В умовах нової реальності, де тільки за минулий рік було скомпрометовано понад 20 мільярдів записів персональних даних та платіжної інформації, бізнесу важливо тримати руку на пульсі. Кожен керівник повинен пам’ятати, що 100% безпеки не існує! Тому мати чіткий план підготовки і відновлення на випадок кібератаки – це необхідність для будь-якої сучасної компанії. Як тоді правильно підійти до цього питання?
Повне розкриття інформації
У разі кібератаки варто без зволікань повідомити всі постраждалі сторони – клієнтів, співробітників і громадськість. Замовчування може призвести до серйозніших наслідків, в тому числі нанести удар по вашій репутації. Пам’ятаєте, як у 2017 році ЗМІ рясніли заголовками про те, що компанія Uber намагалася приховати факт кібератаки? Така поведінка призвела не тільки до зниження рівня довіри клієнтів, а й штрафу в розмірі 148 мільйонів доларів.
Оцінка та управління ризиками
Знаєте, що є одним з найважливіших аспектів в розробці плану антикризового управління? Так, оцінка кібер-ризиків. Відстеження загроз та їхнього впливу на бізнес-процеси допомагає вибудовувати кіберстійкість бізнесу: створювати сприятливі умови для відновлення, а також мінімізувати наслідки кіберінцидентів.
Для оцінки ризиків та впровадження процесу управління, можна скористатися послугами компанії з кібербезпеки. Що входить у цей процес? Наприклад, ми в 10Guards аналізуємо, як працює бізнес, визначаємо основні загрози і ризики для бізнес-процесів. Потім створюємо матрицю ризиків, проводимо їхню якісну та кількісну оцінку. Визначаємо методи реагування на кожен ризик, в залежності від його ймовірності і потенційного збитку. Надаємо рекомендації відповідно до пріоритету кожного ризику щодо подальшої роботи з ним.
При необхідності ми розробляємо і впроваджуємо процеси для управління ризиками як існуючими, так і тими, які виникатимуть у майбутньому, а також забезпечуємо консультаційну підтримку.
Превентивні заходи
Керівники компаній повинні розглядати кібер-ризик як стратегічний ризик для своєї організації та включати його до програми управління ризиками підприємства. Про які превентивні заходи йдеться? Наприклад, з технічної точки зору, встановити брандмауери для захисту, розподілу операційного, технологічного та ІТ-середовища підприємства. З адміністративної точки зору, відповідальність за безпеку повинен нести фахівець, який досконало знає всі компоненти галузі та особливості індустрії (CISO). Це може бути як людина всередині компанії, так і на аутсорсі – «віртуальний» CISO або ціла команда.
План дій
Кожна сучасна компанія повинна мати план реагування на кіберінциденти! Один з найважливіших аспектів успішного плану – аце чітко визначити команду, що складається з фахівців сфери ІТ, менеджменту, комунікацій та юристів, які несуть відповідальність за усунення наслідків інциденту.
Чітко визначений план реагування допомагає швидше відновити бізнес-процеси, діяльність компанії, відновити дані, загублені або скомпрометовані в процесі інциденту, і відновити функціонування інформаційних систем
Системність
Недостатньо просто мати план на випадок кіберінциденту. Лідери компаній повинні тримати руку на пульсі та ініціювати періодичні аудити кібербезпеки, які допоможуть отримати комплексну оцінку захищеності компанії та вчасно закрити вразливі місця.
Безпечне співробітництво
Правильний підхід до вибору зовнішніх постачальників також важливий для побудови кіберстійкої компанії, тому що аутсорсери стають інсайдерами та отримують доступ до важливої інформації. Варто постійно контролювати і переглядати всі надані права доступу для постачальників і захищати ключові дані. Перед початком співпраці, важливо провести технічну та організаційну оцінку їхньої безпеки.
Безперервне оновлення
Кібербезпека – це безперервний процес. Кіберзлочинці постійно вдосконалюють свої навички, шукають нові дірки у безпеці та ефективні технології. Тому компаніям так важливо йти в ногу з новими загрозами і забезпечувати високий рівень обізнаност .
Поінформованість співробітників
Людський фактор залишається головною вразливістю кожної компанії. Що ж робити? Звичайно ж, підвищувати рівень обізнаності співробітників з питань кібербезпеки. Систематичні тренінги, побудовані на реальних ситуаціях, не тільки допомагають тримати всіх в тонусі, а й розвивати необхідні знання, навички, компетенції та ефективно застосовувати їх на практиці. В цьому питанні варто дотримуватися регулярності і проводити повторні тестування, так як співробітники схильні забувати матеріал.
