Источник: GAAP.RU
Дата публикации: 29 Июля 2019 г.
По материалам: Accounting Web
Когда речь заходит о кибербезопасности, вопросы ныне уже даже не ставятся в форме “да или нет” (будет атакована ваша организация), а скорее в форме “когда”. То, что атака будет предпринята, почти очевидно, но в какой мере ваша компания готова к такому повороту событий?
Сегодняшнее деловое окружение с каждым годом становится все более взаимосвязанным, неся новые возможности, но и новые риски – и не только от людей, но и в результате расширения поверхности атаки. Любому профессиональному бухгалтеру по роду своей деятельности приходится работать с чувствительной информацией.
К сожалению, недобросовестные граждане сегодня имеют широкие возможности отслеживать людей – включая вас самих – с помощью мобильных телефонов и других электронных устройств. Расширение электронного взаимодействия открывает новые возможности, но это также и потенциал для взлома. Некоторые эксперты говорят, что если раньше основной целью кибератак было обнародования данных, то сегодня – скорее незаметное их изменение, чтобы, например, налоговая отчетность жертвы оказалась с ошибками.
Как быть? Автор сегодняшней статьи вводит в обиход новое понятие – “cyber wellness”, “или кибер-благополучие”, кибербезопасность. В основе всего лежит тот факт, что централизованно контролировать каждую взаимосвязь в компании, между каждыми сотрудником и клиентом, невозможно. В компании все несут ответственность за создаваемые риски, поэтому “cyber wellness” – это проактивный подход к защите на разных уровнях киберзащиты.
Представьте себе, как прогнозные данные по погоде вынуждают береговые службы охраны предпринимать действия еще до того, как ударит тропический шторм. “Кибер-благополучие” как подход функционирует схожим образом: тут не ждут, когда атака случится. Разведданные и оценка угроз используются для создания обучающих сценариев, в рамках которые сотрудники совершенствуют свои знания и обучение. Это предполагает следующие основные шаги:
Кибербезопасность – постоянная проблема, решать которую необходимо всем сотрудникам компании, и если вдруг произойдет плохое, все будут готовы к этому. Таким образом, аудиторской (и не только, но особенно аудиторской) компании необходимо создать план ответа на инциденты, учитывающий как одобренные для этого практики, так и юридические ограничения.
Также следует проводить внутреннее тестирование на устойчивость к взлому и составить план публичных заявлений, а также обеспечить управляющий совет юридической помощью на случай инцидента (делать, подчеркиваем еще раз, это необходимо до инцидента, а не после).
Компании в отрасли профуслуг нужна эффективная система управления, которая делает все возможное, чтобы она сама, ее сотрудники и поставщики проводили оценки, позволяющие выявить текущие и возникающие уязвимости к определенным видам угроз. Но если вдруг такого до сих пор нет – что делать и с чего начать?