„În România, atacurile cibernetice se află pe locul cinci în topul amenințărilor la adresa perspectivelor de dezvoltare a companiilor, arată sondajul CEO Survey România 2021, astfel că, dacă, în trecut, securitatea informatică era o problemă doar a departamentului IT, în acest moment a devenit o prioritate pe agenda directorilor generali, necesitând o abordare strategică și reprezentând o responsabilitate a întregii organizații. Dincolo de supraveghere și protecție din punct de vedere tehnic în fața pericolelor, eforturile de securitate trebuie să se concentreze și pe inițiative de digitalizare a modelelor de business, ecosistemelor și proceselor interne”, spuneau cei de la PwC România la finele lui 2021.
Directoratul Național de Securitate Cibernetică (DNSC) a prezentat acum câteva săptămâni un ghid privind securitatea cibernetică pentru IMM-uri, care însoțește practic un raport mai detaliat al Agenției UE pentru Securitate Cibernetică (disponibil aici).
Primul pas ar fi crearea unei culturi a securității cibernetice: cine e responsabil de asta, cum câștigăm implicarea angajaților, auditul de securitate cibernetică, făcut în mod regulat, de auditori independenți, care nu au legătură cu operațiunile de IT derulate zilnic, protecția datelor personale.
Asigurați instruirea adecvată a angajaților, recomandă Agenția: „Oferiți regulat angajaților instruire privind conștientizarea securității cibernetice, pentru a vă asigura că pot recunoaște și gestiona diversele amenințări cibernetice. Aceste sesiuni de instruire ar trebui să fie adaptate IMM-urilor și să se axeze pe situații din viața reală. Asigurați instruire specializată în domeniu responsabililor cu gestionarea securității cibernetice din cadrul întreprinderii, pentru a vă asigura că dispun de aptitudinile și competențele necesare pentru a-și îndeplini atribuțiile”.
În 2020, primul an de pandemie, scriam despre prevenirea fraudelor cibernetice pornind de la serie de recomandări pentru departamentele financiar-contabile, adesea ținte pentru atacatori, care încearcă să obțină acces la date bancare și alte informații esențiale sub pretextul unor e-mailuri care par autentice, provenite de la organele fiscale, de la colaboratori și parteneri de business. Aici, practic, diferența în materia securității o face instruirea angajaților.
„Asigurați-vă că toți furnizorii, mai ales cei cu acces la date și/sau sisteme sensibile, sunt gestionați în mod activ și că aplică nivelurile de securitate convenite. Ar trebui încheiate acorduri contractuale pentru reglementarea modului în care furnizorii îndeplinesc cerințele de securitate respective”, prevede, în continuare, ghidul publicat de DNSC.
Ghidul amintește și de subiectul securizării accesului la sisteme, adică modul în care se aleg cuvintele sau frazele de acces:
- alegeți o parolă lungă, cu litere mici și mari, eventual cu numere și caractere speciale;
- evitați cuvintele evidente cum ar fi „parolă” și secvențele de litere sau cifre precum „abc” sau „123”;
- nu folosiți informații personale care pot fi găsite online.
Foarte important, aproape de nelipsit, este planul de răspuns la incidentele de securitate: „Elaborați un plan formal de răspuns la incidente care să conțină instrucțiuni, roluri și responsabilități clare, pentru a vă asigura că toate incidentele de securitate cibernetică sunt soluționate prompt, profesional și corespunzător. Pentru a răspunde rapid amenințărilor de securitate, cercetați ce instrumente ar putea monitoriza și crea alerte atunci când au loc activități suspecte sau încălcări ale securității”.
Ghidul atinge și subiectul securizării dispozitivelor prin măsuri precum utilizarea antivirusului, criptare, actualizarea permanentă a softurilor, precum și modurile recomandate, absolut necesare pentru securizarea rețelelor, dar și existența copiilor de rezervă, necesare pentru a putea recupera informațiile esențiale.