Dla dyrektorzy ds. bezpieczeństwa informacji (CISO), którzy wciąż chcą wyznaczyć cele zawodowe na Nowy Rok lub poszerzyć już przygotowaną listę, rozważ wzmocnienie relacji z funkcją prawną swojej organizacji.
Być może spędziłeś już dużo czasu w budowaniu mostów z prawnikami firmy. W końcu jest to w tej chwili znaczący aspekt roli współczesnego CISO, według Globalne badanie organizacji CISO i wynagrodzeń 2024 z ankiety przeprowadzonej przez firmę rekrutacyjną Heidrick & Struggles wśród ponad 400 CISO na całym świecie.
Na pytanie, z jakimi funkcjami spędzają najwięcej czasu w pracy i konsultacjach, dwie najczęściej udzielane odpowiedzi przez respondentów dotyczyły innych specjalistów IT, na pierwszym miejscu znalazły się grupy zajmujące się siecią, chmurą i inżynierią, a na drugim miejscu rozwój systemu i rozwój/inżynieria produktów. Na trzecim miejscu znalazły się kwestie prawne, compliance i ryzyko – znacznie wyprzedzające finanse, HR czy zarząd.
W 2025 r. powiązania między zespołami ds. bezpieczeństwa cybernetycznego a zespołami prawnymi muszą być bliższe niż kiedykolwiek wcześniej, ponieważ na całym świecie dział bezpieczeństwa IT – i ludzie, którzy nim kierują – są coraz częściej celem nowych przepisów i ostrej kontroli rządu.
Wyzwania prawne
Zmiany regulacyjne i niepewność stanowią ogromny stres dla specjalistów zajmujących się cyberprzestępczością. choćby tam, gdzie zasady są jasne, ich liczba rośnie, a ciężar ich przestrzegania staje się coraz większy. Każda firma działająca na arenie międzynarodowej musi mierzyć się z szeroką gamą przepisów krajowych, które mogą być ze sobą sprzeczne lub przynajmniej zawierać wymagania, które nie są ze sobą jasno zbieżne.
W UE firmy borykają się z Ustawa UE o sztucznej inteligencji, NIS2 i Ustawa o cyfrowej odporności operacyjnej (DORA). Nadchodząca administracja w USA mogłaby zaproponować istotne zmiany także w obecnych przepisach. Każda organizacja już teraz stoi przed rygorystycznymi wymogami dotyczącymi informacji umożliwiających identyfikację, jeżeli chodzi o sposób przechowywania i zarządzania danymi osobowymi klientów, dostawców i partnerów.
Wszystko to sprawia, iż zespoły ds. bezpieczeństwa IT mają nie lada wyzwanie, aby znaleźć najlepszy sposób wdrożenia przepisów w swojej organizacji. Ich koledzy z działu prawnego będą ich najlepszymi sojusznikami, którzy pomogą im poruszać się po tym polu minowym.
Prawnicy mogą na przykład pomóc CISO i jego zespołowi w lepszym i głębszym zrozumieniu, w jaki sposób i gdzie zasady mają zastosowanie do ich konkretnej organizacji, a gdzie nie. Zakres regulacji może być dość subtelną kwestią i często potrzebna jest wiedza prawnicza, aby ją skutecznie i dokładnie przeanalizować.
Kolejnym istotnym zadaniem – i kolejnym obszarem potencjalnego konfliktu między różnymi przepisami – jest identyfikacja wymagań w zakresie komunikacji i raportowania oraz ustalenie różnych harmonogramów i typów informacji wymagających raportowania. W tym przypadku działy bezpieczeństwa IT i działy prawne muszą pracować nad skutecznymi procedurami i zapewnić ich jasne przekazanie odpowiedniemu personelowi.
Wzajemne korzyści
Ale to nie jest ulica jednokierunkowa. Funkcja prawna może odgrywać istotną rolę jako doradca ds. bezpieczeństwa cybernetycznego, ale CISO nie jest tylko biernym konsumentem oferowanych informacji. Chociaż regulacje zwykle mają dobre intencje, czasami ich sformułowanie lub proponowane wdrożenie nie są tak skuteczne, jak powinny. CISO musi być w stanie dostrzec luki i sprzeczności oraz skonsultować się z zespołami prawnymi w sprawie najlepszego sposobu ich rozwiązania.
Pracując razem, zespoły ds. bezpieczeństwa cybernetycznego i zespoły prawne mogą również definiować i wdrażać najlepsze praktyki; na przykład mogą przyjąć model „trzech linii obrony”, najczęściej spotykany w sektorze usług finansowych.
W tym modelu obronę pierwszego stopnia zapewniają pracownicy pierwszej linii frontu, wykonujący codzienną pracę. Poziom drugi prowadzony jest przez menadżerów odpowiedzialnych za te zespoły, monitorujących ich pracę pod kątem zgodności z ustalonymi standardami. Wreszcie, obronę trzeciego poziomu zapewniają audytorzy wewnętrzni i zewnętrzni – osoby odpowiedzialne za „obserwację obserwatorów”. Łącząc zasoby w te trzy linie obrony, organizacje z dowolnego sektora przemysłu mogą osiągnąć nowy poziom widoczności i odpowiedzialności.
Kolejnym obszarem, w którym CISO może być dużą pomocą dla swojego prawnego odpowiednika, jest zrozumienie technologii. Nie jest tajemnicą, iż technologia rozwija się znacznie szybciej niż czas potrzebny na napisanie przepisów, ich uzgodnienie i wdrożenie. W rezultacie nierzadko zdarza się, iż wprowadzane przepisy po prostu nie wiedzą, jak postępować z nowymi technologiami. Z pewnością było to prawdą w przypadku technologii chmurowej i coraz częściej ma to miejsce w przypadku rozwiązań opartych na sztucznej inteligencji (AI). CISO może zaoferować wiele w zakresie porad głównemu doradcy prawnemu swojej organizacji.
To może być niezwykle cenna relacja. CISO i główny radca prawny mają przecież ze sobą wiele wspólnego. Obydwa pełnią kluczową i złożoną funkcję, której celem jest ochrona organizacji przed zagrożeniami. Obaj są głęboko zainteresowani budowaniem odporności poprzez zasady, procedury i edukację pracowników. Obydwa muszą planować z wyprzedzeniem, jeżeli chodzi o ograniczanie nowych zagrożeń dla ich organizacji. Przede wszystkim oba mają najważniejsze znaczenie dla dobrego ładu korporacyjnego i sprawnego funkcjonowania operacji.
W 2025 r. radzę CISO, aby przez cały czas budowali na tych solidnych fundamentach.
