Кибербезопасность и безопасность данных за последние годы прочно закрепились в качестве одного из главных вызовов для руководителей. Если раньше кибербезопасность была связана с обеспечением непрерывности работы бизнеса, а также с финансами и репутацией, то теперь компании ещё обязаны соблюдать определённые правила защиты данных (GDPR). Потенциально губительные штрафы, которые могут быть наложены в соответствии с GDPR, уже побудили изменить методы сбора персональных данных. Например, об этом свидетельствует повсеместное использование ознакомительных уведомлений на веб-сайтах компаний и в почтовой рассылке.
По данным отчета Risk in focus 2020, сегодня бизнес сталкивается с тремя основными рисками: кибербезопасность (78%), изменения в законодательстве (59%) и диджитализация (58%). Кибербезопасность и диджитализация уже появлялись в тройке основных рисков за последние два года.
Спасательный круг — внутренний аудит
Почему же так важно, чтобы компании проводили внутренний аудит на постоянной основе:
1) методы, с помощью которых киберпреступники пытаются обойти вашу защиту, постоянно развиваются и становятся все более изощренными;
2) компания – не что-то фиксированное или статичное. Её так называемый «периметр» является изменчивым и постоянно растущим. ИТ-инфраструктура мигрирует в «облако», предприятия расширяются на новые географические рынки, инициируют слияния и поглощения, выстраивают свои системы внутреннего контроля. Работодатели соглашаются с политикой «принеси свое устройство», а также развивается и расширяется Интернет вещей (IoT) и другие цифровые возможности, которые открывают новые лазейки для хакеров.
Возвращаясь к теме изощренности угроз, одним из новых методов является компрометация чат-ботов службы поддержки клиентов киберпреступниками. Да, боты повышают экономическую эффективность, но привносят свои киберугрозы. Потому во время аудита стоит тестировать как они защищены от таких нарушений. Точно так же, безопасность облачных служб и цепочек поставок должна оставаться в приоритете.
Однако, несмотря на то, что киберпреступники постоянно разрабатывают новые методы, большинство успешных атак используют хорошо известные и легко устраняемые уязвимости. По одной из оценок, 93% нарушений можно избежать, предприняв такие простые шаги, как регулярное обновление программного обеспечения, блокировка фальшивой электронной почты и использование двухфакторной аутентификации, а также стоит обучать работников распознавать фишинговые атаки.
Не всё так плохо как кажется. Кибербезопасность можно рассматривать в качестве возможности получить прибыль. Те компании, которые создают наилучшие средства защиты и способны быстро и эффективно реагировать на нарушения в киберпространстве, могут укрепить доверие клиентов и других заинтересованных сторон. Это, в свою очередь, создает ценность для акционеров. Иногда важно посмотреть на вызов под другим углом.