Cum îți pregătești organizația să răspundă unei potențiale crize cibernetice?
În ultima perioadă s-a tot vorbit despre atacuri și crize cibernetice. Cum apar, de ce, dar mai ales, cum să te ferești de ele. Echipa de IT sau firma colaboratoare va știi mereu ce să facă în astfel de crize, dar cum îți pregătești organizația în acest sens? Sergiu Zaharia, Director Cyber Strategy Advisory, și Raluca Anton, Senior Manager, Managementul Riscului, Deloitte România, specialiști în domeniu, ne spun care sunt aspectele pe care companiile le pot exersa într-o simulare a unei crize cibernetice și de ce este important ca o companie să facă o astfel de simulare:
Organizațiile, din sectorul public sau privat, trebuie să aibă în vedere implementarea unei strategii de securitate, menită să asigure pe termen lung rezistența proceselor esențiale ale acestora la atacuri cibernetice țintite sau oportuniste. Pe de altă parte, asigurarea unei apărări perfecte este un obiectiv dificil de atins, având în vedere că aceasta necesită mobilizarea de resurse financiare considerabile, dar și umane, aspect care a devenit o provocare pentru organizații din cauza lipsei deja cronice de experți în domeniul securității cibernetice.
În acest sens, exercițiile de simulare a crizelor cibernetice ar trebui să se regăsească periodic ca o prioritate pe agenda tuturor companiilor, în special ca o măsură de limitare a impactului asupra reputației și a aspectelor de natură legală, și operațională, dar nu în ultimul rând financiară, în cazul nefericit al unui atac major reușit asupra unor procese critice sau al scurgerilor neautorizate de date (data exfiltration) strict reglementate.
Deși crizele cibernetice se înscriu în categoria evenimentelor rare care pot apărea în cadrul unei organizații, acestea au de cele mai multe ori un impact major. Studiile Deloitte arată că, în cele mai multe cazuri, acest impact produce efecte care nu sunt exclusiv de natură cibernetică, ci se pot extinde în arii care nu sunt legate în mod tradițional de domeniul securității cibernetice. De exemplu, efectele unui incident cu valențe de criză pot avea un impact negativ și asupra retenției angajaților, pot cauza pierderea încrederii clienților, dar și prejudicii asupra reputației companiei, cu potențial de transformare într-o criză mediatică.
Care sunt aspectele pe care companiile le pot exersa într-o simulare a unei crize cibernetice?
În timpul exersării unui incident de natură cibernetică, este aproape imposibil să simulezi și adrenalina specifică unei situații reale. În plus, anumite decizii cheie, luate în situații de criză cu totul unice, pot fi cu greu replicate prin simulări.
Pe de altă parte, sunt aspecte care pot fi instruite, iar unul dintre cele mai importante paliere este cel care privește luarea deciziilor cheie cu privire la criza respectivă. Este esențial de stabilit persoana sau grupul de persoane care pot lua aceste hotărâri în situații de criză și criteriile în funcție de care acestea sunt desemnate. În mare parte, acest rol decizional revine membrilor din top managementul unei companii și este atribuit în funcție de natura impactului pe care o decizie o poate avea asupra organizației. Spre exemplu, oprirea temporară a producției unei companii ar trebui să fie o decizie luată de directorul general.
Zona de comunicare poate, de asemenea, fi exersată într-un scenariu de criză cibernetică. Modalitatea și momentul în care se comunică cu autoritățile, angajații, presa sau pe rețelele sociale, platforme care au o capacitate uriașă de a amplifica mesajele către clienți care ar putea fi afectați de criza cibernetică, sunt aspecte care pot fi exersate în cadrul simulării și perfecționate ulterior dacă este necesar. Acțiunile celulei de comunicare necesită coordonarea cu cele desfășurate de alte echipe, parte din echipa multidisciplinară responsabilă de răspunsul la criză, deoarece o desincronizare ar putea avea un puternic impact asupra reputației companiei.
În momentul simulării unui incident cibernetic major, pot fi exersate și aspectele care țin de partea de răspuns la incidente din punct de vedere juridic. Organizațiile trebuie să știe în ce moment raportează incidentul către autorități, care sunt pașii de urmat în cazul în care criza respectivă are efecte asupra unor date cu caracter personal, dacă trebuie făcută o plângere penală și cum anume trebuie aceasta redactată, dacă implică sau nu și experții în forensics, interni, dacă există, sau externi.
Nu în ultimul rând, în funcție de natura crizei cibernetice, planul de continuitate a afacerii poate să constituie un punct important din cadrul exercițiului. Spre exemplu, simularea unui incident cu puternic impact asupra sistemelor critice poate reprezenta un moment bun pentru a cunoaște și observa capacitatea de reacție a unor departamente, precum cel de IT, și pentru a evalua dacă are sens activarea planului de continuitate sau al planului de recuperare în caz de dezastru.
De ce este importantă organizarea unui exercițiu de simularea a unei crize cibernetice?
Având în vedere nivelul de complexitate la care au ajuns atacurile cibernetice în ultimii ani, organizațiile trebuie să ia în considerare includerea unor exerciții de simulare a crizelor în strategiile de securitate.
Cu ajutorul unui exercițiu de simulare concertat și care redă fidel scenariul unui atac cibernetic transformat în criză, o companie poate înțelege ce capacitate are de a răspunde amenințărilor din ce în ce mai diverse și complexe, într-o eră a progresului transformării digitale.
Nu în ultimul rând, un exercițiu de simulare este o oportunitate de a îmbunătăți, dacă este necesar, unele aspecte care țin de procesele de management al crizelor pentru a preveni nu numai compromiterea activelor companiei, ci și a angajaților acesteia, clienților și partenerilor săi de business.