PWC: Riscurile cibernetice cresc in contextul geopolitic actual. Ce sa faca companiile? |
Digitalizarea in Constructii & Industrie Publicat de Stelian DINCA 11 Apr 2022 10:57 |
Riscul global al amenintarii cibernetice se intensifica atunci cand exista conflicte sau tensiuni geopolitice, atacurile cibernetice sponsorizate de state escaladand in astfel de situatii. Recent, presedintele SUA a facut apel la companiile si organizatiile private din SUA sa-si „blocheze portile digitale” fiind foarte posibile atacuri cibernetice in contextul razboiului dintre Rusia si Ucraina. Insa avertismentul este valabil pentru toate organizatiile la nivel mondial, fiind esential ca acestea sa ia masuri conforme cu gravitatea situatiei.
Astfel, companiile trebuie sa monitorizeze permanent expunerea la riscurile cibernetice, sa-si consolideze capacitatile de detectare a amenintarilor, sa utilizeze o politica de parole puternice, sa se asigure ca patch-urile de securitate pot fi aplicate la timp si corespunzator si sa securizeze backup-ul datelor.
De asemenea, definirea unor planuri adecvate de continuitate a afacerii si recuperare in caz de crize este primordiala in gestionarea acestora. La fel de importante sunt si instruirea angajatilor cu privire la rolul lor in prevenirea atacurilor cibernetice si raportarea oricarei activitati cibernetice anormale sau rau intentionate catre institutiile locale de reglementare.
Avand experienta ultimilor doi de pandemie in care atacurile cibernetice s-au intensificat si au devenit din ce in ce mai sofisticate, companiile sunt mai constiente de riscuri, multe dintre ele si-au elaborat strategii si aloca bugete mai mari de investitii. Intrebarea este insa daca aceste investitii sunt eficiente si pot raspunde tuturor vulnerabilitatilor care pot aparea.
Cum ar trebui alocate investitiile, pentru a fi eficiente in orice situatie?
Potrivit raportului Digital Trust Insights 2022 realizat de PwC, 69% dintre organizatiile la nivel global au bugete mai mari pentru investitii in securitatea cibernetica in acest an, fata de 55% in 2021. Totusi, desi investitiile in securitatea cibernetica au crescut foarte mult, cel mai adesea ele au fost defensive si reactive la multitudinea de amenintari din mediul digital, iar randamentele nu au fost cele scontate. Spre exemplu, doar 20% dintre companiile din Europa Centrala si de Est (ECE) spun ca au vazut beneficii pana in prezent in urma investitiilor efectuate, arata acelasi raport.
Concluzia este ca solutiile de securitate cibernetice nu trebuie sa raspunda doar provocarilor de azi, ci trebuie sa adreseze vulnerabilitatile pe termen lung si la urmatoarea generatie de amenintari. Desi deciziile de finantare trebuie bazate pe propriul set de riscuri si nevoi, strategiile de investitii cibernetice nu sunt neaparat intuitive. Experienta PwC arata ca 30-40% din investitiile cibernetice ar trebui sa fie cheltuite pentru protectie, aproximativ 30% pentru detectare si aproximativ 30% pentru raspuns si recuperare. Aceasta abordare echilibrata a investitiilor constituie un punct de plecare in ceea ce priveste modul in care ar trebui prioritizate investitiile si de ce.
Expertii PwC recomanda cateva strategii de investitii cibernetice eficiente:
Utilizarea initiativelor cibernetice pentru a contribui la crearea si sustinerea valorii, mai degraba decat la simpla protectie a valorii.
In timp ce multe organizatii se concentreaza in continuare pe protectia valorii, exista o nevoie tot mai mare de creare de valoare. Organizatiile care leaga strategia de afaceri de riscurile cibernetice se concentreaza pe imbunatatirea experientei clientilor/angajatilor, pe cresterea veniturilor si pe imbunatatirea gestionarii costurilor. Raportul Global Digital Trust Insights 2022 arata ca mai mult de jumatate dintre directorii executivi au stabilit obiective mai largi, legate de crestere, pentru echipele lor de securitate, in comparatie cu asteptarile mai restranse, pe termen scurt, de aparare si control.
Tehnologiile nu trebuie sa determine strategiile de investitii
Achizitia de produse sau solutii individuale fara a avea un plan general de utilizare a acestora ar putea avea ca rezultat un amalgam de instrumente, cu functii redundante, care nu se pot sincroniza in mod corespunzator sau nu pot oferi o acoperire adecvata, ceea ce ar putea duce la o pierdere de timp si de bani. In ansamblu, investitiile ar trebui sa asigure acoperirea celor mai mari riscuri ale companiei si atenuarea lacunelor majore si sa construiasca agilitatea pentru a lupta impotriva urmatoarei amenintari, potential necunoscute.
Abordarea investitiilor bazata pe date
Cand vine vorba de investitii cibernetice, nu exista o strategie unica pentru toate companiile. Acestea pot opta pentru programe si procese concepute special pentru a raspunde nevoilor lor de securitate, indiferent de ceea ce fac concurentii sau de ce tehnologii sunt in prim plan.
Dar mai putin de unul din trei respondenti la sondajul Global Digital Trust Insights 2022 realizat de PwC spun ca au integrat instrumente de analiza si de business intelligence in modelul lor operational pentru a lua decizii privind investitiile cibernetice si gestionarea riscurilor. Acesti respondenti au obtinut cel mai mic punctaj in ceea ce priveste capacitatea lor de a transforma datele in insight-uri pentru cuantificarea riscurilor cibernetice, modelarea amenintarilor, crearea de scenarii si analiza predictiva - toate acestea fiind esentiale pentru decizii inteligente in materie de securitate cibernetica.
Cuantificarea riscului cibernetic ajuta companiile sa adopte o abordare sistematica pentru evaluarea noilor amenintari. De exemplu, permite unei companii orientate spre achizitii sa evalueze oportunitatile de tranzactii mai rapid si mai sistematic, iar o institutie financiara poate evalua amenintarile si vulnerabilitatile zilnic sau saptamanal pentru a proteja milioane de tranzactii pe zi si pentru a ramane alerta daca controalele lor sunt eficiente.
In concluzie, strategia de securitate cibernetica trebuie sa fie vizionara, anticipand ceea ce va urma si pregatind terenul astfel incat initiativele viitoare sa fie implementate in siguranta. Si presupune regandirea bugetelor cibernetice, cuantificarea riscurilor cibernetice, construirea rezilientei si pregatirea echipelor de securitate pentru viitor.
*** Articol scris de Mircea Bozga (foto), Partener PwC Romania si Robert Girdoc, Senior Manager PwC Romania.
|