Παρακολούθηση Ηλεκτρονικών & Διαδικτυακών κινδύνων
Βασικές αρχές και πρακτική καθοδήγηση,
"Ο Οδηγός που παρέχουμε αποτελεί μια προσπάθεια εξήγησης του κινδύνου που διατρέχουν οι εταιρείες σ' ενδεχόμενη κυβερνοεπίθεση. Αυτό θα βοηθήσει την ηγεσία και τα στελέχη να μπορέσουν με την σειρά τους τους πιθανούς κινδύνους και να λάβουν τ' απαραίτητα μέτρα για να εξασφαλίσουν, οτι διαθέτουν ισχυρούς μηχανισμούς αντιμετώπισης και διαχείρισης κρίσεων από ανάλογες επιθέσεις.".
Βήμα 1ο
Οι ηγέτες πρέπει να κατανοήσουν την σοβαρότητα του cyber security, καθώς και ότι η κυβερνοασφάλεια αποτελεί κίνδυνο για όλη την επιχείρηση και δεν αποτελεί κίνδυνο μόνο για το τμήμα IT.
Βασικές προτάσεις:
- Η Κυβερνοασφάλεια δεν πρέπει να θεωρείται ως ένα καθαρά τεχνικό ζήτημα που απασχολεί το τμήμα IT μιας εταιρείας
- Η Κυβερνοασφάλεια πρέπει ν' αποτελεί μέρος του προγραμματισμού διαχείρισης και αντιμετώπισης κρίσεων για όλο τον κύκλο ζωής μιας επιχείρησης
- Η Επίβλεψη και ο προγραμματισμός για την αντιμετώπιση ενδεχόμενων κινδύνων πρέπει να εντάσσεται στις αρμοδιότητες της ηγεσίας.
- Η Ηγεσία δεν πρέπει να εφαρμόζει το ίδιο σχέδιο αντιμετώπισης κρίσεων σ' όλες τις περιπτώσεις. Αντιθέτως κάθε είδος ενδεχόμενης κρίσης πρέπει να έχει το δικό της αντίστοιχο σχέδιο αντιμετώπισης διαδικτυακών κινδύνων.
- Η Ηγεσία πρέπει να εφαρμόζει την απαραίτητη πολιτική στην εταιρεία προκειμένου να διασφαλίζει ότι όλοι οι εργαζόμενοι κατανοούν την σοβαρότητα της Κυβερνοασφάλειας καθώς και τους κινδύνους μιας κυβερνοεπίθεσης.
- Η Ηγεσία είναι υπεύθυνη και παρέχει όλες τις απαραίτητες πληροφορίες στο ανθρώπινο δυναμικό για την πρόληψη, την διαπίστωση και τους τρόπους αντιμετώπισης τέτοιων επιθέσεων καθώς και το σχέδιο διαχείρισης κρίσεων της εταιρείας που είναι διαθέσιμο σε ανάλογη περίπτωση.
- Η Ηγεσία πρέπει επίσης να λαμβάνει υπόψη της όχι μόνο το δικό της λειτουργικό δίκτυο πληροφοριών αλλά και τον ευρύτερο κυβερνοχώρο μέσα στον οποίο λειτουργεί.
Εργαλεία
Πιθανές ερωτήσεις που πρέπει να συμπεριληφθούν στην αξιολόγηση και αυτοαξιολόγηση της ηγεσίας προκειμένου να προσμετρηθεί η κατανόηση της σοβαρότητας των κυβερνοεπιθέσεων καθώς και το επίπεδο ενημέρωσης της γι' αυτές τις επιθέσεις.
Λίστα ερωτήσεων σχετικά με τις κυβερνοεπιθέσεις που μπορούν τα στελέχη να θέσουν στην ηγεσία της επιχείρησης. Αυτές αφορούν την στρατηγική που θ' ακολουθήσει, την αξιολόγηση του κινδύνου, τα μέτρα πρόληψης που έχει εφαρμόσει, την αντιμετώπιση τέτοιων περιστατικών καθώς και την ανταπόκριση (ο χρόνος ενημέρωσης) μετά από ενδεχόμενη κυβερνοεπίθεση.
Ερωτήσεις που τα στελέχη μπορούν να θέσουν προκειμένου να διεξάγουν ακριβείς και εμπεριστατωμένες μελέτες για την πρόληψη και αποφυγή κυβερνοεπιθέσεων.
Μέτρα πρόληψης ενδεχόμενων κυβερνοεπιθέσεων κατά την διάρκεια συγχωνεύσεων και εξαγορών.
Αναφορές σε Διεθνή πρότυπα.
Βήμα 2ο
Οι ηγέτες πρέπει να κατανοούν τις έννομες συνέπειες και τον αντίκτυπο των κινδύνων στον κυβερνοχώρο που μπορεί να έχουν στην φήμη της επιχείρησης.
Βασικές προτάσεις:
- Η Κυβερνοασφάλεια δεν επηρεάζει μόνο την φήμη της κάθε εταιρείας, αλλά και την ευθύνη των στελεχών και της διοίκησης.
- Η Ηγεσία πρέπει να γνωρίζει τις ισχύουσες νομοθεσίες σε Εθνικό και Ευρωπαϊκό επίπεδο, καθώς και σε επίπεδο Βιομηχανικού Τομέα στον οποίο δραστηριοποιείται η εταιρεία προκειμένου να μπορούν ν' ασκούν με κατάλληλο τρόπο το "καθήκον επιμέλειας" τους.
Βήμα 3ο
Οι ηγέτες και τα στελέχη θα πρέπει να εξασφαλίζουν επαρκή πρόσβαση σε τεχνογνωσία και εξειδικευμένο ανθρώπινο δυναμικό στον τομέα της Κυβερνοασφάλειας. Επίσης πρέπει να διασφαλίζουν την κατάλληλη υποβολή εκθέσεων σχετικά με την πρόσβαση σ' εξειδικευμένο προσωπικό σε θέματα Κυβερνοασφάλειας και στις κατάλληλες αναφορές για την πρόληψη, διαχείριση και αντιμετώπιση των κυβερνοεπιθέσεων.
Βασικές προτάσεις:
- Η Ηγεσία πρέπει να εφαρμόζει τις ίδιες αρχές διερεύνησης εποικοδομητικής κριτικής και για την λήψη στρατηγικών αποφάσεων.
- Η Ηγεσία οφείλει να διατυπώνει με σαφήνεια τις απαιτήσεις που έχει από την διοίκηση της εταιρείας και να είναι σαφές όσον αφορά τις πληροφορίες τις οποίες επιθυμεί να λαμβάνει.
- Ακόμη και αν έχει καταρτιστεί ειδική ομάδα (εσωτερικά ή τρίτου μέρους) για την Κυβερνοασφάλεια, η ηγεσία πρέπει να ενημερώνεται σε τριμηνιαίες εκθέσεις από τον DPO.
- H Κυβερνοασφάλεια δεν θα πρέπει να αντιμετωπίζεται ως αυτοτελής κίνδυνος, αλλά θα πρέπει να ενσωματώνεται σ' όλες τις στρατηγικές αποφάσεις της εταιρείας.
Εργαλεία
Ερωτήσεις προς την ηγεσία αναφορικά με την διαχείριση κυβερνοεπιθέσεων.
Πιθανές ερωτήσεις και παραδείγματα εκθέσεων και πινάκων μετρήσεων για τους κινδύνους στον κυβερνοχώρο.
Βήμα 4ο
Τα στελέχη θα πρέπει να διασφαλίζουν ότι η διοίκηση δημιουργεί ένα πλαίσιο διαχείρισης κυβερνοκινδύνων σε επίπεδο επιχείρησης, το οποίο περιλαμβάνει την κουλτούρα, τις δυνατότητες πρόληψης, εντοπισμού και αντίδρασης, την παρακολούθηση και την επικοινωνία σε όλα τα επίπεδα. Οι πόροι θα πρέπει να είναι επαρκείς και να κατανέμονται κατάλληλα από τις στρατηγικές που υιοθετούνται.
.
Βασικές προτάσεις:
- Η Διοίκηση θα πρέπει να καταρτίσει επιχειρησιακό τεχνικό σχέδιο (κινητά τηλέφωνα, τεχνητή νοημοσύνη κλπ) παράλληλα μ' ένα πιό συστηματικό σχέδιο δράσης για να διευκολύνει την επίβλεψη των κινδύνων στον κυβερνοχώρο.
- Η Ηγεσία πρέπει να έχει ολοκληρωμένη προσέγγιση για τους πιθανούς κινδύνους στον κυβερνοχώρο προκειμένου να καταστήσει σαφές πλαίσιο ανάληψης ευθυνών, διαδικασιών και οδηγών επικοινωνίας.
- Η Ηγεσία θα πρέπει να επιλέξει μια συγκεντρωτική προσέγγιση "από την βάση προς τα πάνω" στην αντιμετώπιση τέτοιων καταστάσεων.
- Η Ηγεσία μαζί με τα στελέχη πρέπει να δώσει το στίγμα και να αναπτύξει την κατάλληλη κουλτούρα και την ευαισθητοποίηση σε θέματα κυβερνοεπιθέσεων..
Βήμα 5ο
Οι συζητήσεις σχετικά με τους κινδύνους στον τομέα της κυβερνοασφάλειας θα πρέπει να περιλαμβάνουν στρατηγικές για την διαχείριση τους, (περιορισμούς κυβερνοεπιθέσεων, μετακύλισης κινδύνων μέσω της ασφάλισης ή μέσω συνεργασιών, κλπ)
.
Βασικές προτάσεις:
- Η Ηγεσία θα πρέπει να εξετάζει τις επενδύσεις για την αναβάθμιση της ηλεκτρονικής ασφαλείας των πληροφοριακών συστημάτων και να στρεφεται σε προσεγγίσεις που βασίζονται περισσότερο στην διαχείριση κινδύνων.
- Ο Τομέας της κυβερνοασφάλειας πρέπει ν' αρχίσει ν' αντιμετωπίζεται σε επίπεδο πρόληψης και αντιμετώπισης μελλοντικών απωλειών.