W obronie firm prywatnych: Tworzenie kultury 艣wiadomo艣ci ryzyka cybernetycznego

W obronie firm prywatnych: Tworzenie kultury 艣wiadomo艣ci ryzyka cybernetycznego

Ka偶dego roku liczba organizacji inwestycyjnych – du偶ych i ma艂ych – staraj膮 si臋 chroni膰 swoje najcenniejsze aktywa za pomoc膮 zabezpiecze艅 technologicznych i fizycznych. Jednak jednym klikni臋ciem lub dotkni臋ciem niczego nie podejrzewaj膮cy pracownik mo偶e narazi膰 firm臋 na szpiegostwo cybernetyczne, oprogramowanie ransomware lub jawn膮 kradzie偶.

Firmy prywatne s膮 艣wiadome r贸偶nych zagro偶e艅, na jakie nara偶one s膮 ich firmy, zar贸wno ze strony zewn臋trznych aktor贸w zagro偶e艅 (np. Rywali biznesowych / politycznych, zorganizowani cyberprzest臋pcy), jak i ich w艂asnego personelu (np. Niezadowolonych pracownik贸w). Zgodnie z corocznym raportem Deloitte o trendach technologicznych na 艣rednim rynku, w tym roku 38 procent 艣rednich i prywatnych lider贸w uzna艂o cyberbezpiecze艅stwo za jeden z najwa偶niejszych priorytet贸w inwestycyjnych w dziedzinie technologii informatycznych (IT). W co inwestuj膮? Nowe mo偶liwo艣ci w zakresie bezpiecze艅stwa informacji, monitorowania i wykrywania oraz inicjatywy edukacyjne dla pracownik贸w.

Poniewa偶 liczba cyberzagro偶e艅 stale ro艣nie i staje si臋 coraz bardziej z艂o偶ona, prywatne firmy staraj膮 si臋 zaszczepi膰 dyscyplin臋 i rygor w zakresie ci膮g艂ego monitorowania i oceny swoich mo偶liwo艣ci w zakresie bezpiecze艅stwa i kontroli w kontek艣cie zagro偶e艅. Organizacje te nie podlegaj膮 takiej samej kontroli zewn臋trznej, jakiej podlegaj膮 sp贸艂ki publiczne ze strony organ贸w regulacyjnych, akcjonariuszy i klient贸w, a zatem maj膮 mo偶liwo艣膰 inwestowania w zdolno艣ci dostosowane do konkretnych zagro偶e艅 cybernetycznych, kt贸re mog膮 mie膰 wp艂yw na ich dzia艂alno艣膰.

Zapewnienie wzrostu

Firmy prywatne s艂usznie koncentruj膮 swoje bud偶ety na zabezpieczeniach na ochronie danych, w艂asno艣ci intelektualnej oraz system贸w IT i technologii operacyjnych (OT). Staraj膮 si臋 r贸wnie偶 uzyska膰 lepszy wgl膮d w swoj膮 sytuacj臋 w zakresie ryzyka cybernetycznego dzi臋ki ulepszonym operacjom bezpiecze艅stwa. Poniewa偶 firmy prywatne coraz cz臋艣ciej korzystaj膮 z rozwi膮za艅 chmurowych, korzystaj膮 z 鈥瀝odzimych鈥 mechanizm贸w kontroli bezpiecze艅stwa wbudowanych w te rozwi膮zania. Osoby z firmami skierowanymi do klient贸w poszukuj膮 rozwi膮za艅 dotycz膮cych to偶samo艣ci, bezpiecze艅stwa aplikacji i uwierzytelniania, kt贸re lepiej pasuj膮 do ich marki i poprawiaj膮 do艣wiadczenia klient贸w, gdy inwestuj膮 w strategie cyfrowe. I – podobnie jak w przypadku firm dowolnej wielko艣ci – zaczynaj膮 planowa膰 scenariusze 鈥瀦艂ego dnia鈥, aby by艂y bardziej odporne na zak艂贸cenia dzia艂alno艣ci zwi膮zane z cyberprzestrzeni膮.

Wiele firm prywatnych staje przed wyzwaniem zwi膮zanym z zarz膮dzaniem og贸ln膮 strategi膮 ryzyka cybernetycznego i postaw膮 organizacji. Wiele firm prywatnych nie ma odpowiedniej skali, aby uzasadni膰 posiadanie wewn臋trznego dyrektora ds. Bezpiecze艅stwa informacji (CISO) lub zespo艂u ds. Bezpiecze艅stwa cybernetycznego z wyspecjalizowanymi ekspertami w wyspecjalizowanych obszarach, takich jak bezpiecze艅stwo sieci, zarz膮dzanie to偶samo艣ci膮, monitorowanie incydent贸w bezpiecze艅stwa i reagowanie na incydenty. Zamiast tego cz臋sto maj膮 tylko jeden lub dwa zasoby cyberbezpiecze艅stwa, kt贸re pr贸buj膮 obj膮膰 wszystkie te obszary lub polegaj膮 na informatykach, aby chroni膰 je przed zagro偶eniami cybernetycznymi. Firmy prywatne powinny rozwa偶y膰 kreatywne i efektywne kosztowo opcje zaopatrzenia, takie jak zarz膮dzane us艂ugi bezpiecze艅stwa, aby zniwelowa膰 luki w zdolno艣ciach lub zasobach ich organizacji. Adaptowalne poziomy us艂ug pozwalaj膮 organizacjom na utrzymanie lub nawet zwi臋kszenie kontroli nad dzia艂aniami w zakresie bezpiecze艅stwa.

Federalne Biuro 艢ledcze szacuje, 偶e z艂odzieje cybernetyczne pozyskuj膮 rocznie oko艂o 500 milion贸w dolar贸w z samych atak贸w phishingowych, nieszkodliwie wygl膮daj膮cych e-maili lub tekst贸w, kt贸re przesy艂aj膮 pozornie legalne linki, kt贸re ostatecznie instaluj膮 szkodliwe oprogramowanie. Wed艂ug badania zarz膮dzanie prywatno艣ci膮 danych (51 procent) i zapewnienie integralno艣ci danych (46 procent) to dwa g艂贸wne wyzwania dla kadry kierowniczej w korzystaniu z us艂ug w chmurze. Badanie pokazuje r贸wnie偶, 偶e wci膮偶 brakuje nadzoru kierownictwa nad ryzykiem zwi膮zanym z IT. Nie jest wi臋c prawdopodobnie zaskoczeniem, 偶e potrzeba edukacji i szkole艅 w zakresie zarz膮dzania ryzykiem cybernetycznym i ochrony danych powinna sta膰 si臋 najwy偶szym priorytetem w ograniczaniu zagro偶e艅 cybernetycznych.

Tworzenie kultury 艣wiadomej ryzyka cybernetycznego

Jedn膮 rzecz膮 jest zorganizowanie obowi膮zkowego, jednorazowego seminarium na temat dobrych praktyk cybernetycznych, a zupe艂nie inn膮 jest zakorzenienie warto艣ci i zachowa艅 zwi膮zanych z ryzykiem cybernetycznym w kulturze firmy. Cyber 鈥嬧媙ie odchodzi. To nie jest problem do rozwi膮zania, ale ryzyko, kt贸rym nale偶y zarz膮dza膰. Nie ma takiego zak膮tka organizacji, na kt贸ry nie m贸g艂by mie膰 wp艂ywu, dlatego kluczowe znaczenie ma og贸lnofirmowe podej艣cie do 艣wiadomo艣ci cybernetycznej i zarz膮dzania ryzykiem cybernetycznym. Bez tego nie ma nadziei, 偶e pracownicy b臋d膮 w pe艂ni 艣wiadomi technologii i polityk bezpiecze艅stwa swojej organizacji lub w pe艂ni je wspierali.

Widzieli艣my trzy kluczowe elementy wsp贸lne dla firm 艣redniej wielko艣ci o silnej kulturze 艣wiadomej ryzyka cybernetycznego:

Przyw贸dztwo: Cz臋sto s艂yszysz 鈥瀟on musi by膰 ustawiony na szczycie鈥, ale je艣li chodzi o zarz膮dzanie cyberzagro偶eniem, to naprawd臋 tak. Liderzy musz膮 zrozumie膰, w jaki spos贸b ka偶dy obszar dzia艂alno艣ci biznesowej, produkt lub partner biznesowy mo偶e by膰 nara偶ony na cyberzagro偶enia i co zrobi膰, je艣li dojdzie do incydentu. Wa偶ne jest r贸wnie偶, aby zach臋cali pracownik贸w do omawiania pojawiaj膮cych si臋 zagro偶e艅.

Uczenie si臋: Formalne szkolenie na temat cyberbezpiecze艅stwa musi by膰 ci膮g艂e i kreatywne. Nie tylko nowi pracownicy musz膮 us艂ysze膰, jak wa偶ne dla ich pracodawcy s膮 dobre praktyki cybernetyczne. Regularnie zaplanowane wydarzenia edukacyjne, kt贸re obejmuj膮 nietradycyjne do艣wiadczenia edukacyjne – takie jak mikrouszkodzenia, gry lub dostawa mobilna – mog膮 konsekwentnie dostarcza膰 przekaz. Szkolenie to powinno r贸wnie偶 obejmowa膰 praktyk臋 plan贸w reagowania na incydenty nie tylko przez zespo艂y IT, ale tak偶e przez kierownictwo organizacji, co mo偶e obejmowa膰 kwestie prawne, zgodno艣膰, marketing, zasoby ludzkie, operacje i nie tylko.

Komunikacja: Pracownicy musz膮 r贸wnie偶 zrozumie膰, jak mog膮 na nich wp艂yn膮膰 incydenty cybernetyczne, tworz膮c osobiste po艂膮czenie i zobowi膮zuj膮c si臋 do przyj臋cia bezpiecznych praktyk cybernetycznych. Ukierunkowana komunikacja powinna uwzgl臋dnia膰 oczekiwania dotycz膮ce zachowania pracownik贸w (i konsekwencji), ale tak偶e pomaga膰 im zrozumie膰, w jaki spos贸b uchybienia mog膮 zagrozi膰 ich w艂asnym poufnym informacjom za po艣rednictwem wiadomo艣ci przesy艂anych na platformach cyfrowych, w tym wiadomo艣ci tekstowych i film贸w. Ale nie powinni na tym poprzesta膰! Ekosystemy biznesowe s膮 rozleg艂e i sk艂adaj膮 si臋 z dostawc贸w zewn臋trznych, partner贸w biznesowych, klient贸w i nie tylko. Organizacje powinny informowa膰 wszystkich swoich interesariuszy o swojej pozycji i oczekiwaniach w zakresie ryzyka cybernetycznego w odniesieniu do ka偶dego z obowi膮zk贸w i zobowi膮za艅 dotycz膮cych zabezpieczenia tego ekosystemu.

Nie ma firmy, publicznej ani prywatnej, specyficznej dla jednej bran偶y lub sektora, kt贸ra by艂aby odporna na incydenty zwi膮zane z cyberprzestrzeni膮. Dlatego prywatne firmy powinny zidentyfikowa膰 i zaakceptowa膰 swoj膮 postaw臋 dotycz膮c膮 ryzyka cybernetycznego w swoich organizacjach, a nast臋pnie wzi膮膰 odpowiedzialno艣膰 za tworzenie kultury nieustannej gotowo艣ci cybernetycznej.

Kredyt zdj臋ciowy: Olivier Le Moal / Shutterstock

Rick Borelli jest zleceniodawc膮 w ramach oferty Assurance Deloitte Risk & Financial Advisory (RFA). Rick pracuje w Deloitte od ponad 30 lat, a ostatnio zasiada艂 w Komitecie Wykonawczym RFA jako szef ds. Inicjatyw strategicznych i operacji w biurze dyrektora generalnego RFA, Chucka Saia. Wcze艣niej Rick pe艂ni艂 inne funkcje kierownicze, w tym kierownika ds. Test贸w kontroli krajowych w firmie Deloitte oraz kierownika ds. Ryzyka i kontroli w krajowym zarz膮dzaniu inwestycjami.

Julie Bernard jest dyrektorem w Deloitte Risk and Financial Advisory oraz liderem sektora ubezpieczeniowego w Cyber 鈥嬧婻isk Services w Deloitte & Touche LLP. Ma ponad 20-letnie do艣wiadczenie w obs艂udze najlepszych 艣wiatowych instytucji finansowych na styku proces贸w biznesowych i technologii informatycznych. Dzi臋ki rozleg艂emu do艣wiadczeniu w zakresie strategii bezpiecze艅stwa, prywatno艣ci, uwierzytelniania konsument贸w, zapobiegania oszustwom i zarz膮dzania zagro偶eniami, pomaga klientom by膰 bardziej bezpiecznymi, czujnymi i odpornymi w obliczu stale rosn膮cej liczby cyberzagro偶e艅.