В сложившейся реальности, где только за прошедший год было скомпрометировано более 20 миллиардов записей персональных данных и платёжной информации, бизнесу важно держать руку на пульсе. Каждый руководитель должен помнить, что 100% безопасности не существует! Потому иметь четкий план подготовки и восстановления на случай кибератаки – это необходимость для любой современной компании. Как же правильно подойти к этому вопросу?
Полное раскрытие информации
В случае кибератаки стоит без промедлений уведомить все пострадавшие стороны — клиентов, сотрудников и общественность. Умалчивание может повлечь за собой ещё больше последствий, в том числе нанести удар по вашей репутации. Помните, в 2017 году СМИ пестрили заголовка о том, что компания Uber пыталась скрыть факт кибератаки? Такое поведение привело не только к снижению уровня доверия клиентов, но и штрафу в размере 148 миллионов долларов.
Оценка и управление рисками
Знаете, что является одним из важнейших аспектов в разработке плана антикризисного управления? Да, оценка кибер-рисков. Отслеживание угроз и их влияния на бизнес-процессы помогает выстраивать киберустойчивость бизнеса: создавать благоприятные условия для восстановления, а также минимизировать последствия киберинцидентов.
Для оценки рисков и внедрения процесса управления, можно воспользоваться услугами компании по кибербезопасности. Что входит в этот процесс? Например, мы в 10Guards анализируем как работает бизнес, определяем основные угрозы и риски для бизнес-процессов. Затем создаем матрицу рисков, проводим их качественную и количественную оценку. Определяем методы реагирования на каждый риск, в зависимости от его вероятности и потенциального ущерба. Даем рекомендации в соответствии с приоритетом каждого риска по дальнейшей работе с ним.
При необходимости мы разрабатываем и внедряем процессы для управления рисками как существующими, так и теми, которые возникнут в будущем, а также обеспечиваем консультационную поддержку.
Превентивные меры
Руководители компаний должны рассматривать кибер-риск как стратегический риск для своей организации и включать его в программы управления рисками предприятия. О каких превентивных мерах идет речь? Например, с технической точки зрения, установить брандмауэры для защиты, разделения операционной технологической и ИТ-среды предприятия. А, с административной точки зрения, ответственность за безопасность должен нести специалист, который досконально знает все компоненты отрасли и особенности индустрии (CISO). Это может быть как человек внутри компании, так и на аутсорсе – «виртуальный» CISO или целая команда.
План действий
Каждая современная компания должна иметь план реагирования на киберинциденты! Один из важнейших аспектов успешного плана – это четко определить команду, состоящую из специалистов сферы ИT, менеджмента, коммуникаций и юристов, которые несут ответственность за устранение последствий инцидента.
Четко выстроенный план реагирования помогает быстрее возобновить бизнес-процессы, деятельность компании, восстановить данные, утерянные или скомпрометированные в процессе инцидента, и возобновить функционирование информационных систем
Системность
Недостаточно просто иметь план на случай киберинцидента. Лидеры компаний должны держать руку на пульсе и инициировать периодические аудиты кибербезопасности, которые помогут получить комплексную оценку защищенности компании и закрыть вовремя уязвимые места.
Безопасное сотрудничество
Правильный подход к выбору внешних поставщиков также важен для построения киберустойчивой компании, так как аутсорсеры становятся инсайдерами и хранителями важной информации. Стоит постоянно контролировать и пересматривать все предоставленные права доступа для поставщиков и защищать ключевые данные. Перед началом сотрудничества, важно провести техническую и организационную оценку их безопасности.
Непрерывное обновление
Кибербезопасность – это непрерывный процесс. Киберзлоумышленники постоянно совершенствуются, ищут новые лазейки и эффективные технологии. Потому компаниям так важно идти в ногу с новыми угрозами и обеспечивать высочайший уровень безопасности.
Осведомленность сотрудников
Человеческий фактор остается главной уязвимостью каждой компании. Что же делать? Конечно же, повышать уровень осведомленности сотрудников в вопросах кибербезопасности. Систематические тренинги, построенные на реальных ситуациях, не только помогают держать всех в тонусе, но и развить необходимые знания, навыки, компетенции и эффективно применять их на практике. В этом вопросе стоит соблюдать периодичность и проводить повторные тестирование, так как сотрудники склонны забывать материал.