Κυβερνοασφάλεια: κλειδί στη διαμόρφωση της ψηφιακής εταιρικής κουλτούρας

Οι περισσότερες περιπτώσεις παραβίασης προσωπικών δεδομένων που καταγράφονται είναι αποτέλεσμα ανθρώπινου λάθους. Μελετώντας την ανθρώπινη συμπεριφορά των χρηστών στο διαδίκτυο και λαμβάνοντας υπόψη την εταιρική κουλτούρα των επιχειρήσεων σε θέματα κυβερνοασφάλειας, η Mazars μπορεί να βοηθήσει στο σχεδιασμό αποτελεσματικών και εύκολα εφαρμόσιμων πολιτικών σε θέματα κυβερνοασφάλειας.

Οι πολιτικές αυτές αφορούν την ασφαλή πλοήγηση στο διαδίκτυο αλλά και την οργάνωση εκπαιδευτικών προγραμμάτων που περιλαμβάνουν εύκολες εργασιακές πρακτικές που έχουν ως σκοπό τη μείωση των κινδύνων στον κυβερνοχώρο. 

Γιατί η ανθρώπινη συμπεριφορά αποτελεί απειλή για την ασφάλεια στον κυβερνοχώρο;

Οι μεγάλοι οργανισμοί και οι επιχειρήσεις είναι αντιμέτωπες με τον κίνδυνο μιας κυβερνοαπειλής τόσο από τους εγκληματίες του διαδικτύου όσο και από τα ίδια τα στελέχη του οργανισμού, που συνήθως δε γνωρίζουν πώς οι κινήσεις τους ή η ιντερνετική τους συμπεριφορά μπορούν να έχουν ολέθριες συνέπειες όσον αφορά τη λειτουργία του οργανισμού αλλά και ως προς τα προσωπικά δεδομένα των πελατών αλλά και του προσωπικού της εταιρείας.

Παραδείγματα κινδύνου στον κυβερνοχώρο από ανθρώπινο λάθος:

  • Άνοιγμα αρχείων ή συνδέσμων σε ύποπτα e-mails (πχ. phishing)
  • Αποστολή ευαίσθητων προσωπικών δεδομένων, από αμέλεια, σε λάθος άτομα

Οι εγκληματίες του διαδικτύου που συνήθως αποκαλούμε χάκερ, εκμεταλλεύονται την ανθρώπινη τρωτότητα και χρησιμοποιούν έξυπνες μεθόδους ώστε να ξεγελάσουν τους χρήστες του διαδικτύου, έτσι ώστε να τους βοηθήσουν να αποκτήσουν εξουσιοδοτημένη πρόσβαση στα πληροφοριακά συστήματα της εταιρείας στην οποία τα θύματά τους εργάζονται αλλά και σε ευαίσθητα προσωπικά δεδομένα. Η πραγματικότητα είναι ότι δεν υπάρχει καμία εταιρεία και κανένας κλάδος που να είναι απόλυτα ασφαλής από τον κίνδυνο μιας κυβερνοεπίθεσης.

Απουσία πολιτικών ασφαλείας, εκπαίδευσης και πληροφόρησης

Οι επιχειρήσεις επενδύουν συνήθως σε περισσότερο χειροπιαστά μέτρα ασφαλείας (όπως είναι το firewall, antivirus κλπ) για να κρατήσουν ασφαλή τα ζωτικής σημασίας αρχεία τους. Συχνά όμως παραβλέπουν τη σημασία που έχει η εφαρμογή επιχειρηματικών μέτρων προστασίας τα οποία περιλαμβάνουν τις πολιτικές αλλά και την συνεχή εκπαίδευση και ευαισθητοποίηση των εργαζόμενων σε θέματα κυβερνοασφάλειας.

Πολιτικές: Συνήθως, δεν υπάρχουν σαφείς πολιτικές σχετικές με την κυβερνοασφάλεια ή αν υπάρχουν είναι υπερβολικά τεχνικές που είναι δυσνόητες στο προσωπικό της εταρείας ή το περιεχόμενό τους είναι ξεπερασμένο.

Εκπαίδευση και ευαισθητοποίηση: Το προσωπικό μιας εταιρείας σπάνια εκπαιδεύεται σε θέματα κυβερνοασφάλειας ή κατανόησης των ψηφιακών κινδύνων. Ακόμη και οι εταιρείες που παρέχουν θεμελιώδη σεμινάρια ενημέρωσης αρκούνται στα βασικά και δεν αξιολογούν την κατανόησή τους από το προσωπικό.

Ρόλοι και αρμοδιότητες: Σε περίπτωση παραβίασης δεδομένων από κυβερνοεπίθεση, τα ανώτερα διοικητικά στελέχη των εταιρειών ή το προσωπικό δεν γνωρίζουν τι πρέπει ακριβώς να κάνουν ως προς την τήρηση των απαιτούμενων διαδικασιών για την αντιμετώπιση του περιστατικού.

H Mazars μπορεί να βοηθήσει την επιχείρησή σας να αλλάξει:

Εκπόνηση στρατηγικού προγράμματος κυβερνοασφάλειας

Εκπόνηση συνολικού σχεδίου για εφαρμογή όλων των απαραίτητων μέτρων προστασίας που πρέπει να υιοθετήσει η επιχείρηση και που περιλαμβάνει την αξιολόγηση του επιπέδου ωριμότητας για εφαρμογή πολιτικών κυβερνοασφάλειας στην αρχή του προγράμματος.

Εκπαίδευση για ηλεκτρονικές απάτες μέσω Phishing

Εφαρμογή εικονικού προγράμματος με ρεαλιστικές ηλεκτρονικές απειλές ηλεκτρονικού ψαρέματος (phishing) στην επιχείρηση μέσα από την επιλογή στελεχών για προσομοίωση.

Πρωταθλητές κυβερνοχώρου

Δημιουργία διαλειτουργικής ομάδας εργασίας για τον εντοπισμό περιπτώσεων πιθανού ανθρώπινου κινδύνου στη χρήση του διαδικτύου και για την προώθηση επιχειρηματικής κουλτούρας που λαμβάνει σοβαρά υπόψη της θέματα σχετικά με την κυβερνοασφάλεια.

Αντιμετώπιση συμβάντος

Πλήρως οργανωμένη και καθορισμένη προσέγγιση ως προς τον χειρισμό οποιασδήποτε κυβερνοαπειλής, μέσα από αναλυτικό σχέδια αντιμετώπισης συμβάντων. Σε αυτό το στάδιο περιλαμβάνεται και  το readiness test που μελετά το επίπεδο ετοιμότητας ενός οργανισμού να αντιμετωπίσει ένα συμβάν κυβερνοεπίθεσης.

Πολιτικές

Ανάπτυξη και προώθηση καινοτόμων και ευκατανοήτων πολιτικών για χρήση του διαδικτύου, σε συνεργασία με όλα τα εμπλεκόμενα τμήματα του οργανισμού.

Ευαισθητοποίηση

Παρέχουμε πληροφόρηση και ευαισθητοποίηση του προσωπικού σε θέματα κυβερνοασφάλειας μέσα από μια σειρά δράσεων και σεμιναρίων.

Εκπαίδευση

Διαδραστικά σεμινάρια εκπαίδευσης του προσωπικού για τις διαδικασίες που έχει υιοθετήσει ο οργανισμός σχετικά με την κυβερνοασφάλεια.

Παρακολούθηση και Αναφορές

Συνεχής παρακολούθηση και υποβολή ειδικών Εκθέσεων σχετικά με την αποτελεσματικότητα του προγράμματος.

Αξιολόγηση Κενών Ασφαλείας Πληροφοριακων Συστημάτων

Εντοπισμός και αξιολόγηση ευπαθειών κυβερνοασφάλειας σε συστήματα και εφαρμογές με τη χρήση σύγχρονων και εξειδικευμένων εργαλείων με σκοπό την πρόληψη κυβερνοεπιθέσεων, εξοικονόμηση κόστους από πιθανή διαρροή δεδομένων ή διακοπή λειτουργίας και προστασία της φήμης της εταιρίας σας.

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              

Contact