Cum poate un incident cibernetic sa iti afecteze compania si pozitia si ce trebuie sa stii despre cybersecurity

Tocmai ati incheiat o sedinta de rezultate financiare 2016 si planificare 2017. Trei ore de diagrame si indicatori, diseminare P&L si planuri de investitii si dezvoltare, creante cu risc, pipeline si conturi cheie si dinamica de piata. Ati trecut prin crestere reala de venituri, dinamica si structura costurilor operationale, performanta proiectelor curente, necesar de investitii si fundamentarea lor.

Cifrele arata bine si, desi mediul de business ramane cu un grad mare de incertitudine, sunteti increzatori in noul an. Cel putin in baza dashboard-ului la care va uitati. Dar mai aveti o discutie planificata cu chief information security officer-ul (CISO) companiei care insista sa va prezinte un studiu, din care vedeti intre primele pagini:

Producatorul austriac de componente de aeronave FACC, a suferit o frauda prin metode informatice ce a dus la o pierdere de €50 mln. CEO-ul acesteia, Walter Stephan, a fost demis dupa prezentarea rezultatelor anuale, concluzia supervisory board fiind ca si-a neglijat sever atributiile. CFO-ul a fost de asemenea demis (2016)
Compania britanica de telefonie, TalkTalk a anuntat pierderi de peste £60 mln ca urmare a unui incident cibernetic ce a afectat peste 157 mii de clienti. Trei angajati ai Wipro au fost arestati. CEO-ul ei, Dido Harding, rezista presiunilor de a demisiona (2015)
Amy Pascal, fost CEO Sony, recunostea intr-un interviu ca a fost concediata ca o consecinta directa a incidentului informatic din 2014 (2015)
Frank Blake, CEO al Home Depot, si-a anuntat retragerea imediat inainte ca un incident major sa fie facut public in septembrie 2014. A condus gestiunea lui ca chairman, insa in 2015 a trebui sa paraseasca si acea pozitie (2015)
In urma unui incident cibernetic major, care a dus la compromiterea a 40 milioane de carduri si date clienti si produs costuri de peste $61 milioane in Q4 (chiar daca $44 au fost acoperite de asigurare), Gregg Steinhafel, CEO-ul TARGET, este fortat de board sa plece, impreuna cu CIO-ul (2014)
Una dintre cele mai mari institutii financiare americane, JP Morgan Chase, care investea in 2014 pana la 250$ mln in securitate, a fost victima unui atac pus la punct de cinci hackeri americani si rusi care au compromis datele a 83 de milioane de clienti. In 2016 a anuntat dublarea bugetului dedicat apararii cibernetice la 500$ mln (2014).

Ce nu masori nu controlezi

Fie ca sunt listate la bursa sau sunt private, institutii financiare, lanturi de retail sau companii de productie, toate companiile au o maniera similara si pragmatica in conducerea afacerilor, de aceea folosesc instrumente de management similare. Apoi, fiecare industrie sau chiar companie adopta indicatori de performanta (KPIs) si metodologii specifice, la care au ajuns dupa ani de maturitate pe piata.

Citeste si:

Indiferent de domeniu si industrie, una dintre cele mai dificile discutii este despre risc. Iar postura in fata riscului, de multe ori depaseste discutia structurata, pe date si indicatori, si intra in zona umana si soft. Sunt directori executivi mai bearish, care se bazeaza pe intuitia si flerul dat de zeci de ani de experienta si simt care sunt trenduri favorabile, desi riscurile asociate sunt mari, si altii, mai analitici, care prefera prudenta.

Insa indiferent de experienta lor, informatiile precare sau lipsa lor inseamna decizii mai riscante, uneori exponential mai riscante.

O astfel de zona gri, putin monitorizata si gestionata, dar de unde poate oricand aparea o lebada neagra (n.red. metafora introdusa de Nassim Nicholas Taleb in cartea Fooled by Randomness, apoi in The Black Swan, cu referire la evenimente de pe piete financiare. In definitia autorului, evenimentul este o surpriza si are un impact major, insa, in retrospectiva se dovedeste ca date relevante despre el erau disponibile, insa nu au fost luate in considerare in programele de gestionare a riscului), este cea a expunerii majore a companiei la riscuri financiare, legale, reputationale si chiar existentiale in urma compromiterii infrastructurii si datelor informatice.

Citeste si:

Date de clienti - cu caracter personal sau chiar bancare, proprietate intelectuala rezultatul a investitii semnificative si ani de lucru, retele si metode patentate, date si sisteme necesare activitatii operationale curente pot ajunge in mainile unor adversari sau infractori, cu consecinte greu de anticipat pentru companie.

Iti ia 20 de ani sa construiesti o reputatie si cinci minute sa o ruinezi. Daca te gandesti la asta, vei face lucrurile diferit.
Warren Buffet

Intelege riscul

Pe masura ce ne uitam in aceasta zona, insa, intelegem ca dinamica nu este una cu totul imprevizibila si de negestionat. Din contra, stim ca organizatiile sunt victime frecvente ale atacurilor, si insasi constructia spatiului digital si complexitatea lui favorizeaza atacurile. Intr-un studiu AT&T din 2015 s-a constatat ca 62% din organizatiile intervievate recunosteau ca au avut brese majore, insa doar 34% dintre ele considerau ca aveau un plan adecvat de raspuns la astfel de incidente.

Citeste si:

Si date similare se regasesc si in studiile anuale Verizon despre brese de securitate, care arata un hiatus major intre momentele cand au loc atacuri si cele cand sunt detectate, undeva in media a 200 de zile. De aceea in domeniul securitatii informatice se spune ca exista doua categorii de companii: cele care au avut o bresa/un incident, si cele care nu stiu inca.

Iar daca lucrati cu date personale - clienti sau firme, intr-un numar semnificativ - adica sunteti operator de date ( data controller) sau procesator de date (data processor), cu siguranta ati auzit deja despre GDPR - General Data Protection Regulation, care intra in vigoare si in Romania din mai 2018. Detaliile acestei directive justifica un intreg articol separat,

Insa ce trebuie sa retinem sunt cel putin doua lucruri:

constrangeri de timp de raportare a unui incident si a numarului de inregistrari afectate: 72 de ore;
amenzile administrative in caz de neconformitate: pana la 10 mln EUR sau 2% din cifra globala de afaceri pentru controlleri, si pana la 20 mln EUR sau 4% din cifra globala de afaceri, care este mai mare.

Cred ca suna suficient de ingrijorator pentru a va determina sa va familiarizati, daca nu sunteti deja la curent, cu cerintele acesteia.

Citeste si:

Preia controlul

Asadar, de unde incepem? Constientizare, masurare si gestionare ca procese. Ca in cazul oricarui factor major de risc.

In mod traditional, riscurile IT erau considerate riscuri tehnologice. In fapt, trebuie asumate ca riscuri sistemice si gestionate la nivel de senior management.

Constientizarea trebuie sa se intample top-down, pana la ultimul angajat. Daca la nivel executiv tema nu este familiara se poate incepe chiar cu un exercitiu de threat landscape, care sa expliciteze acest domeniu si riscurile lui relevante pentru business.

Mai departe, programele de security awareness sunt una dintre cele mai eficiente masuri non-tehnice de a ridica intr-un termen rezonabil nivelul de securitate al companiei, fara investitii tehnologice majore, de aceea il recomandam ca masura prioritara. Exista si modele de maturitate, de dezvoltare a unei culturi de securitate informatica in companii, atat la nivel executiv, unde este necesara o buna intelegere a implicatiilor si asumare a riscurilor in decizii, cat si la nivel operational unde se vizeaza prevenirea erorii umane.

Citeste si:

Pana la masurare insa, e posibil ca atunci cand se lanseaza o astfel de initiativa sa se constate ca nu exista, din pacate, nici macar o imagine coerenta a acestor active digitale cu expunere la risc. De aceea, inainte de masurare, vor trebui identificate si ierarhizate toate aceste noduri informationale - date, infrastructuri, functii suport - care pot fi afectate si care poarta o valoare intrinseca pentru companie. Apoi calculat cat risc pot absorbi in functie de strategia companiei.

De aceea inchei cu invitatia de a va pune pe agenda urmatoarei intalnirI cu CIO/CISO-ul companiei intrebari precum:

Care sunt top10 riscuri IT ale companiei? Cum se compara cu alte riscuri non-IT?
Avem un mecanism prin care le revizuim periodic si ajustam strategiile de contingenta?
Am realizat vreodata o evaluare a riscurilor cu parti terte? (contractori, vendori, distribuitori)
Avem un dashboard cu indicatori privind securitatea cibernetica si expunerea pe acest factor de risc?
Avem un plan si o procedura standard de lucru aplicabile in caz de incident informatic? Le-am exersat vreodata?

Citeste si:

CEO-ul companiei este, in ultima instanta, responsabil pentru spargerea datelor unei companii. Securitatea cibernetica este o problema care priveste intreaga organizatie si care nu poate fi rezolvata doar de CISO sau CIO. CEO-ul trebuie sa prioritizeze protejarea datelor consumatorului si sai angajeze intreaga echipa de conducere din organizatie pentur ca securitatea cibernetica sa fie eficienta.
Chris Wysopal, CTO si co-fondator la Veracode

Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »

Despre autor

Wall-Street.ro este un cotidian de business fondat în 2005, parte a grupului InternetCorp, unul dintre cei mai mari jucători din industria românească de publishing online.Pe parcursul celor peste 15 ani de prezență pe piața media, ne-am propus să fim o sursă de inspirație pentru mediul de business, dar și un canal de educație pentru pentru celelalte categorii de public interesate de zona economico-financiară.În plus, Wall-Street.ro are o experiență de 10 ani în organizarea de evenimente B2B, timp în care a susținut peste 100 de conferințe pe domenii precum Ecommerce, banking, retail, pharma&sănătate sau imobiliare. Astfel, am reușit să avem o acoperire completă - online și offline - pentru tot ce înseamnă business-ul de calitate.

Redactia Wall-Street »

Te-ar putea interesa și: