Asistență IT și gestiunea riscurilor

Odată ce aduci întreprinderea, inclusiv angajații și clienții tăi, în lumea digitală, vor exista riscuri persistente de gestionare, precum asigurarea securității IT și a datelor. Nu toate companiile vor putea să creeze echipe și funcții dedicate suportului IT. Cu toate acestea, există aspecte pe care proprietarii de afaceri trebuie să le ia în considerare atunci când lucrează online. Tehnologia aduce oportunități interesante pentru transformare și creștere, dar adoptarea de noi tehnologii introduce și risc.

Principalele categorii de riscuri digitale la care poate fi expusă întreprinderea sunt exemplificate mai jos.

        Riscuri operaționale

 

        Lipsa seturilor de abilități interne

 

Pe măsură ce funcționarea întreprinderii depinde din ce în ce mai mult de tehnologia digitală, eșecurile tehnologiei, care pot include orice, de la bug-uri (erori) software până la eșecuri hardware, vă pot lăsa întreprinderea în imposibilitatea de a funcționa.

Întreprinderea ta va depinde din ce în ce mai mult de software-ul complex pentru a funcționa. Aceasta include nu numai sistemele tale interne, ci și site-urile web externe și serviciile pe care clienții le folosesc pentru a interacționa cu tine.

 

        Sisteme vulnerabile

 

        Persoane vulnerabile

 

Hackerii și infractorii cibernetici vizează din ce în ce mai mult întreprinderile în toate felurile. Este posibil ca aceștia să dorească să fure datele companiei sau ale clienților sau ar putea dori să dezactiveze operațiunile comerciale prin criptarea datelor, în mod ilegal,  solicitând să le plătiți pentru cheia de criptare. Activități ca acestea sunt posibile, deoarece infractorii pot exploata vulnerabilitățile din sistemele tale.

 

Sistemele întreprinderii trebuie protejate în mod adecvat cu cele mai noi programe anti-virus, firewall-uri și alte sisteme de monitorizare a amenințărilor și a abilitățile de a răspunde la un atac cibernetic.

Este posibil ca angajații tăi să lucreze din ce în ce mai mult de acasă. Ei au nevoie de acces la sisteme de oriunde s-ar afla. Aceasta oferă o cale către atacatori pentru a avea acces la întreprinderea ta prin inginerie socială. Aceștia pot trimite e-mailuri rău intenționate, cerând informații sau parole sau cu malware atașat, sau chiar pot contacta angajații tăi personal pretinzând că provin din partea suportului IT al întreprinderii.

 


Angajații întreprinderii trebuie instruiți pentru a evita amenințările de inginerie socială și a stabili un sistem de răspuns în cazul în care există totuși o victimă a unei astfel de scheme.

 

În caz de apariție a unor asemenea riscuri, operațiunile, gestionarea relației cu clienții, vânzările și marketing-ul vor fi de asemenea afectate.

Înainte de a imigra în lumea digitală, proprietarii de întreprinderi ar trebui să fie pregătiți să facă față riscurilor asociate tehnologiei digitale și să analizeze toate aspectele de securitate pentru a fi siguri că identifică și dobândesc abilitățile și tehnologiile necesare de protecție. Anticiparea și abordarea riscurilor în avans poate evita problemele mai târziu.

Trei pași simpli, dar eficienți către gestionarea riscurilor digitale sunt:

1. Dezvoltarea unui cadru de risc agil centrat pe consumator

2. Stabilirea unor modele eficiente de control și model de guvernanță

3. Pregătirea pentru schimbări și adaptări constante

Dezvoltarea unui cadru agil

Cu informații și date securizate ce sunt în legătură cu diverse instrumente digitale și software-uri, apar riscuri din mai multe surse, de la atacuri cibernetice, la vulnerabilitatea generală a sistemelor și inclusiv la pierderea datelor. Există, de asemenea, riscuri cu privire la informația privilegiată (insider risks) la care trebuie să fim atenți. Diferiți angajați trebuie să aibă acces la diferite tipuri de date. De exemplu, sectoarele care angajează în mod obișnuit lucrători sezonieri se pot confrunta cu riscul ca aceștia să furnizeze informații sensibile concurenților în sezonul următor.

Când vă dezvoltați cadrul de supraveghere, fiți conștienți de domeniile de activitate care pot fi afectate, cum ar fi:

Categoria de risc

Acțiuni pentru îndepărtarea riscului

Schimbul digital de informații cu lanțurile de aprovizionare

      Verifică canalul de comunicații


      Protecția datelor și drepturile de proprietate asupra informației și a datelor trebuie să fie prescris reglementată în contractile tale cu partenerii


Angajați cu acces la date sensibile

      Clarifică fișa postului fiecărui angajat


      Clarifică distribuirea muncii după principiul ”între patru ochi”


      Oferă acces limitat și diferențiat la datele sensibile, în bază de unui sistem de parole (care ar trebui actualizat în mod automatizat)


Accesarea platformelor terțe și a informațiilor stocate în aceste sisteme

      Controlează vânzătorii tăi, compilează o listă de servicii pe care aceștia le prestează și circuitul de informații pe care îl include


      Focusează-te pe managementul formal al vânzătorilor pe bază de contract


      Creează acces limitat și securizat


Sisteme care nu sunt complet integrate și au intervenții manual

      Automatizează  funcțiile  maxim posibil (de exemplu colectarea, corectarea și raportarea datelor)


Eșecul infrastructurii primare

      Asigură-te cu sisteme de rezervă în cazul în care cele primare eșuează


Stabilirea unor controale efective

Stabilirea unor controale eficiente asupra noilor modele de lucru, inclusiv asupra muncii de la distanță sau a practicelor hibride implică:

securitate web și e-mail mai eficientă

gestionarea restanțelor (procesele care nu sunt executate corect până la urmă sau prin toate sistemele, cum ar fi comenzile online care nu sunt integrate în toate sistemele comerciale și, prin urmare, nu sunt gestionate și livrate la timp)

autentificare pentru procese și achiziții

verificarea configurațiilor de securitate cloud

În esență, obiectivul este de a aduce întreprinderea într-o poziție stabilă pentru noul model de operare și de a asigura că aceasta este bine pregătită pentru a face față situațiilor de criză, cum ar fi de exemplu pandemia de coronavirus.

Fii gata să te schimbi și să te adaptezi continuu

Odată ce ai stabilit un cadru și controale adecvate, întreprinderea ta și, în particular, asistența IT trebuie să rămână receptivă la schimbări și la noi riscuri, având în vedere mediul schimbător al lumii digitale. Aceasta înseamnă că odată ce sistemele tale de conducere și control identifică riscul, întreprinderea ta ar trebui să își poată schimba rapid procesele și modul de a face lucrurile pentru a evita riscurile viitoare.

În cele din urmă, securitatea ta IT va presupune:

asigurarea faptului că suportul IT pentru afacerea ta este stabil și fiabil

ai un nivel adecvat de securitate cibernetică și ești conștient de posibilele amenințări

Amenințările la adresa securității cibernetice sunt o nouă realitate de afaceri. Pe măsură ce amenințările cibernetice cresc în volum și complexitate, pierderea sau furtul proprietății intelectuale, a datelor clienților și a altor informații sensibile pot pune întreaga întreprindere în pericol. La nivel național, autoritatea responsabilă pentru securitatea cibernetică este Serviciul Tehnologia Informației și Securitate Cibernetică (STISC). În fiecare săptămână, STISC compilează cele mai importante știri referitoare la securitatea cibernetică la nivel internațional într-un articol ce îl plasează pe pagina sa web.

Pierderea sau furtul datelor nu numai că poate duce la întreruperea operațiunilor comerciale, dar poate provoca daune financiare și reputaționale grave și poate afecta integritatea produsului, experiența clienților, încrederea investitorilor, conformitatea cu reglementările în vigoare și multe altele. 

Din punct de vedere juridic, în scopul prevenirii pierderii sau furtului datelor cu caracter personal, fiecare deținător al acestor date este obligat să implementeze un document ce va prevedea politicile de securitate al datelor cu caracter personal. Acest document trebuie să includă:

identitatea persoanei responsabile de politica de securitate;

măsurile concrete de securitate;

mecanismul de punere în aplicare a măsurilor de securitate;

nomenclatorul datelor cu caracter personal prelucrate, a localizării acestora şi a operaţiunilor efectuate asupra lor;

lista nominală a utilizatorilor autorizați să acceseze datele cu caracter personal;

configurarea sistemului informațional de date cu caracter personal şi a rețelei;

descrierea detaliată a criteriilor în conformitate cu care sînt accesibile datele cu caracter personal prelucrate în registrul ținut manual;

documentația tehnică cu privire la controalele de securitate;

orarul controalelor de securitate;

măsurile de detectare a cazurilor de acces şi/sau de prelucrare neautorizată a datelor cu caracter personal;

rapoarte despre incidentele de securitate.

Poți face următorii pași pentru a-ți construi sau a-ți îmbunătăți securitatea cibernetică.

o Definește controlul asupra informațiilor pe care le soliciți și le distribui;

o Asigură-te că dispozitivele și sistemele pe care le utilizezi pentru a-ți conduce afacerea sunt sigure și fiabile, cu parole puternice;

o Asigură-te că faci în mod regulat o copie de siguranță a datelor critice ale companiei și că testezi planurile pentru restaurarea copiilor de rezervă;

o Dacă afacerea ta efectuează plăți online, asigură-te că sunt complet sigure și de încredere, deoarece clienții sunt de obicei foarte sensibili când vine vorba de datele lor cu caracter personal;

o Asigură-te că instalezi produse moderne, complete de securitate cibernetică, care includ soluții antivirus, firewall-uri și alte sisteme de monitorizare și detectare a amenințărilor;

o Consultă ghidul proiectat de STISC, pentru a prelua cele mai bune practici în domeniul securității cibernetice.

Instruiește-ți angajații privind  soluțiile și opțiunile tehnologice disponibile și, cel mai important, despre riscuri.

Articolul precedent