This post was originally published on this site
6 ενέργειες που πρέπει να πραγματοποιήσουν οι διευθύνοντες σύμβουλοι (CEO) κατά τη διάρκεια μιας κυβερνοεπίθεσης
Η κυβερνοεπίθεση είναι ένα από τα σημαντικότερα απειλητικά σενάρια για κάθε εταιρεία στον σύγχρονο ψηφιακό κόσμο. Οι Διευθύνοντες Σύμβουλοι πρέπει να λάβουν αποφασιστικές και άμεσες ενέργειες για την αντιμετώπιση τέτοιων συμβάντων.
Παρακάτω παρουσιάζονται έξι συστάσεις για τους διευθύνοντες συμβούλους (πολύ συχνά παρουσιάζεται το παράδειγμα της Colonial Pipeline και της επίθεσης που δέχτηκε):
1. Προσέχετε πώς επικοινωνείτε με το κοινό.
Η κατάρρευση των τραπεζών αποτελεί το κλασικό παράδειγμα του πώς η αντίδραση του κοινού και η ομαδική ψυχολογία μπορεί να επιδεινώσουν μια κρίση. Η έλλειψη χαρτιού τουαλέτας κατά τη διάρκεια της πανδημίας Covid-19 και η έλλειψη καυσίμων στα πρατήρια λόγω της επίθεσης ransomware αποτελούν παραδείγματα που δείχνουν ότι αυτό το πρόβλημα δεν περιορίζεται μόνο στα οικονομικά ιδρύματα.
Είναι αναγκαίο να είμαστε προσεκτικοί στο πώς και τι επικοινωνούμε στο κοινό. Αυτό όμως δεν σημαίνει ότι πρέπει να αποφεύγουμε την επικοινωνία με το κοινό, αντιθέτως, είναι μια αναγκαιότητα. Οι εταιρείες όμως πρέπει να έχουν μια σκεπτική προσέγγιση. Όπως φαίνεται και από την περίπτωση του Colonial Pipeline, αυτό περιλαμβάνει εταιρείες που σπάνια έχουν να αντιμετωπίσουν το κοινό ως μέρος των καθημερινών τους εργασιών, αλλά μπορεί να χρειαστεί να το κάνουν απροσδόκητα από μια μέρα στην άλλη.
2. Συνεργαστείτε με την κυβέρνηση.
Η απόφαση της Colonial Pipeline να κλείσει το σύστημα αγωγών της έπρεπε να συμβεί γρήγορα, αλλά υπήρχε αναμφισβήτητα αρκετός χρόνος για διαβούλευση με ειδικούς της κυβέρνησης των ΗΠΑ. Η αποσύνδεση του συστήματος του αγωγού σήμαινε ότι, ανεξάρτητα από το αν είχε μολυνθεί, θα χρειαζόνταν μέρες για την επανεκκίνηση, διαταράσσοντας την πραγματική παροχή καυσίμων με όλες τις συνέπειές του που απαιτούσαν κυβερνητική δράση. Ο συντονισμός με την κυβέρνηση είναι το κλειδί για να αποφευχθεί η επιδείνωση μιας κρίσης.
3. Μάθετε με ποιον πρέπει να επικοινωνήσετε.
Για να λάβουν γρήγορα τεκμηριωμένες αποφάσεις και να συντονιστούν με τους κατάλληλους ανθρώπους, οι CEO πρέπει να γνωρίζουν ποιος στην κυβέρνηση είναι η σωστή επαφή. Η επαφή με το ΝΑΤΟ ή τον στρατό, όπως αναφέρουν ορισμένα ανέκδοτα όλα αυτά τα χρόνια, δεν είναι η σωστή απάντηση.
Τούτου λεχθέντος, μερικές φορές η κυβέρνηση δεν διευκολύνει τα εξωτερικά μέρη να εντοπίσουν το κατάλληλο πρόσωπο ή φορέα, επομένως η κυβέρνηση έχει την ευθύνη να παρέχει σαφήνεια.
4. Δημιουργήστε ένα σχέδιο και εφαρμόστε το.
Αυτό είναι ίσως το πιο κρίσιμο σημείο καθώς παρέχει ένα μέσο για την επίτευξη των υπολοίπων. Εκτός από τον ανάπτυξη και την υλοποίηση ενός σχεδίου – ιδανικά υπό την εποπτεία του Διευθύνοντος Συμβούλου – το σχέδιο πρέπει να πραγματοποιείται τουλάχιστον μία φορά τον χρόνο. Οι τακτικές ασκήσεις θα βοηθήσουν την ηγεσία της εταιρείας και το προσωπικό να αποκτήσουν την “μνήμη” που απαιτείται για να ανταποκριθούν αποτελεσματικά σε μια πραγματική κρίση.
5. Γνωρίστε τα networks σας.
Ένας CEO θα έπρεπε να έχει ιδανικά μια υψηλού επιπέδου κατανόηση του πώς αλληλεπιδρούν τα επιχειρηματικά δίκτυα πληροφορικής (IT) και τα δίκτυα λειτουργικής τεχνολογίας (OT) μιας εταιρείας. Αν τα συστήματα είναι air-gapped, δεν υπάρχει λόγος να τερματιστεί το δίκτυο OT εάν η παραβίαση περιορίζεται στο δίκτυο IT.
Η επίθεση ransomware εναντίον της Colonial Pipeline έχει αποδείξει ότι ακόμη και η παράλυση των επιχειρηματικών δικτύων πληροφορικής μπορεί να έχει σημαντικές επιπτώσεις. Εάν μια εταιρεία δεν μπορεί πλέον να εκδίδει τιμολόγια, δεν γνωρίζει ποιοι είναι οι πελάτες της ή πώς να επικοινωνήσει μαζί τους, οι πραγματικές επιπτώσεις μπορεί να είναι εξίσου αναταρακτικές με την πραγματική διακοπή της παραγωγής.
6. Να είστε ταπεινοί και να ζητάτε τη βοήθεια ειδικών.
Η κυβερνοασφάλεια είναι ένας ευρύς όρος που καλύπτει ένα εξαιρετικά περίπλοκο σύνολο προβλημάτων. Ενώ υπάρχουν κοινά σημεία και κάποιο λογισμικό χρησιμοποιείται σε διάφορους τομείς, η κυβερνοασφάλεια των αγωγών είναι πολύ διαφορετική από την ασφάλεια στον κυβερνοχώρο στο πλαίσιο του χρηματοπιστωτικού τομέα, των νοσοκομείων, των σχολείων ή των σιδηροδρόμων. Μια βασική ιδέα μετά από χρόνια συμβάντων στον κυβερνοχώρο που καλύπτουν τομείς είναι να αναγνωρίσουμε τα όρια της γνώσης όλων, συμπεριλαμβανομένων των γνώσεων των ειδικών στον τομέα της ασφάλειας στον κυβερνοχώρο. Επομένως, οι Διευθύνοντες Σύμβουλοι δεν θα πρέπει να διστάζουν να αναζητήσουν βοήθεια εκτός εταιρείας για να βοηθήσουν στην ανάπτυξη, δοκιμή ή βελτίωση ενός σχεδίου ή αναθεώρηση υφιστάμενων διαδικασιών και πολιτικών.
Πέρα από αυτές τις συστάσεις υψηλού επιπέδου, υπάρχουν πολλοί άλλοι πόροι, συμπεριλαμβανομένων οδηγών και λιστών ελέγχου για CEO, μέλη του διοικητικού συμβουλίου και CISO που είναι πιο λεπτομερείς. Η κυβέρνηση των ΗΠΑ, δηλαδή η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), παρέχει επίσης το Stopransomware.gov και το Shields Up ως πόρους που έχουν σχεδιαστεί για χρήση από εταιρείες ανάλογα με το επίπεδο του cybersecurity maturity.
Πηγή πληροφοριών: hbr.org
https://www.secnews.gr/security/
Add Comment