10 βήματα για κυβερνοασφάλεια στις επιχειρήσεις
Άρθρο κας Μάγκυς Αθανασιάδη, Διευθύντριας Τομέα Βιομηχανίας, Ανάπτυξης, Τεχνολογίας και Καινοτομίας ΣΕΒ, στα Νέα/Ένθετο-Επιχειρήσεις
Στο σημερινό ταχέως εξελισσόμενο τεχνολογικό τοπίο, τα ψηφιακά εργαλεία κυριαρχούν στον τρόπο που εργαζόμαστε, που επικοινωνούμε, που αγοράζουμε και πληρώνουμε. Παράλληλα αποτελούν κλειδί για την αύξηση της ανταγωνιστικότητας και της παραγωγικότητας των επιχειρήσεων. Οι επιχειρήσεις αποδίδουν όλο και μεγαλύτερη σημασία στον ψηφιακό μετασχηματισμό, με το 54,4% των μεγάλων επιχειρήσεων και το 40% των ΜμΕ να τοποθετούν τον ψηφιακό μετασχηματισμό στο επίκεντρο της στρατηγικής τους. Οι πόροι του νέου ΕΣΠΑ και του ταμείου Ανάκαμψης και Ανθεκτικότητας αναμένεται να συμβάλουν στην περαιτέρω ενίσχυση της ψηφιακής ωριμότητας των επιχειρήσεων.
Ως αποτέλεσμα της ταχείας ψηφιοποίησης, οι επιχειρήσεις καθίστανται πολύ πιο ευάλωτες στις κυβερνοαπειλές. Η διάρρηξη της ψηφιακής ασφάλειας, μέσω μίας κυβερνοεπίθεσης, προκαλεί δραματικές επιπτώσεις στην επιχείρηση, θέτοντας σε κίνδυνο ακόμα και την επιβίωσή της. Χαρακτηριστικά αναφέρεται ότι 4 στις 10 ΜμΕ που υφίστανται απώλεια δεδομένων δεν επαναλειτουργούν ποτέ, ενώ το 57% των επιχειρήσεων που δέχτηκαν κυβερνοεπίθεση αύξησαν τις τιμές των αγαθών και υπηρεσιών τους για να ανταπεξέλθουν στο κόστος αποκατάστασης.
Συνεπώς, η θωράκιση από ψηφιακούς κινδύνους και απειλές παράλληλα με την ενίσχυση της ψηφιακής ωριμότητας δεν αποτελεί μία προαιρετική δράση, αλλά προϋπόθεση για την επιχειρησιακή συνέχεια μιας επιχείρησης. Όμως, μόνο το 6,9% των ελληνικών επιχειρήσεων vs. 25,5% στην ΕΕ προχώρησαν σε επικαιροποίηση τους στρατηγικής και αναθεώρηση των πολιτικών της ψηφιακής τους ασφάλειας, τους τελευταίους 12 μήνες.
Ο Οδηγός Κυβερνοασφάλειας του ΣΕΒ υποδεικνύει 10 βήματα που θα πρέπει να ακολουθήσουν οι επιχειρήσεις για την πληρέστερη θωράκιση αλλά και την άμεση ετοιμότητά τους σε περίπτωση κυβερνοεπίθεσης.
1ο βήμα, χαρτογράφηση και αξιολόγηση της ανθεκτικότητας σε επιθέσεις, της κανονιστικής συμμόρφωσης, της ευαισθητοποίησης του προσωπικού και της επάρκειας των εφαρμοζόμενων διαδικασιών και τεχνολογιών να αντιμετωπίσουν κυβερνοαπειλές.
2ο βήμα, κατάρτιση οδικού χάρτη δράσης που περιλαμβάνει τη στρατηγική και τις διαδικασίες ψηφιακής άμυνας, καθώς και τις ενέργειες για τη διασφάλιση της συνέχειας των εργασιών μιας επιχείρησης σε περίπτωση κυβερνοεπίθεσης.
3ο βήμα, διαμόρφωση μηχανισμού διακυβέρνησης με προκαθορισμένους ρόλους και αρμοδιότητες κάθε ρόλου για την αντιμετώπιση περιστατικών παραβίασης δεδομένων.
4ο βήμα, ψηφιακή θωράκιση εξοπλισμού, συστημάτων και διασυνδεδεμένων συσκευών της επιχείρησης, καθώς αποτελούν δυνητική δίοδο πρόσβασης στο δίκτυο μιας επιχείρησης, τις λειτουργίες και τα δεδομένα της.
5ο βήμα, εκπαίδευση και ευαισθητοποίηση του προσωπικού, καθώς το ανθρώπινο λάθος αποτελεί το συνηθέστερο παράγοντα επιτυχίας μιας κυβερνοεπίθεσης.
6ο βήμα, ένταξη της κυβερνοασφάλειας στο πλάνο επιχειρησιακής συνέχειας (Business Continuity Plan – BCP) της επιχείρησης.
7ο βήμα, διαμόρφωση σχεδίου αντιμετώπισης περιστατικών (Incident Response Plan) με το σχεδιασμό ενεργειών προετοιμασίας για την αντιμετώπιση κυβερνοεπίθεσης, ενεργειών διαχείρισης του περιστατικού και ενεργειών ανάκαμψης από αυτό.
8ο βήμα, υιοθέτηση προτύπων και πιστοποιήσεων, με έμφαση στην ασφάλεια πληροφοριών, τη διαχείριση κινδύνων και την προστασία της ιδιωτικότητας, που εκτός των άλλων ενισχύει τη φήμη και την εμπιστοσύνη μεταξύ της επιχείρησης και των συνεργατών της.
9ο βήμα, ασφάλιση έναντι κυβερνοεπιθέσεων που λειτουργεί συμπληρωματικά και συνδυάζει ασφαλιστική προστασία με εργαλεία διαχείρισης κινδύνου.
10ο βήμα, κυβερνοπροστασία κατά μήκος όλης της αλυσίδας αξίας του οργανισμού, με απαιτήσεις για πιστοποιήσεις ασφαλείας από όλους τους πελάτες, προμηθευτές και συνεργάτες μιας επιχείρησης.
