|
Mindset-ul asupra riscului cibernetic în IMM-uri
Note introductiveApasa pentru a citi 
| |
Conținutul acestui modul de formare este o continuare neoficială a EntreComp pentru pregătirea pentru riscul cibernetic.
În unitățile anterioare, am prezentat câteva cadre utile pentru o mai bună pregătire în evaluarea riscurilor și amenințărilor cibernetice care provin din mediul IT.
|
| |
În secțiunea următoare, vom oferi cursanților roadmap-uri conceptuale care pot fi folosite în securitatea cibernetică, pregătirea cibernetică și reziliența cibernetică din perspectiva asigurării calității și a managementului riscului.
Acum, când întreprinderile și organizațiile se confruntă cu o expunere exponențială la amenințările cibernetice, securitatea cibernetică devine o preocupare majoră nu numai pentru specialiștii IT, ci și pentru profesioniștii și experții care activează în domeniul managementului riscurilor.
Organizațiile se bazează din ce în ce mai mult pe mijloace/instrumente digitale pentru a-și planifica, gestiona și dezvolta activitățile, iar orice întrerupere a „lanțului valoric digital” se traduce prin consecințe grave pentru care mulți sunt în mare parte nepregătiți.
|
 |
Există o concepție greșită comună despre securitatea cibernetică, și anume: securizarea sistemelor IT în fața amenințărilor cibernetice implică proceduri complexe și extrem de sofisticate în domeniul informaticii. |
| |
Deși este cu siguranță adevărat că profesioniștii în securitate cibernetică dispun de expertiză în inginerie avansată și de un know-how, o mentalitate cibernetică este la îndemâna tuturor...
|
|
Punctele cheie ale unui raport IBM din 2021 indică faptul că reziliența cibernetică presupune câteva acțiuni simple:
• Investiția în prevenire (i.e. identificarea riscurilor și evaluarea)
• Modulul de securitate Zero-Trust (“cine a avut acces la datele tale?”)
• Testarea la stres (măsurarea și evaluarea strategiilor de reziliență internă)
• [relevante în era de lucru inteligent] gestionarea identității și a accesului pentru a gestiona telemunca
• Programe de conformitate: promovarea culturii cibernetice la nivel interfuncțional
• Reducerea complexității (“a fi simplu, dar sofisticat”)
• Reducerea lipsei de competențe
|
|
 |
De fapt, dovezile din raportul menționat anterior indică faptul că principalele cauze care acționează ca perturbatori suplimentari sunt asociate mai degrabă factorilor umani decât ineficiențelor tehnologice::
|
Plase de siguranță
|
Perturbatori |
|
Testarea echipei roșii
|
„Grupul operativ” pentru managementul riscului
|
Erori de conformitate |
|
Platfărmo de AI
|
Prevenirea pierderilor de date
|
Migrare în Cloud |
|
Implicarea consiliului
|
Criptare extinsă
|
IoT / OT impacted |
|
CISO experimentat
|
Formarea unei echipe de PR |
Device-uri pierdute sau furate |
|
Routine de limitare a riscului
|
Asigurare cibernetică |
Telemuncă |
|
DevSecOps
|
Gestionarea serviciilor de securitate |
Lipsa abilităților de securitate |
|
Threat Intel Sharing
|
Testarea vulnerabilităților |
Birocrație internă complexă
|
|
Instruirea angajaților
|
ID Theft protection
|
Third Party Breach
|
| Analitice de securitate |
|
|
Source: IBM, 2021
Managementul risculuiApasa pentru a citi
Dovezile adunate de partenerii Cyber MSME identifică lipsa unor sisteme de gestionare a riscurilor (cibernetice) ca fiind una dintre cele mai frecvente cauze ale expunerii cibernetice.
 În sine, acest rezultat indică „nerecunoașterea” securității cibernetice ca principală preocupare pentru reziliența și competitivitatea afacerilor.
Managementul riscului cibernetic ar trebui să urmeze aceleași paradigme și aceleași focalizări operative (adică, monitorizarea și evaluarea) ca oricare altă funcție de bază, fiind un indicativ al unei noi pârghii competitive care se află la dispoziția întreprinderilor pentru a se adapta (și a reacționa) la noile amenințări venite din rândul piețelor și societăților.
ISO 31000
Organizația Internațională pentru Standardizare recunoaște în managementul riscului un proces care implică aplicarea sistematică a politicilor, procedurilor și practicilor la activitățile de comunicare și consultanță, stabilirea contextului și evaluarea, tratarea, monitorizarea, revizuirea, înregistrarea și raportarea riscului.
Întrucât toate funcțiile de afaceri rămân legate de eficiența și eficacitatea sistemelor și rețelelor IT care reglementează fluxul sarcinilor lor, managementul riscului cibernetic devine o parte integrantă a procesului decizional strategic și a planificării pe termen lung.
Managementul riscului cibernetic este un proces ciclic și include mecanisme continue orientate spre atingerea unor standarde din ce în ce mai înalte.
Verificare> Evaluare> Reglare fină
ISO 31000, o reprezentare vizuală
Atenuarea riscului ciberneticApasa pentru a citi
Pe baza ISO 31000, modelele interne de management al riscului (cibernetic) ar trebui să reflecte valorile, obiectivele și resursele organizației și să fie în concordanță cu politicile și declarațiile despre obligațiile organizației și cu opiniile părților interesate.
Odată ce organizația stabilește domeniul de aplicare, contextul și criteriul modelului său de management, se recomandă inițierea evaluării propriu-zisă.
Evaluarea presupune un proces în trei etape:
Fluxul de evaluare a risculuiApasa pentru a citi
Sursă: Caliste, J.-P & Heitor, Jone (2020)
Grila de evaluare a risculuiApasa pentru a citi
NASA, Goddard Space Flight Center, Goddard Technical Standard GSFC-STD-0002, Risk Management Reporting
QA pentru igiena cibernetică
Introducere în QAApasa pentru a citi
Profesioniștii și experții din domeniul managementului afacerilor vor fi auzit cu siguranță de Lean Manufacturing, Total Quality Management (TQM), Just In Time (JIT) etc.
Cele pe care tocmai le-am menționat sunt printre cele mai cunoscute cadre de audit pentru managementul calității aplicate la nivel industrial.
Aceste modele au un singur lucru în comun: originile lor sunt din Japonia și au devenit cea mai importantă referință la nivel mondial pentru procedurile de audit și asigurare a calității.
Introducere în QA – KAIZEN Apasa pentru a citi
Ceea ce se știe mai puțin despre TQM și JIT, este „filozofia” de afaceri din care au apărut: Kaizen (改善), tradus literal ca 改 = schimbare,善 = bine.
Cultura Kaizen presupune o evoluție constantă și continuă către standardele de performanță mai înalte.
În jurul anilor 80 a devenit paradigma de afaceri dominantă a industriilor japoneze, cu referire în special la Toyota (adică, Toyota Production System, Toyotism).
… dar și mai puțin cunoscut este faptul că cultura Kaizen nu este un produs complet fabricat în Japonia.
Introducere in QA - DEMING Apasa pentru a citi
|
Modelul Kaizen își are originile într-un program de colaborare industrială transnațională între SUA și Japonia, început la sfârșitul celui de-al Doilea Război Mondial.
Mai precis, începuturile modelului Kaizen actual au fost inspirate de munca unei figuri luminoase din peisajul afacerilor din SUA din acea vreme: W. Edwards Deming (1990-1993).
E. Deming este omul din spatele unuia dintre primele cadre de referință pentru asigurarea calității și pentru audit: modelul DEMING.
|
|
 |
Modelul DEMING
Sursă: Deming, W.E., 1950. Elementary Principles of the Statistical Control of Quality, JUSE.
De-a lungul timpului, modelul DEMING a cunoscut un număr foarte mare de revizuiri promovate de alți autori care îi urmează E. Deming, Kaizen fiind de fapt unul dintre ele.
În zilele noastre, modelul original DEMING a inspirat ISO 9001 pentru principiile managementului calității.
Dintre toate readaptările modelului DEMING, am dori să îl propunem pe cel prezentat într-o perspectivă „evoluționară” (slide-ul următor).
Modelul DEMING avansat
Modelul DEMING - remarci
Adevărata putere a modelului DEMING care i-a permis să treacă testul de timp este că:
• Este simplu de înțeles
• Poate fi aplicat de orice organizație - indiferent de industria pe care o ocupă
• Poate fi aplicat oricărui proces/funcție de business - inclusiv securitatea cibernetică
Începând cu ISO 31000, am văzut că un model cuprinzător de management al riscului ia în considerare un proces transversal și continuu de monitorizare și evaluare.
Ciclul DEMING acoperă ambele priorități, deoarece permite utilizatorilor să:
1. Planifice strategii pentru cele mai potrivite soluții de securitate cibernetică ținând cont de riscurile și setările organizaționale mapate
2. Să le implementeze pe cele menționate anterior
3. Să evalueze și valideze adecvarea acestora
4. Să reacționeze în consecință.
Evaluare formativă vs. evaluare sumativăApasa pentru a citi
Ar putea fi recomandată împărțirea procesului de evaluare (adică, faza de „verificare”) în două etape separate, în funcție de momentul real al evaluării.
| Evaluarea formativă |
Evaluarea sumativă |
| Evaluarea pas cu pas a proceselor și evaluarea zilnică a activităților dumneavoastră. |
După încheierea oricărui rezultat major, priviți înapoi la ceea ce s-a făcut și încercați să comparați cu standardele / așteptările dumneavoastră inițiale.
|
Aspecte cheieApasa pentru a citi
• Managementul riscului trece de la o funcție orizontală la resursele interne cheie pentru a rezulta într-un succes competitiv
• Managementul riscului privit ca un mindset, nu ca o abordare operațională
• Conștientizare → Pregătire → Reziliență
• Atenuarea riscurilor și contramăsuri: identificare, analiză și evaluare
• Evaluarea riscului: Probabilitate VS Impact
• Quality Assurance: îmbunătățire constantă și continuă
|
Redare audio
