Asistență IT și gestiunea riscurilor
Odată ce aduci întreprinderea, inclusiv angajații și clienții tăi, în lumea digitală, vor exista riscuri persistente de gestionare, precum asigurarea securității IT și a datelor. Nu toate companiile vor putea să creeze echipe și funcții dedicate suportului IT. Cu toate acestea, există aspecte pe care proprietarii de afaceri trebuie să le ia în considerare atunci când lucrează online. Tehnologia aduce oportunități interesante pentru transformare și creștere, dar adoptarea de noi tehnologii introduce și risc.
Principalele categorii de riscuri digitale la care poate fi expusă întreprinderea sunt exemplificate mai jos.
|
●
Riscuri operaționale
|
●
Lipsa seturilor de abilități
interne
|
|
Pe măsură ce funcționarea întreprinderii depinde din
ce în ce mai mult de tehnologia digitală, eșecurile tehnologiei, care pot
include orice, de la bug-uri
(erori) software până la eșecuri hardware, vă pot lăsa întreprinderea în
imposibilitatea de a funcționa. |
Întreprinderea ta va depinde din ce în ce mai mult de software-ul
complex pentru a funcționa. Aceasta include nu numai sistemele tale interne,
ci și site-urile web externe și serviciile pe care clienții le folosesc
pentru a interacționa cu tine.
|
|
●
Sisteme vulnerabile
|
●
Persoane vulnerabile
|
|
Hackerii și infractorii cibernetici vizează din ce în ce mai mult
întreprinderile în toate felurile. Este posibil ca aceștia să dorească să
fure datele companiei sau ale clienților sau ar putea dori să dezactiveze
operațiunile comerciale prin criptarea datelor, în mod ilegal, solicitând să le plătiți pentru cheia de criptare. Activități
ca acestea sunt posibile, deoarece infractorii pot exploata vulnerabilitățile
din sistemele tale.
Sistemele întreprinderii trebuie protejate în mod adecvat cu cele
mai noi programe anti-virus, firewall-uri și alte sisteme de monitorizare a
amenințărilor și a abilitățile de a răspunde la un atac cibernetic. |
Este posibil ca angajații tăi să lucreze din ce în ce mai mult de
acasă. Ei au nevoie de acces la sisteme de oriunde s-ar afla. Aceasta oferă o
cale către atacatori pentru a avea acces la întreprinderea ta prin inginerie
socială. Aceștia pot trimite e-mailuri rău intenționate, cerând informații
sau parole sau cu malware atașat, sau chiar pot contacta angajații tăi personal
pretinzând că provin din partea suportului IT al întreprinderii.
Angajații întreprinderii trebuie instruiți pentru a evita
amenințările de inginerie socială și a stabili un sistem de răspuns în cazul
în care există totuși o victimă a unei astfel de scheme.
|
În caz de apariție a unor asemenea riscuri, operațiunile, gestionarea relației cu clienții, vânzările și marketing-ul vor fi de asemenea afectate.
Înainte de a imigra în lumea digitală, proprietarii de întreprinderi ar trebui să fie pregătiți să facă față riscurilor asociate tehnologiei digitale și să analizeze toate aspectele de securitate pentru a fi siguri că identifică și dobândesc abilitățile și tehnologiile necesare de protecție. Anticiparea și abordarea riscurilor în avans poate evita problemele mai târziu.
Trei pași simpli, dar eficienți către gestionarea riscurilor digitale sunt:
1. Dezvoltarea unui cadru de risc agil centrat pe consumator
2. Stabilirea unor modele eficiente de control și model de guvernanță
3. Pregătirea pentru schimbări și adaptări constante
Dezvoltarea unui cadru agil
Cu informații și date securizate ce sunt în legătură cu diverse instrumente digitale și software-uri, apar riscuri din mai multe surse, de la atacuri cibernetice, la vulnerabilitatea generală a sistemelor și inclusiv la pierderea datelor. Există, de asemenea, riscuri cu privire la informația privilegiată (insider risks) la care trebuie să fim atenți. Diferiți angajați trebuie să aibă acces la diferite tipuri de date. De exemplu, sectoarele care angajează în mod obișnuit lucrători sezonieri se pot confrunta cu riscul ca aceștia să furnizeze informații sensibile concurenților în sezonul următor.
Când vă dezvoltați cadrul de supraveghere, fiți conștienți de domeniile de activitate care pot fi afectate, cum ar fi:
|
Categoria de risc |
Acțiuni pentru îndepărtarea riscului |
|
Schimbul digital de informații cu lanțurile de
aprovizionare |
● Verifică canalul de comunicații ● Protecția datelor și drepturile de proprietate asupra informației și a datelor trebuie să fie prescris reglementată în contractile tale cu partenerii |
|
Angajați cu acces la date sensibile |
● Clarifică fișa postului fiecărui angajat ● Clarifică distribuirea muncii după principiul ”între patru ochi” ● Oferă acces limitat și diferențiat la datele sensibile, în bază de unui sistem de parole (care ar trebui actualizat în mod automatizat) |
|
Accesarea platformelor
terțe și a informațiilor stocate în aceste sisteme |
● Controlează vânzătorii tăi, compilează o listă de servicii pe care aceștia le prestează și circuitul de informații pe care îl include ● Focusează-te pe managementul formal al vânzătorilor pe bază de contract ● Creează acces limitat și securizat |
|
Sisteme care nu sunt
complet integrate și au intervenții manual |
● Automatizează funcțiile maxim posibil (de exemplu colectarea, corectarea și raportarea datelor) |
|
Eșecul infrastructurii
primare |
● Asigură-te cu sisteme de rezervă în cazul în care cele primare eșuează |
Stabilirea unor controale efective
Stabilirea unor controale eficiente asupra noilor modele de lucru, inclusiv asupra muncii de la distanță sau a practicelor hibride implică:
● securitate web și e-mail mai eficientă
● gestionarea restanțelor (procesele care nu sunt executate corect până la urmă sau prin toate sistemele, cum ar fi comenzile online care nu sunt integrate în toate sistemele comerciale și, prin urmare, nu sunt gestionate și livrate la timp)
● autentificare pentru procese și achiziții
● verificarea configurațiilor de securitate cloud
În esență, obiectivul este de a aduce întreprinderea într-o poziție stabilă pentru noul model de operare și de a asigura că aceasta este bine pregătită pentru a face față situațiilor de criză, cum ar fi de exemplu pandemia de coronavirus.
Fii gata să te schimbi și să te adaptezi continuu
Odată ce ai stabilit un cadru și controale adecvate, întreprinderea ta și, în particular, asistența IT trebuie să rămână receptivă la schimbări și la noi riscuri, având în vedere mediul schimbător al lumii digitale. Aceasta înseamnă că odată ce sistemele tale de conducere și control identifică riscul, întreprinderea ta ar trebui să își poată schimba rapid procesele și modul de a face lucrurile pentru a evita riscurile viitoare.
În cele din urmă, securitatea ta IT va presupune:
— asigurarea faptului că suportul IT pentru afacerea ta este stabil și fiabil
— ai un nivel adecvat de securitate cibernetică și ești conștient de posibilele amenințări
Amenințările la adresa securității cibernetice sunt o nouă realitate de afaceri. Pe măsură ce amenințările cibernetice cresc în volum și complexitate, pierderea sau furtul proprietății intelectuale, a datelor clienților și a altor informații sensibile pot pune întreaga întreprindere în pericol. La nivel național, autoritatea responsabilă pentru securitatea cibernetică este Serviciul Tehnologia Informației și Securitate Cibernetică (STISC). În fiecare săptămână, STISC compilează cele mai importante știri referitoare la securitatea cibernetică la nivel internațional într-un articol ce îl plasează pe pagina sa web.
Pierderea sau furtul datelor nu numai că poate duce la întreruperea operațiunilor comerciale, dar poate provoca daune financiare și reputaționale grave și poate afecta integritatea produsului, experiența clienților, încrederea investitorilor, conformitatea cu reglementările în vigoare și multe altele.
Din punct de vedere juridic, în scopul prevenirii pierderii sau furtului datelor cu caracter personal, fiecare deținător al acestor date este obligat să implementeze un document ce va prevedea politicile de securitate al datelor cu caracter personal. Acest document trebuie să includă:
— identitatea persoanei responsabile de politica de securitate;
— măsurile concrete de securitate;
— mecanismul de punere în aplicare a măsurilor de securitate;
— nomenclatorul datelor cu caracter personal prelucrate, a localizării acestora şi a operaţiunilor efectuate asupra lor;
— lista nominală a utilizatorilor autorizați să acceseze datele cu caracter personal;
— configurarea sistemului informațional de date cu caracter personal şi a rețelei;
— descrierea detaliată a criteriilor în conformitate cu care sînt accesibile datele cu caracter personal prelucrate în registrul ținut manual;
— documentația tehnică cu privire la controalele de securitate;
— orarul controalelor de securitate;
— măsurile de detectare a cazurilor de acces şi/sau de prelucrare neautorizată a datelor cu caracter personal;
— rapoarte despre incidentele de securitate.
Poți face următorii pași pentru a-ți construi sau a-ți îmbunătăți securitatea cibernetică.
o Definește controlul asupra informațiilor pe care le soliciți și le distribui;
o Asigură-te că dispozitivele și sistemele pe care le utilizezi pentru a-ți conduce afacerea sunt sigure și fiabile, cu parole puternice;
o Asigură-te că faci în mod regulat o copie de siguranță a datelor critice ale companiei și că testezi planurile pentru restaurarea copiilor de rezervă;
o Dacă afacerea ta efectuează plăți online, asigură-te că sunt complet sigure și de încredere, deoarece clienții sunt de obicei foarte sensibili când vine vorba de datele lor cu caracter personal;
o Asigură-te că instalezi produse moderne, complete de securitate cibernetică, care includ soluții antivirus, firewall-uri și alte sisteme de monitorizare și detectare a amenințărilor;
o Consultă ghidul proiectat de STISC, pentru a prelua cele mai bune practici în domeniul securității cibernetice.
Instruiește-ți angajații privind soluțiile și opțiunile tehnologice disponibile și, cel mai important, despre riscuri.
