyelőny a piacon

Erőforráselosztás, mint versenyelőny a piacon

Nagy dilemmát tud okozni, ha tanácsadóként van szakmai meggyőződésed és van rá terméked is. Nehezen tudsz hiteles érvelést bemutatni, mivel a véleménynyilvánítás a saját terméked felé húz. A szakmai meggyőződésnél fontos, hogy egyik oldalra se húzzon az ember. A...

Beléptetés/kiléptetés – aranyszabályok és ötletek

Beléptetés/kiléptetés – aranyszabályok és ötletek

Üzleti HR cikksorozatunkban átnézzük a legfontosabb HR-folyamatokat. Mai témánk a be- és kiléptetés. Ami miatt különösen érdekes ez a terület, az az, hogy ezt a folyamatot kollégánként csak egyszer lehet – jól vagy rosszul – elvégezni. De hogyan lehet „jó”? Nézzük...

Mit nyerünk egy jó teljesítményértékelési folyamattal?

Mit nyerünk egy jó teljesítményértékelési folyamattal?

Minden vállalat a növekedés és a fejlődés során többször is eljut arra a pontra, ahol a kollégák céljainak meghatározása már nem történhet szervezetlenül. A célkitűzési és a teljesítményértékelési folyamat tisztázása nélkül ma egy vállalat nehezen éri el a céljait....