Veri gizliliği ve siber güvenliğe ilişkin artan düzenleme, şirket içi hukuk kurallarının, kuruluşlarının ihlaller konusunda ciddi olmasını sağlamaya yardımcı olmasının yalnızca yarısıdır; Otterbourg Ortağı Erik Weinick, diğer yarısının ise korumaları olmayan şirketlerle giderek daha fazla iş yapmayan iş ortaklarının beklentisi olduğunu söylüyor.
Weinick, Legal Dive’a “Şirketler sözleşme hükümleri nedeniyle zorlanıyor” dedi. “Küçük bir şirket olsalar da büyük bir şirketle iş yapıyorlarsa, onlarla iş yapmanın bir koşulu olarak gizlilik veya güvenlik açısından yaptıklarını değiştirmek zorundalar.”
Firmasının veri gizliliği ve siber güvenlik uygulama grubunun kurucu ortağı Weinick, küçük ve orta ölçekli şirketlerin bu mesajı almaya başladığını söyledi. Yakın zamana kadar pek çok şirket, küçük oldukları veya hassas bilgiler taşımadıkları için tehdit aktörlerinin hedefi olmadıklarını ve hedef olsalar bile, büyük şirketlerin durumu göz önüne alındığında bir olayı önlemek için yapabilecekleri çok az şey olduğunu düşünüyordu. Güvenliğe büyük yatırım yapanlar hala ihlal ediliyor.
Bazı şirketlerin düşüncelerini paylaşarak, “‘Güvenliğe yılda on veya yüz milyonlarca dolar harcayan ve yine de saldırıya uğrayan şu büyük şirketlere bakın” dedi. “’Neden uğraşayım ki? Ben sadece bununla ilgileneceğim.’”
Weinick, şirket içi teknik ve hukuki uzmanlığı ekleyecek kaynaklara sahip olmayan avukatları, mahremiyet ve güvenlik duruşlarını artırmak için dışarıdan danışmanlarla başlamaya teşvik etti. Dışarıdaki firma, şirkete sigorta şirketleri, teknik uzmanlar ve kolluk kuvvetleriyle iyi kurulmuş ilişkiler kazandıracak.
Bu ağ, üzerinde çalıştıkları olaylardan öğrendikleri dersleri önleyici çabalara uygulayabilir ve bir olayın meydana gelmesi durumunda, etkiyi azaltabilecek sıkı bir şekilde yazılmış bir yanıt verebilir.
“Kuruluşun türüne veya büyüklüğüne bağlı olarak, bunun onların başına gelmeyeceğine veya gerçekleşirse bununla ilgileneceklerine veya genel sigorta poliçesi kapsamına gireceklerine dair hâlâ bir yanlış kanı var; bu nedenle çağrılarımızın çoğu Weinick, hazırlıksız insanlardan geliyor “dedi.
Dışarıdan gelen avukat ayrıca, bir olay olması ve davacı avukatlarının bu iletişimleri ortaya çıkarmaya çalışması durumunda gizlilik ve güvenlikle ilgili dahili iletişimlerin gizli kalmasını sağlamaya da yardımcı olabilir.
“Eğer tüm bilgi akışı genel hukuk müşaviri ile koordineli olarak bu danışmandan geçiyorsa, bu, ayrıcalığın sürdürülme olasılığını artırır” dedi. “Bazı iş adamları, doğal olarak, eğer iç tavsiyeyi her yazışmaya kopyalarlarsa, bunun sıradan bir iş iletişimi olmasına rağmen sihirli bir ayrıcalık haline geleceğini düşünüyorlar. Gerçekten korunabilir bilgiler olması gerekir. Sadece belirli insanları kopyalamak onu ayrıcalıklı hale getiremez.”
Olasılık ayrıcalığını iyileştirmek için, gizlilik ve güvenlikle ilgili teknik ve mali konulardaki iletişim, hukuki tavsiye sağlayan genel hukuk müşaviri veya dışarıdan hukuk müşaviri ile ilgili olmalıdır.
Örneğin, dışarıdan bir danışman, iç finans ekibinin maliyet nedeniyle izin vermekte tereddüt ettiği bir güvenlik önlemi tavsiye ederse, şirket içi danışmanın yasal açıdan ne yapılması gerektiği konusunda ağırlığını koyması durumunda, bu konuda ileri geri konuşmalar muhtemelen ayrıcalıklı olacaktır.
“Şirket içi danışman kurula veya nihai karar mercii kim olursa olsun şunu söylerse… benim nihai tavsiyem bunun gerekli bir masraf olduğudur [based on what our outside counsel says]Bunun korunması lazım” dedi. “Kurum içi danışmanın yaptığı şey, verdikleri hukuki tavsiyeyi bilgilendirmek için bilgi toplamaktı.”
İstemediğiniz şey, bir ayrıcalık bağlamı dışında, şirketin karar verdiği, belki de bütçe nedenleriyle, dış uzmanlık tarafından önerilen maliyetli bir güvenlik önlemini uygulamak istemediği iç iletişime sahip olmaktır.
“Diyelim ki dışarıdan bir teknik uzmandan, içeriden bir teknik uzmana x, y ve z yapmanız gerektiğini söyleyen bir e-posta almak istemezsiniz ve içeriden teknik uzman bunu bütçeleme ofisine gönderir ve onlar da şunu söylerler: buna değmez” dedi. “Ve sonra saldırı tam olarak güvenlik açığını hedef alıyor. Bu, davacının avukatına, saldırıyı önlemek için ne yapabileceğinize ama yapamadıklarınıza dair bir yol haritası sağlıyor.”