Responsabilitatea în gestionarea riscurilor de securitate trebuie înțeleasă și susținută de la nivel de top management, indiferent de domeniul de activitate al unei instituții, a declarat Andrei BOIAN, Adjunctul Șefului Departamentului de Securitate Cibernetică al STS, la Cybersecurity Forum, organizat de Financial Intelligence.
Pentru asigurarea securității cibernetice, la nivel de management este necesar să fie abordate interdependențele specifice dintre personal, procese, tehnologie și strategia organizației.
Andrei BOIAN, Adjunctul Șefului Departamentului de Securitate Cibernetică al STS, a explicat: „În urma celor 15 ani de experiență ai STS în domeniul securității cibernetice, considerăm esențiale trei lucruri – managementul riscului este responsabilitatea leadershipului organizației, abordarea bazată pe managementul riscului înseamnă optimizarea utilizării resurselor, iar riscurile provenite din spațiul cibernetic nu sunt exclusiv riscuri IT.
Pentru a putea beneficia de orice oportunitate, organizația trebuie să înțeleagă riscurile în care se implică. Până acum ceva timp am văzut tot felul de atacuri cibernetice, moment în care conducerea organizațiilor începea să aloce fonduri pentru a remedia situația, pentru a minimiza pierderile, dar, ulterior, uita de riscurile la care este expusă și revenea la următorul incident.
Lucrurile s-au schimbat în timp și s-au schimbat în principal și prin legislația care vine să ajute, dar și prin participarea dumneavoastră la astfel de evenimente, care încurajează cultura de securitate în toate organizațiile.
Managementul riscului este responsabilitatea leadershipului organizației. La nivel de top management, liderii organizației ar trebui să stabilească care este apetitul de risc, cât de mult este dispusă organizația să riște pentru atingerea obiectivelor, care este toleranța la risc, cât de mult poate să devieze de la apetitul de risc pentru a beneficia de anumite oportunități pe care le întrezărește și care este modul acceptat de tratare a riscurilor, adică ce riscuri trebuie evitate, ce riscuri trebuie tratate neapărat, ce riscuri trebuie transferate și care pot fi acceptate.
Abordând astfel, fiecare organizație își va permite să aibă o creștere și o evoluție predictibilă și va evita o creștere sinuoasă în care, la oportunitate crește foarte brusc business-ul, dar la momentul unui atac cibernetic descrește foarte brusc și poate are și pierderi financiare foarte mari.
Managementul riscurilor conduce la optimizarea utilizării resurselor. Acest proces de management al riscului ajută la managementul costurilor. Dacă într-o organizație identifici vulnerabilități și te concentrezi pe remedierea imediată a lor, s-ar putea să ai niște pierderi foarte mari – și financiare, și de resursă umană – care nu ar trebui făcute neapărat, dacă nu există o amenințare și un impact asimilate acelei vulnerabilități. Riscul înseamnă probabilitatea ca o amenințare să exploateze o vulnerabilitate și să rezulte într-un anumit impact.
De exemplu, dacă aveți o aplicație pe internet care folosește doar date deschise și ea este vulnerabilă la exfiltrare de date, nu este neapărat prioritar să se remedieze acea vulnerabilitate, să se investească în rescrierea codului, întrucât datele respective sunt publice. Poate investițiile trebuie să meargă în altă parte în faza inițială. Astfel, dacă managementul abordează pe bază de riscuri toată situația din spațiul cibernetic, va putea să stabilească niște priorități, atât din punct de vedere al utilizării resurselor umane, cât și pentru utilizarea surselor financiare și a investițiilor.
Riscurile provenite din spațiul cibernetic nu sunt neapărat riscuri IT. Am observat că multe organizații vedeau riscul din spațiul cibernetic ca un risc IT propriu, dar el nu ține neapărat de resursele proprii.
În spațiul cibernetic și în sistemele digitale vorbim despre date și informații. În termeni tehnici, impactul riscului este de alterare a confidențialității, a integrității sau a disponibilității datelor. Dacă e să vorbim în termeni de cybersecurity, pe noi ne interesează în primul rând securitatea acestor informații, ne interesează care sunt procesele organizaționale care folosesc informația respectivă și care sunt fluxurile digitale implementate pentru susținerea acelor procese.
Din prisma IT, impactul riscului este specific asset-urilor tehnice, adică echipamentele de rețea, servere, aplicații.
Din punct de vedere managerial, toată partea de securitate cibernetică într-o organizație ar trebui să țină cont de oameni, de procese, de tehnologie și de obiectivele strategice ale organizației, toate acestea fiind interconectate unele cu altele și influențându-se unele pe celelalte.
Aș vrea să vă dau niște exemple: să zicem că o organizație face un deep fake cu CEO-ul organizației noastre. În momentul acela, poate să fie un impact foarte mare financiar sau de business, dar nu s-a folosit nicio resursă IT proprie. Noi ne-am protejat, avem toate capabilitățile implementate, nu s-a folosit nimic din infrastructura proprie de IT. Ce ar trebui făcut aici? Ar trebui ca nivelul de top management să conștientizeze astfel de riscuri, să pregătească probabil o campanie media pentru a o folosi în aceste crize, atât pe plan intern, cât și pe plan extern, pentru a putea contracara mesajul transmis în spațiul public.
Un alt exemplu ar fi tot pe tehnologii emergente, pe partea de inteligență artificială, care în multe situații este văzută ca un risc, dar ea poate fi considerată atât o amenințare, cât și o oportunitate. Astfel, poate într-o companie, oamenii dorind să îndeplinească foarte multe task-uri, folosesc sisteme AI publice. Utilizând astfel de sisteme publice, ei pot să exfiltreze în mod neintenționat informații sensibile pentru companie. Aici managementul ar trebui să înțeleagă nevoia și era digitală în care ne aflăm, să creioneze care sunt riscurile pentru companie din prisma sensibilității datelor și să reușească să definească, eventual să încheie și contracte pentru tehnologia AI și să-și pregătească angajații pentru a le folosi în concordanță cu riscurile identificate, astfel încât organizația să nu se expună unor exflitrări de date.
Tot ce v-am spus derivă din experiența noastră de 15 ani de furnizare a serviciului de comunicații speciale securizate către beneficiari, o experiență în care ne-am bucurat de un parteneriat atât cu beneficiarii, cât și cu celelalte autorități din spațiul public, cât și cu partenerii din mediul privat.
Aș vrea să repet importanța ca top managementul să realizeze faptul că managementul riscului este o măsură proactivă de securitate, iar, bazându-ne pe un astfel de mecanism, putem lua măsuri din timp, astfel încât să abordăm orice fel de oportunitate și să putem prioritiza costurile organizației cât mai bine”.
| Știri BVB