Opinie Deloitte: Cum iti pregatesti organizatia sa raspunda unei potentiale crize cibernetice?
Data publicarii: 17-10-2022 | IT&COrganizațiile, din sectorul public sau privat, trebuie să aibă în vedere implementarea unei strategii de securitate, menită să asigure pe termen lung rezistența proceselor esențiale ale acestora la atacuri cibernetice țintite sau oportuniste. Pe de altă parte, asigurarea unei apărări perfecte este un obiectiv dificil de atins, având în vedere că aceasta necesită mobilizarea de resurse financiare considerabile, dar și umane, aspect care a devenit o provocare pentru organizații din cauza lipsei deja cronice de experți în domeniul securității cibernetice.
Exercițiile de simulare a crizelor cibernetice devin astfel imperative la nivel de organizație, iar acestea trebuie să se regăsească periodic pe lista de priorități ca o măsură eficientă de limitare a impactului asupra reputației și a aspectelor de natură legală sau operațională și nu în ultimul rând, financiară.
Crizele cibernetice sunt în mod normal evenimente rare însă acestea pot avea un impact major la nivelul unei organizații. Acestea pot avea efecte chiar și la nivelul retenției angajaților, pot cauza pierderea clienților dar mai ales, prejudicii în ceea ce privește imaginea companiei sau instituției atacate care se poate transforma și într-o criză mediatică.
Ce presupune însă organizarea eficientă a unui exercițiu de incident cibernetic? Ei bine, chiar dacă nu putem anticipa chiar fiecare lucru, răspunsul emoțional și adrenalina fiind două dintre acestea, „ unt aspecte care pot fi instruite, iar unul dintre cele mai importante paliere este cel care privește luarea deciziilor cheie cu privire la criza respectivă. Este esențial de stabilit persoana sau grupul de persoane care pot lua aceste hotărâri în situații de criză și criteriile în funcție de care acestea sunt desemnate. În mare parte, acest rol decizional revine membrilor din top managementul unei companii și este atribuit în funcție de natura impactului pe care o decizie o poate avea asupra organizației. Spre exemplu, oprirea temporară a producției unei companii ar trebui să fie o decizie luată de directorul general”, scriu Sergiu Zaharia, Director Cyber Strategy Advisory, și Raluca Anton, Senior Manager, Managementul Riscului, Deloitte România.
Se pot face exerciții de asemenea și în zona de comunicare, modalitatea și felul în care se comunică cu autoritățile, clienții și angajații fiind extrem de importante. Sunt o mulțime de aspecte care pot fi exersate din acest punct de vedere și care pot fi îmbunătățite de la un exercițiu la altul.
„În momentul simulării unui incident cibernetic major, pot fi exersate și aspectele care țin de partea de răspuns la incidente din punct de vedere juridic. Organizațiile trebuie să știe în ce moment raportează incidentul către autorități, care sunt pașii de urmat în cazul în care criza respectivă are efecte asupra unor date cu caracter personal, dacă trebuie făcută o plângere penală și cum anume trebuie aceasta redactată, dacă implică sau nu și experții în forensics, interni, dacă există, sau externi”, continuă cei doi experți Deloitte.
„Nu în ultimul rând, în funcție de natura crizei cibernetice, planul de continuitate a afacerii poate să constituie un punct important din cadrul exercițiului. Spre exemplu, simularea unui incident cu puternic impact asupra sistemelor critice poate reprezenta un moment bun pentru a cunoaște și observa capacitatea de reacție a unor departamente, precum cel de IT, și pentru a evalua dacă are sens activarea planului de continuitate sau al planului de recuperare în caz de dezastru”, conchid aceștia.
Exercițiile de simulare a crizelor cibernetice devin astfel imperative la nivel de organizație, iar acestea trebuie să se regăsească periodic pe lista de priorități ca o măsură eficientă de limitare a impactului asupra reputației și a aspectelor de natură legală sau operațională și nu în ultimul rând, financiară.
Crizele cibernetice sunt în mod normal evenimente rare însă acestea pot avea un impact major la nivelul unei organizații. Acestea pot avea efecte chiar și la nivelul retenției angajaților, pot cauza pierderea clienților dar mai ales, prejudicii în ceea ce privește imaginea companiei sau instituției atacate care se poate transforma și într-o criză mediatică.
Ce presupune însă organizarea eficientă a unui exercițiu de incident cibernetic? Ei bine, chiar dacă nu putem anticipa chiar fiecare lucru, răspunsul emoțional și adrenalina fiind două dintre acestea, „ unt aspecte care pot fi instruite, iar unul dintre cele mai importante paliere este cel care privește luarea deciziilor cheie cu privire la criza respectivă. Este esențial de stabilit persoana sau grupul de persoane care pot lua aceste hotărâri în situații de criză și criteriile în funcție de care acestea sunt desemnate. În mare parte, acest rol decizional revine membrilor din top managementul unei companii și este atribuit în funcție de natura impactului pe care o decizie o poate avea asupra organizației. Spre exemplu, oprirea temporară a producției unei companii ar trebui să fie o decizie luată de directorul general”, scriu Sergiu Zaharia, Director Cyber Strategy Advisory, și Raluca Anton, Senior Manager, Managementul Riscului, Deloitte România.
Se pot face exerciții de asemenea și în zona de comunicare, modalitatea și felul în care se comunică cu autoritățile, clienții și angajații fiind extrem de importante. Sunt o mulțime de aspecte care pot fi exersate din acest punct de vedere și care pot fi îmbunătățite de la un exercițiu la altul.
„În momentul simulării unui incident cibernetic major, pot fi exersate și aspectele care țin de partea de răspuns la incidente din punct de vedere juridic. Organizațiile trebuie să știe în ce moment raportează incidentul către autorități, care sunt pașii de urmat în cazul în care criza respectivă are efecte asupra unor date cu caracter personal, dacă trebuie făcută o plângere penală și cum anume trebuie aceasta redactată, dacă implică sau nu și experții în forensics, interni, dacă există, sau externi”, continuă cei doi experți Deloitte.
„Nu în ultimul rând, în funcție de natura crizei cibernetice, planul de continuitate a afacerii poate să constituie un punct important din cadrul exercițiului. Spre exemplu, simularea unui incident cu puternic impact asupra sistemelor critice poate reprezenta un moment bun pentru a cunoaște și observa capacitatea de reacție a unor departamente, precum cel de IT, și pentru a evalua dacă are sens activarea planului de continuitate sau al planului de recuperare în caz de dezastru”, conchid aceștia.
Ultimele stiri pe BankNews.ro:
- PLG Group preia 100% din Bilete.ro, Entertix.ro și Myticket.ro
- FintechOS l-a cooptat pe Sorin Mirea, un manager cu 20 de ani în industria bancară, pentru a accelera creșterea companiei în Europa Centrală și de Est
- Sondaj Cargus: 63% dintre romani aleg magazine online locale, indiferent de generatie, pentru livrarea mai rapida si returul mai facil
- Opinie Deloitte: Frana brusca pe cheltuielile publice – cu ce conditii vine „pasuirea” de la Comisia Europeana?
- EY Romania: 58% dintre investitori preconizează că atractivitatea României se va ameliora în următorii trei ani
- Studiu Deloitte: 2/3 dintre angajatorii din Romania considera foarte important echilibrul dintre agilitatea necesara dezvoltarii afacerii si stabilitatea de care au nevoie angajatii
- Studiu Deloitte: cantitatea de materii reciclate intrate in economiile lumii creste usor, dar indicele global de circularitate scade, pe fondul consumului galopant de resurse si materii prime virgine
- DAN AIR a efectuat primul zbor comercial pe ruta București - Damasc
- Virgil Șoncutean primește al patrulea mandat la conducerea Allianz-Țiriac Asigurări
- EY Romania: Tehnologia cloud reprezinta cea mai avansata si raspandita solutie emergenta in companiile din Romania
- OLX Group anunta vanzarea companiei KIWI Finance catre Partners Financial Services
- Schneider Electric o numește pe Esther Finidori în funcția de Chief Sustainability Officer
- 3 din 5 tineri nu au cumpărat până acum o asigurare 100% digitală. Generația Z vrea procese digitale rapide și produse simple, la costuri mici, pentru a cumpăra online
- Copiii intră în vacanță, hackerii nu - Sfaturi ARB pentru siguranța online în familie
- Studiu EY: Trei din patru departamente juridice își perfecționează strategiile de tehnologie și date, dar numai 25% prioritizează GenAI