Mircea Bozga, Partener PwC România
Robert Girdoc, Senior Manager PwC România
Riscul global al amenințării cibernetice se intensifică atunci când există conflicte sau tensiuni geopolitice, atacurile cibernetice sponsorizate de state escaladând în astfel de situații. Recent, președintele SUA a făcut apel la companiile și organizațiile private din SUA să-și „blocheze porțile digitale” fiind foarte posibile atacuri cibernetice în contextul războiului dintre Rusia și Ucraina. Însă avertismentul este valabil pentru toate organizațiile la nivel mondial, fiind esențial ca acestea să ia măsuri conforme cu gravitatea situației.
Astfel, companiile trebuie să monitorizeze permanent expunerea la riscurile cibernetice, să-și consolideze capacitățile de detectare a amenințărilor, să utilizeze o politică de parole puternice, să se asigure că patch-urile de securitate pot fi aplicate la timp și corespunzător și să securizeze backup-ul datelor.
De asemenea, definirea unor planuri adecvate de continuitate a afacerii și recuperare în caz de crize este primordială în gestionarea acestora. La fel de importante sunt și instruirea angajaților cu privire la rolul lor în prevenirea atacurilor cibernetice și raportarea oricărei activități cibernetice anormale sau rău intenționate către instituțiile locale de reglementare.
Având experiența ultimilor doi de pandemie în care atacurile cibernetice s-au intensificat și au devenit din ce în ce mai sofisticate, companiile sunt mai conștiente de riscuri, multe dintre ele și-au elaborat strategii și alocă bugete mai mari de investiții. Întrebarea este însă dacă aceste investiții sunt eficiente și pot răspunde tuturor vulnerabilităților care pot apărea.
Cum ar trebui alocate investițiile, pentru a fi eficiente în orice situație?
Potrivit raportului Digital Trust Insights 2022 realizat de PwC, 69% dintre organizațiile la nivel global au bugete mai mari pentru investiții în securitatea cibernetică în acest an, față de 55% în 2021. Totuși, deși investițiile în securitatea cibernetică au crescut foarte mult, cel mai adesea ele au fost defensive și reactive la multitudinea de amenințări din mediul digital, iar randamentele nu au fost cele scontate. Spre exemplu, doar 20% dintre companiile din Europa Centrală și de Est (ECE) spun că au văzut beneficii până în prezent în urma investițiilor efectuate, arată același raport.
Concluzia este că soluțiile de securitate cibernetice nu trebuie să răspundă doar provocărilor de azi, ci trebuie să adreseze vulnerabilitățile pe termen lung și la următoarea generație de amenințări. Deși deciziile de finanțare trebuie bazate pe propriul set de riscuri și nevoi, strategiile de investiții cibernetice nu sunt neapărat intuitive. Experiența PwC arată că 30-40% din investițiile cibernetice ar trebui să fie cheltuite pentru protecție, aproximativ 30% pentru detectare și aproximativ 30% pentru răspuns și recuperare. Această abordare echilibrată a investițiilor constituie un punct de plecare în ceea ce privește modul în care ar trebui prioritizate investițiile și de ce.
Experții PwC recomandă câteva strategii de investiții cibernetice eficiente:
Utilizarea inițiativelor cibernetice pentru a contribui la crearea și susținerea valorii, mai degrabă decât la simpla protecție a valorii.
În timp ce multe organizații se concentrează în continuare pe protecția valorii, există o nevoie tot mai mare de creare de valoare. Organizațiile care leagă strategia de afaceri de riscurile cibernetice se concentrează pe îmbunătățirea experienței clienților/angajaților, pe creșterea veniturilor și pe îmbunătățirea gestionării costurilor. Raportul Global Digital Trust Insights 2022 arată că mai mult de jumătate dintre directorii executivi au stabilit obiective mai largi, legate de creștere, pentru echipele lor de securitate, în comparație cu așteptările mai restrânse, pe termen scurt, de apărare și control.
Tehnologiile nu trebuie să determine strategiile de investiții.
Achiziția de produse sau soluții individuale fără a avea un plan general de utilizare a acestora ar putea avea ca rezultat un amalgam de instrumente, cu funcții redundante, care nu se pot sincroniza în mod corespunzător sau nu pot oferi o acoperire adecvată, ceea ce ar putea duce la o pierdere de timp și de bani. În ansamblu, investițiile ar trebui să asigure acoperirea celor mai mari riscuri ale companiei și atenuarea lacunelor majore și să construiască agilitatea pentru a lupta împotriva următoarei amenințări, potențial necunoscute.
Abordarea investițiilor bazată pe date.
Când vine vorba de investiții cibernetice, nu există o strategie unică pentru toate companiile. Acestea pot opta pentru programe și procese concepute special pentru a răspunde nevoilor lor de securitate, indiferent de ceea ce fac concurenții sau de ce tehnologii sunt în prim plan.
Dar mai puțin de unul din trei respondenți la sondajul Global Digital Trust Insights 2022 realizat de PwC spun că au integrat instrumente de analiză și de business intelligence în modelul lor operațional pentru a lua decizii privind investițiile cibernetice și gestionarea riscurilor. Acești respondenți au obținut cel mai mic punctaj în ceea ce privește capacitatea lor de a transforma datele în insight-uri pentru cuantificarea riscurilor cibernetice, modelarea amenințărilor, crearea de scenarii și analiza predictivă – toate acestea fiind esențiale pentru decizii inteligente în materie de securitate cibernetică.
Cuantificarea riscului cibernetic ajută companiile să adopte o abordare sistematică pentru evaluarea noilor amenințări. De exemplu, permite unei companii orientate spre achiziții să evalueze oportunitățile de tranzacții mai rapid și mai sistematic, iar o instituție financiară poate evalua amenințările și vulnerabilitățile zilnic sau săptămânal pentru a proteja milioane de tranzacții pe zi și pentru a rămâne alertă dacă controalele lor sunt eficiente.
În concluzie, strategia de securitate cibernetică trebuie să fie vizionară, anticipând ceea ce va urma și pregătind terenul astfel încât inițiativele viitoare să fie implementate în siguranță. Și presupune regândirea bugetelor cibernetice, cuantificarea riscurilor cibernetice, construirea rezilienței și pregătirea echipelor de securitate pentru viitor.