W każdej organizacji powinien istnieć komitet odpowiedzialny za zapewnienie skutecznego zarządzania ryzykiem. Kryteria wyboru członków tego komitetu zależą od branży, strategii korporacyjnej, celów biznesowych oraz wielkości firmy. Członkowie zarządu muszą rozumieć, że skuteczne zarządzanie różnymi rodzajami ryzyk zależy od wiedzy i doświadczenia członków odpowiednich komitetów ds. zarządzania ryzykiem. W związku z tym tworzenie odrębnych komitetów ds. ryzyka może przynieść większe korzyści niż ustanowienie jednego, ogólnego komitetu ds. ryzyka. Wiele firm, szczególnie tych notowanych na giełdzie, stworzyło oddzielne komitety do nadzorowania ryzyk, co potwierdzają dane z badania przeprowadzonego przez Ernst & Young (2017). Zgodnie z wynikami tego badania, liczba firm, które posiadają przynajmniej jeden oddzielny komitet ds. ryzyka, wzrosła z 61% w 2011 roku do 75% w 2017 roku. Firmy te mają co najmniej jeden komitet zajmujący się ryzykami specyficznymi dla danej dziedziny działalności, obok obowiązkowych komitetów, takich jak komitety ds. wynagrodzeń, audytu czy zarządzania ryzykiem.

Jednak ustanowienie odrębnego komitetu ds. ryzyka jest mniej powszechne w firmach, które nie należą do sektora finansowego. Mimo to, korzyści z posiadania oddzielnych komitetów mogą być przyćmione trudnościami związanymi z delegowaniem odpowiedzialności i koordynowaniem działań tych komitetów. Należy zapewnić, że rola nadzorcza i procesy decyzyjne tych komitetów są zgodne z ogólnym systemem zarządzania ryzykiem w organizacji. Zarząd powinien dążyć do zapewnienia, że odpowiedzialności przypisane do poszczególnych komitetów nie kolidują z głównym systemem zarządzania ryzykiem, a także odpowiednio koordynować i komunikować swoje ogólne obowiązki nadzorujące. Komitety odpowiedzialne za nadzór nad specyficznymi rodzajami ryzyka, takimi jak ryzyko kredytowe w bankach czy ryzyko związane z bezpieczeństwem i ochroną środowiska w branży energetycznej, powinny regularnie spotykać się z odpowiednimi przedstawicielami zarządu oraz kadry zarządzającej, aby upewnić się, że działania ryzykowe są monitorowane i zarządzane zgodnie z wytycznymi organizacji.

Jednakże, by zarząd i komitety odpowiedzialne za zarządzanie ryzykiem mogły skutecznie pełnić swoje funkcje, muszą mieć dostęp do wiarygodnych i terminowych informacji. W związku z tym, ważne jest, by zarząd proaktywnie wymagał odpowiednich danych o różnych rodzajach ryzyk występujących w organizacji. Informacje te stanowią podstawę do opracowywania skutecznych reakcji i planów działania. Regularne spotkania z najwyższymi menedżerami odpowiedzialnymi za zarządzanie ryzykiem są kluczowe dla oceny kultury ryzyka w organizacji oraz oceny działań nadzoru ryzykowego. Ponadto, zarząd musi zapewnić, że menedżerowie odpowiedzialni za ryzyko mają możliwość informowania o ryzykach, które wymagają natychmiastowej uwagi zarządu, niezależnie od ustalonych harmonogramów raportowania.

Ważnym elementem skutecznego zarządzania ryzykiem jest także systematyczna ocena zgodności prawnej w firmie. Kierownictwo oraz menedżerowie ds. ryzyka muszą dostarczać zarządowi odpowiednie przeglądy programów zgodności prawnej, które są dostosowane do specyfiki organizacji i jej profilu ryzyka. Programy te powinny nie tylko identyfikować potencjalne zagrożenia, ale również zapobiegać ich eskalacji. Należy pamiętać, że oceny takich programów są również przeprowadzane przez organy ścigania w przypadku wykrycia nieetycznych działań w firmie. W ramach tej oceny sprawdzane są m.in. wewnętrzne zasady zgodności z wymaganiami prawnymi oraz regulacyjnymi, a także kultura organizacyjna, która promuje etyczne postawy wśród pracowników. Regularne przeglądy tych programów oraz dbałość o szybkie wykrywanie i reagowanie na nieetyczne zachowania są kluczowe dla utrzymania skuteczności systemu zarządzania ryzykiem w organizacji.

W kontekście zarządzania ryzykiem, istotnym czynnikiem jest także zrozumienie roli odpowiednich osób odpowiedzialnych za nadzór nad ryzykami. Zarząd i komitety muszą w pełni rozumieć swoje odpowiedzialności, mieć dostęp do odpowiednich danych oraz dążyć do poprawy komunikacji wewnętrznej, aby zarządzanie ryzykiem było skuteczne. Tylko wtedy, gdy wszystkie elementy systemu zarządzania ryzykiem są ze sobą zgodne i właściwie skoordynowane, organizacja będzie w stanie skutecznie zarządzać ryzykami oraz minimalizować ich potencjalne negatywne skutki.

Jakie działania powinny podejmować zarządy firm, aby skutecznie zarządzać ryzykiem zgodności prawnej i zagrożeniami związanymi z cyberbezpieczeństwem?

Skuteczne programy zgodności prawnej powinny oferować interaktywne szkolenia oraz materiały pisemne dla wszystkich pracowników, aby zwiększyć ich świadomość na temat znaczenia etycznego postępowania w organizacji. Należy przeprowadzać okresowy przegląd polityk zgodności prawnej, aby ocenić ich skuteczność i wprowadzić niezbędne zmiany. Polityki i procedury prawne firmy powinny być praktyczne i dostosowane do istniejących celów biznesowych oraz strategii organizacji. Zarząd oraz wyższe kierownictwo firmy muszą wprowadzić środki mające na celu zapewnienie spójności w egzekwowaniu polityk prawnych poprzez wprowadzenie odpowiednich środków dyscyplinarnych. Powinny również zostać wdrożone odpowiednie systemy raportowania na poziomie zarządu, kadry menedżerskiej oraz pracowników, aby ci wiedzieli, do kogo zgłaszać podejrzenia naruszeń zgodności w firmie. Ustanowienie takich systemów raportowania pomoże zarządowi zrozumieć potrzeby informacyjne członków zarządu oraz niezależnych członków komitetów nadzorczych, którzy muszą przeprowadzać nadzór nad ryzykami. Organizacja może również podjąć decyzję o powołaniu głównego specjalisty ds. zgodności oraz/lub ustanowieniu komitetu ds. zgodności, który będzie zarządzać programem zgodności prawnej skierowanym do interesariuszy wewnętrznych. Do zadań głównego specjalisty ds. zgodności oraz komitetu należy m.in. organizowanie szkoleń dla pracowników oraz wydawanie okresowych przypomnień o szkoleniach i briefingach związanych z zgodnością prawną. Zarząd może również opracować odrębny program zgodności, aby zająć się specyficznymi obszarami zgodności, które są kluczowe dla działalności organizacji.

Coraz większa zależność firm od technologii, które charakteryzują współczesne życie i biznes, prowadzi do szybkiego wzrostu zagrożeń związanych z cyberatakami. Wzrost wykorzystania urządzeń komputerowych oraz ich połączenia z Internetem rzeczy zwiększa narażenie różnych funkcji biznesowych na ryzyko cyberbezpieczeństwa. Według raportu Herjavec Group z 2017 roku, koszty cyberprzestępczości mogą przekroczyć 6 bilionów dolarów do końca 2021 roku. Wiele dużych firm, takich jak Colonial Pipeline czy Software AG, doświadczyło znacznych strat finansowych z powodu naruszenia bezpieczeństwa. Udane ataki na sieci komputerowe należące do firm takich jak Colonial Pipeline, Software AG, Equifax, Twitter, Microsoft czy SEC wskazują na negatywne konsekwencje związane z rosnącym zagrożeniem cyberatakami. Niektóre z konsekwencji takich ataków to naruszenia bezpieczeństwa sieci, kradzież danych, ujawnienie poufnych informacji w internecie, poważne uszkodzenie infrastruktury IT oraz uszczerbek na reputacji firm.

W związku z tym, organy regulacyjne i ustawodawcy w Stanach Zjednoczonych oraz innych częściach świata skierowali swoją uwagę na zapobieganie i łagodzenie ryzyk związanych z cyberbezpieczeństwem. Na przykład w Stanach Zjednoczonych wzmocniono działania egzekucyjne i regulacyjne dotyczące cyberbezpieczeństwa na szczeblu krajowym i stanowym. Podobnie Unia Europejska opracowała Ogólne rozporządzenie o ochronie danych, które określa zasady postępowania z danymi w różnych organizacjach. Firmy w Stanach Zjednoczonych są zobowiązane do przestrzegania wymagań zarówno swojego kraju, jak i Unii Europejskiej. Zarząd firm w tych krajach musi wdrożyć kompleksowy program zapobiegania i łagodzenia ryzyk cyberbezpieczeństwa. Członkowie zarządu muszą również przydzielić odpowiednie zasoby na zakup i wdrożenie nowoczesnych technologii obronnych w firmie. Ponadto zarząd oraz wyższe kierownictwo powinny opracować podstawowe protokoły cyberbezpieczeństwa, takie jak organizowanie szkoleń dla pracowników, instalowanie poprawek, wdrażanie skutecznych systemów testowania danych i systemów oraz realizowanie regularnych i efektywnych planów reakcji na incydenty związane z cyberbezpieczeństwem. Co najważniejsze, członkowie zarządu muszą być aktywnie zaangażowani w nadzór nad ryzykiem cybernetycznym.

Wzrost znaczenia ryzyk związanych z cyberbezpieczeństwem spowodował, że organizacje zaczęły integrować cyberryzyko oraz kwestie związane z cyberbezpieczeństwem w funkcjach audytu wewnętrznego firm. Badanie przeprowadzone przez Protiviti (2016) wykazało, że około 73% organizacji objętych badaniem wprowadziło cyberbezpieczeństwo i cyberryzyko do swoich funkcji audytu wewnętrznego. Protiviti (2016) dokumentowało również 53% wzrost liczby firm, które uwzględniły cyberbezpieczeństwo i cyberryzyko w ramach audytu wewnętrznego. W związku z tym zarząd powinien zapewnić, że audyt wewnętrzny jest przeprowadzany przez pracowników, którzy posiadają odpowiednie kwalifikacje techniczne, zasoby i doświadczenie, niezbędne do zajmowania się ryzykami związanymi z cyberbezpieczeństwem w firmie. Ponadto członkowie działu audytu wewnętrznego powinni zdawać sobie sprawę z konieczności przeprowadzania okresowych testów, które pozwolą ocenić skuteczność strategii łagodzenia ryzyk organizacji.

W kontekście przeciwdziałania ryzykom związanym z cyberbezpieczeństwem, zarząd powinien rozważyć konkretne działania, takie jak identyfikacja kluczowych zasobów organizacji, zwanych "koronowymi klejnotami", które są krytyczne dla jej działalności. Należy również zapewnić, że opracowane zostały odpowiednie plany reagowania na incydenty cyberbezpieczeństwa, które zawierają procedury dotyczące ograniczania i łagodzenia skutków ataków cybernetycznych, zapewnienia ciągłości działalności firmy oraz procedurę powiadamiania odpowiednich służb w przypadku cyberataku. Zarząd powinien także upewnić się, że senior management rozwinął odpowiednie technologie i usługi, takie jak systemy wykrywania włamań, mechanizmy kopii zapasowych danych czy technologie zapobiegające kradzieży danych.

Wnioski wskazują na to, że skuteczne zarządzanie ryzykiem zgodności prawnej i cyberbezpieczeństwem wymaga stałej uwagi ze strony zarządu, jak również podejmowania działań na poziomie całej organizacji. Firmy, które nie wdrożą odpowiednich procedur i technologii, narażają się na poważne straty finansowe oraz wizerunkowe, które mogą zagrażać ich dalszemu rozwojowi.

Jak zapobiegać zagrożeniom cybernetycznym związanym z działaniami wewnętrznymi w organizacji?

Współczesne zagrożenia w cyberprzestrzeni nie wynikają już tylko z ataków zewnętrznych, ale w coraz większym stopniu są skutkiem działań wewnętrznych, wykonywanych przez pracowników, kontrahentów lub zewnętrzne firmy współpracujące. Często działania te, z pozoru niewinne, mogą prowadzić do poważnych szkód, w tym utraty danych osobowych, kradzieży własności intelektualnej czy manipulacji danymi finansowymi. Zrozumienie ryzyka związanego z wewnętrznymi zagrożeniami w organizacji jest kluczowe dla skutecznego zarządzania bezpieczeństwem informacji i ochrony reputacji firmy.

Kiedy mówimy o utracie danych osobowych, najczęściej pojawiają się przypadki nieumyślnego usunięcia informacji lub zgubienia urządzenia, jak laptop CEO czy sprzedawcy, na którym przechowywane były wrażliwe dane. Jednakże, w wielu przypadkach za utratą danych stoją działania celowe, takie jak kradzież informacji przez pracowników wewnętrznych. Tego rodzaju incydenty, jak sprzedaż danych osobowych na dark webie czy ich nieautoryzowane pobieranie na urządzenia przenośne, muszą być monitorowane i analizowane przez najwyższe szczeble zarządzania, w tym dyrektorów wykonawczych, dyrektorów ds. informacji oraz dyrektorów ds. bezpieczeństwa informacji.

Pracownicy, którzy mają dostęp do wrażliwych danych, a nie wykazują lojalności wobec organizacji, są szczególnie narażeni na pokusę wykorzystania informacji na własną korzyść. W przypadkach, gdy dane są celowo wykradane, zwykle mają one na celu uzyskanie korzyści materialnych, takich jak sprzedaż informacji konkurencji. Tego rodzaju działania muszą być wnikliwie ścigane, a organizacja powinna dysponować odpowiednimi procedurami, które pozwalają na wczesne wykrycie takich nieprawidłowości.

W kontekście ochrony własności intelektualnej, która jest często celem takich działań, ważnym zagadnieniem jest zapobieganie nieautoryzowanemu dostępowi do poufnych danych, takich jak plany produktów, formuły technologiczne czy projekty CAD. Pracownicy, którzy posiadają szeroki dostęp do systemów organizacji, mogą wykorzystywać swoje uprawnienia, aby wprowadzać zmiany w strukturach danych, eksportować je na urządzenia zewnętrzne lub wysyłać konkurencji w ramach zemsty. Aby temu zapobiec, zarząd organizacji powinien wdrożyć odpowiednie procedury monitorowania nietypowych działań, takich jak pobieranie dużych ilości danych, czy praca poza godzinami standardowych operacji firmy.

Kolejnym obszarem, który wymaga szczególnej uwagi, jest monitorowanie zachowań pracowników, którzy dysponują tzw. uprzywilejowanym dostępem do systemów informatycznych. Wśród tych osób znajdują się administratorzy baz danych czy sieci, którzy mają pełny dostęp do struktur wewnętrznych organizacji. Właśnie ich działania stanowią największe zagrożenie, gdyż mogą oni, w ramach swojej roli, zainstalować złośliwe oprogramowanie, wprowadzić backdoory lub celowo wprowadzać błędy, które mogą prowadzić do naruszenia bezpieczeństwa systemów. Działania te są trudne do wykrycia, ponieważ są wykonywane przez osoby posiadające odpowiednie uprawnienia i narzędzia.

Organizacje muszą więc nie tylko polegać na standardowych rozwiązaniach ochrony systemów, ale także na zaawansowanych technologiach wykrywających nietypowe działania w obrębie systemów. Należy zwrócić uwagę na rejestrowanie wszelkich aktywności użytkowników w aplikacjach, takich jak zmiany w plikach logów, nieautoryzowane logowanie czy tworzenie nowych kont użytkowników. Właściwe przeprowadzanie dochodzeń oraz dokumentowanie takich działań może stanowić podstawę do udowodnienia nielegalnych czynów w sądzie, a także dawać organizacji pełny obraz przeprowadzanych przez pracowników manipulacji.

Ponadto, zarząd organizacji powinien przeprowadzać regularne audyty dotyczące ochrony danych finansowych. W instytucjach finansowych i bankach szczególnie ważne jest monitorowanie manipulacji danymi finansowymi, które mogą prowadzić do oszustw. Każda nieautoryzowana zmiana w dokumentach, takich jak faktury, sprawozdania finansowe czy dane o kontach klientów, powinna być traktowana jako potencjalne oszustwo. W celu przeciwdziałania takim zdarzeniom organizacja musi posiadać odpowiednią politykę, która uwzględnia wczesne wykrywanie manipulacji oraz tworzenie systemów zabezpieczających przed tego typu zagrożeniami.

Zarząd powinien również prowadzić ścisłą współpracę z działem IT i zespołem ds. bezpieczeństwa, aby wykrywać wszelkie nietypowe zachowania użytkowników, które mogą wskazywać na działania o charakterze oszukańczym. Ścisłe monitorowanie aktywności w systemach oraz wykorzystywanie zaawansowanych narzędzi analitycznych pozwala na szybkie reagowanie na zagrożenia, minimalizując straty związane z wyciekiem danych.

Wszystkie te działania muszą być realizowane w sposób spójny, w ścisłej współpracy różnych działów w firmie. Tylko wtedy organizacja jest w stanie skutecznie zapobiegać zagrożeniom związanym z działaniami wewnętrznymi i minimalizować ryzyko poważnych strat.

Jakie są kluczowe elementy zarządzania ryzykiem w cyberbezpieczeństwie i jakie zagrożenia związane z tym procesem należy rozumieć?

Zarządzanie cyberbezpieczeństwem obejmuje zarówno procedury cyfrowe, jak i fizyczne, które mają na celu ochronę zasobów przedsiębiorstw. Elementem szczególnie narażonym na ataki są użytkownicy – warstwa ludzka cyberbezpieczeństwa uznawana jest za najsłabszą, ponieważ to właśnie ludzie są najczęstszym celem cyberprzestępców. W odpowiedzi na to wyzwanie, przedsiębiorstwa wprowadziły środki ochrony, takie jak symulacje phishingowe oraz regulacje zarządzania dostępem, które mają na celu ochronę kluczowych zasobów organizacji przed zagrożeniami zarówno z zewnątrz, jak i wewnętrznymi, np. ze strony nieostrożnych pracowników (Malla Reddy College of Engineering & Technology, 2020). Aby zapewnić skuteczność działań z zakresu cyberbezpieczeństwa, protokoły muszą być dostosowane do ochrony każdej warstwy infrastruktury przed zagrożeniami cyfrowymi i cyberatakami.

Zjawisko naruszeń danych staje się coraz częstsze, a rozwój zaawansowanych narzędzi sprawia, że pełna odporność na ataki cybernetyczne jest niezwykle trudna do osiągnięcia. Przedsiębiorstwa zajmujące się transmisją, zarządzaniem i przechowywaniem wrażliwych danych muszą wprowadzać środki umożliwiające regularne monitorowanie stanu swojego środowiska cyfrowego. Ważnym elementem ochrony jest wykrywanie luk w zabezpieczeniach sieci i systemów, które mogą być wykorzystane przez cyberprzestępców do przeprowadzenia ataków (Malla Reddy College of Engineering & Technology, 2020; Vittorio & Holland, 2021). Kluczowe jest zrozumienie różnicy między lukami w zabezpieczeniach (vulnerabilities) a zagrożeniami cybernetycznymi (cyber threats).

Luki w zabezpieczeniach to słabe punkty w strukturze systemu lub sieci, które mogą zostać wykorzystane przez cyberprzestępców do przeprowadzenia ataków. Do najczęstszych przykładów takich luk należą wstrzyknięcia SQL, cross-site scripting, nieprawidłowa konfiguracja serwerów oraz przesyłanie poufnych danych w postaci niezaszyfrowanej. Natomiast zagrożenia cybernetyczne to sytuacje lub okoliczności, które mogą negatywnie wpłynąć na bezpieczeństwo systemów i sieci. Może to obejmować ataki phishingowe, które prowadzą do instalacji złośliwego oprogramowania, a także sytuacje, w których pracownicy nie przestrzegają procedur bezpieczeństwa, co skutkuje naruszeniami danych. Wśród zagrożeń należy również uwzględnić katastrofy naturalne, takie jak tornada, które mogą zakłócić dostęp do systemów i sieci (Malla Reddy College of Engineering & Technology, 2020).

W kontekście ryzyka cybernetycznego, należy również rozróżnić prawdopodobieństwo wystąpienia zagrożenia oraz potencjalne straty związane z atakami. Zwiększenie ekspozycji systemów na cyberzagrożenia, a także dostępność narzędzi dla cyberprzestępców, czyni te ryzyka coraz bardziej realnymi i trudnymi do przewidzenia. Cyberprzestępczość odnosi się do działalności przestępczej wykorzystującej technologie komputerowe i urządzenia podłączone do internetu, co stawia przed organizacjami wyzwanie w zakresie ochrony danych i systemów przed atakami. W tym kontekście stworzenie solidnych ram ochrony, takich jak model CIA (Confidentiality, Integrity, Availability) jest kluczowe.

Model CIA opiera się na trzech podstawowych zasadach: poufności, integralności i dostępności. Poufność zapewnia ochronę wrażliwych danych przed nieautoryzowanym dostępem, a integralność chroni dane przed nieautoryzowaną modyfikacją. Z kolei dostępność zapewnia, że dane są dostępne dla upoważnionych użytkowników w razie potrzeby. Ważne jest, aby te zasady były wdrażane poprzez odpowiednią kontrolę dostępu, szyfrowanie danych oraz systemy monitorowania, które zapobiegają próbom nieautoryzowanego dostępu i manipulacji danymi (Fruhlinger, 2021). Choć model CIA jest powszechnie stosowany, jego ograniczenia nie powinny być ignorowane. Fakt, że zapewnia on dostępność i ochronę przed nieautoryzowanym dostępem, nie oznacza, że eliminowane są wszystkie potencjalne zagrożenia związane z wykorzystaniem zasobów systemów.

Ważnym aspektem ochrony przed zagrożeniami cybernetycznymi jest identyfikacja zasobów, które są cenne z perspektywy organizacji. Zasobami są zarówno urządzenia, jak i inne komponenty systemu, które przechowują lub przetwarzają dane o wysokiej wartości. Przykładem zasobu może być laptop pracownika, który zawiera poufne informacje, lub aplikacje działające na urządzeniach końcowych. Do zasobów zaliczają się również infrastruktury krytyczne, takie jak serwery i systemy wsparcia, których bezpieczeństwo ma kluczowe znaczenie dla ciągłości działalności organizacji (Malla Reddy College of Engineering & Technology, 2020).

Zarządzanie ryzykiem cybernetycznym w organizacjach nie kończy się na ochronie wewnętrznych zasobów. Zagrożenia mogą wynikać także z zewnętrznych źródeł, takich jak dostawcy, kontrahenci czy klienci. Każda firma, która jest częścią większej sieci, powinna zwrócić szczególną uwagę na zabezpieczenie wszystkich punktów, przez które przechodzi przepływ informacji i zasobów. Zewnętrzne luki w zabezpieczeniach, niezabezpieczone połączenia z siecią dostawców czy nieaktualizowane systemy mogą stać się potencjalnym punktem wejścia dla cyberprzestępców. Odpowiednie procedury weryfikacji i monitorowania partnerów zewnętrznych są niezbędne do zapewnienia pełnej ochrony organizacji przed atakami.

Czy informacja jest jedynie fizyczna, czy także semiotyczna?
Jak biosiarkowanie zwiększa efektywność komercyjnego proszku żelaza w usuwaniu uranu?
Jak Ameryka Określała Tożsamość „Prawdziwego Amerykanina”?
Skanning częstotliwości i kształtów trybów cienkościennych belek nośnych: analiza odpowiedzi mostu w obecności nierówności nawierzchni
Jak satyra zmienia politykę i media w erze Trumpa
Jak działa urządzenie Cornelisa Drebble’a? Przełom w zrozumieniu gazów i ciśnienia