Эффективна ли ваша киберзащита?

По материалам: Accounting Web

Когда речь заходит о кибербезопасности, вопросы ныне уже даже не ставятся в форме “да или нет” (будет атакована ваша организация), а скорее в форме “когда”. То, что атака будет предпринята, почти очевидно, но в какой мере ваша компания готова к такому повороту событий?

Сегодняшнее деловое окружение с каждым годом становится все более взаимосвязанным, неся новые возможности, но и новые риски – и не только от людей, но и в результате расширения поверхности атаки. Любому профессиональному бухгалтеру по роду своей деятельности приходится работать с чувствительной информацией.

К сожалению, недобросовестные граждане сегодня имеют широкие возможности отслеживать людей – включая вас самих – с помощью мобильных телефонов и других электронных устройств. Расширение электронного взаимодействия открывает новые возможности, но это также и потенциал для взлома. Некоторые эксперты говорят, что если раньше основной целью кибератак было обнародования данных, то сегодня – скорее незаметное их изменение, чтобы, например, налоговая отчетность жертвы оказалась с ошибками.

Как быть? Автор сегодняшней статьи вводит в обиход новое понятие – “cyber wellness”, “или кибер-благополучие”, кибербезопасность. В основе всего лежит тот факт, что централизованно контролировать каждую взаимосвязь в компании, между каждыми сотрудником и клиентом, невозможно. В компании все несут ответственность за создаваемые риски, поэтому “cyber wellness” – это проактивный подход к защите на разных уровнях киберзащиты.

Как именно это делается

Представьте себе, как прогнозные данные по погоде вынуждают береговые службы охраны предпринимать действия еще до того, как ударит тропический шторм. “Кибер-благополучие” как подход функционирует схожим образом: тут не ждут, когда атака случится. Разведданные и оценка угроз используются для создания обучающих сценариев, в рамках которые сотрудники совершенствуют свои знания и обучение. Это предполагает следующие основные шаги:

• Первоначальная оценка уязвимостей, составление приоритетного плана ответных действий
• Определение соответствия подхода и стратегий безопасности наилучшим практикам
• Оценка сегодняшнего уровня расходов с учетом стоимости защищаемых активов
• Оценка присутствующих и прогнозируемых угроз

Как реагировать на факт взлома

Кибербезопасность – постоянная проблема, решать которую необходимо всем сотрудникам компании, и если вдруг произойдет плохое, все будут готовы к этому. Таким образом, аудиторской (и не только, но особенно аудиторской) компании необходимо создать план ответа на инциденты, учитывающий как одобренные для этого практики, так и юридические ограничения.

Также следует проводить внутреннее тестирование на устойчивость к взлому и составить план публичных заявлений, а также обеспечить управляющий совет юридической помощью на случай инцидента (делать, подчеркиваем еще раз, это необходимо до инцидента, а не после).

Эффективное управление

Компании в отрасли профуслуг нужна эффективная система управления, которая делает все возможное, чтобы она сама, ее сотрудники и поставщики проводили оценки, позволяющие выявить текущие и возникающие уязвимости к определенным видам угроз. Но если вдруг такого до сих пор нет – что делать и с чего начать?

• Проводить “кибер-аудит”
• Разрабатывать строгие и детальные политики, подкрепленные постоянным обучением и развитием персонала. Люди в организации должны быть знакомыми с угрозами и знать, как именно их действия помогают защитить корпоративные активы
• Внедрить управленческие процессы для всех случаев работы с третьесторонними разработчиками и поставщиками
• Принять во внимание страховое покрытие, разработать и внедрить страховую политику
• Создать эффективную структуру корпоративного управления в отношении кибербезопасности на всех уровнях организации