Δέκα πρακτικά βήματα που μπορούν και πρέπει να ακολουθήσουν οι επιχειρήσεις στο σημερινό σύνθετο ψηφιακό περιβάλλον, με στόχο την ασφάλεια και την ενίσχυση της ανθεκτικότητας έναντι των πιθανών κινδύνων περιλαμβάνει ο οδηγός του Συνδέσμου Ελληνικών Βιομηχανιών για την κυβερνοασφάλεια.
«Οι επιχειρήσεις αποδίδουν όλο και μεγαλύτερη σημασία στον ψηφιακό μετασχηματισμό, με το 54,4% των μεγάλων επιχειρήσεων και το 40% των μικρομεσαίων επιχειρήσεων να τοποθετούν τον ψηφιακό μετασχηματισμό στο επίκεντρο της στρατηγικής τους. Οι πόροι του νέου ΕΣΠΑ και του Ταμείου Ανάκαμψης και Ανθεκτικότητας αναμένεται να συμβάλλουν στην περαιτέρω ενίσχυση της ψηφιακής ωριμότητας των επιχειρήσεων» επισημαίνει χαρακτηριστικά η διευθύντρια του τομέα βιομηχανίας, ανάπτυξης, τεχνολογίας και καινοτομίας του ΣΕΒ, Μάγκυ Αθανασιάδη.
Στο πλαίσιο αυτό, ο Οδηγός Κυβερνοασφάλειας του ΣΕΒ υποδεικνύει 10 βήματα που θα πρέπει να ακολουθήσουν οι επιχειρήσεις για την πληρέστερη θωράκιση αλλά και την άμεση ετοιμότητά τους σε περίπτωση κυβερνοεπίθεσης.
- 1ο βήμα: Χαρτογράφηση και αξιολόγηση της ανθεκτικότητας της επιχείρησης σε επιθέσεις και κυβερνοαπειλές. Αυτό θα πρέπει να γίνει εσωτερικά ή με τη βοήθεια εξωτερικών συνεργατών.
- 2ο βήμα, κατάρτιση ενός οδικού χάρτη δράσης που περιλαμβάνει τη στρατηγική και τις διαδικασίες ψηφιακής άμυνας, καθώς και τις ενέργειες για την αναβάθμιση των συστημάτων, την κατάρτιση διαδικασιών και πρωτοκόλλων για τη διαχείριση περιστατικών αλλά και την ευαισθητοποίηση των ανθρώπων της επιχείρησης έναντι των κυβερνοεπιθέσεων.
- 3ο βήμα, οι ευθύνες και οι αρμοδιότητες για την κυβερνοασφάλεια να κατανέμονται στο πλαίσιο ενός μηχανισμού που ορίζει ποιες διαδικασίες ενεργοποιούνται, ποιοι εμπλέκονται και βάσει ποιων πρωτοκόλλων δρουν.
- 4ο βήμα, η ψηφιακή θωράκιση εξοπλισμού, συστημάτων και διασυνδεδεμένων συσκευών της επιχείρησης, καθώς αποτελούν δυνητική δίοδο πρόσβασης στο δίκτυο μιας επιχείρησης, τις λειτουργίες και τα δεδομένα της. Για να προστατευτούμε από κακόβουλες απειλές θα πρέπει για παράδειγμα να φροντίσουμε ώστε να υπάρχουν ασφαλείς κωδικοί στα email μας.
- 5ο βήμα, εκπαίδευση και ευαισθητοποίηση του προσωπικού, καθώς το ανθρώπινο λάθος αποτελεί το συνηθέστερο παράγοντα επιτυχίας μιας κυβερνοεπίθεσης. Πρέπει να γίνονται σεμινάρια και ενημερώσεις στους υπαλλήλους, που θα καλλιεργούν μια κουλτούρα κυβερνοασφάλειας.
- 6ο βήμα, ένταξη της κυβερνοασφάλειας στο πλάνο επιχειρησιακής συνέχειας (Business Continuity Plan – BCP) της επιχείρησης. Ένα ολοκληρωμένο πλάνο προβλέπει σενάριο αντίδρασης σε κυβερνοκινδύνους, αλλά και προσδιορίζει προδραστικές ενέργειες για τη γρήγορη ανάκαμψη σε περίπτωση χτυπήματος από χάκερς.
- 7ο βήμα, διαμόρφωση σχεδίου αντιμετώπισης περιστατικών (Incident Response Plan) με το σχεδιασμό ενεργειών προετοιμασίας για την αντιμετώπιση κυβερνοεπίθεσης, ενεργειών διαχείρισης του περιστατικού και ενεργειών ανάκαμψης από αυτό.
- 8ο βήμα, υιοθέτηση προτύπων και πιστοποιήσεων, με έμφαση στην ασφάλεια πληροφοριών, τη διαχείριση κινδύνων και την προστασία της ιδιωτικότητας, που εκτός των άλλων ενισχύει τη φήμη και την εμπιστοσύνη μεταξύ της επιχείρησης και των συνεργατών της. Η κανονιστική συμμόρφωση σε διεθνή πρότυπα και πιστοποιήσεις, μεταφράζεται σε συστηματική τήρηση αξιόπιστων επιπέδων κυβερνοασφάλειας και προστασίας δεδομένων, και αντανακλά τη δέσμευση της επιχείρησης σε καλές πρακτικές εταιρικής διακυβέρνησης.
- 9ο βήμα, ασφάλιση έναντι κυβερνοεπιθέσεων που λειτουργεί συμπληρωματικά και συνδυάζει ασφαλιστική προστασία με εργαλεία διαχείρισης κινδύνου. Τα ασφαλιστικά προϊόντα cyber insurance προσφέρουν ένα δίχτυ προστασίας για τις οικονομικές ζημιές, μετριάζοντας τον κίνδυνο πλήγματος και την εταιρική φήμη.
- 10ο βήμα, κυβερνοπροστασία κατά μήκος όλης της αλυσίδας αξίας του οργανισμού, με απαιτήσεις για πιστοποιήσεις ασφαλείας από όλους τους πελάτες, προμηθευτές και συνεργάτες μιας επιχείρησης.