Promluvte si dnes s jakýmkoli CISO (Chief Information Security Officer – manažer informační bezpečnosti, který je odpovědný za informační bezpečnost v organizaci) a je pravděpodobné, že řeč přijde i na ztrátu dat. Ať už jsou na vině hackeři nebo selhání systémů, případy ztráty dat se stále častěji dostávají na titulní strany novin a mohou ve svém důsledku znamenat i odchod zákazníků.
Například selhání počítačových systémů v Royal Bank of Scotland, jedné z největších bank v Británii, způsobilo, že zákazníci byli bez přístupu ke svým účtům a zadané platby se nezrealizovaly. Kromě dramatických finančních následků to vzbudilo i vážné obavy spotřebitelů o bezpečnost dat. Kauza se dostala na titulní stránky předních světových médií: BBC informovala, že „Ředitel RBS viní softwarový upgrade z problémů s účty“. Jakmile problémy zasáhnou uživatele, role CISO již není omezena jen na IT oddělení. CISO nyní musí častokrát reportovat přímo představenstvu a soustředit se nejenom na preventivní technologie v rámci organizace, ale také na potenciální ztrátu dobré pověsti při úniku dat.
Jaká je dnes vlastně role manažera informační bezpečnosti?
Pokud dojde k narušení dat, role CISO je mnohem více o prevenci katastrofální ztráty důvěry spotřebitelů, než o bezpečnostních strategiích. Výsledkem je, že role CISO se nyní skládá ze dvou částí – zajištění bezpečné infrastruktury ve firmě a obnovy důvěry spotřebitelů, informování o důležitých krocích, které byly učiněny k ochraně dat.
Žijeme v éře spotřebitelů. Nikoho proto nepřekvapí, že spotřebitelé stojí za změnou, jakým způsobem podniky přistupují ke ztrátě dat. Stále častěji totiž uvažují nad tím, kolik a jaká data společnostem svěřují. Svůj podíl na změně má i zájem evropských a amerických médií o „Sušenkový zákon“ (Wall Street Journal Europe), díky kterému jsou lidé obezřetnější vůči svým online záznamům. Podobný zájem přitáhl i návrh zákona „Právo na zapomnění“, kdy budou muset organizace kompletně smazat všechny informace o uživateli, pokud o to uživatel požádá. Navrhované změny by znamenaly, že podniky budou muset usilovat o výslovný souhlas spotřebitele ohledně manipulace s jeho daty, což dá spotřebitelům sílu regulovat trh a vybrat, které společnosti jsou považovány za „bezpečné“ a které jsou považovány za „rizikové“. V tomto kontextu je snadné pochopit, proč je nyní CISO důležitější a více zaměřené na spotřebitele než kdy dříve.
Problémem může být také také ignorace na straně klientů
Otázkou je, jestli se zákazníci o zabezpečení dat skutečně zajímají nebo jestli je celý poprask způsoben pouze tím, že se o v současné době jedná o populární téma? Podle průzkumu společností Canon a ICM se jedná o druhou možnost. 63 % uživatelů tvrdí, že cena pro ně mají větší význam než zabezpečení dat. Jen 19 % uživatelů čte všechny bezpečnostní informace, které jim společnosti poskytují, a šokujících 13 % lidí nečte nikdy žádné bezpečnostní informace. Z toho vyplývá, že většina zákazníků se o svá data sice obává, ale zabezpečení mezi svými prioritami nemá a jejich zájem stoupá až v okamžiku, kdy o některá data přijdou.
Výzkum navíc prokázal, že pro uživatele má velký význam i typ dat, kterými společnosti disponují. Polovina uživatelů považuje ztrátu kreditní kartu nebo citlivých bankovních informací za důvod k opuštění společnosti. Zatímco v případě ztráty osobních informací, jako jsou například lékařské záznamy, by společnost opustilo jen 4 % klientů. To znamená, že role CISO je ovlivňována nejenom zájmem uživatelů o data, ale také hodnotou, kterou uživatelé přisuzují různému typu informací.
Například CISO v bankách musí klást důraz nejen na zavádění těch nejpřísnějších bezpečnostních systémů, ale také zveřejňovat bezpečnostní opatření a odpovídajícím způsobem vzbudit důvěru ve svých zákaznících. Spotřebitelé tedy velmi výrazně ovlivňují roli CISO především ve veřejném sektoru, ale mají zásadní význam pro jakéhokoli manažera informační bezpečnosti.
Důvěra by měla být symetrická
Bezpečnost je stále více o zajištění důvěry spotřebitelů a o prevenci ztráty dat. Organizace musí hodnotit rizika a analyzovat zranitelná místa, aby bylo možné preventivní opatření přijmout. V oblasti tisku a skenování by měl mít zodpovědný člověk možnost šifrovat veškerou komunikaci a přenos dokumentů do cloudu, šifrovat pevný disk nebo vymazat data po dokončení úlohy, jako je to k dispozici například u platformy imageRUNNER ADVANCE. Navíc je nutné průběžně zveřejňovat informace o bezpečnostních opatřeních, aby došlo k uklidnění znepokojených spotřebitelů. Je zřejmé, že spotřebitelé jsou hnací silou CISO a určují zcela nový směr. Každopádně by si důležitost CISO měl nyní uvědomovat každý generální ředitel.