
Poglavlje 1
Praćenje podataka za razumijevanje ponašanja zaposlenika
Iako mnogi uviđaju potrebu za takvim koracima, prepreku predstavljaju očekivanja zaposlenika vezano za privatnost.
Vrijedni podaci i fizička imovina podložniji su riziku od krađe, oštećenja i manipulacije iznutra više nego ikad prije. Jedna od posljedica sve veće globalne povezanosti je to što svatko tko ima pristup podacima tvrtke, bilo gdje u svijetu, može iskoristiti manjkavosti sustava zaštite podataka. Često se u ovakvim slučajevima radi o zaposlenicima od povjerenja kojima je dopušten pristup ključnim izvorima podataka ili su s njima upoznati.
Nikada prije vlade nisu u toliko mjeri surađivale u borbi protiv mita i korupcije te u provođenju zakonskih mjera kažnjavanja prijevare. Faktor koji dodatno komplicira situaciju jest činjenica da propisi usmjereni protiv korupcije i monopola postaju međusobno isprepleteni, a time i usklađivanje s propisima postaje složenije i teže. Prijetnje koje dolaze iznutra teško je uočiti bez prikupljanja i analiziranja podataka iz različitih izvora. Fokusirajući se na određenu vrstu ponašanja, kao što su odstupanja od uobičajenog radnog vremena, pokušaji pristupanja radnim područjima kojima je pristup ograničen ili uporaba nedozvoljenih vanjskih uređaja za pohranu, tvrtke mogu prepoznati pojedince koji bi mogli predstavljati veći rizik za poslovanje.
Jednom kad procijene razinu rizika, organizacije mogu na osnovu novih informacija razmotriti treba li skupine pojedinaca koji su se pokazali potencijalno visoko-rizičnima podleći daljnjoj provjeri. Usprkos potrebi za prikupljanjem takve vrste podataka, istraživanje EY utvrdilo je izvor napetosti:
- 75% ispitanika izjavilo je da bi tvrtke trebale pratiti izvore podataka kao što su e-pošta, telefonski pozivi i poruke.
- S druge strane, 89% ispitanika smatralo bi ovakvu vrstu nadzora povredom privatnosti.
Prijetnje iznutra
65%ispitanika smatra praćenje email korespondencije povredom privatnosti.
Ovu situaciju tvrtke bi trebale riješiti tako da kod svojih zaposlenika osvijeste činjenicu o važnosti prikupljanja takve vrste podataka, odnosno potencijalne posljedice curenja ili krađe podataka. U slučaju krađe ili oštećenja imovine tvrtke, posljedice po financije, ugled i provođenje propisa mogu biti katastrofalne, što je vidljivo iz značajne količine vijesti u medijima posvećene upravo slučajevima curenja informacija koja su se dogodila posljednjih godina.
Zaposlenici jednostavno moraju razumjeti da je jedini načini da se tvrtka zaštiti od takve vrste izlaganja uvođenje i provedba programa za suzbijanje unutarnjih prijetnji kojim će se najvažnija imovina i podaci kojima tvrtka raspolaže zaštititi od rizika koji prijeti iznutra.

Poglavlje 2
Zviždanje — zašto je povjerenje važan čimbenik
Ako zaposlenici odlučuju prijaviti probleme samo vanjskim tijelima, tvrtke mogu teže upravljati situacijom.
Propisi i zakoni koji se odnose na zviždače sve učestalije se uspostavljaju diljem svijeta, dijelom zbog povećanih zahtjeva za transparentnošću. Trend poticanja pojedinaca da postanu zviždači dodatno je potaknut višemilijunskim nagradama koje zviždačima nudi američka Komisija za vrijednosnice i burzu.
Istraživanje koje je proveo EY utvrdilo je tri važne činjenice:
- Zabrinutost u pogledu neetičnog ponašanja zaposlenika je u porastu.
- Mali broj zaposlenika upoznat je s činjenicom da postoji komunikacijska linija putem koje se mogu prijaviti nepravilnosti, a uz to se na zaposlenike vrši značajan pritisak da ne prijavljuju zabrinjavajuće informacije.
- Značajan broj zaposlenika izjavio je da bi prijavio pojavu nepravilnosti vanjskim tijelima bez obzira na odgovor koji bi dobili na bilo kakav izvještaj koji su podnijeli unutar organizacije.
Neetično ponašanje
52%ispitanika u nekom je trenutku imalo informaciju ili je zabrinjavajućim smatralo pojave nekih slučajeva prijestupa u njihovoj tvrtki Nadalje, gotovo polovica je razmišljala o davanju ostavke zbog neetičnog ponašanja.
Sumnje na prijestupe nisu samo problem zbog potrebe da se kompetentni ljudi zadrže u organizaciji, već pokazuju i da djelatnici možda posjeduju vrijedne informacije koje bi tvrtke mogle iskoristiti za prepoznavanje i uočavanje prijestupa.
Čak i kad bi zaposlenici htjeli prijaviti takve slučajeve, moguće je da ne znaju kako to učiniti. EY-evo istraživanje pokazalo je da je samo 21% zaposlenika upoznato s postojanjem zviždačke telefonske linije u svojoj tvrtki. Čak i onda kad regulatorna tijela tako zahtijevaju - na primjer britansko Tijelo za financijsko poslovanje (FCA) - čini se da zviždanje kao mogućnost djelovanja nije na učinkovit način uvedeno u organizacije kao praksa.
Ne nedostaje nezadovoljnih bivših zaposlenika koji su više nego voljni razgovarati s Uredom za teške prijevare (UK SFO).
Iako je poznavanje unutarnjih mehanizama za prijavu nepravilnosti slaba, 73% ispitanika razmotrilo bi dijeljenje informacija o potencijalnom slučaju prijevare, podmićivanja i korupcije u njihovoj tvrtki s vanjskom trećom stranom.
Većina ispitanika koja je sudjelovala u istraživanju EY-a pribjegli bi tome samo u slučaju da izvještaj koji su podnijeli unutar organizacije nije polučio nikakav rezultat. Međutim, 15% ispitanika obratilo bi se trećim stranama bez obzira na to kakva je bila reakcija na izvještaj koji su predali. Nadalje, značajna većina onih koji bi prijavili informacije nekom izvana izjavila je da bi se obratili izravno nekoj ustanovi za provedbu zakona ili regulatornom tijelu.
S obzirom na ovakvo stanje stvari, tvrtke moraju razmotriti najbolji način za uspostavu komunikacijskih linija za zviždače i ostalo što je potrebno kako bi došli do bilo kakvih važnih informacija o prijestupu poznatih njihovim zaposlenicima. Na taj način moći će reagirati pravovremeno, riješiti nastale probleme i situacije i pripremiti se za bilo kakav mogući odgovor od strane regulatornih tijela ili napise u medijima.

Poglavlje 3
Odgovor na cyber prijestupe
Odgovori uprave i zaposlenika na nižim razinama odražavaju jaz koji može imati ozbiljne posljedice.
Tvrtke su i dalje suočene s prijetnjom cyber napada s različitih strana, uključujući cijele države, zločinačke organizacije i terorističke skupine. U ključnim razvojnim područjima Indije i Afrike, 72%, odnosno 58% ispitanika odgovorilo je da cyber napade smatra visokorizičnom prijetnjom tvrtkama sličnima njihovima. Gledajući ukupne rezultate, polovica ispitanika dijeli ovakav stav.
S obzirom na to koliko je široko prepoznat ovaj problem, ne iznenađuje da 59% ispitanika vjeruje da bi njihova tvrtka trebala imati Program odgovora na cyber napad (CBRP).
Međutim, ispitanici su izjavili da se razina informiranosti o takvom programu znatno razlikuje između zaposlenika na najvišim pozicijama i onih na nižim. Dok više od polovice članova upravnih odbora i viših menadžera misli da njihova tvrtka ima CBRP, samo jedna trećina ostalih zaposlenika smatra isto.
Ako zaposlenici ne znaju kako izvijestiti nadležne o mogućim nepravilnostima, problemi koji se čine beznačajnima ili lokalnima mogli bi ostati prešućeni. Ovakve okolnosti mogu dovesti do toga da tvrtka ne poduzme odgovarajuće mjere kako bi procijenila i istražila situaciju te pravilno odgovorila u slučaju incidenta, što utječe na sposobnost tvrtke da umanji razmjere nanesene štete.

Poglavlje 4
Kako riješiti problem
Tvrtke posluju u sve nesigurnijem svijetu uslijed razdoblja naglih političkih, regulatornih i gospodarskih promjena.
Kako bi odgovorile na ovakve izazove, tvrtke moraju ispuniti više od tek minimalnih zahtjeva za usklađivanjem i razviti programe koji će sve njihove zaposlenike potaknuti da učine ono što treba.
Ovo podrazumijeva i edukativne programe kojima će se zaposlenike osvijestiti i potaknuti da istupe ako imaju ikakve razloge sumnjati na nepravilnosti. Uz to, trebao bi se uvesti i učinkovit postupak upravljanja rizikom u okviru kojeg se primjenjuju tehnološka rješenja i logika stroja kako bi se prepoznale i ublažile prijetnje izvana kao što su, na primjer, one koje mogu proizaći iz potencijalne poslovne suradnje ili cyber napada.
Sažetak
Uslijed geopolitičkih, ekonomskih i društvenih promjena, treba očekivati da su tradicionalni okviri za usklađenost zasnovani na pretpostavkama koje više ne vrijede. Informacija je ključna za umanjivanje rizika i tvrtke bi morale u najvećoj mogućoj mjeri iskoristiti svu vrijednost koju mogu izvući iz podataka koje imaju na raspolaganju. Ovo se može postići tako da se iskoriste sve mogućnosti koje nudi današnji svijet uslijed sve većih promjena koje nosi.