Riscul de securitate cibernetică este un risc de afaceri

Rezumat:

Era informațională rapidă a contribuit la accelerarea multor dezvoltări digitale care au avut loc de ceva vreme. În ultimul deceniu, cunoștințele digitale au căpătat o importanță enormă. Progresele în domeniul puterii de calcul și al miniaturizării au contribuit enorm la creșterea cunoașterii umane, fapt pentru care, doar în ultimul deceniu, consumul de seturi de date digitale a crescut exponențial. Dar, așa cum ar spune Spiderman, „O mare putere implică o mare responsabilitate”. Iar responsabilitatea în acest caz este securitatea cibernetică.

Rapoartele au sugerat că, în SUA, la fiecare 39 de secunde, un computer este atacat de hackeri. În timp ce impactul încălcărilor cibernetice este critic, șocant, în creștere și în evoluție de la o zi la alta, esența este că poate duce la prăbușirea organizațiilor și chiar a statelor naționale. Singura modalitate posibilă de a preveni acest lucru este securitatea cibernetică. Așadar, acum se pune întrebarea – Cum poate securitatea cibernetică să gestioneze riscul în era informațională? Răspunsul direct la această întrebare ar fi gestionarea riscurilor de securitate cibernetică. Complexitatea actuală a lumii cibernetice face imperios necesară abordarea multiplelor componente ale securității cibernetice și a modului în care acestea influențează strategiile de risc ale unei organizații. Articolul investighează mandatele de risc din universul cibernetic și procesele și funcțiile implicate în riscuri, amenințări, rolul conducerii, mandatele legii și relația lor interconectată cu securitatea cibernetică.

Introducere:

Având în vedere că globalizarea a transformat piețele economice într-un sistem puternic interconectat la nivel internațional, riscurile pentru companii nu mai sunt izolate în funcție de ramurile de activitate sau de locație. În educația antreprenorială se discută despre necesitatea informării continue cu privire la dinamica mediului de afaceri, antreprenorii fiind sfătuiți să fie la curent cu legislația, noutățile economice, tendințele pieței de capital, concurența, dinamica inflației, numindu-se toate acestea elemente esențiale pe care orice investitor trebuie să le cunoască.

Toate elementele pieței descrise mai sus sunt, de fapt, informații, date de structură diferită, cu un grad diferit de sensibilitate, care devin sursa de stabilire a strategiilor și perspectivelor viitoare în afaceri. În zilele noastre, datele reprezintă cea mai vulnerabilă verigă și cea mai mare investiție în imaginea antreprenorială, deoarece tratate fără aspectul securității informației pot cădea în pericol de a-și pierde confidențialitatea, integritatea sau disponibilitatea. De exemplu, conform unui raport publicat

de către Identity Theft Resource Centre în 20201, în Statele Unite au fost raportate aproximativ 1.100 de încălcări ale securității datelor, care au afectat peste 300 de milioane de persoane, iar suma medie plătită pentru ransomware a depășit 233.000 de dolari (USD) pe caz.2

Am fost și suntem educați în mediul de afaceri să analizăm riscurile interne și externe,
dar sub ce spectru? De obicei doar sub aspect economico-financiar, dar în era informatizării acest lucru nu este suficient, viziunile noastre trebuie să fie la fel de deschise ca și perspectivele noastre asupra globalizării și dezvoltării fără limite.

Informația a fost și este esențială în afaceri. În etapa de evaluare și planificare a contextului organizației, este necesară o estimare exhaustivă a riscurilor și oportunităților, multe companii intrând în insolvență pentru că și-au supraestimat capacitățile, au avut așteptări mult prea optimiste cu privire la potențial. Chiar și pentru managerii cu aversiune față de risc, este din ce în ce mai dificil să anticipeze și să răspundă eficient la amenințările tot mai grave la adresa întreprinderilor pe care le gestionează.

În prezent, întreprinderile, guvernele, instituțiile financiare și organizațiile din sectorul public colectează, stochează și procesează cantități mari de date sensibile și valoroase. Prin urmare, gestionarea riscurilor cibernetice a devenit o componentă fundamentală a operațiunilor de afaceri, iar înțelegerea și atenuarea riscurilor a devenit o abilitate esențială pentru liderii de afaceri, liderii de opinie, analiștii, precum și pentru specialiștii în securitate și tehnologie.

Acesta este, de asemenea, motivul pentru care tot mai multe companii folosesc soluții integrate de gestionare a riscurilor, concepute pentru a se asigura că afacerea lor poate face față pericolelor legate de calitatea serviciilor și de securitatea informațiilor, că acestea sunt puse în aplicare în mod eficient pentru a le oferi timp să se redreseze.

Gestionarea și atenuarea riscurilor de orice fel este necesară pentru supraviețuirea unei companii, indiferent de mărimea acesteia, însă nu toate pericolele pot fi prevenite cu eficiență maximă, așa că este mai bine să se dezvolte viziuni și planuri proactive pentru a atenua sau trata riscurile identificate.

Riscul de securitate cibernetică este un risc de afaceri

Cuvinte-cheie: autorizare, control comun, securitate informațională, confidențialitate, evaluare a riscurilor, risc de securitate.

Sinergia eficientă dintre instrumentele IT și cele de afaceri a favorizat dezvoltarea unei infrastructuri organizaționale complexe, ale cărei procese depind de un set larg de factori. În prezent, este imposibil să se traseze o limită clară între sistemul de management al securității și sistemul de management al calității, astfel încât este dificil să se identifice limitele dintre managementul general al riscurilor și managementul securității informațiilor.

Evoluția tehnologică a transmiterii, procesării și stocării datelor financiar-contabile a dat naștere unor noi concepte precum: cloud computing, contabilitate în timp real sau raportare mobilă, dar în același timp a adus cu ea și noi amenințări care stau la baza acestor noi concepte. Pentru a ascunde intențiile și faptele rău intenționate, infractorii continuă să își perfecționeze tehnicile și metodele de atac informatic. Utilizatorii sunt prinși la mijloc, devenind acum nu numai ținte pentru atacatori, ci și posibili facilitatori sau chiar complici. Utilizatorii au devenit acum cea mai vulnerabilă verigă a sistemului de securitate. Literatura de specialitate arată că dezvoltarea tehnologiei a adus cu sine un progres extrem de rapid al amenințărilor la adresa securității informației.

Din păcate, din motive ușor de înțeles, atacurile cibernetice nu sunt suficient de populare. Dar când efectele nu mai pot fi ascunse, ele șochează prin amploarea lor. Exemple în acest sens sunt marile întreprinderi forțate să își întrerupă activitatea pentru că sistemul lor informatic a devenit disfuncțional, sau atunci când bancomatele dintr-o rețea bancară devin nefuncționale suficient de mult timp pentru a crea nemulțumire sau chiar a induce panică. Se impune necesitatea de a evalua impactul atacurilor cibernetice pe multiple planuri: legislativ, tehnologic, economic, social.

Identificarea, atenuarea sau eliminarea acestora sunt cerințe obligatorii fără de care nu se poate realiza un management eficient în era informațională.3 Prin urmare, atunci când elaborăm o strategie de gestionare a riscurilor sau un plan de continuitate, trebuie să stabilim de la bun început contextul organizației, obiectivele și principiile de lucru pentru a ne asigura că informațiile colectate sunt complete. Practic, scopul procesului de management este de a înțelege că riscurile trebuie identificate, clasificate, tratate sau atenuate prin posibilități.4

Experții în securitatea datelor sugerează că a sosit momentul să schimbăm abordarea în materie de securitate cibernetică pentru a
obțineți o securitate reală a rețelei și securitatea cibernetică trebuie să fie implementată în simplitate și cu nucleu
se concentrează asupra sistemelor de control cheie ale unei organizații, asupra echipamentelor hardware și software esențiale și asupra datelor valoroase. Măsurile preventive și proactive de securitate cibernetică, cum ar fi sensibilizarea angajaților și înțelegerea datelor clienților, sunt mai eficiente decât soluțiile de vârf pentru gestionarea riscurilor cibernetice, în special în contextul întreprinderilor digitale de dimensiuni mici și mijlocii. Securitatea cibernetică trebuie să fie înțeleasă și implementată la toate nivelurile de control și de rețea, precum și protecția preventivă în timp real, dar și în timpul și după producerea unui atac. Riscurile induse de atacurile cibernetice asupra activității de afaceri implică riscuri de gestionare a securității sistemelor informatice.

În orice proces de gestionare a riscurilor există trei elemente majore la care trebuie să ne gândim: principiile, politica, cadrul și documentația procesului de gestionare a riscurilor; cultura de risc din cadrul organizației; sistemul de înregistrare și partajare a riscurilor. Organizațiile de diferite mărimi și tipuri se confruntă cu influențe interne și externe care pot face să nu se știe cu siguranță dacă vor putea sau nu să-și îndeplinească obiectivele. Impactul acestei incertitudini asupra obiectivelor unei companii se numește „risc”.

Pentru a obține cele mai bune rezultate în implementarea unui management al riscului de securitate cibernetică, există
ar putea fi folosite unele documente cunoscute la nivel internațional de la Institutul Național al Statelor Unite ale Americii
de Standarde și Tehnologie (NIST)5 Cadrul de securitate cibernetică sau standardele ISO. Standardele ISO se remarcă în domeniul gestionării riscurilor, ambele oferind informații esențiale pentru desfășurarea activităților. Elementele fundamentale ale Cadrului de securitate cibernetică NIST sunt prezentate în figura 1. Prima dintre acestea este ISO 31000, care, datorită contextului său general, oferă orientări generale pentru orice domeniu de gestionare a riscurilor (de exemplu, finanțe, inginerie, securitate, printre altele)6. Aceasta sugerează că întreprinderile ar trebui să dezvolte, să implementeze și să îmbunătățească în mod continuu un cadru al cărui scop este de a integra
procesul de gestionare a riscurilor asociate cu guvernanța, strategia și planificarea, precum și cu managementul, raportarea datelor și a rezultatelor, politicile, valorile și cultura la nivelul întregii organizații.

2023-03-16

OCTACSIRT

Guvernanță, risc și conformitate

CISO ca serviciu

DPO ca serviciu

Audituri și consultanță privind conformitatea securității

Servicii de testare a penetrării

SOC ca serviciu

Servicii de conformitate cu Directiva NIS2

Consultanță în domeniul combaterii mitei și corupției

Securitatea IoT

SIEM, NDR și securitate unificată

Securitate Endpoint

Securitate și protecție cibernetică

Gestionarea vulnerabilităților și a patch-urilor

Securitate mobilă

Soluții de gestionare a accesului și gestionarea parolelor

Criptare

Sistem de detectare a intruziunilor (IDS)

Back-up/ continuitatea activității și recuperarea în caz de dezastru

Clasificarea datelor, audit și DLP

Instruire în domeniul securității informațiilor ISO/IEC 27001

Cursuri de formare și certificare ISO/IEC 27002

Cursuri de formare în domeniul securității cibernetice ISO/IEC 27032

Hacking etic - Cursuri de instruire Certificare

ISO 31000 Managementul riscului - Curs de formare și certificare

ISO 22316 Formări în domeniul rezilienței organizaționale

ISO 37001 Anti-mită - Curs de formare profesională Certificare

Curs de sistem de management al conformității ISO 37301

Cursuri de formare privind sistemul de management al continuității activității ISO 22301

Formări de recuperare în caz de dezastru

Cursuri de formare și certificare ISO/IEC 27701

GDPR - Formare și certificare pentru Regulamentul privind protecția datelor

ISO 9001 Managementul calității Formări în domeniul managementului calității

ISO/IEC 20000 - Cursuri de formare și certificare

INSTRUIRI DE CONȘTIENTIZARE A SECURITĂȚII

TRAININGURI PERSONALIZATE

Consolidarea securității digitale cu ISO/IEC 27032

ISO/IEC 27005 Managementul riscurilor în domeniul securității informațiilor - Training