Ο κίνδυνος στον κυβερνοχώρο δεν είναι «απλώς» ένα τεχνικό ζήτημα του τμήματος IT, αλλά ένας επιχειρηματικός κίνδυνος που απειλεί όλα τα μέρη του οργανισμού και ως εκ τούτου πρέπει να αντιμετωπιστεί σε επίπεδο διοικητικού συμβουλίου.
Προκειμένου να προστατευθεί κατάλληλα η εταιρεία, τα διοικητικά συμβούλια πρέπει να καθορίσουν σαφή ευθύνη των εμπλεκομένων και συνεχή επαγρύπνηση, καθώς οι διευθυντές καλούνται όλο και περισσότερο να συμμετέχουν σε «νομικές» συζητήσεις σχετικά με αυτό το θέμα.
Έκθεση της Διοίκησης και των στελεχών σε ευθύνες Cyber security
@BusinessConsulting
Εκτός από τη διαχείριση των επιχειρηματικών κινδύνων, το ζήτημα της πιθανής προσωπικής έκθεσης των διευθυντών και Στελεχών σε περίπτωση αποτυχίας τους να μετριάσουν τον κίνδυνο στον κυβερνοχώρο είναι ένα πραγματικό και διαρκώς εμφανιζόμενο ζήτημα.
Παρά την πρόσφατη αύξηση των επιθέσεων στον κυβερνοχώρο, και ιδιαίτερα τις επιθέσεις ransomware, η προσήλωση του προσωπικού στις ορθές πρακτικές ασφάλειας στον κυβερνοχώρο εξακολουθεί να είναι χαμηλή παρά την εκπαίδευση σε βασικά θέματα ασφαλείας. Αυτό δεν πρέπει να αποτελείται απλώς από ένα εφάπαξ μάθημα ασφάλειας στον κυβερνοχώρο που ξεχνά γρήγορα, αλλά συνεχώς υπενθυμίσεις και έλεγχος- για τη διασφάλιση της βέλτιστης πρακτικής. Η μείωση των ανθρώπινων σφαλμάτων θα ενισχύσει σημαντικά την υπεράσπιση στον κυβερνοχώρο.
«Είναι επίσης σημαντικό να δημιουργηθεί μια κουλτούρα όπου το προσωπικό αισθάνεται άνετα να εμφανιστεί αν νομίζει ότι μπορεί να έχει κάνει κλικ στον ύποπτο σύνδεσμο ή στο συνημμένο. Όσο πιο γρήγορα το τμήμα πληροφορικής γνωρίζει ένα θέμα τόσο το καλύτερο. Οι χάκερ είναι γνωστό ότι είναι αδρανείς όταν αποκτήσουν πρόσβαση σε ένα σύστημα, περιμένοντας τον κατάλληλο χρόνο να χτυπήσουν για να κάνουν όσο το δυνατόν περισσότερη ζημιά. Εάν δεν είστε σίγουροι, είναι πάντα καλύτερο να ενημερώσετε την ομάδα πληροφορικής. "
Σημεία προσοχής εσωτερικών διαδικασιών
@BusinessConsulting
- Παρ’ ότι οι μεγάλες επιχειρήσεις πραγματοποιούν ασκήσεις ασφάλειας με το προσωπικό τους, ένα μικρό μόνο ποσοστό έχουν εκπαιδευτεί σωστά και καταλαβαίνουν το πλεονέκτημα γιαυτούς και τον οργανισμό όταν εφαρμόζουν σωστές πρακτικές ασφάλειας στον κυβερνοχώρο.
- Ενώ η πλειοψηφία των υπευθύνων πληροφορικής ενθαρρύνουν τους υπαλλήλους να χρησιμοποιούν μία συγκεκριμένη πολιτική διαχείρισης κωδικών πρόσβασης, σχεδόν ένας στους τρεις υπαλλήλους χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης σε υπολογιστές, ιστότοπους και εφαρμογές με αυτούς των προσωπικών λογαριασμών τους.
- Σημαντικό ποσοστό επίσης δεν ενημερώνουν τον υπολογιστή εργασίας ή το smartphone τους μόλις υπάρξουν διαθέσιμες ενημερώσεις λογισμικού και αυτό μπορεί να οδηγήσει σε σημαντικές ευπάθειες που μπορούν να εκμεταλλευτούν οι χάκερ.
- Ελάχιστοι είναι αυτοί που ελέγχουν συνδέσμους email για να βεβαιωθούν ότι είναι νόμιμοι.
- Αυτό που παρατηρείται στν εργασία από το σπίτι είναι ότι ένα πολύ μεγάλο ποσοστό γονέων αφήνουν τα παιδιά τους να χρησιμοποιούν τις συσκευές εργασίας τους.
Η ευθύνη του Διοικητικού Συμβουλίου
@BusinessConsulting
Η αποτυχία αναγνώρισης ορισμένων γεγονότων ως χρηματοοικονομικών απειλών από την διοίκηση μπορεί να οδηγήσει σε πιθανή έκθεση ευθύνης διευθυντών και στελεχών (Director & Officers) όπως:
- Απαιτήσεις και έξοδα εκβιασμού στον κυβερνοχώρο
- Ευθύνη έναντι τρίτων για παραβιάσεις δεδομένων και αποτυχία προστασίας εμπιστευτικών πληροφοριών
- Ευθύνη έναντι τρίτων για εκδηλώσεις στον κυβερνοχώρο, όπως διάδοση κακόβουλου λογισμικού ή αδυναμία πρόσβασης σε διαδικτυακές υπηρεσίες
- Ρυθμιστικά πρόστιμα και κυρώσεις
- Κόστος πρώτου μέρους για την αποκατάσταση μιας επίθεσης στον κυβερνοχώρο, συμπεριλαμβανομένων νομικών τελών, δαπανών δημοσίων σχέσεων, ιατροδικαστικών δαπανών
- Ανακατανομή εσωτερικών πόρων
- Απώλεια διακοπής επιχείρησης
- Φήμη βλάβη
- Ζημιά σε υλικό και / ή λογισμικό συμπεριλαμβανομένων των ψηφιακών στοιχείων.
Ποσοτικοποίηση του χρηματοοικονομικού κινδύνου
@BusinessConsulting
Μια οικονομική ποσοτικοποίηση των αναμενόμενων ή πιθανών ζημιών που προκύπτουν από διαφορετικά σενάρια είναι ένα λογικό σημείο για να ξεκινήσουν και να εντάξουν τους διαδικτυακούς κινδύνους στο συνολικό Risk Management της επιχείρησης. Μπορούν να επωφεληθούν από ιστορικά δεδομένα διαδικτυακών συμβάντων και αποζημιώσεων δεκαετιών στον ασφαλιστικό τομέα.
Ο οικονομικός ποσοτικός προσδιορισμός είναι το πρώτο βήμα για να καταστούν πλήρως ενημερωμένες οι αποφάσεις, συμπεριλαμβανομένης της εξέτασης του κατά πόσον τα πιθανά αποτελέσματα απώλειας μπορούν να μετριαστούν από:
- Επένδυση σε αυστηρότερα πρωτόκολλα ασφάλειας στον κυβερνοχώρο
- Μεταφορά κινδύνου σε ασφαλιστές
- Και τα δυο
Αξιολόγηση της ανθεκτικότητας στον κυβερνοχώρο
@BusinessConsulting
Η ετοιμότητα κινδύνου στον κυβερνοχώρο μπορεί να μετρηθεί. Οι δείκτες απόδοσης μπορεί να περιλαμβάνουν, μετρήσεις πιθανού κινδύνου από προμηθευτές, πελάτες και τρίτους γενικά ή μια συγκριτική ανάλυση απόδοσης με επιχειρήσεις ιδίου τομέα και μεγέθους.
Οι μετρήσεις απόδοσης μπορούν να περιλαμβάνουν την έγκαιρη επιδιόρθωση τρωτών σημείων, την τακτική εκπαίδευση ευαισθητοποίησης των εργαζομένων κλπ.
Όσο υψηλότερη είναι η απόδοση, τόσο λιγότερο πιθανό είναι ένας οργανισμός να αντιμετωπίσει μια παραβίαση στον κυβερνοχώρο και τόσο λιγότερο πιθανό είναι να υποστεί μια απώλεια φήμης. Η υψηλή απόδοση της ασφάλειας στον κυβερνοχώρο αποτελεί βασικό δείκτη της χρηστής διακυβέρνησης, η οποία είναι πιθανό να μεταφραστεί σε καλύτερη επιχειρηματική εμπιστοσύνη και αξία των μετόχων.
Συστάσεις για μέλη του διοικητικού συμβουλίου
@BusinessConsulting
Είναι ζωτικής σημασίας να υπάρχει μια ισχυρή συμμαχία μεταξύ του διοικητικού συμβουλίου και των επαγγελματιών του επιχειρηματικού κινδύνου στον κυβερνοχώρο.
Εάν απαιτούνται βελτιώσεις, το κόστος πρέπει να μετρηθεί με βάση τα οφέλη όπως:
- ταχεία διεθνή επέκταση
- ενισχυμένη ασφάλεια προϊόντων
- έναν ανταγωνιστικό διαφοροποιητή
- καλά ενημερωμένη διαχείριση του κινδύνου αλυσίδας εφοδιασμού
Το διοικητικό συμβούλιο χρειάζεται αυτές τις πληροφορίες για να επιτρέψει τη μετάβαση των αριθμών, σε ευκαιρίες και οικονομική απόδοση. Μια τέτοια συζήτηση θ’ αυξήσει την εμπιστοσύνη στην επιχείρηση και θα επιτρέψει στο διοικητικό συμβούλιο να κατανοήσει, να εξορθολογήσει και να εκπληρώσει κατάλληλα τις εποπτικές του ευθύνες.
Συνεχής παρακολούθηση
Η απειλή στον κυβερνοχώρο δεν σταματά ποτέ αλλά αντιθέτως αυξάνεται δημιουργώντας ένα δυναμικό περιβάλλον που απαιτεί συνεχή παρακολούθηση, το οποίο θα επιτρέψει την ανάπτυξη κατάλληλων μέτρων αντιμετώπισης.
Συμβουλές για το διοικητικό συμβούλιο
@BusinessConsulting
Δρομολογήστε σε επόμενο ΔΣ συζήτηση με θέμα την έκθεση της επιχείρησης στους διαδικτυακούς κινδύνους και ζητήστε απαντήσεις στο ερώτημα αν οι επενδύσεις στον τομέα ασφαλείας αποδίδουν ικανοποιητικά:
- Η στρατηγική ασφάλειας παραδίδεται κάθε χρόνο στο ΔΣ και πόσο σας ικανοποιεί το επίπεδο βελτίωσης της ασφάλειας;
- είναι ο οργανισμός ικανός να μετριάσει τους κινδύνους ασφαλείας και πώς αντιμετωπίζετε η καθυστέρηση εφαρμογής της.; Εάν η καθυστέρηση αυξάνει τον κίνδυνο, η επένδυσή σας στον συγκεκριμένο τομέα ενδέχεται να μην είναι επαρκής.
- Υπάρχει πρόβλεψη για εφαρμογή μιας αξιολόγησης ωριμότητας ασφαλείας για τον εντοπισμό των κενών και τον προσδιορισμό των τομέων πού πρέπει να επενδύσει ο οργανισμός:
Ρωτήστε τη διεύθυνση προσωπικού πώς τα μηνύματα ασφαλείας μεταφράζονται σε συμπεριφορές ασφαλείας
- Πόσες πιθανότητες Υπάρχουν για τους υπαλλήλους όχι μόνο να ακούσουν για την ασφάλεια στον κυβερνοχώρο, αλλά να την εφαρμόσουν;
- Ποια είναι τα διάφορα κανάλια που χρησιμοποιούνται για την παράδοση βασικών μηνυμάτων ασφαλείας και εκπαίδευσης; Οι αποδέκτες αισθάνονται άνετα στη χρήση των διαδικασιών;
- Έχει χρησιμοποιήσει ο οργανισμός ένα ερωτηματολόγιο για την κουλτούρα ασφάλειας για να κατανοήσει τις αντιλήψεις των εργαζομένων στην ασφάλεια;
- Ποια είναι η συχνότητα και η σαφήνεια των επικοινωνιών ασφαλείας σε ολόκληρο τον οργανισμό;
Αν συνεχίζετε να χρησιμοποιείτε πρακτικές εξ αποστάσεως εργασίας ρωτήστε:
- Οι υλοποίηση των κανόνων των προσωρινών ψηφιακών πολιτικών είναι πλέον μόνιμες. Είναι κατάλληλες για αυτόν τον σκοπό;
- τι είδους ορατότητα και προστασία έχει ο οργανισμός για τις απομακτυσμένες εργασίες, ειδικά όταν χρησιμοποιούνται οικιακά δίκτυα;
Συμβουλές για διαχείριση της ασφάλειας στον κυβερνοχώρο
@BusinessConsulting
- Εκτελέστε ένα εργαστήριο διαχείρισης κωδικών πρόσβασης για να δείξετε στην ομάδα σας πόσο εύκολο είναι να χρησιμοποιείτε μοναδικούς κωδικούς πρόσβασης σε όλες τις εφαρμογές.
- Αρχίσατε να χρησιμοποιείτε διαδραστικά εργαλεία συνεργασίας κοινοποιώντας τακτικά τα βασικά μηνύματα ασφαλείας του οργανισμού σας. Τα απλά μηνύματα τύπου «tip of the day» μπορούν να λειτουργήσουν καλά.
- Διδάξτε στην ομάδα σας πώς να ενημερώνουν εύκολα τις εφαρμογές με επιτυχία. Αυτό είναι σημαντικό επειδή όλες οι εφαρμογές αντιμετωπίζουν ευπάθειες,
- Εξηγήστε πώς να εντοπίζουν μηνύματα ηλεκτρονικού ταχυδρομείου "phishy". Εκτελέστε ένα μίνι εργαστήριο ή χρησιμοποιήστε κάποιους από τους πόρους που διατίθενται στο Διαδίκτυο.
Sign up for e-mails on new, insTech
Θα σας στείλουμε email όταν δημοσιεύονται νέα άρθρα σχετικά με αυτό το θέμα.
Σχετικά με τους συγγραφείς
Konstantinos Paterakis
(I write about tech, cyber & finance)
Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos