A pandémia alatt 4-szeresére nőtt a kiberbűnözés. Hogy jön ide a HR szerepe?

Cikkünk a HR szerepével foglalkozik az adatvédelmi tudatosság növelése kapcsán. Az elméleti témák mellett gyakorlati tanácsokkal is szolgálunk.

Döbbenetes számok, óriási kitettségek 

Egy 2020-ban zajlott felmérés szerint a dolgozók egyharmada hozzáfért az előző munkahelyén végzett feladataihoz szükséges adatállományaihoz. Ennek a kockázata nem igényel különösebb magyarázatot. De ha a kockázat ennyire egyértelmű, akkor vajon hogy lehetséges ez? Ennek gyökérokára egy másik kutatás eredménye adhat választ, eszerint a cégek mindössze 21%-a tekinthető GDPR tudatosnak. Közel 3 évvel a GDPR bevezetése után ezek elég drámai számok. 

Bármilyen forrást is elemzünk, állíthatjuk, hogy ma az adatvédelmi tudatosság elég alacsony szinten mozog. A közvélemény és az üzleti élet is egyfajta „kötelezően megugrandó”, vagy „szükséges rossz kategóriába” sorolja a témát, illetve összekeverik az adatvédelmet a folyamatok részévé tett gondolkodást és a dokumentumok meglétét.  

Tekintve, hogy a digitalizáció robog előre, és így egyre több appot, rendszert, szoftvert használnak a munkatársak a mindennapok során, a kockázati kitettség egyre nő. Amennyiben a tudatosság nem nő ilyen tempóban, egyre többször találhatjuk magunkat „szereljünk be egy riasztót, hogy legközelebb ne törjenek be” esetben. Röviden: egyre több adatot tárolunk egyre több helyen. Hogy lehet ezt biztonságosan művelni? 

 

Nem akkor kell lépni, amikor már baj van 

Talán abban egyetérthetünk, hogy a cégvezetőknek legsúlyosabb reputációs és gazdasági kárt is az adatvesztés, betörés utáni adatszivárgás okozhatja. 
Egy kémkedésből, vagy haszonszerződésből kiinduló sikeres támadás az egész céget romba döntheti. Amikor a baj már megtörtént, csak a kármentésről beszélhetünk. Felelősöket keresni ilyenkor persze lehet, de sokkal értelmesebb megoldás a megelőzés. 

Ügyfeleinknél sokszor találkozunk azzal a felállással, hogy a HR szerint az adatvédelem jogi, illetve IT feladat. Igaz, hogy a jogi terület feladata a szabályozások elkészítése, az IT területé pedig a jogosultságok kiadása, hozzáférések beállítása. 

De ki tehet még kiemelten azért, hogy ne kelljen rettegni egy véletlen vagy szándékosan okozott adatvédelmi incidenstől? A mai modern adatvédelmi elvárásokat a szervezetekben a HR szakmai és kulturális támogatása nélkül esélytelen megvalósítani. 

Nézzünk néhány gyakorlati példát, hogyan segíthet a HR. Bontsuk háromfelé a bekapcsolódási pontokat: kultúra, tudás, szabályozás. 

Kultúra, avagy a digitalizációs könnyelműség visszaszorítása, példamutatás 

Nincs az az adatvédelmi (információbiztonsági, etikai, stb.) szabályzat, amit ne lehetne felrúgni. A digitalizáció terjedésével egyre több a mindenféle átgondoltság nélküli „partizánakció”. A legszabályozottabb szervezetekben is előfordul, pláne, ha egy vállalat nem nyújt egyszerű, gyors információáramlást biztosító lehetőségeket, hogy chaten, Viberen küldenek egymásnak a dolgozók, vagy partnerek adatokat, állományokat, vagy a vállalati ügyek megbeszélésére Facebook csoportot nyitnak, az információ elmentése helyett fotót készítenek a rögzítendő információról egy nem megfelelően védett mobileszközzel.   

Ezekkel nem az a baj, hogy ezek a megoldások nem szolgálnák a célt. Hanem az, hogy a dolgozónak és pláne a munkáltatónak fogalma sincs, hogy a céges üzleti és személyes adatok hova kerülnek és mi történik velük később. A kontroll teljesen elveszik az így megosztott információk, állományok fölött. Mivel az ilyen fajta tevékenység tipikusan sokszor ismétlődik, gyakorlatilag esélytelen a „kitett” állományok, információk utólagos törlése, megsemmisítése. Az „ottfelejtés”–ből származó kockázati kitettség hatalmas. 

A céges szokások, minták betartásában leginkább azok a személyek tudnak segíteni, akik a HR, illetve people management tevékenységet kifejtik: ők a középvezetők. A középvezetők kultúraépítő, viselkedésformáló haladásában viszont a HR lesz az, aki nem hagyja őket magukra, hanem segíti őket jobb vezetőkké válni. A HR mint az egyik, ha nem a legnagyobb adatkezelő, élen kell, hogy járjon a tudatosság építésében, saját létezésével és tevékenységével példát mutatva ezeknek a vezetőknek. Az információban megtestesülő érték védelmét a vállalati értékek közé kell emelni, ez az értékteremtés pedig szintén elsősorban HR szerepkör. 

 

A tudás és tájékozottság nem megy ki a divatból 

Gondoljuk csak át néhány példát, hogy a kollégák, akikkel dolgozunk, vajon mennyire tudnának választ adni a következőkre? 

• Melyik appokat használhatom céges ügyek megbeszélésére, melyiket nem? 
• Mi történik, ha elveszítem a laptopomat, mobilomat, benne a céges levelezéssel? 
• Milyen kockázata van egy céges belépőkártya elvesztésének? 
• Miért baj, ha rövid egy jelszó? 
• Vezetőként mi a dolgom jogosultságok terén, ha a beosztottam távozik a cégtől vagy más munkakörbe kerül? 
• Kihez fordulhatok a cégnél, ha adatvédelmi, adatbiztonsági problémát észlelek? 

 

Tekintve, hogy a pandémia alatt kiberbűnözés a 4-szeresére nőtt, a tájékozott kollégák nyilvánvalóan védettebbek a betörések, adatszivárgások ellen. Ráadásul ez a védettség a vállalati életen túl is elkíséri őket, mert a tudatos viselkedést a magánéletünkben is kamatoztathatják, a tudatosságuk növelésével tehát olyan pluszt adunk nekik, amit az élet más területén is segítheti őket. 

Az adatvédelem sajnos nem túl érdekfeszítő téma sokaknak. Mint említettük, leginkább akkor válik érdekessé, amikor audit, vagy káros események miatt fókuszba kerül, mintha csak egy súlyos munkabaleset után osztanánk ki a munkavállalóknak a védőruhát. Ekkor történnek meg a kampányszerű oktatások, többfaktoros azonosítás bevezetése, folderszerkezet és jogosultságok revíziója, és hasonlók. Felkészült szervezeteknél az adatvédelmi tudatosság egy folyamatos téma. Mivel sokak számára önmagában száraz téma, nem egykönnyen oldható meg a tanulnivaló terjesztése. A HR-nek lesz abban kiemelt szerepe, hogy a tananyagot az adatvédelmi szakember bevonásával plasztikusan, a vállalati életben felmerülő kérdésekre fókuszálva, érdekesen fejtse ki, példákat találjon és eljuttassa a dolgozókhoz. A képzések ismétlése szintén lényeges. Általános ismeretanyag mellett az egyes dolgozói csoportok által végzett adatkezelésekre is szükséges koncentrálni. Érdemes azokat a munkavállalókat is alapszintű ismeretekkel ellátni, akik jellemzően nem kezelnek személyes adatot, hiszen a vállalat össz-adatbiztonságáért ők is sokat tehetnek. Mondhatjuk úgy is, hogy minden dolgozó része az információs védőernyőnknek. 

 

Rend a lelke mindennek: a szabályozás fontossága 

A fent említett szoft felelősségek – kultúra, tudásátadás – mellett szükség a konkrét, pontos és következetesen betartandó szabályzatok megléte is. Lefektetett és írott szabályok nélkül a számonkérés esélytelen. 

Nézzük a kellemes oldalát a dolognak: egy adatvédelmi (ide tartozik még: információbiztonsági, felelősségi, etikai, stb) szabályzat elkészítése kiváló alkalom arra, hogy átgondoljuk magát a folyamatot. Folyamatról beszélünk, hiszen az adatkezelés soha nem önmagában és önmagáért létezik, mindig kísérője egy alapfolyamatnak. Ha a folyamatot feltérképezzük, annak során végig tudjuk nézni, hogy mennyiben felelünk meg a GDPR alapelveinek. Bár maguknak a szabályoknak az elkészítése nem HR feladat, mégis lényeges a szerepvállalás. A HR feladata leginkább az, hogy mivel ők foglalkoznak a következményekkel, vegyék komolyan az előbb említett oktatási és kulturális támogatást, illetve a munkajogi következmények alkalmazását, ha valakinek a szabályszegése miatt a vállalatnak kára keletkezik. 

Azonnal bedobható megoldások 

Egy cikkben a HR feladatait az adatvédelem kapcsán felsorolni, ütemezni nem lehet, hiszen az nagyban függ a folyamatainktól és a vállalatunk berendezkedésétől. Azonban gondolja át, hogy a vállalatánál be tudja-e építeni az alábbiakat, hogy egy tudatosabb és biztonságosabb működést segítsen elő: 

1. Építse be a L&D (Képzés-fejlesztés) menetrendjébe az adatvédelmet, mint témát 
2. Törekedjen teljesen megérthető tananyagok, képzések kialakítására 
3. Mutasson be pozitív és elrettentő példákat a kollégáknak, magyarázza el, hogy milyen komoly eszköz van annak a birtokában, aki adatokat kezel 
4. Frissítse a belső szabályzatok és időnként (félévente, vagy évente) ellenőrizze, hogy komolyan veszik-e 
5. Az új belépők, új alvállalkozók felé kapjon hangsúlyt az adatvédelem témája 
6. Fordítson energiát a kilépéskor a jogosultságok, eszközök, hozzáférések teljes visszavételére és munkaügyi adminisztrációjára 

 

 Csekő Katalin – Auchan DPO, MADAT Főtitkár

 Renfer Péter – HR IT szakértő, Nordconn