Cyber business risk în noua normalitate economică și financiară. Recomandări și previziuni
Foto: Mircea Bozga
Criza sanitară generată de pandemia de coronavirus a pus o presiune deosebită pe companii, în special pe departamentele IT, care au fost nevoite să găsească “peste noapte” soluții pentru asigurarea continuității afacerii în noile condiții. Cum au funcționat planurile de continuitate a afacerii (Business Continuity Plan) în cadrul companiilor și cum ar trebui să se pregătească companiile în viitor pentru a răspunde eficient unor situații de criză?
Mircea Bozga, Partener PwC România, confirmă că, în această criză atipică generată de pandemie, cele mai multe companii au avut dificultăți în activarea sau implementarea planului pentru continuarea activității în parametrii normali. Și explică și de ce. Conform lui: ”deși premisa unei pandemii globale se afla pe lista riscurilor posibile, alături de crize financiare, atacuri cibernetice sau dezastre naturale, situația aceasta nu a fost printre cele mai comune dezastre sau crize luate în considerare de companii atunci când au elaborat un astfel de plan de continuitate, iar pagubele generate de acest eveniment s-au dovedit semnificative pentru unele organizații”.
Drept urmare, în aceste condiții, companiile trebuie să țină cont de mai multe aspecte în pregătirea planului de continuitate. Iar acestea, recomandă Mircea Bozga, ar fi:
Planificare – evaluarea impactului asupra activității de afaceri astfel încât să identifice procesele critice, necesitățile de personal și tehnologiile sau aplicațiile IT dependente.
Adaptare și monitorizare – Planurile de continuitate a afacerii și recuperare în caz de dezastru trebuie să fie adaptate necesităților fiecărei companii, conform identificării acestora în analiza de impact asupra afacerii.
Evaluare și îmbunătățire – Revizuirea periodică și testarea planurilor trebuie realizată după mai multe scenarii, care să includă și participarea sau incapacitatea participării factorilor de decizie din companii.
Crearea unei culturi de rezistență – Deși definirea unor planuri adecvate de continuitate a afacerii și recuperare în caz de dezastru este primordială în gestionarea evenimentelor de criză, crearea unei culturi “de rezistență” în cadrul companiei este cea mai eficientă metodă de a adresa răspunsul la aceste evenimente. Asigurați-vă că aveți oameni talentați angajați pentru a îndeplini angajamentele cu clienții și că sunt educați corespunzător cu privire la scenariile de gestionare a crizelor.
Vigilența, igiena cibernetică și conștientizarea amenințărilor, cele mai eficiente scuturi împotriva atacurilor
Noile realități ale “muncii de oriunde” (remote work) au adus cu sine o suită de provocări cibernetice suplimentare pentru companii și au oferit atacatorilor cibernetici o arie mult mai extinsă de atac și vectori de atac suplimentari.
Expert în analiza situațiilor de risc, Mircea Bozga oferă câteva sfaturi și recomandări de uz general pentru companii și pentru departamentele IT, pentru a se proteja de atacurile cibernetice în noile realități.
”Pandemia a evidențiat încă o dată că atacurile cibernetice au devenit din ce în ce mai elaborate. Campaniile de inginerie socială care au exploatat teama de coronavirus s-au lansat la începutul acestui an și s-au răspândit la fel de repede ca pandemia. Cele mai eficiente scuturi de protecție împotriva atacurilor cibernetice rămân vigilența utilizatorilor, asigurarea unei igiene cibernetice corespunzătoare și conștientizarea continuă a amenințărilor din mediul online, care sunt prezente la tot pasul. Un lucru important este și separarea vieții private de cea de la birou în această perioadă – confidențialitatea conversațiilor, a parolelor, desfășurarea activității profesionale doar cu telefoanele, tabletele, calculatoarele, adresele de mail de la birou etc”.
Alte măsuri mai importante în cazul remote work, propune el:
- Stabilirea unor proceduri clare cu privire la munca de acasă.
- Informarea/instruirea angajaților să fie vigilenți la posibile atacuri sociale și cibernetice.
- Oferirea de soluții de acces eficiente și securizate la sistemele interne, și asigurarea suportului tehnic în caz de nevoie.
- Asigurarea unui protocol solid care trebuie urmat în cazul unui incident cibernetic.
- Verificarea actualizărilor software-ului folosit și că schimbările în infrastructura IT aferente lucrului de acasă nu cresc riscul unui atac cibernetic.
- Folosirea semnăturilor electronice pentru documentele oficiale.
- Angajații care lucrează de acasă trebuie să verifice că rețeaua Wi-Fi la care sunt conectați este bine securizată și să-și ia măsuri de confidențialitate.
”La nivelul următor însă, având în vedere dependența crescută de tehnologie și potențialul amenințărilor emergente oportuniste, recomandăm organizațiilor să implementeze controale tehnice pentru a reduce riscul de expunere la atacuri cibernetice”, atrage atenția partenerul PwC.
În plus, mai avertizează el, în contextul în care munca de acasă a devenit ”noul normal”, este vital pentru orice departament IT să ia măsuri pentru protejarea datelor și operațiunilor în spațiul cibernetic. Însă respectarea și adoptarea acestora de către angajați depinde de modul în care ele le sunt prezentate. Iar aici este foarte importantă intervenția CEO și CFO. Nu în ultimul rând, este în responsabilitatea directorilor executivi și administratorilor companiilor să înțeleagă riscurile cibernetice, strategia de securitate cibernetică și să asigure bugetul necesar implementării acesteia.
Digitalizarea accelerată a proceselor de afaceri, obligatorie în noua normalitate
Se spune că pandemia a creat un nou tip de legătură între CIO și CEO în cadrul companiilor. Credeți că CIO a câștigat încrederea Board-urilor, iar rolul acestuia a crescut în importanță în gestionarea afacerilor?, l-am întrebat pe Mircea Bozga.
De la an la an, vedem că directorii generali conștientizează din ce în ce mai mult importanța unei strategii de securitate cibernetică adaptată activității companiei, a explicat el. Iar acum, în contextul accelerării automatizării, companiile au responsabilitatea de a lua măsurile corecte pentru gestionarea riscului digital și pentru a face față unei crize generate de atacurile cibernetice tot mai sofisticate şi mai greu de controlat şi oprit. Astfel că CIO deține un rol esențial în acest proces, a întărit ipoteza expertul, susținându-și opinia cu datele celui mai recent raport al CEO din sondajul PwC.
Înainte de criza pandemică, arată sondajul, 74% dintre directorii generali din România au indicat amenințările cibernetice printre primii cinci factori care pun în pericol dezvoltarea viitoare a companiilor, în creștere cu 69% față de ediția din 2019. Procentul este similar cu cel global de 73%.
De asemenea, când vine vorba de strategia de securitate cibernetică, cei mai mulți respondenți, atât la nivel mondial, cât și în România, recunosc faptul că cel mai mare impact asupra modelării unei strategii de securitate cibernetică îl are complexitatea crescută a atacurilor cibernetice (75% din liderii globali și 72% din România). Al doilea factor, la fel de important în opinia a aproximativ 63% dintre directorii din România și 59% la nivel global, vizează reglementările privind securitatea cibernetică și confidențialitatea datelor.
”COVID-19 a perturbat modul de funcționare a companiilor și am asistat la o dependență tot mai mare de tehnologie, care va deveni, de fapt, noul normal în viața fiecărei organizații. În acest context, am observat o mobilizare, dar și o schimbare de mentalitate a companiilor în ceea ce privește digitalizarea, multe fiind practic obligate de situație să-și accelereze agenda de transformare digitală”, concluzionează Bozga, adăugând că o strategie digitală puternică și adoptarea tehnologiilor potrivite pot oferi cadrul și instrumentele necesare pentru inovație, transformare și pentru redresarea celor mai mari provocări cu care se confruntă organizațiile în această criză: incertitudine, munca la distanță, întreruperi în lanțul logistic, mutarea vânzărilor în online, gestionarea cheltuielilor.
În ansamblu, conchide el, în toate industriile sunt așteptate investiții mai mari în automatizare, Internet of Things (IoT), securitate cibernetică, servicii cloud și, nu în ultimul rând, în inteligență artificială și analiză avansată de date.