Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
W dzisiejszym, dynamicznie zmieniającym się krajobrazie finansowym, zrozumienie złożonego splotu przepisów prawnych i regulacji, które kształtują praktyki zarządzania ryzykiem, jest kluczowe dla dyrektorów wykonawczych i członków zarządów. Przepisy takie jak Ustawa Dodd-Frank, Ustawa o Praktykach Korupcyjnych Za Granicą (FCPA) oraz wytyczne Komisji Papierów Wartościowych i Giełd (SEC) odgrywają istotną rolę w ustalaniu odpowiedzialności i budowaniu solidnych ram zarządzania ryzykiem. Poznając te przepisy, liderzy organizacji mogą lepiej poruszać się w gąszczu wyzwań związanych z zgodnością z regulacjami, poprawić odporność organizacyjną i chronić swoje instytucje przed ryzykiem finansowym i reputacyjnym. W miarę jak nadzór regulacyjny staje się coraz bardziej rygorystyczny, głębokie zrozumienie tych ram nie jest już tylko obowiązkiem prawnym, ale fundamentem skutecznego zarządzania i podejmowania strategicznych decyzji.
Ustawa Dodd-Frank, uchwalona po kryzysie finansowym z 2008 roku, nałożyła nowe zasady zarządzania ryzykiem dla instytucji finansowych. Przewiduje ona, że organizacje finansowe, których aktywa przekraczają 10 miliardów dolarów, muszą ustanowić niezależne komitety ds. ryzyka. Komitety te muszą składać się z ekspertów w dziedzinie zarządzania ryzykiem, którzy posiadają wieloletnie doświadczenie w zarządzaniu ryzykiem w dużych organizacjach. Przepisy te mają na celu zwiększenie transparentności i poprawę nadzoru nad ryzykami związanymi z działalnością finansową.
Komisja Papierów Wartościowych i Giełd (SEC) wymaga od organizacji ujawniania w swoich raportach rocznych czynników, które mogą stanowić ryzyko związane z inwestowaniem w papiery wartościowe danej firmy. SEC zwraca uwagę na konieczność jasnego ujawniania czynników ryzyka, które mają znaczący wpływ na działalność operacyjną przedsiębiorstwa. W ciągu ostatnich lat pojawiły się obawy związane z wymaganiami SEC dotyczącymi ujawniania informacji. Niektóre organizacje wskazują, że regulacja ta zmusza je do nadmiernego ujawniania informacji, w tym ryzyk, które mają charakter ogólny i nie mają realnego wpływu na działalność firmy. W odpowiedzi na te obawy, SEC kontynuuje przegląd swoich wymagań, aby zapewnić, że firmy ujawniają tylko te czynniki ryzyka, które mają rzeczywisty wpływ na ich działalność operacyjną.
Podobnie, Ustawa o Praktykach Korupcyjnych Za Granicą (FCPA) wprowadza regulacje dotyczące przeciwdziałania korupcji w międzynarodowych transakcjach handlowych. W 2017 roku Departament Sprawiedliwości Stanów Zjednoczonych ogłosił politykę egzekwowania FCPA, która przewiduje możliwość uzyskania kredytów łagodzących dla firm, które dobrowolnie ujawniają nieprawidłowości związane z korupcją w swojej działalności. Firmy, które podejmują odpowiednie kroki naprawcze i współpracują z władzami, mogą liczyć na złagodzenie konsekwencji prawnych. Polityka ta miała na celu zwiększenie liczby ujawnionych przypadków naruszeń, a także umożliwienie organizacjom uniknięcia kar za współpracę w dochodzeniach.
W kontekście zarządzania ryzykiem związanym z cyberbezpieczeństwem, Unia Europejska wprowadziła ogólne rozporządzenie o ochronie danych osobowych (GDPR), które podniosło wymagania dotyczące zabezpieczeń w zakresie ochrony danych osobowych. To przepisy, które mają wpływ na wszystkie organizacje operujące w UE, niezależnie od ich siedziby. W związku z rosnącym zagrożeniem cyberatakami, GDPR stawia przed firmami obowiązki w zakresie ochrony danych, w tym obowiązek zgłaszania naruszeń bezpieczeństwa danych. Zrozumienie i przestrzeganie tych regulacji staje się kluczowe w kontekście współczesnych wyzwań związanych z cyberzagrożeniami.
Zrozumienie przepisów prawnych, które kształtują zarządzanie ryzykiem, jest niezbędne dla współczesnych liderów organizacji. Przepisy te nie tylko nakładają obowiązki na organizacje, ale również tworzą ramy dla odpowiedzialności i transparentności w zakresie zarządzania ryzykiem. Ważne jest, aby liderzy firm zdawali sobie sprawę z rosnącej roli regulacji prawnych w kształtowaniu strategii zarządzania ryzykiem, ponieważ niewłaściwe podejście do przestrzegania przepisów może prowadzić do poważnych konsekwencji prawnych, finansowych i reputacyjnych.
Jakie zasady rządzą współczesnym zarządzaniem cyberbezpieczeństwem w organizacjach?
W 2018 roku zaktualizowane przepisy dotyczące ochrony danych osobowych w Unii Europejskiej wprowadziły nowe wymagania, które miały na celu zwiększenie skuteczności cyberbezpieczeństwa zarówno w organizacjach europejskich, jak i tych działających poza jej granicami. Również ogólne rozporządzenie o ochronie danych (GDPR) nałożyło szereg restrykcji na zbieranie i przetwarzanie danych przez firmy, w tym obowiązki związane z ochroną danych osobowych, uzyskaniem zgody właściciela danych oraz rygorystycznymi wymaganiami dotyczącymi powiadamiania o naruszeniu bezpieczeństwa. Niezgodność z tymi wymogami może wiązać się z poważnymi karami, sięgającymi nawet 4% globalnych dochodów firmy (Lipton i in., 2018). Ekstrawertyczne rozszerzenie zasięgu GDPR stanowi jeden z kluczowych elementów jego skuteczności w zapewnianiu cyberbezpieczeństwa w różnych organizacjach.
Podobnie, Departament Usług Finansowych Stanu Nowy Jork (DFS) w Stanach Zjednoczonych opracował szczegółowe przepisy mające na celu zapewnienie cyberbezpieczeństwa w firmach działających w Stanach Zjednoczonych (Lipton i in., 2018). Przepisy te wymagają od objętych nimi instytucji, takich jak ubezpieczyciele, banki czy firmy finansowe, spełniania minimalnych standardów bezpieczeństwa cyfrowego, które zostały ustanowione przez departament. Przewidują one również konieczność stworzenia i wdrożenia programu cyberbezpieczeństwa, mającego na celu ochronę danych osobowych klientów, który musi zostać zatwierdzony przez zarząd firmy. Ponadto instytucje te zobowiązane są do corocznej certyfikacji zgodności z tymi przepisami, co pozwala na ocenę skuteczności wdrożonych rozwiązań z zakresu cyberbezpieczeństwa.
Również Komisja Papierów Wartościowych i Giełd Stanów Zjednoczonych (SEC) skierowała swoją uwagę na kwestie powiadamiania o naruszeniach bezpieczeństwa danych oraz ujawniania informacji na temat zagrożeń związanych z cyberincydentami. Już od 2011 roku, po wydaniu wskazówek dotyczących ujawniania kwestii związanych z cyberbezpieczeństwem przez SEC, publiczne firmy zostały zobowiązane do ujawniania ryzyka cyberataków, jeśli stanowi ono jedno z głównych zagrożeń dla inwestycji. W 2018 roku SEC zaktualizowała swoje wytyczne, rozszerzając je o obowiązek ujawniania skutków negatywnych zdarzeń związanych z cyberbezpieczeństwem, w tym odpowiedzialności zarządów firm za nadzór nad zarządzaniem ryzykiem cybernetycznym. Nowe wytyczne obejmowały także procedury dotyczące ujawniania informacji, kontrolowania dostępu do informacji poufnych, a także procedurę ujawniania informacji o transakcjach wewnętrznych, które mogą być związane z cyberatakiem.
W kontekście cyberbezpieczeństwa istotnym aspektem jest także zarządzanie ryzykiem, które jest kluczowym elementem w procesie ustalania polityk bezpieczeństwa. Właściwe zarządzanie ryzykiem cybernetycznym wymaga nie tylko odpowiednich regulacji, ale także głębokiej wiedzy o tym, w jaki sposób cyberprzestępcy mogą atakować organizacje, jakie są ich metody oraz jak działać, by zapobiec takim incydentom. Przewodniczący zarządów oraz menedżerowie odpowiedzialni za bezpieczeństwo powinni być świadomi, że nie tylko technologie, ale również organizacyjna kultura i zachowania pracowników mają ogromny wpływ na skuteczność wdrożonych rozwiązań z zakresu cyberbezpieczeństwa.
Zarząd organizacji i wyższe szczeble zarządzania muszą również zrozumieć, że strategia cyberbezpieczeństwa powinna być ściśle powiązana z ogólną strategią biznesową firmy. Ważne jest, by władze organizacji miały jasny obraz zagrożeń i ryzyk związanych z cyberatakami oraz żeby potrafiły uwzględniać te zagrożenia w podejmowanych decyzjach strategicznych. To oznacza, że organizacje powinny opracować solidny "business case" dla cyberbezpieczeństwa, w którym uwzględnione będą czynniki takie jak koszty, korzyści, a także próg tolerancji ryzyka. Wszystkie te elementy powinny zostać uwzględnione w tworzeniu i wdrażaniu polityki zarządzania bezpieczeństwem cyfrowym w firmie.
Zarząd organizacji, jako kluczowy organ nadzorczy, odpowiada za stworzenie ram zarządzania cyberbezpieczeństwem, poprzez ustalenie jasnych zasad, polityk i procedur, które powinny być wprowadzone przez całą organizację. Współpraca pomiędzy zarządem a menedżmentem jest niezbędna, by skutecznie wdrożyć politykę zarządzania ryzykiem i odpowiednie procedury reagowania na incydenty związane z cyberbezpieczeństwem. Dlatego ważne jest, aby zarząd nie tylko zatwierdzał, ale również aktywnie uczestniczył w tworzeniu i wdrażaniu strategii, które będą odpowiadały na zmieniające się zagrożenia w cyfrowym świecie.
Jakie zagrożenia związane z cyberbezpieczeństwem mają największy wpływ na rozwój organizacji i jak im zaradzić?
Zero-Trust Network Access (ZTNA) stanowi coraz częściej wybieraną alternatywę dla tradycyjnych VPN, oferując bardziej zaawansowaną ochronę dostępu do wrażliwych danych i zmniejszając ryzyko ataków ransomware. System Zero-Trust zakłada, że wszystkie urządzenia, niezależnie od miejsca ich połączenia, są potencjalnie zagrożone, co wymaga weryfikacji każdego zapytania o dostęp do zasobów. ZTNA umożliwia dokładniejszą kontrolę, bardziej elastyczną i mniej podatną na ataki, zwłaszcza w kontekście pracy zdalnej i ochrony informacji o wysokiej poufności. Takie podejście pozwala ograniczyć ryzyko naruszeń bezpieczeństwa, które mogłyby zniszczyć reputację firmy i jej finansową stabilność.
W obliczu ciągłych postępów technologicznych, dyrektorzy generalni, dyrektorzy ds. informacji (CIO) oraz dyrektorzy ds. bezpieczeństwa (CISO) muszą zadbać o to, by ich organizacje były odpowiednio przygotowane na wprowadzenie i utrzymanie skutecznych strategii ochrony cybernetycznej. Zwiększenie świadomości wśród pracowników, przeprowadzanie szkoleń i organizowanie wewnętrznych programów oceny efektywności takich działań stanowią podstawę sukcesu w walce z zagrożeniami cybernetycznymi.
Zarząd firmy musi również odpowiedzieć na pytanie, w jaki sposób może zoptymalizować wdrażanie nowoczesnych strategii ochrony przed cyberatakami. Przede wszystkim niezbędne jest zrozumienie, że cyberzagrożenia nie występują tylko w sferze technologii, ale mogą wynikać także z problemów społecznych czy psychologicznych, które mogą wpływać na organizacyjną kulturę firmy. Działania na rzecz prewencji powinny uwzględniać nie tylko aspekty techniczne, ale i szkolenie pracowników w zakresie wykrywania zagrożeń, jak i edukację w zakresie świadomości zagrożeń w firmowej kulturze organizacyjnej.
Należy również pamiętać, że organizacje często skupiają się na wdrożeniu pojedynczych rozwiązań zabezpieczających, jak np. instalacja antywirusów, jednak takie działania są zaledwie pierwszym krokiem. Cyberprzestępcy często wykorzystują mniej niż kilkanaście niedociągnięć, by uzyskać nieautoryzowany dostęp do systemów firmowych. Dlatego też, oprócz stosowania podstawowych zabezpieczeń takich jak regularne aktualizacje i szyfrowanie danych, konieczne jest wprowadzenie zaawansowanego podejścia do zarządzania ryzykiem, które uwzględnia także dbałość o kulturowy aspekt postrzegania zagrożeń w organizacji.
Nie mniej ważnym zagrożeniem jest brak polityki bezpieczeństwa cybernetycznego w firmach. Firmy, które nie opracowują jasno określonych zasad ochrony przed cyberzagrożeniami, są narażone na ataki, które mogą zagrozić ich ciągłości operacyjnej. Opracowanie kompleksowej polityki cyberbezpieczeństwa stanowi kluczowy element strategii zarządzania ryzykiem i ochrony danych firmowych. Polityka ta powinna obejmować obszary takie jak identyfikowanie zagrożeń, zabezpieczanie systemów, procedury monitorowania i reagowania na incydenty, a także zarządzanie dostępem do informacji w kontekście zdalnej pracy i współpracy z podmiotami zewnętrznymi.
Niezrozumienie różnicy między polityką zgodności a polityką cyberbezpieczeństwa może również prowadzić do poważnych problemów. Często organizacje mylą te dwa pojęcia, zakładając, że spełnianie wymagań prawnych automatycznie zapewnia odpowiednią ochronę przed cyberatakami. Z kolei skuteczne zarządzanie ryzykiem wymaga bardziej szczegółowego i holistycznego podejścia, które obejmuje całą organizację, a nie tylko dział IT.
Równie istotnym elementem jest rozwój kultury organizacyjnej, która sprzyja wykrywaniu zagrożeń oraz wzmacnia postawy obronne wobec cyberataków. Pracownicy muszą być świadomi swoich obowiązków i odpowiedzialności w kontekście ochrony danych i systemów, co może zostać osiągnięte dzięki regularnym szkoleniom, a także wdrożeniu procedur monitorowania i szybkiego reagowania na potencjalne incydenty.
Jak skutecznie zarządzać incydentami związanymi z atakami wewnętrznymi w organizacji?
Zarządzanie incydentami związanymi z atakami wewnętrznymi w organizacji, szczególnie dotyczącymi wycieków danych lub nadużyć związanych z własnością intelektualną, to jedno z najtrudniejszych zadań, które spoczywa na barkach kierownictwa wyższego szczebla. Szczególnie istotne staje się wdrożenie odpowiednich procedur oraz współpraca z ekspertami, którzy posiadają doświadczenie w zakresie zbierania i dokumentowania cyfrowych dowodów. Dzięki temu można skutecznie ścigać sprawców oraz poprawić reakcję organizacji na tego typu zagrożenia.
Pierwszym krokiem w skutecznym zarządzaniu incydentem jest zebranie danych historycznych z logów oraz alertów, które mogą wskazać na aktywności użytkowników w kontekście naruszeń bezpieczeństwa. Przeanalizowanie historii działań, takich jak próby kopiowania poufnych plików w nietypowych godzinach, może ujawnić istotne szczegóły dotyczące potencjalnych sprawców. Ważnym elementem w takim dochodzeniu jest możliwość prześledzenia szczegółowych działań, takich jak szyfrowanie plików, zmiana nazw plików na pozornie niewinne (np. „family_photos.zip”) czy wysyłanie danych za pomocą poczty e-mail lub innych kanałów komunikacyjnych. Te kroki mogą pomóc w identyfikacji osób, które są odpowiedzialne za naruszenie bezpieczeństwa organizacji.
Zbieranie danych na poziomie dysku oraz analiza logów wymaga zastosowania zaawansowanych narzędzi do analizy cyfrowych dowodów. Ważne jest, aby zespół ścigający sprawców dysponował odpowiednimi technologiami, które umożliwią szybsze odkrycie ukrytych działań. Technologie wizualizacyjne mogą przyspieszyć proces rekonstrukcji wydarzeń związanych z incydentem, co jest kluczowe nie tylko dla ścigania sprawcy, ale także dla przedstawienia wyników dochodzenia osobom, które nie są specjalistami w dziedzinie IT. Dzięki wizualnym reprezentacjom można lepiej zrozumieć, jak przebiegał incydent i jakie były jego skutki. Pomaga to również w rozróżnieniu między działaniami przypadkowymi a świadomym naruszeniem.
Rekonstrukcja incydentu wymaga uwzględnienia całego kontekstu ataku, a nie tylko fragmentarycznych informacji. Chociaż szczegółowa analiza logów może dostarczyć istotnych wskazówek, ważne jest, aby zrozumieć szerszy kontekst sytuacji. Nie każda próba działania na danych użytkownika oznacza intencjonalne naruszenie bezpieczeństwa. Dlatego istotne jest, aby kierownictwo wyższego szczebla skupiło się na znalezieniu tzw. „prawdziwych zapalników” – momentów, które faktycznie świadczą o złamaniu zasad bezpieczeństwa. Tego typu analiza umożliwia stworzenie bardziej precyzyjnych polityk monitorowania, które pozwolą na wcześniejsze wykrywanie takich sytuacji w przyszłości.
Istotnym elementem w zarządzaniu incydentami jest także decyzja, jak reagować na naruszenie. Organizacja musi wypracować procedury, które będą umożliwiały szybkie i skuteczne podjęcie działań naprawczych, takich jak szkolenie pracowników, zmiana infrastruktury technologicznej czy, w skrajnych przypadkach, rozwiązanie umowy z pracownikiem naruszającym zasady. Czasami konieczne może być wprowadzenie sankcji prawnych w celu dochodzenia roszczeń lub odzyskania skradzionych danych. Warto jednak pamiętać, że każda sytuacja jest unikalna i decyzje o dalszym postępowaniu powinny być dostosowane do charakterystyki organizacji oraz samego incydentu.
Zbudowanie efektywnych polityk monitorowania jest niezbędne, aby uniknąć powtórzenia się podobnych incydentów w przyszłości. Systemy alarmowe powinny być zaprojektowane w taki sposób, aby reagowały na zachowania, które mogą wskazywać na złamanie zasad bezpieczeństwa, a także umożliwiały wczesne wykrywanie prób nieautoryzowanego dostępu czy kradzieży danych. Zbieranie i analiza danych o działaniach pracowników, takich jak próby kopiowania plików czy wykonywanie zrzutów ekranu z aplikacji projektowych, mogą stanowić cenne wskazówki w procesie tworzenia polityk bezpieczeństwa, które skutecznie zminimalizują ryzyko naruszeń w przyszłości.
Zdecydowana reakcja kierownictwa w sytuacjach kryzysowych, połączona z rzetelną dokumentacją i analizą dowodów, może znacząco wpłynąć na skuteczność działań naprawczych oraz ochronę danych w organizacji. Bez odpowiednich narzędzi, procedur i współpracy z ekspertami, organizacja może mieć trudności w odzyskaniu kontroli nad swoimi zasobami cyfrowymi oraz w dochodzeniu sprawiedliwości.
Jakie są najlepsze praktyki w zakresie ochrony przed cyberzagrożeniami i zarządzania ryzykiem wewnętrznym w organizacjach?
Polityka ochrony cybernetycznej powinna być wdrożona na szeroką skalę w organizacji. Aby zwiększyć wrażliwość tej polityki na specyficzne zdarzenia wyzwalające, dyrektorzy informacji, dyrektorzy ds. bezpieczeństwa informacji oraz dyrektorzy generalni mogą wprowadzać zmienne godziny pracy, co pozwala na zminimalizowanie liczby fałszywych alarmów (Cybersecurity and Infrastructure Security Agency, 2020).
Zarząd i wyższe kierownictwo muszą zaangażować się w kluczowe rozmowy, mające na celu opracowanie skutecznych środków zapewnienia bezpieczeństwa cybernetycznego organizacji (Internet Security Alliance, 2020). Odpowiedzialnością zarządu jest upewnienie się, że wyższe kierownictwo jest odpowiednio przygotowane oraz posiada skuteczny plan zapobiegania i łagodzenia skutków cyberataków. Zarząd powinien także zadbać o to, by zespół zarządzający przygotował całą organizację na możliwość cyberataku. Co więcej, zarząd powinien zapewnić, że wyższe kierownictwo opracowało praktyczne rozwiązania umożliwiające wykrywanie incydentów związanych z bezpieczeństwem informacji, zapobieganie cyberatakom, łagodzenie ich skutków oraz zapewnienie, że firma jak najszybciej wznowi swoje normalne operacje (Internet Security Alliance, 2020).
Skuteczność wdrożonych środków bezpieczeństwa można ocenić za pomocą cybermetryk, wskaźników ryzyka oraz KPI. Efektywne metryki i wskaźniki zostały już wcześniej omówione w tej pracy (Tunggal, 2021a).
Outsourcing ochrony cybernetycznej do zewnętrznego dostawcy może przynieść organizacjom wiele korzyści, takich jak oszczędności kosztowe oraz dostęp do ekspertów o wyższych kompetencjach i bardziej zaawansowanej wiedzy na temat cyberbezpieczeństwa niż dostępni w firmie specjaliści (Baker, 2016). Niemniej jednak outsourcing wiąże się również z pewnymi ryzykami, które należy starannie rozważyć przed wyborem dostawcy usług cyberbezpieczeństwa.
Zarząd organizacji oraz C-suite powinni unikać kilku istotnych błędów przy wyborze zewnętrznego dostawcy. Po pierwsze, nigdy nie należy korzystać z usług offshore’owych dostawców, którzy mogą oferować niższe ceny, ale niosą ze sobą ryzyko związane z brakiem możliwości weryfikacji ich umiejętności, doświadczenia, wykształcenia i historii kryminalnej. Takie firmy mogą uzyskać pełny dostęp do wewnętrznych systemów organizacji, co może stanowić poważne zagrożenie w przypadku naruszenia danych. Ponadto, jeśli dojdzie do naruszenia danych, organizacja nie będzie miała drogi prawnej do dochodzenia roszczeń przeciwko takim dostawcom.
Po drugie, organizacje powinny unikać dostawców, którzy oferują rozwiązania oparte na zdalnym dostępie. Choć niektóre firmy dostarczają rozwiązania zdalne, takie jak te realizowane przez Internet lub telefon, nie zapewniają one pełnej ochrony aktywów organizacji. W rzeczywistości około 50% przypadków naruszenia danych wynika z zaniedbań, działań złośliwych osób wewnątrz organizacji lub błędów, które nie mogą zostać w pełni zabezpieczone przez zdalne rozwiązania.
Ważne jest również, aby organizacje unikały dostawców, którzy twierdzą, że ich rozwiązania oferują 100% ochrony przed naruszeniem danych. Tego rodzaju zapewnienia są mylące, ponieważ nie istnieje system zabezpieczeń, który mógłby uniemożliwić jakiekolwiek naruszenie danych. Cyberprzestępcy wciąż szukają nowych luk, które mogą wykorzystać, a technologia rozwija się w taki sposób, że każde nowe rozwiązanie cyfrowe może wiązać się z nowymi, jeszcze nieodkrytymi zagrożeniami.
Również dostawcy, którzy oferują jedynie sprzęt ochrony, powinni być traktowani z ostrożnością. Sprzęt zabezpieczający jest tylko narzędziem, które musi być obsługiwane przez wykwalifikowanych specjalistów. Samo posiadanie sprzętu ochrony nie zwalnia organizacji z potrzeby zatrudniania ekspertów ds. bezpieczeństwa cybernetycznego.
Zarząd musi również zadbać o to, by organizacja posiadała odpowiednie wsparcie i finansowanie do zarządzania ryzykiem związanym z wewnętrznymi zagrożeniami. Oznacza to, że zarząd musi zapewnić odpowiednie zasoby na rozwój systemów zarządzania ryzykiem wewnętrznym, nie ograniczając się jedynie do personelu działu IT, ale obejmując również szkolenia pracowników i monitoring zgodności z wewnętrznymi procedurami. Ponadto ważne jest, aby zarząd inwestował w odpowiednią politykę reakcji na ataki wewnętrzne, która pomoże zwiększyć poziom przygotowania organizacji na takie zagrożenia.
Koszt badań związanych z ryzykiem wewnętrznym i zagrożeniami wynikającymi z działań pracowników może być znaczny. Ważne jest, aby zarząd miał pełną świadomość tych kosztów i był gotowy przeznaczyć odpowiednie środki na zapobieganie oraz reagowanie na incydenty związane z zagrożeniami wewnętrznymi.