Защита персональных данных в контексте ESG-стратегии

Понимание глобального характера сферы обеспечения защиты данных, особенно персональных, является ключом к ESG-трансформации компании. Если организация сталкивается с трудностями в обеспечении безопасности информации, это вызывает серьезные последствия, влияющие не только на технические меры безопасности, но и на управление компанией и взаимодействие внутри нее. Об аспектах защиты данных, практических шагах к сохранению конфиденциальности, и развитии культуры приватности в рамках ESG-стратегии компании — читайте в статье.

26.11.24
112

Cодержание статьи

    Марина Никитина
    Руководитель направления Департамента данных и рекомендательных систем В2С ПАО Сбербанк
    Андрей Никифоров
    Эксперт Департамента данных и рекомендательных систем В2С ПАО Сбербанк

    Обзоры, интервью, свежие новости и изменения в законодательстве — оперативно в нашем Telegram-канале. О самых важных событиях — в нашей группе ВКонтакте.

    Аспекты безопасности персональных данных

    От года к году данные занимают все большую долю в списке ключевых целей злоумышленников. В исследовании компании Positive Technologies говорится, что в I квартале 2023 года доля атак с кражей персональной информации составляла 59% для частных лиц и 51% для организаций, а в 2024 году их количество выросло на 13% для частных лиц (72%), и на 3% для организаций (54%).

    Для современного человека персональные данные — это не только «ключ» доступа к цифровым сервисам, но и актив, которым он распоряжается в соответствии со своими личными убеждениями, выбирая наиболее безопасные компании.

    Пренебрежение правом клиента на сохранность его персональной информации со стороны бизнеса, а также недостаточное внимание к развитию инфраструктуры информационной безопасности, приводит к утечкам. В мире и в России этой проблеме уделяется повышенное внимание.

    Защита и этичная работа с персональными данными — комплексный процесс, который затрагивает и ESG-стратегию компании. С течением времени потребность в более совершенной защите частных сведений клиентов и сотрудников будет становиться тем значимее, чем больше инноваций внедряет компания в свои продукты и процессы. Именно поэтому бизнесу важно работать над созданием основы института защиты персональных данных для сохранения конкурентного преимущества, стабильной работы и доверия клиентов в будущем.

    Можно выделить основные компоненты надежной политики конфиденциальности, это:

    • прозрачная система управления персональными данными;
    • возможность персонализировать согласие под потребности клиента;
    • доступная система информирования о способах защиты.

    При таком подходе компания, а также ее контрагенты и клиенты становятся партнерами. Доверие между ними основывается на ответственном отношении к информации и четком понимании выгод, прав и обязанностей всех сторон.

    Шаги для сохранения конфиденциальности

    Внедрить высокоэффективную систему защиты данных бывает сложно, но еще сложнее обеспечить безопасность информации при непрерывной работе 24/7. Трудоемкости также добавляет постоянно изменяющийся ландшафт киберугроз, схемы злоумышленников и беспрецедентная скорость появления новых уязвимостей.

    Отметим, что компаниям, которые рассчитывают добиться значительных успехов в области кибербезопасности, необходимо выйти за рамки распространенного мнения, что защита персональных данных — это исключительно технический вопрос. Необходимо развивать культуру приватности, в которой этичное отношение к персональной информации в компании рассматривается комплексно, всесторонне и на всех уровнях.

    Рассмотрим систему защиты персональных данных на примере Сбера, который занимается ее развитием комплексно. Для этого в постоянном взаимодействии работают различные внутренние структуры, обеспечивающие не только реализацию правовых, организационных и технических мер защиты, но и развитие культуры бережного обращения с личной информацией как среди сотрудников, так и среди клиентов.

    Системнозначимой частью защиты организации, клиентов и их данных в Сбере является разработанная банком платформа кибербезопасности. Она является фундаментом для создания и развития продуктов кибербезопасности с применением технологий искусственного интеллекта.

    Для контроля за правомерной обработкой персональных данных в компании создан Институт DPO (Data Protection Office). При разработке процессов одним из этапов становится прохождение согласования с сотрудниками этого подразделения.

    Экосистема методов по повышению киберпросвещения

    Значимым элементом стратегии ESG компании является повышение культуры конфиденциальности среди работников и клиентов. Для этого Институт DPO сформировал экосистему методов по повышению культуры приватности населения, среди элементов которой можно выделить:

    • Бесплатный онлайн-ресурс Sber Bank Privacy
    • Ресурс сочетает в себе информацию об обработке личной информации и полезные советы для ее защиты. В свою очередь, эксперты этой области найдут для себя уникальные рекомендации по построению системы защиты персональных данных.

    • Бесплатный онлайн-курс «Вселенная персональных данных: защита в интернете»
    • Материалы курса составлены из понятных кейсов, объясняющих, как не потерять контроль над личными данными в интернете, а также, как себя вести, столкнувшись с мошенниками. Ресурс предлагает унифицированный и эффективный подход к образованию. Отличительная особенность — геймификация, усиливающая вовлеченность пользователей и эффективность представленных материалов.

    • Сторителлинг-проект «DPO на связи»
    • Проект направлен на обучение и эмоциональное вовлечение в процесс. Истории статей строятся вокруг героев — людей разных возрастов, статусов, профессий. Они попадают в ситуации, где их персональные данные и они сами оказываются в опасности. В пояснении от экспертов рассказывается: почему так произошло, что делать в таких обстоятельствах и как не попасть в неприятности снова.

      Повышая культуру приватности важно не только рассказывать об инструментах защиты, но и убедить в том, что опасности могут настигнуть каждого, поэтому всегда нужно быть начеку.

    • Профессиональный журнал о приватности Sber Privacy Journal
    • Развивая культуру приватности, важно также оглядываться на рынок и находить единомышленников. Для этого выпускается журнал Sber Privacy Journal, о приватности и безопасности личной информации. Его целями стали: объединение экспертов по персональным данным, предоставление возможности авторам поделиться своим мнением, а также формирование площадки для обсуждения проблем в области приватности и лучших практик их решения.

    Комплексное развитие культуры приватности сотрудников и клиентов позволяет решить ряд вопросов, связанных с доверительным отношением в вопросах персональных данных.

    Как развить культуру приватности среди сотрудников

    При развитии компании нельзя забывать и о людях, благодаря которым это возможно. И поэтому, вопросы комфорта и безопасности, развития и поддержки сотрудников являются актуальными и одними из самых значимых. Работник, не видящий смысла и ценности защиты личных данных, может стать причиной кадровых, финансовых и репутационных потерь для организации.

    Развитие культуры приватности среди сотрудников преследует следующие цели:

    • снижение толерантности к внутреннему мошенничеству;
    • развитие навыков работы с персональными данными;
    • повышение ответственности в этой сфере.

    Для достижения этой цели возможно выполнение ряда проектов, таких как:

    • Создание корпоративного сообщества

    Создание пространства, где каждый сотрудник может открыто высказаться, поднять волнующий вопрос и рассказать о своем опыте. В нем каждый участник получает актуальные новости и советы для защиты персональных данных на работе и в жизни.

    • Проведение вебинаров

    Поддержка навыков и знаний — залог понимания сотрудниками важности вопросов защиты информации. Каждый новый сотрудник должен пройти обучение, в рамках которого его знакомят с порядком работы с персональными данными, раскрывая какие действия допустимы в их отношении, а какие запрещены и будут наказываться в соответствии с внутренними нормативными документами и законодательством России. Для действующих сотрудников также проводятся обучающие ежеквартальные вебинары.

    • Регулярные киберучения

    Знания без практики могут создать ложное чувство безопасности и защищенности, поэтому киберучения — еще одна эффективная практика создания более осознанного отношения к персональным данным. Она представляет собой процесс отработки знаний в ситуациях, приближенных к реальным кибератакам. Другими словами, сотрудник на практике сможет увидеть, как поведет себя он сам и его команда в реальной ситуации, а затем разобрать ошибки, если они были.

    В качестве примера можно привести тестовые фишинговые рассылки: письма, которые содержат условную вредоносную ссылку, пройдя по которой сотруднику предлагается ввести свои учетные данные от рабочего аккаунта. Результатом киберучений станет процент сотрудников, которые открыли вложение, прошли по ссылке и ввели свои данные.

    Стремительное развитие технологий также усиливает значение защиты персональной информации, как ценнейшего ресурса современности. Внедрение систем искусственного интеллекта, острая потребность компаний в больших данных, гонка инноваций — не только открывают беспрецедентные возможности для роста, но и поднимают вопросы о последствиях для человека и бизнеса.

    Каждая компания сегодня, продолжая ESG-трансформацию, должна помнить о защите персональных данных. В поиске баланса между развитием и безопасностью только выбор в пользу этичности и доверительного отношения с контрагентами и клиентами приведет к построению человекоцентричного будущего, в котором каждый будет относиться к данным бережно: с уважением и защитой.

    26.11.24
    112
    0
    Чтобы написать комментарий, авторизуйтесь
    Тут будут ваши комментарии.
    Напишите, пожалуйста