
Poglavlje 1
Praćenje podataka za razumevanje ponašanja zaposlenih
Iako mnogi uviđaju potrebu za takvim koracima, prepreku predstavljaju očekivanja zaposlenih lica vezanih za privatnost.
Vredni podaci i fizička imovina podložniji su riziku od krađe, oštećenja i manipulacije iznutra više nego ikad pre. Jedna od posledica sve veće globalne povezanosti je to što svako ko ima pristup podacima kompanije, bilo gde u svetu, može iskoristiti nedostatak sistema zaštite podataka. Često se u ovakvim slučajevima radi o zaposlenima od poverenja kojima je dopušten pristup ključnim izvorima podataka ili su sa njima upoznati.
Nikada pre vlade nisu u tolikoj meri sarađivale u borbi protiv mita i korupcije te u sprovođenju zakonskih mera kažnjavanja prevare. Faktor koji dodatno komplikuje situaciju jeste činjenica da propisi usmereni protiv korupcije i monopola postaju međusobno isprepletani, a time i usklađivanje s propisima postaje složenije i teže. Pretnje koje dolaze iznutra teško je uočiti bez prikupljanja i analiziranja podataka iz različitih izvora. Fokusirajući se na određenu vrstu ponašanja, kao što su odstupanja od uobičajenog radnog vremena, pokušaji pristupanja radnim područjima kojima je pristup ograničen ili upotreba nedozvoljenih spoljnih uređaja za skladištenje, kompanije mogu prepoznati pojedince koji bi mogli predstavljati veći rizik za poslovanje.
Jednom kad procene stepen rizika, organizacije mogu na osnovu novih informacija razmotriti treba li grupe pojedinaca koji su se pokazali potencijalno visoko-rizičnima podleći daljoj proveri. Uprkos potrebi za prikupljanjem takve vrste podataka, istraživanje EY utvrdilo je izvor napetosti:
- 75% ispitanika izjavilo je da kompanije treba da prate izvore podataka kao što su e-pošta, telefonski pozivi i poruke.
- S druge strane, 89% ispitanika smatra ovakvu vrstu nadzora povredom privatnosti.
Pretnje iznutra
65%ispitanika smatra praćenje e-mail korespondencije povredom privatnosti.
Ovu situaciju kompanije treba da reše tako da kod svojih zaposlenih podignu svest o važnosti prikupljanja takve vrste podataka, odnosno potencijalne posledice curenja ili krađe podataka. U slučaju krađe ili oštećenja imovine kompanije, posledice po finansije, ugled i sprovođenje propisa mogu biti katastrofalne, što je vidljivo iz značajne količine vesti u medijima posvećene upravo slučajevima curenja informacija koja su se dogodila poslednjih godina.
Zaposleni jednostavno moraju razumeti da je jedini načini da se kompanija zaštiti od takve vrste izlaganja uvođenje i sprovođenje programa za suzbijanje unutrašnjih pretnji kojim će se najvažnija imovina i podaci kojima kompanija raspolaže zaštititi od rizika koji preti iznutra.

Poglavlje 2
Uzbunjivanje — zašto je poverenje važan faktor
Ako zaposleni odlučuju prijaviti probleme samo spoljnim telima, kompanije mogu teže upravljati situacijom.
Propisi i zakoni koji se odnose na uzbunjivače sve učestalije se uspostavljaju širom sveta, delom zbog povećanih zahteva vezanih za transparentnost. Trend pospešivanja pojedinaca da postanu uzbunjivači dodatno je podstaknut višemilionskim nagradama koje uzbunjivačima nudi američka Komisija za vrednosne hartije i berzu.
Istraživanje koje je društvo EY sprovelo utvrdilo je tri važne činjenice:
1. Zabrinutost u pogledu neetičkog ponašanja zaposlenih je u porastu.
2. Mali broj zaposlenih upoznat je s činjenicom da postoji komunikacijska linija putem koje se mogu prijaviti nepravilnosti, a uz to se na zaposlene vrši značajan pritisak da ne prijavljuju zabrinjavajuće informacije.
3. Značajan broj zaposlenih izjavio je da bi prijavio pojavu nepravilnosti spoljnim telima bez obzira na odgovor koji bi dobili na bilo kakav izveštaj koji su podneli unutar organizacije.
Neetičko ponašanje
52%ispitanika je u nekom trenutku imalo informaciju ili je zabrinjavajućim smatralo pojave nekih slučajeva prestupa u njihovoj kompaniji. Nadalje, gotovo polovina je razmišljala o davanju ostavke zbog neetičkog ponašanja.
Sumnje na prestupe nisu samo problem zbog potrebe da se kompetentni ljudi zadrže u organizaciji, već pokazuju i da radnici možda poseduju vredne informacije koje bi kompanije mogle iskoristiti za prepoznavanje i uočavanje prestupa.
Čak i kad bi zaposleni hteli prijaviti takve slučajeve, moguće je da ne znaju kako to da učine. Istraživanje EY pokazalo je da je samo 21% zaposlenih upoznato s postojanjem uzbunjivačke telefonske linije u svojoj kompaniji. Čak i onda kad regulatorna tela tako zahtevaju – na primer britansko Telo za finansijsko poslovanje (FCA) - čini se da uzbunjivanje kao mogućnost delovanja nije na efikasan način uvedeno u organizacije kao praksa.
Ne nedostaje nezadovoljnih bivših zaposlenika koji su više nego voljni razgovarati s Uredom za teške prevare (UK SFO).
Iako je poznavanje unutrašnjih mehanizama za prijavu nepravilnosti slabo, 73% ispitanika razmotrilo bi deljenje informacija o potencijalnom slučaju prevare, podmićivanja i korupcije u njihovoj kompaniji sa spoljnom trećom stranom.
Većina ispitanika koja je učestvovala u istraživanju EY pribegli bi tome samo u slučaju da izveštaj koji su podneli unutar organizacije nije doneo nikakav rezultat. Međutim, 15% ispitanika obratilo bi se trećim stranama bez obzira na to kakva je bila reakcija na izveštaj koji su predali. Nadalje, značajna većina onih koji bi prijavili informacije nekom van kompanije izjavila je da bi se obratili direktno nekoj ustanovi za izvršavanje zakona ili regulatornom telu.
S obzirom na ovakvo stanje stvari, kompanije moraju razmotriti najbolji način za uspostavljanje komunikacijskih linija za uzbunjivače i ostalo što je potrebno kako bi došli do bilo kakvih važnih informacija o prestupu poznatih njihovim zaposlenima. Na taj način moći će reagovati pravovremeno, rešiti nastale probleme i situacije i pripremiti se za bilo kakav mogući odgovor od strane regulatornih tela ili napise u medijima.

Poglavlje 3
Odgovor na sajber prestupe
Odgovori uprave i zaposlenih na nižim stepenima odražavaju jaz koji može imati ozbiljne posledice.
Kompanije su i dalje suočene s pretnjom cyber napada s različitih strana, uključujući cele države, zločinačke organizacije i terorističke grupe. U ključnim razvojnim područjima Indije i Afrike, 72%, odnosno 58% ispitanika odgovorilo je da cyber napade smatra visokorizičnom pretnjom kompanija sličnim njihovim. Gledajući ukupne rezultate, polovina ispitanika deli ovakav stav.
S obzirom na to koliko je široko prepoznat ovaj problem, ne iznenađuje da 59% ispitanika veruje da bi njihova kompanija trebala imati Program odgovora na cyber napad (CBRP).
S obzirom na to koliko je široko prepoznat ovaj problem, ne iznenađuje da 59% ispitanika veruje da bi njihova kompanija trebala imati Program odgovora na sajber napad (CBRP). Međutim, ispitanici su izjavili da se stepen informisanosti o takvom programu znatno razlikuje između zaposlenih na najvišim pozicijama i onih na nižim. Dok više od polovine članova upravnih odbora i viših menadžera misli da njihova kompanija ima CBRP, samo jedna trećina ostalih zaposlenih smatra isto.
Ako zaposleni ne znaju kako izvestiti nadležne o mogućim nepravilnostima, problemi koji se čine beznačajnim ili lokalnim bi mogli da ostanu prećutani. Ovakve okolnosti mogu dovesti do toga da kompanija ne preuzme odgovarajuće mere kako bi procenila i istražila situaciju te pravilno odgovorila u slučaju incidenta, što utiče na sposobnost kompanije da umanji razmere nanesene štete.

Poglavlje 4
Planovi za budućnost
Kompanije posluju u sve nesigurnijem svetu usled razdoblja naglih političkih, regulatornih i ekonomskih promena.
Kako bi odgovorile na ovakve izazove, kompanije moraju ispuniti više od tek minimalnih zahteva za usklađivanje i razviti programe koji će sve njihove zaposlene podstaći da učine ono što treba.
Ovo podrazumeva i edukativne programe kojima će se zaposleni osvestiti i podstaći da istupe ako imaju ikakve razloge za sumnju na nepravilnosti. Uz to, treba uvesti i efikasan postupak upravljanja rizikom u okviru kojeg se primenjuju tehnološka rešenja i logika mašina kako bi se prepoznale i ublažile spoljne pretnje kao što su, na primer, one koje mogu proizaći iz potencijalne poslovne saradnje ili sajber napada.
Rezime
Usled geopolitičkih, ekonomskih i društvenih promena, treba očekivati da su tradicionalni okviri za usklađenost zasnovani na pretpostavkama koje više ne vrede. Informacija je ključna za smanjenje rizika i kompanije bi morale u najvećoj mogućoj meri iskoristiti svu vrednost koju mogu izvući iz podataka koje imaju na raspolaganju. Ovo se može postići tako da se iskoriste sve mogućnosti koje nudi današnji svet usled sve većih promena koje nosi.