ریسک شماره‌ ۳: قانون حفاظت از داده‌های عمومی اتحادیه اروپا

• محرک‌ها

از ماه می‌سال ۲۰۱۸، الف) سازمان‌های مستقر در محدوده‌ جغرافیایی اتحادیه‌ اروپا و ب) سازمان‌های خارج از مرزهای جغرافیایی این اتحادیه که اقدام به ارائه‌ کالا و خدمات به کشورهای اتحادیه کرده یا بر رفتار داده‌های مرتبط با اتحادیه اروپا، نظارت مستمر دارند، موظف به رعایت قانون حفاظت از داده‌های عمومی اتحادیه‌ اروپا (EU-GDPR) هستند. به بیانی فشرده، این قانون ناظر بر تمامی سازمان‌هایی است که اطلاعات فردی شهروندان اتحادیه اروپا را نگهداری و پردازش می‌کنند، خواه مکان جغرافیایی سازمان درون اتحادیه قرار گرفته یا خارج از آن باشد.

تصویب این قانون یکی از بزرگ‌ترین و اثرگذارترین تغییرات حوزه‌ حفاظت از حریم خصوصی و حفاظت از داده‌ها در تاریخ مدرن بوده و همزمان، طیف وسیعی از الزامات جدید را در جهت حفاظت از داده‌ها برای سازمان‌ها وضع کرده است. قانون حفاظت از داده‌های عمومی اتحادیه اروپا به‌صورت اساسی روندهای جاری را تغییر داده است. این قانون محدوده‌ جغرافیایی وسیع‌تری را دربرگرفته و این به آن معنا است که رعایت مقررات اتحادیه اروپا اکنون توسط سازمان‌های خارج از آن نیز الزامی است. در نتیجه‌ چنین دگرگونی‌هایی در قوانین، سازمان‌ها باید به‌صورت مستمر بر موضوع حفاظت از داده‌ها نظارت داشته باشند. برای مثال، نظارت‌های مستمر می‌تواند دربرگیرنده‌ این موارد باشد: الف) الزام به گزارش نفوذ و دسترسی به داده‌های فردی اشخاص حداکثر طی ۷۲ ساعت به مراجع ذی‌صلاح، ب) پیاده‌سازی الزامات حفاظت از داده‌ها با طراحی سیستم‌ها و فرآیندهای مرتبط، پ) انتصاب «مدیر حفاظت از داده‌ها» با جایگاهی دارای استقلال سازمانی و ت) الزام به دریافت موافقت‌نامه‌های صریح و بدون ابهام درخصوص استفاده از داده‌های مرتبط با افراد.

تاثیر مالی بالقوه‌ تصویب این قانون بر سود یا زیان شرکت‌ها می‌تواند تا ۴ درصد گردش مالی بین‌المللی یا ۲۰ میلیون یورو تحت عنوان جریمه باشد. همچنین، این قانون ریسک‌های مرتبط با سوءشهرت سازمان‌ها را افزایش داده است.

• نقش حسابرسی داخلی

به منظور اجتناب از قرارگیری در معرض نتایج ناشی از ریسک‌های مرتبط، حسابرسی داخلی باید به موارد زیر توجه ویژه داشته باشد:

الف) ارزیابی تاثیر تصویب این قوانین بر اهداف استراتژیک سازمان و به‌صورت خاص، بر استراتژی راهبری فناوری اطلاعات و بودجه، ب) ارزیابی درجه‌ انطباق کنونی سازمان با قانون حفاظت از داده‌ها و تعیین حوزه‌های بهبود نظیر استفاده از ابزارهای ارزیابی اثربخش حفاظت از داده‌ها یا الزام به انتصاب مدیر حفاظت از داده‌ها، پ) ارزیابی درجه‌ انطباق شرکای تجاری یا اشخاص ثالث با قوانین و درک دقیق تعهدات ایشان جهت ایجاد سازوکارهای رعایت قوانین، ت) ارزیابی ریسک عدم موفقیت در حفاظت از داده‌ها و اقداماتی که باید در جهت مدیریت یا کاهش چنین ریسک‌های نوظهوری انجام داد و ث) توجه به رعایت الزامات و مفاد این قانون هنگام تدوین برنامه‌ سالانه حسابرسی به منظور هم‌راستایی سازمان با آن.

• الزامات حسابرسی داخلی

برای موفقیت در دستیابی به اهداف مورد بحث در بالا، حسابرسان داخلی باید این موارد را در فعالیت‌های خود بگنجانند؛ الف) کسب درک صحیح و عمیق از گستره‌ قوانین جاری که سازمان در بستر آن فعالیت می‌کند (مانند قوانین حفاظت از حریم خصوصی محلی)، ب) کسب دانش عمیق درخصوص الزامات مهم و اثرگذار قانون حفاظت از داده‌های اتحادیه اروپا بر سازمان، پ) جست‌وجو و بهینه‌کاوی برای یافتن بهترین رویه‌های عملی جهت پیاده‌سازی موثر استراتژی‌های مندرج در قانون و کسب اطمینان از رعایت مفاد آن در بلندمدت، ت) کسب توانایی ارزیابی اثر این قانون بر شرکت‌های زیرمجموعه‌، شرکای تجاری و همکاران سازمان در خارج از مرزهای اتحادیه‌ اروپا.

 ریسک شماره‌ ۴: امنیت سایبری

• محرک‌ها

در دنیای بهم‌ متصل کنونی، امنیت سایبری یکی از نقاط کانونی و مرکز توجه سازمان‌ها است. موضوع امنیت سایبری اغلب در دستورِ جلسات هیات‌مدیره مطرح شده و در کنار شکست‌های امنیتی و دسترسی غیرمجاز به داده‌ها، تقریبا هر هفته در صدر تیتر اخبار قرار دارد. عوامل محرک مختلفی در افزایش تمرکز بر این موضوع نقش دارند که از جمله‌ آنها می‌توان این موارد را برشمرد: الف) اجتناب از تحمل هزینه‌های ناشی از دسترسی غیرمجاز به داده‌ها (شکست امنیتی) مانند هزینه‌ تحقیقات، جرائم حقوقی، بدهی به مشتریان بابت زیان آنها در نتیجه‌ رویدادهای نامطلوب، هزینه‌های تلاش برای بازیابی اطلاعات و زیان بالقوه‌ کسب‌وکار موجود یا یک کسب‌وکار نوپا؛ ب) پیشگیری از آسیب‌دیدن شهرت سازمان، به‌خصوص در موضوع از دست رفتن داده‌های مشتری، پ) اطمینان از امنیت سرمایه، مالکیت فکری و دیگر اطلاعاتی که سازمان درخصوص آنها نسبت به رقبا دارای مزیت و برتری است، ت) تکامل و رشد قابل ملاحظه‌ ظرفیت‌ها و فن‌ورزی‌های مورد استفاده‌ هکرها در توانایی‌شان برای هدف قرار دادن اطلاعات مشخص یا اشخاص معین مانند باج‌افزار معروف پتیا (Petya).

هکرها اخیرا نه تنها سازمان‌ها را مستقیما از طریق شبکه‌ها، بلکه به‌واسطه‌ تامین‌کنندگان کلیدی و شرکای فناوری‌محورشان مورد حمله قرار می‌دهند. عواقب ناشی از عدم موفقیت در حفظ امنیت سایبری می‌تواند برای سازمان فاجعه‌بار بوده و علاوه بر تاثیر قابل‌توجه بر رقم سود یا زیان، منجر به سوءشهرت سازمان شود. در نتیجه‌ تحقیقی که توسط موسسه «کی‌پی‌ام‌جی» روی ۶۰ شرکت مستقر در سوئیس انجام شد، این نتایج به دست آمد:

 الف) ۴۲درصد از پاسخ‌دهندگان از حملات سایبری موفقیت‌آمیز دچار زیان مالی شده‌اند (۴۲درصد اختلاف در فرآیند کسب‌و کار، ۳۳ درصد افشای اطلاعات محرمانه و ۲۵درصد سوءشهرت).

ب) برنامه‌های حفاظت از امنیت سایبری ۸۲درصد از پاسخ‌دهندگان، حوادثی مانند مورد هدف قرارگیری تامین‌کنندگان یا شرکای تجاری را در بر نمی‌گرفت.

پ) ۲۸درصد از پاسخ‌دهندگان دارای بیمه‌ امنیت سایبری بودند.

 ت) ۴۴درصد پاسخ‌دهندگان گفته‌اند که ابزاری جهت اعمال فشار برای اجرای چارچوب کنترلی خود روی فرآیندهای مرتبط  تامین‌کنندگان نداشته است و ۳۴ درصد آنها از معیاری الزامی برای اندازه‌گیری امنیت سایبری در قراردادهای با شخص ثالث استفاده نکرده‌اند.