V době, kdy se připravují přísnější pravidla pro ochranu dat, zůstává řada firem v nejistotě ohledně toho, kdo a kde s jejich daty nakládá.
Ve třetině českých firem IT manažeři nevědí, kde se ukládají data z jejich firemních komunikačních platforem (e-mailu, sdílených dokumentů, interního chatu a dalších nástrojů pro spolupráci). Přesto většina z nich přímo rozhoduje o výběru IT dodavatelů. Ukazuje to nový průzkum agentury Ipsos pro společnost IceWarp, která stojí za stejnojmennou komunikační platformou využívanou jako alternativa k Microsoft 365 nebo Google Workspace. Neznalost datových toků u lidí s rozhodovací pravomocí představuje významnou slabinu nejen z pohledu bezpečnosti, ale i odpovědného řízení firem a plnění zákonných povinností.
Zjištění přichází v době, kdy Česká republika zavádí nový zákon o kybernetické bezpečnosti, který má výrazně zpřísnit pravidla pro firmy a poprvé výslovně přenáší odpovědnost za bezpečnost IT systémů i na vrcholový management. Zároveň se blíží rozhodnutí o dalším tendru na komunikační platformy pro státní správu. Například ministerstva dnes plošně využívají Microsoft 365 a v příštím roce bude jejich volba opět řešena centrálně. I to ukazuje, že otázka kontroly nad firemními daty už dávno není jen technickým tématem.
Nejde o technický detail, ale o slabinu řízení IT
Na otázku, kam se ukládají data z jejich komunikačních platforem, odpovědělo 21,6 % dotázaných IT manažerů „nevím“. Přitom 83,3 % z nich přímo ovlivňuje výběr technologií ve firmě, ať už rozhodují samostatně, nebo ve spolupráci s vedením. Firmy nemusí nutně znát přesnou fyzickou adresu serveru. Klíčové je umět doložit, pod jakou jurisdikcí a za jakých podmínek jsou firemní data zpracovávána. Pokud i tato základní orientace chybí, jde o závažnou slabinu v řízení IT i právních rizik.
„Když někdo rozhoduje o komunikačním nástroji a neví, kam směřují firemní data, je to problém. Nejen z hlediska bezpečnosti, ale i důvěryhodnosti celé organizace. Dnes už nestačí spoléhat na to, že to ‚někdo technický‘ ohlídá. Týká se to i vedení firem,“ varuje Adam Paclt, generální ředitel společnosti IceWarp.
Průzkum navíc odhalil pozoruhodný paradox. I mezi těmi, kdo nemají přehled o umístění svých dat, byla necelá pětina (18 %) takových, pro které je zásadní, aby byla data uložena v Česku. Dalších 21 % to alespoň preferuje. Požadavky na digitální suverenitu tak často narážejí na neznalost reálného fungování používaných řešení.
Odpovědnost za technologie se přesouvá na vrchol vedení
Z průzkumu vyplývá, že více než 42 % firem už cloud v nějaké formě využívá, buď výhradně (21,6 %), nebo v kombinaci s vlastními servery (21 %). S příchodem nové legislativy, především zákona o kybernetické bezpečnosti vycházejícího ze směrnice NIS2, se ale zpřísňují nejen požadavky na zabezpečení, ale i na dokumentaci bezpečnostních opatření a řízení dodavatelského řetězce.
Zásadní novinkou je pak přímá odpovědnost vrcholového vedení. Firmy, které dnes nemají přehled o umístění a ochraně svých dat, tak mohou čelit únikům informací i postihům od úřadů, zvlášť pokud nedokážou doložit, kde končí jejich data.