Anuarul Top 1.000 Cele mai mari companii din România. Vulnerabilitatea companiilor stă în fiecare angajat

9 mar 2020 Autor: Andrei Ionescu

Este o realitate, indiferent de industrie, faptul că forţa de muncă – atât calificată, cât şi necalificată - este greu de găsit. În încercarea de a deveni mai atractivi, angajatorii sunt din ce în ce mai flexibili şi încearcă să răspundă cerinţelor angajaţilor, cerinţe care sunt pe cât de numeroase, pe atât de diverse, indiferent de generaţie. Una dintre soluţiile oferite de angajatori este telemunca. Analizând evoluţia riscurilor cibernetice, rezultă o nevoie a companiilor, mai mare ca niciodată, de a lua măsuri pentru securizarea datelor, a infrastructurilor, a aplicaţiilor şi a utilizatorilor, oriunde s-ar afla.

Transformarea digitală şi remodelarea felului în care operează companiile depind în mod direct de tehnologie şi de comunicaţiile electronice, care oferă oportunităţi poate neimaginate înainte de apariţia internetului, însă aduc şi noi vulnerabilităţi ce ar putea fi exploatate de atacatori cibernetici. Totul trebuie să fie interconectat, uşor accesibil, personalizat cât se poate de mult, preferabil, cu ajutorul unor tehnologii de ultimă generaţie, şi fără îndoială în strictă conformitate cu toate reglementările – amintesc doar faimosul GDPR - şi bunele practici în domeniu, cum ar fi „secure by design“ sau „privacy by design“, testarea oricărei soluţii înainte de a intra în producţie sau pentru orice modificare.

Este esenţial ca organizaţiile să considere securitatea cibernetică un element important pentru transformarea şi adaptarea mediului de lucru la nevoile actuale. Dar echipamentele şi soluţiile de securitate nu sunt suficiente. Angajaţii joacă un rol esenţial în tot acest sistem, atât cei specializaţi, care au rolul de a monitoriza şi a interveni în cazul unui atac, cât şi cei din alte arii, pentru că pot genera vulnerabilităţi prin acţiunile lor.

Unele organizaţii fac greşeala de a se limita doar la acei angajaţi cu roluri specifice securităţii cibernetice sau domeniului IT, care, într-adevăr, trebuie să fie foarte bine pregătiţi. Însă cea mai mare vulnerabilitate a unei organizaţii este şi va rămâne întreg personalul disponibil care are acces de orice fel în organizaţie, indiferent de rolul pe care îl deţine. Pregătirea acestor angajaţi este în egală măsură necesară, de exemplu, prin programe de conştientizare şi chiar testare periodică.

Atacurile de inginerie socială cresc de la an la an, sunt tot mai complexe, folosesc noile tehnologii şi aplicaţii utilizate atât în mediul de lucru, cât şi în viaţa privată. Reţelele de socializare sunt sursa preferată de hackeri pentru colectarea de informaţii în faza de pregătire a unui atac de tip phishing - data de naştere, numele angajatorilor, adrese de e-mail etc.

Cel mai recent studiu Deloitte „The future of cyber“ arată că acţiunile angajaţilor bine intenţionaţi reprezintă una dintre cele mai mari surse de ameninţări cibernetice, conform celor 500 de participanţi la studiu, executivi responsabili de securitate cibernetică. Studiul insistă pe nevoia adoptării de către companii a unei culturi organizaţionale „cyber-aware“ şi a unei abordări „secure-by-design“, pornind de la un cadru strategic de risc cibernetic. Iniţiativele de transformare digitală nu sunt întotdeauna sprijinite corespunzător de echipele de conducere, iar bugetele care privesc securitatea cibernetică sunt încă gestionate ca şi când ar aborda probleme tradiţionale de IT, în loc să fie văzute ca mijloace prioritare care facilitează transformarea.

Concluzia este evidentă, dar nu uşor şi nici rapid de implementat: securitatea cibernetică necesită atenţia directă a echipei de conducere executivă, un buget solid, oameni pregătiţi, tehnologie, procese corespunzătoare. Mai necesită un lider cu autoritate şi putere de decizie, colaborare şi flexibilitate a organizaţiei. Oricât de sumbru ar suna, din păcate nicio organizaţie, oricât de puternică şi de matură ar fi, nu poate face faţă singură ameninţărilor cibernetice la care sunt expuşi angajaţii, clienţii şi partenerii săi.

Andrei Ionescu este Partener Coordonator Consultanţă şi Managementul Riscului, Deloitte România