Wielu z nas nie lubi słuchać o cyberbezpieczeństwie na poziomie biznesu, i ja to rozumiem! Temat może wydawać się techniczny, złożony lub nawet nudny co może również wynikać z przekonań osobistych typu:
– mam program antywirusowy na komputerze, a więc moje dane są bezpieczne
– cyberataki zdażaja się tylko dużym firmom, o których słychać w mediach…
Niektórzy z nas, z drugiej strony, są przerażeni i traktują cyberbezpieczeństwo poważnie, ale czy wystarczająco? Bowiem posiadanie programu antywirusowego, cloud storage, Multi-Factor Authenticator czy korzystanie z połączeń VPN to dobry początek, ale to już nie wystarczy!
Priorytety
Cyberbezpieczeństwo powinno być priorytetem dla każdej firmy, bez względu na jej rozmiar czy branżę, i dotyczyć każdego, a nie tylko dyrektorów i menedżerów wyższego szczebla, jak pokazują statystyki.
Powinno być istotne przede wszystkim dla pracowników, ponieważ aż 90% cyberataków ma miejsce z powodu błędu ludzkiego. Szkolenia pracownicze są korzystne dla firm jak i naszych gospodarstw domowych; należy chronić dane osobowe i nie tylko kiedy robimy zakupy online (o czym już pisałam), ale w ogóle. Zagrożen jest naprawdę dużo!
96% firm w Wielkiej Brytanii ma co najmniej jeden z tych elementów:
– internetowe konto bankowe
– konto lub strony w mediach społecznościowych
– dane osobowe klientów przechowywane elektronicznie
– urządzenia podłączone do sieci
– możliwość zamawiania lub płacenia online przez klientów
– komputer, spartphone i e-mail to najważniejsze narzędzia, bez których nie da się prowadzić firmy.
Dzisiejsze środowisko pokazuje, że technologia, cyberbezpieczeństwo, a w tym compliance i governance nie moga istnieć oddzielnie.
Cyberśrodowisko
Naruszenia cyberbezpieczeństwa są poważnym zagrożeniem dla firm, niezależnie od branży 4 na 10 firm zgłosilo naruszenie cyberbezpieczeństwa lub atak w ciągu ostatnich 12 miesięcy, a phishing jest uważany za najczęstszy wektor zagrożeń (83%) i skutkuje poważnymi destrukcjami typu:
– utrata pieniędzy, danych lub innych aktywów – średni koszt pieniężny wszystkich naruszeń cyberbezpieczeństwa szacuje się na £8,460
– 35% firm wymaga nowych zabezpieczen po naruszeniu i cierpi z powodu szerszych zakłóceń w działalności.
Jest to również częste zagrożenie, bowiem 49% biznesów przyznało, że zdarza się to raz w miesiącu lub częściej. Około jedna czwarta przyznała, że doświadcza naruszeń lub ataków co najmniej raz w tygodniu.
Czy nie jest to powód do podjęcia dodatkowych kroków?
Ostatnio na temat compliance i governance rozmawiałam z Dorotą Wójcik, włascicielką firmy Lexprime. Dorota ma 14 lat doświadczenia w obszarze legal, risk i compliance w bankowości inwestycyjnej, farmaceutycznej oraz w IT. 9 lat temu zaczęła rozwijać własną działalność z nastawieniem na firmy w UE. Najpierw otworzyła firmę w Irlandii, a od 2016 prowadzi również działalność w Polsce.
Cyberbezpieczeństwo może faktycznie być postrzegane jako złożony konteks, ale ‘’jest to również bardzo istotny temat i należy podejść do niego poważnie zwłaszcza, że cyberprzestępcy są bardzo innowacyjni w swoich pomysłach (…)”
“Coraz więcej firm wspiera sie chmura obliczeniowa (tzw. cloud computing) i przechowuje w niej dane poufne w formie elektronicznej. To wszystko musi być chronione – tak jak jeszcze niedawno zatrudniano ochronę pilnującą wejścia do budynku banku, tak dzisiaj odpowiednią ochronę należy zapewnić firmie i jej działalności w chmurze obliczeniowej.” – Dorota.
Co MUSISZ zrobić?
- wdrożyć narzędzia do monitorowania zabezpieczeń i użytkowników;
- mieć aktualną ochronę przed złośliwym oprogramowaniem oraz skonfigurować zapory sieciowe;
- używać komuterów z aktualnymi wersjami systemu operacyjnego Windows, starsze wersje stanowią znaczne zagrożenie bezpieczeństwa;
- być ‘’proaktywny i na bieżąco dostosowywać się do zmieniających się przepisów i regulacji, i dopilnować, aby odpowiednie mechanizmy zabezpieczeń były wdrożone w praktyce. Mechanizmy te mniej lub bardziej zautomatyzowane muszą stać się częścią kultury organizacyjnej i kultury pracy w ogóle” – Dorota.
- informować cały zespół o podjętych działaniach
- oferować szkolenia i aktualizacje, i przeprowadzać pozorowane ćwiczenia phishingowe
- zmienić podejście do cyberbezpieczeństwa:
– zarządzaj ryzykiem (risk management) i przeprowadzaj kontrole techniczne (technical control)
– miej ubezpieczenie (cyber insurance)
– podnoś świadomość pracowników i swoją (cyber security awareness training)
– zmień podejście i politykę w zakresie zarządzania (Policy and Procedures) ‘’(…) cyberbezpieczeństwo to bardzo szeroki temat, a odpowiednie polityki i idące za nimi procedury powinny zawsze opierać się na realnych możliwościach” – Dorota.
W dokumentacji uwzglendinj pracę domową/zdalną, oprogramowanie jako usługę (SaaS) oraz korzystanie z urządzeń osobistych do pracy (BYOD).
Poradź się ekspertów
Na Twoje wybory związane z technologią wpływ będzie miało bardzo wiele czynników. Musisz jednak pamiętać, że ‘każda technologia i procesy z nią związane podlegają rozmaitym przepisom, ustawom, standardom, frameworkom. Każdego roku powstają nowe przepisy i standardy, spełnianie których w praktyce jest gwarancją zaufania klientów, akcjonariuszy i inwestorów.” – Dorota
Poradź się więc specialistów jak zachować complience i governance oraz jakie kroki podjąć, aby zminimalizować ryzyko związane z cyberatakami oraz ich negatywne skutki.
W razie dodatkowych pytań do mnie czy Doroty na temat cyberbezpieczeństwa, szkoleń pracowniczych, risk assessment/management, compliance i governance oraz dokumentacji biznesowej zapraszam do konaktu.
Kamila Zołotar BA (Hons) MSc MCIM