fbpx

Cyberbezpieczeństwo –  zbyt nudny temat, aby się nim przejmować?

Wielu z nas nie lubi słuchać o cyberbezpieczeństwie na poziomie biznesu, i ja to rozumiem! Temat może wydawać się techniczny, złożony lub nawet nudny co może również wynikać z przekonań osobistych typu:

– mam program antywirusowy na komputerze, a więc moje dane są bezpieczne

– cyberataki zdażaja się tylko dużym firmom, o których słychać w mediach…

Niektórzy z nas, z drugiej strony, są przerażeni i traktują cyberbezpieczeństwo poważnie, ale czy wystarczająco? Bowiem posiadanie programu antywirusowego, cloud storage, Multi-Factor Authenticator czy korzystanie z połączeń VPN to dobry początek, ale to już nie wystarczy!  

Priorytety

Cyberbezpieczeństwo powinno być priorytetem dla każdej firmy, bez względu na jej rozmiar czy branżę, i dotyczyć każdego, a nie tylko dyrektorów i menedżerów wyższego szczebla, jak pokazują statystyki.  

Powinno być istotne przede wszystkim dla pracowników, ponieważ aż 90% cyberataków ma miejsce z powodu błędu ludzkiego. Szkolenia pracownicze są korzystne dla firm jak i naszych gospodarstw domowych; należy chronić dane osobowe i nie tylko kiedy robimy zakupy online (o czym już pisałam), ale w ogóle. Zagrożen jest naprawdę dużo!       

96% firm w Wielkiej Brytanii ma co najmniej jeden z tych elementów:  

– internetowe konto bankowe

– konto lub strony w mediach społecznościowych

– dane osobowe klientów przechowywane elektronicznie

– urządzenia podłączone do sieci

– możliwość zamawiania lub płacenia online przez klientów

– komputer, spartphone i e-mail to najważniejsze narzędzia, bez których nie da się prowadzić firmy.

Dzisiejsze środowisko pokazuje, że technologia, cyberbezpieczeństwo, a w tym compliance i governance nie moga istnieć oddzielnie.  

Cyberśrodowisko  

Naruszenia cyberbezpieczeństwa są poważnym zagrożeniem dla firm, niezależnie od branży 4 na 10 firm zgłosilo naruszenie cyberbezpieczeństwa lub atak w ciągu ostatnich 12 miesięcy, a phishing jest uważany za najczęstszy wektor zagrożeń (83%) i skutkuje poważnymi destrukcjami typu:

– utrata pieniędzy, danych lub innych aktywów – średni koszt pieniężny wszystkich naruszeń cyberbezpieczeństwa szacuje się na £8,460

– 35% firm wymaga nowych zabezpieczen po naruszeniu i cierpi z powodu szerszych zakłóceń w działalności.

Jest to również częste zagrożenie, bowiem 49% biznesów przyznało, że zdarza się to raz w miesiącu lub częściej. Około jedna czwarta przyznała, że doświadcza naruszeń lub ataków co najmniej raz w tygodniu.

Czy nie jest to powód do podjęcia dodatkowych kroków?

Ostatnio na temat compliance i governance rozmawiałam z Dorotą Wójcik, włascicielką firmy Lexprime. Dorota ma 14 lat doświadczenia w obszarze legal, risk i compliance w bankowości inwestycyjnej, farmaceutycznej oraz w IT. 9 lat temu zaczęła rozwijać własną działalność z nastawieniem na firmy w UE. Najpierw otworzyła firmę w Irlandii, a od 2016 prowadzi również działalność w Polsce. 

Cyberbezpieczeństwo może faktycznie być postrzegane jako złożony konteks, ale ‘’jest to również bardzo istotny temat i należy podejść do niego poważnie zwłaszcza, że cyberprzestępcy są bardzo innowacyjni w swoich pomysłach (…)”  

“Coraz więcej firm wspiera sie chmura obliczeniowa (tzw. cloud computing) i przechowuje w niej dane poufne w formie elektronicznej. To wszystko musi być chronione – tak jak jeszcze niedawno zatrudniano ochronę pilnującą wejścia do budynku banku, tak dzisiaj odpowiednią ochronę należy zapewnić firmie i jej działalności w chmurze obliczeniowej.” – Dorota.

Co MUSISZ zrobić?

  1. wdrożyć narzędzia do monitorowania zabezpieczeń i użytkowników;
  2. mieć aktualną ochronę przed złośliwym oprogramowaniem oraz skonfigurować zapory sieciowe;
  3. używać komuterów z aktualnymi wersjami systemu operacyjnego Windows, starsze wersje stanowią znaczne zagrożenie bezpieczeństwa;
  4. być ‘’proaktywny i na bieżąco dostosowywać się do zmieniających się przepisów i regulacji, i dopilnować, aby odpowiednie mechanizmy zabezpieczeń były wdrożone w praktyce. Mechanizmy te mniej lub bardziej zautomatyzowane muszą stać się częścią kultury organizacyjnej i kultury pracy w ogóle” – Dorota.
  5. informować cały zespół o podjętych działaniach  
  6. oferować szkolenia i aktualizacje, i przeprowadzać pozorowane ćwiczenia phishingowe
  7. zmienić podejście do cyberbezpieczeństwa:

– zarządzaj ryzykiem (risk management) i przeprowadzaj kontrole techniczne (technical control)

– miej ubezpieczenie (cyber insurance)

– podnoś świadomość pracowników i swoją (cyber security awareness training)

– zmień podejście i politykę w zakresie zarządzania (Policy and Procedures) ‘’(…) cyberbezpieczeństwo to bardzo szeroki temat, a odpowiednie polityki i idące za nimi procedury powinny zawsze opierać się na realnych możliwościach” – Dorota.  

W dokumentacji uwzglendinj pracę domową/zdalną, oprogramowanie jako usługę (SaaS) oraz korzystanie z urządzeń osobistych do pracy (BYOD).  

Poradź się ekspertów  

Na Twoje wybory związane z technologią wpływ będzie miało bardzo wiele czynników. Musisz jednak pamiętać, że ‘każda technologia i procesy z nią związane podlegają rozmaitym przepisom, ustawom, standardom, frameworkom. Każdego roku powstają nowe przepisy i standardy, spełnianie których w praktyce jest gwarancją zaufania klientów, akcjonariuszy i inwestorów.” – Dorota

Poradź się więc specialistów jak zachować complience i governance oraz jakie kroki podjąć, aby zminimalizować ryzyko związane z cyberatakami oraz ich negatywne skutki.  

W razie dodatkowych pytań do mnie czy Doroty na temat cyberbezpieczeństwa, szkoleń pracowniczych, risk assessment/management, compliance i governance oraz dokumentacji biznesowej zapraszam do konaktu. 

Kamila Zołotar BA (Hons) MSc MCIM