Cum poate un incident cibernetic sa iti afecteze compania si pozitia si ce trebuie sa stii despre cybersecurity

Articol

Cum poate un incident cibernetic sa iti afecteze compania si pozitia si ce trebuie sa stii despre cybersecurity

Tocmai ati incheiat o sedinta de rezultate financiare 2016 si planificare 2017. Trei ore de diagrame si indicatori, diseminare P&L si planuri de investitii si dezvoltare, creante cu risc, pipeline si conturi cheie si dinamica de piata. Ati trecut prin crestere reala de venituri, dinamica si structura costurilor operationale, performanta proiectelor curente, necesar de investitii si fundamentarea lor.

Cifrele arata bine si, desi mediul de business ramane cu un grad mare de incertitudine, sunteti increzator in noul an. Cel putin in baza dashboard-ului la care va uitati. Dar mai aveti o discutie planificata cu chief information security officer-ul (CISO) companiei care insista sa va prezinte un studiu, din care vedeti intre primele pagini:

·         Producatorul austriac de componente de aeronave FACC, a suferit o frauda prin metode informatice ce a dus la o pierdere de €50 mln. CEO-ul acesteia, Walter Stephan, a fost demis dupa prezentarea rezultatelor anuale, concluzia supervisory board fiind ca si-a neglijat sever atributiile.  CFO-ul a fost de asemenea demis (2016)

·         Compania britanica de telefonie, TalkTalk a anuntat pierderi de peste £60 mln ca urmare a unui incident cibernetic ce a afectat peste 157 mii de clienti.  Trei angajati ai Wipro au fost arestati. CEO-ul ei, Dido Harding, rezista presiunilor de a demisiona (2015)

·         Amy Pascal, fost CEO Sony, recunostea intr-un interviu ca a fost concediata ca o consecinta directa a incidentului informatic din 2014  (2015)

·         Frank Blake, CEO al Home Depot, si-a anuntat retragerea imediat inainte ca un incident major sa fie facut public in septembrie 2014. A condus gestiunea lui ca chairman, insa in 2015 a trebui sa paraseasca si acea pozitie (2015)

·         In urma unui incident cibernetic major, care a dus la compromiterea a 40 milioane de carduri si date clienti si produs costuri de peste $61 milioane in Q4 (chiar daca $44 au fost acoperite de asigurare), Gregg Steinhafel, CEO-ul TARGET, este fortat de board sa plece, impreuna cu CIO-ul (2014)

·         Una dintre cele mai mari institutii financiare americane, JP Morgan Chase, care investea in 2014 pana la 250$ mln in securitate, a fost victima unui atac pus la punct de cinci hackeri americani si rusi care au compromis datele a 83 de milioane de clienti. In 2016 a anuntat [2] dublarea bugetului dedicat apararii cibernetice la 500$ mln (2014)

Ce nu masori nu controlezi

Fie ca sunt listate la bursa sau sunt private, institutii financiare, lanturi de retail sau companii de productie, toate companiile au o maniera similara si pragmatica in conducerea afacerilor, de aceea folosesc instrumente de management similare. Apoi, fiecare industrie sau chiar companie adopta indicatori de performanta (KPIs) si metodologii specifice, la care au ajuns dupa ani de maturitate pe piata.

Indiferent de domeniu si industrie, una dintre cele mai dificile discutii este despre risc. Iar postura in fata riscului, de multe ori depaseste discutia structurata, pe date si indicatori, si intra in zona umana si soft. Sunt directori executivi mai bearish, care se bazeaza pe intuitia si flerul dat de zeci de ani de experienta si simt care sunt trenduri favorabile, desi riscurile asociate sunt mari, si altii, mai analitici, care prefera prudenta.

Insa indiferent de experienta lor, informatiile precare sau lipsa lor inseamna decizii mai riscante, uneori exponential mai riscante.

O astfel de zona gri, putin monitorizata si gestionata, dar de unde poate oricand aparea o lebada neagra [1], este cea a expunerii majore a companiei la riscuri financiare, legale, reputationale si chiar existentiale in urma compromiterii infrastructurii si datelor informatice.

Date de clienti  - cu caracter personal sau chiar bancare, proprietate intelectuala rezultatul a investitii semnificative si ani de lucru, retele si metode patentate, date si sisteme necesare activitatii operationale curente pot ajunge in mainile unor adversari sau infractori, cu consecinte greu de anticipat pentru companie.

insert: "It takes 20 years to build a reputation and five minutes to ruin it. If you think about that, you'll do things differently." – „Iti ia 20 de ani sa construiesti o reputatie si cinci minute sa o ruinezi. Daca te gandesti la asta, vei face lucrurile diferit”. Warren Buffet

insert: "For the first time since 2007, damage to brand and reputation has emerged as the top-ranked risk" -- Greg Case, CEO AON (source) “Pentru prima oara din 2007, riscul reputational se afla pe primul loc in topul riscurilor”.

Intelege riscul

Pe masura ce ne uitam in aceasta zona, insa, intelegem ca dinamica nu este una cu totul imprevizibila si de negestionat. Din contra, stim ca organizatiile sunt victime frecvente ale atacurilor, si insasi constructia spatiului digital si complexitatea lui favorizeaza atacurile. Intr-un studiu [3] AT&T din 2015 s-a constatat ca 62% din organizatiile intervievate recunosteau ca au avut brese majore, insa doar 34% dintre ele considerau ca aveau un plan adecvat de raspuns la astfel de incidente.

Si date similare se regasesc si in studiile anuale Verizon despre brese de securitate, care arata un hiatus major intre momentele cand au loc atacuri si cele cand sunt detectate, undeva in media a 200 de zile. De aceea in domeniul securitatii informatice se spune ca exista doua categorii de companii: cele care au avut o bresa/un incident, si cele care nu stiu inca.

Iar daca lucrati cu date personale - clienti sau firme, intr-un numar semnificativ - adica sunteti operator de date ( data controller) sau procesator de date (data processor), cu siguranta ati auzit deja despre GDPR - General Data Protection Regulation, care intra in vigoare si in Romania din mai 2018. Detaliile acestei directive justifica un intreg articol separat,

Insa ce trebuie sa retinem sunt cel putin doua lucruri:

·         constrangeri de timp de raportare a unui incident si a numarului de inregistrari afectate: 72 de ore;

·         amenzile administrative in caz de neconformitate: pana la 10 mln EUR sau 2% din cifra globala de afaceri pentru controlleri, si pana la 20 mln EUR sau 4% din cifra globala de afaceri, care este mai mare.

Cred ca suna suficient de ingrijorator pentru a va determina sa va familiarizati, daca nu sunteti deja la curent, cu cerintele acesteia.

Preia controlul

Asadar, de unde incepem? Constientizare, masurare si gestionare ca procese. Ca in cazul oricarui factor major de risc.

In mod traditional, riscurile IT erau considerate riscuri tehnologice. In fapt, trebuie asumate ca riscuri sistemice si gestionate la nivel de senior management.

Constientizarea trebuie sa se intample top-down, pana la ultimul angajat. Daca la nivel executiv tema nu este familiara se poate incepe chiar cu un exercitiu de threat landscape,  care sa expliciteze acest domeniu si riscurile lui relevante pentru business.

Mai departe, programele de security awareness sunt una dintre cele mai eficiente masuri non-tehnice de a ridica intr-un termen rezonabil nivelul de securitate al companiei, fara investitii tehnologice majore, de aceea il recomandam ca masura prioritara. Exista si modele de maturitate, de dezvoltare a unei culturi de securitate informatica in companii, atat la nivel executiv, unde este necesara o buna intelegere a implicatiilor si asumare a riscurilor in decizii, cat si la nivel operational unde se vizeaza prevenirea erorii umane.

Pana la masurare insa, e posibil ca atunci cand se lanseaza o astfel de initiativa sa se constate ca nu exista, din pacate, nici macar o imagine coerenta a acestor active digitale cu expunere la risc. De aceea, inainte de masurare, vor trebui identificate si ierarhizate toate aceste noduri informationale - date, infrastructuri, functii suport - care pot fi afectate si care poarta o valoare intrinseca pentru companie. Apoi calculat cat risc pot absorbi in functie de strategia companiei.

De aceea inchei cu invitatia de a va pune pe agenda urmatoarei intalnirI cu CIO/CISO-ul companiei intrebari precum:

·         Care sunt top10 riscuri IT ale companiei? Cum se compara cu alte riscuri non-IT?

·         Avem un mecanism prin care le revizuim periodic si ajustam strategiile de contingenta?

·         Am realizat vreodata o evaluare a riscurilor cu parti terte? (contractori, vendori, distribuitori)

·         Avem un dashboard cu indicatori privind securitatea cibernetica si expunerea pe acest factor de risc?

·         Avem un plan si o procedura standard de lucru aplicabile in caz de incident informatic? Le-am exersat vreodata?

insert: "CEO’s are ultimately responsible for a data breach. Cyber security is an organisation-wide problem and not one that can be solved by a CISO or CIO alone. The CEO needs to prioritise the protection of customer data and engage the entire leadership team of an organisation in order for cyber security to be effective." -Chris Wysopal, CTO and co-founder at Veracode (source)

“CEO-ul companiei este, in ultima instanta, responsabil pentru spargerea datelor unei companii. Securitatea cibernetica este o problema care priveste intreaga organizatie si care nu poate fi rezolvata doar de CISO sau CIO. CEO-ul trebuie sa prioritizeze protejarea datelor consumatorului si sai angajeze intreaga echipa de conducere din organizatie pentur ca securitatea cibernetica sa fie eficienta”.

[1] lebada neagra - metafora introdusa de Nassim Nicholas Taleb in cartea Fooled by Randomness, apoi in The Black Swan, cu referire la evenimente de pe piete financiare. In definitia autorului, evenimentul este o surpriza si are un impact major, insa, in retrospectiva se dovedeste ca date relevante despre el erau disponibile, insa nu au fost luate in considerare in programele de gestionare a riscului.

[2] Why J.P. Morgan Chase & Co. Is Spending A Half Billion Dollars On Cybersecurity

[3]The CEO’s Guide to Cyberbreach Response

 

Articol publicat initial pe https://pro.wall-street.ro/

V-a fost de folos informația?

Mai multe subiecte