52% от мениджърите по поверителността в европейските организации не смогват да попълнят свободните работни места в екипите си, а после трудно задържат кадрите си (графика: CC0 Public Domain)
Над 40% от европейските професионалисти в областта на поверителността смятат, че техните организации не влагат достатъчно пари в инициативи за опазване на поверителността на данните. 54% очакват да получат по-малко финансиране през 2025 г., според проучване на асоциацията за технологично управление и сигурност ISACA.
Въпреки че Общият регламент за защита на данните (GDPR) в Европа и неговият еквивалент в Обединеното кралство влязоха в сила през май 2018 г., само 38% от европейските професионалисти по опазване на неприкосновеността на чувствителните данни са уверени в способността на съответните организации да защитават чувствителната информация на клиентите и служителите си, според изследването на ISACA.
Едва 24% от европейските организации се придържат към принципите за поверителност при проектирането на своите процеси и ИТ системи. Много от тези организации рискуват да нарушат GDPR и другите нови рамки и разпоредби на Европейския съюз – такива като Закона за изкуствения интелект и Закона за цифровите услуги.
„Тъй като киберзаплахите продължават да стават все по-сложни, неприкосновеността на личните данни се превръща в сфера, в която е все по-трудно да се работи. Същевременно тя става все по-критична“, каза Крис Димитриадис, главен стратегически директор на ISACA. „Две трети [66%] от европейските професионалисти, работещи в областта на поверителността и неприкосновеността, с които разговаряхме, казаха, че работата им е по-стресираща сега в сравнение с преди пет години. Картината се влошава заради продължаващото недофинансиране. Докато компаниите могат да реализират краткосрочна финансова печалба (от намалените разходи), те се излагат на дългосрочен риск“.
Проблемите, пред които са изправени сега бизнесите в цяла Европа, се усложняват от недостига на персонал, се казва в доклада. 52% от екипите, отговорни за поверителността, не смогват да попълнят свободните работни места в екипите си. Респондентите в проучването споделят още, че изпитват затруднения да задържат персонала си след назначенията.
Като положителна тенденция ISACA откри, че организациите, които възприемат най-добрите практики за поверителност при проектиране на своите процеси и ИТ системи, се справят по-добре и е по-вероятно да имат екипи с подходящ персонал и с по-малко пропуски в уменията. От тези организации 43% казват, че имат достатъчно персонал, а 58% от лидерите съобщават, че се чувстват „достатъчно уверени“ в способностите на своите технически екипи по поверителността.
Интересно е, че 56% от организациите, които обръщат голямо внимание на поверителността, ефективно са намалили пропуските в знанията на екипите си чрез обучение на служители, които изначално не са свързани с опазването на поверителността – кадри, които искат да обогатят и разширят своите умения.
Създаването на подходящо квалифицирана и поддържана работна сила, каквато е необходима за постигане на изискванията за поверителността, е „очевидно изключително постижимо“, според ISACA. Установено е, че 47% от всички организации вече предлагат обучение, което да позволи на служители, които не са свързани с поверителността, да преминат към служебни роли, свързани с нея. Повечето такива организации намират, че наличието на умения в други области, например правни функции, прави възможно намирането на „най-добрите вътрешни кандидати“ сред съществуващите служители.
Да се мисли за поверителността при проектирането на нови процеси и системи и да се вграждат мерки за поверителност в цялото предприятие – това е е от ключово значение за дългосрочната защита на данните, подчерта Димитриадис. „Такъв всеобхватен подход насърчава доверието на заинтересованите страни и предпазните мерки срещу непрекъснато еволюиращите заплахи – но това не е възможно без квалифицирани екипи по поверителността, които се чувстват подготвени, способни и овластени да ръководят практиките за поверителност от гледна точка на технологията, бизнеса и регулаторното съответствие“.