Cum poate un incident cibernetic sa iti afecteze compania si pozitia?

Cum poate un incident cibernetic sa iti afecteze compania si pozitia?

Ce nu masori nu controlezi

Fie ca sunt listate la bursa sau sunt private, institutii financiare, lanturi de retail sau companii de productie, toate companiile au o maniera similara si pragmatica in conducerea afacerilor, de aceea folosesc instrumente de management similare. Apoi, fiecare industrie sau chiar companie adopta indicatori de performanta (KPIs) si metodologii specifice, la care au ajuns dupa ani de maturitate pe piata.

Indiferent de domeniu si industrie, una dintre cele mai dificile discutii este despre risc. Iar postura in fata riscului, de multe ori depaseste discutia structurata, pe date si indicatori, si intra in zona umana si soft. Sunt directori executivi mai bearish, care se bazeaza pe intuitia si flerul dat de zeci de ani de experienta si simt care sunt trenduri favorabile, desi riscurile asociate sunt mari, si altii, mai analitici, care prefera prudenta.

Insa indiferent de experienta lor, informatiile precare sau lipsa lor inseamna decizii mai riscante, uneori exponential mai riscante.

O astfel de zona gri, putin monitorizata si gestionata, dar de unde poate oricand aparea o lebada neagra [1], este cea a expunerii majore a companiei la riscuri financiare, legale, reputationale si chiar existentiale in urma compromiterii infrastructurii si datelor informatice.

Date de clienti  - cu caracter personal sau chiar bancare, proprietate intelectuala rezultatul a investitii semnificative si ani de lucru, retele si metode patentate, date si sisteme necesare activitatii operationale curente pot ajunge in mainile unor adversari sau infractori, cu consecinte greu de anticipat pentru companie.

„Iti ia 20 de ani sa construiesti o reputatie si cinci minute sa o ruinezi. Daca te gandesti la asta, vei face lucrurile diferit”. Warren Buffet

“Pentru prima oara din 2007, riscul reputational se afla pe primul loc in topul riscurilor”. Greg Case, CEO AON (source)

 
2

 

Intelege riscul

Pe masura ce ne uitam in aceasta zona, insa, intelegem ca dinamica nu este una cu totul imprevizibila si de negestionat. Din contra, stim ca organizatiile sunt victime frecvente ale atacurilor, si insasi constructia spatiului digital si complexitatea lui favorizeaza atacurile. Intr-un studiu [3] AT&T din 2015 s-a constatat ca 62% din organizatiile intervievate recunosteau ca au avut brese majore, insa doar 34% dintre ele considerau ca aveau un plan adecvat de raspuns la astfel de incidente.

Si date similare se regasesc si in studiile anuale Verizon despre brese de securitate, care arata un hiatus major intre momentele cand au loc atacuri si cele cand sunt detectate, undeva in media a 200 de zile. De aceea in domeniul securitatii informatice se spune ca exista doua categorii de companii: cele care au avut o bresa/un incident, si cele care nu stiu inca.

Iar daca lucrati cu date personale - clienti sau firme, intr-un numar semnificativ - adica sunteti operator de date ( data controller) sau procesator de date (data processor), cu siguranta ati auzit deja despre GDPR - General Data Protection Regulation, care a intrat in vigoare si in Romania din mai 2018.

Insa ce trebuie sa retinem sunt cel putin doua lucruri:

  • constrangeri de timp de raportare a unui incident si a numarului de inregistrari afectate: 72 de ore;
  • amenzile administrative in caz de neconformitate: pana la 10 mln EUR sau 2% din cifra globala de afaceri pentru controlleri, si pana la 20 mln EUR sau 4% din cifra globala de afaceri, care este mai mare.

Cred ca suna suficient de ingrijorator pentru a va determina sa va familiarizati, daca nu sunteti deja la curent, cu cerintele acesteia.

 
3

 

Preia controlul

Asadar, de unde incepem? Constientizare, masurare si gestionare ca procese.
Ca in cazul oricarui factor major de risc.

In mod traditional, riscurile IT erau considerate riscuri tehnologice. In fapt, trebuie asumate ca riscuri sistemice si gestionate la nivel de senior management.

Constientizarea trebuie sa se intample top-down, pana la ultimul angajat. Daca la nivel executiv tema nu este familiara se poate incepe chiar cu un exercitiu de threat landscape,  care sa expliciteze acest domeniu si riscurile lui relevante pentru business.

Mai departe, programele de security awareness sunt una dintre cele mai eficiente masuri non-tehnice de a ridica intr-un termen rezonabil nivelul de securitate al companiei, fara investitii tehnologice majore, de aceea il recomandam ca masura prioritara. Exista si modele de maturitate, de dezvoltare a unei culturi de securitate informatica in companii, atat la nivel executiv, unde este necesara o buna intelegere a implicatiilor si asumare a riscurilor in decizii, cat si la nivel operational unde se vizeaza prevenirea erorii umane.

Pana la masurare insa, e posibil ca atunci cand se lanseaza o astfel de initiativa sa se constate ca nu exista, din pacate, nici macar o imagine coerenta a acestor active digitale cu expunere la risc. De aceea, inainte de masurare, vor trebui identificate si ierarhizate toate aceste noduri informationale - date, infrastructuri, functii suport - care pot fi afectate si care poarta o valoare intrinseca pentru companie. Apoi calculat cat risc pot absorbi in functie de strategia companiei.

De aceea inchei cu invitatia de a va pune pe agenda urmatoarei intalnirI cu CIO/CISO-ul companiei intrebari precum:

  • Care sunt top10 riscuri IT ale companiei? Cum se compara cu alte riscuri non-IT?
  • Avem un mecanism prin care le revizuim periodic si ajustam strategiile de contingenta?
  • Am realizat vreodata o evaluare a riscurilor cu parti terte? (contractori, vendori, distribuitori)
  • Avem un dashboard cu indicatori privind securitatea cibernetica si expunerea pe acest factor de risc?
  • Avem un plan si o procedura standard de lucru aplicabile in caz de incident informatic? Le-am exersat vreodata?

“CEO-ul companiei este, in ultima instanta, responsabil pentru spargerea datelor unei companii. Securitatea cibernetica este o problema care priveste intreaga organizatie si care nu poate fi rezolvata doar de CISO sau CIO. CEO-ul trebuie sa prioritizeze protejarea datelor consumatorului si sai angajeze intreaga echipa de conducere din organizatie pentur ca securitatea cibernetica sa fie eficienta”. 

-Chris Wysopal, CTO and co-founder at Veracode (source)

[1] lebada neagra - metafora introdusa de Nassim Nicholas Taleb in cartea Fooled by Randomness, apoi in The Black Swan, cu referire la evenimente de pe piete financiare. In definitia autorului, evenimentul este o surpriza si are un impact major, insa, in retrospectiva se dovedeste ca date relevante despre el erau disponibile, insa nu au fost luate in considerare in programele de gestionare a riscului.

[2] Why J.P. Morgan Chase & Co. Is Spending A Half Billion Dollars On Cybersecurity

[3]The CEO’s Guide to Cyberbreach Response

 

Articol preluat de pe site-ul Deloitte Romania. Pentru mai multe detalii dati click aici.

Descarca raportul Deloitte despre "Future of Cyber"

 
3 CTA

 

Cyber Security Trends in 2020

In data de 27 noiembrie, de la ora 15:00 organizam in cadrul MINDSPACE Business District un eveniment special, pe baza de invitatie, dedicat trendurilor in Cyber Security, unde ii avem ca si invitati pe Anton-Mugurel Rog (SRI), Yugo Neumorni (CIO Council), Adrian Ifrim (Deloitte) si Cosmin Vilcu (Sonicwall). Evenimentul va oferii posibilitatea de a dezbate pe cele mai mari provocari cu care se confrunta CEO, CIO, CISO, CTO, CSO din companiile mari cu peste 500 de angajati.

 

Pentru detalii si solicitare de participare da click aici

 

 

 

Vezi mai multe articole din categoria: Management & Strategie