
Έμποροι αντιμετωπίζουν προβλήματα κυβερνοασφάλειας
3 Σεπτεμβρίου, 2024
Αυξανόμενες κυβερνοεπιθέσεις στον τομέα της υγειονομικής περίθαλψης
5 Σεπτεμβρίου, 2024Η κυβερνοασφάλεια είναι κρίσιμη για τις επιχειρήσεις, με τις νέες κατευθυντήριες γραμμές της SEC να απαιτούν από τις εταιρείες να αποκαλύπτουν σημαντικά περιστατικά εντός τεσσάρων εργάσιμων ημερών αν όχι αμέσως.
Οι γνωστοποιήσεις πρέπει να περιλαμβάνουν λεπτομέρειες σχετικά με τη φύση, το εύρος και τον αντίκτυπο του συμβάντος.
Το Συνέδριο υπογράμμισε ότι ουσιαστικά δεν απαιτεί την αναφορά κάθε ανεπιθύμητου συμβάντος, αλλά προϋποθέτει την αξιολόγηση του “συνολικού μείγματος” γεγονότων για να διαπιστωθεί τι θα θεωρούνταν πραγματικά σημαντικό.
Στις παραβιάσεις δεδομένων, ορισμένα περιστατικά είναι προφανώς σοβαρά, όπως η μη εξουσιοδοτημένη αποκάλυψη εκτενών ευαίσθητων πληροφοριών. Ωστόσο, περιστατικά που έχουν γρήγορη αποκατάσταση για παράδειγμα, μπορεί να μην απαιτούν τόσο προσεκτική αξιολόγηση, εξαρτάται βέβαια την περίπτωση. Γενικά, οι εταιρείες χρειάζονται περισσότερες από τέσσερις ημέρες για να αξιολογήσουν τις λεπτομέρειες και τον αντίκτυπο της παραβίασης, με τις έγκαιρες ειδοποιήσεις να είναι κρίσιμες, αν και μπορεί να υπάρξουν καθυστερήσεις υπό συγκεκριμένες συνθήκες. Επιπλέον, οι εταιρείες πρέπει να επιδεικνύουν επαρκή διοικητική επίβλεψη όσον αφορά την ασφάλεια στον κυβερνοχώρο, κάτι που μπορεί να είναι δύσκολο όταν οι ειδικοί δεν συμμετέχουν ενεργά στις καθημερινές διαδικασίες.
Ποιά τα επόμενα βήματα για την ασφάλεια στον κυβερνοχώρο;

- Οι εταιρείες θα πρέπει να είναι alert όσον αφορά την ασφάλεια στον κυβερνοχώρο, ξεκινώντας με ένα έμπειρο και αφοσιωμένο διοικητικό συμβούλιο που κατανοεί τη διαχείριση του κινδύνου. Ιδανικά, το συμβούλιο θα πρέπει να περιλαμβάνει έναν ειδικό στον κυβερνοχώρο ή να συμβουλεύεται τουλάχιστον έναν.
- Το διοικητικό συμβούλιο θα πρέπει να διορίσει ένα μέλος C-suite για να επιβλέπει τη στρατηγική της εταιρείας στον τομέα της κυβερνοασφάλειας και της διαχείρισης κινδύνων. Αυτό περιλαμβάνει την επιλογή ενός Chief Information Security Officer (CISO) με την κατάλληλη εμπειρία, προσαρμοσμένη στον κλάδο, τα δεδομένα και το μέγεθος της εταιρείας.
- Ο CISO ή το άτομο που είναι υπεύθυνο για την κυβερνοασφάλεια θα πρέπει να καλύπτεται από την ασφάλιση αστικής ευθύνης Διευθυντών και Αξιωματικών.
- Η εταιρεία οφείλει να παρέχει εκπαίδευση και να αξιολογήσει όλες τις πτυχές του κυβερνοχώρου στο πλαίσιο της δραστηριότητάς της.
- Η ανθεκτικότητα στον κυβερνοχώρο και η αντιμετώπιση των απειλών συχνά απαιτούν σημαντικές επενδύσεις, τις οποίες οι εταιρείες δεν θα πρέπει να παραβλέπουν.
- Η ασφάλεια και η ετοιμότητα μιας εταιρείας θα πρέπει να αξιολογούνται ειλικρινά, κατά προτίμηση από έναν ουδέτερο τρίτο φορέα, και να αναθεωρούνται τακτικά καθώς εξελίσσεται η εταιρεία και το τοπίο των απειλών.
- Ο επιχειρηματικός σχεδιασμός, η ετοιμότητα της εφοδιαστικής αλυσίδας (supply chain) και ο σχεδιασμός για τη συνέχιση της λειτουργίας είναι απαραίτητοι, καθώς οι απειλές πρέπει να θεωρούνται αναμενόμενες και αναπόφευκτες.
- Αντιλαμβανόμενοι ότι μια εταιρεία είναι τόσο ασφαλής όσο ο πιο αδύναμος κρίκος της, οι πολιτικές, διαδικασίες και πρακτικές στον τομέα της κυβερνοασφάλειας πρέπει να επεκτείνονται σε όλα τα σχετικά τρίτα μέρη, συμπεριλαμβανομένων των προμηθευτών και των συνεργατών, συχνά μέσω συμβατικών όρων ή υποχρεώσεων.
- Καθώς οι νομικές απαιτήσεις και οι βέλτιστες πρακτικές συνεχώς εξελίσσονται, οι εταιρείες οφείλουν να δοκιμάζουν και να ανανεώνουν τακτικά τις πολιτικές και τις διαδικασίες τους στον τομέα της κυβερνοασφάλειας, προκειμένου να διασφαλίζουν τη συμμόρφωση με τους ισχύοντες κανονισμούς.