Η ψηφιακή επιχείρηση σας απαιτείται να προστατευτεί από το hacking, πριν να είναι πολύ αργά και αναγκαστικά σπαταλήσει αρκετούς οικονομικούς πόρους για να επαναφέρει την την ιστοσελίδα του πάλι πίσω σε φυσιολογικές συνθήκες.
Συνήθως μία ψηφιακή επιχείρηση στο διαδίκτυο επικαλείται μερικές από τις πιο συνηθισμένες δικαιολογίες για την καθυστέρηση των προσπαθειών τους για ασφάλεια και συμμόρφωση, ούτως ώστε να προστατεύσει τις πληροφορίες των πελατών της, από το χακάρισμα των εισβολέων.
Ωστόσο, δεδομένου των σοβαρών επιπτώσεων μιας μόνο παραβίασης – των αυξανόμενων δαπανών για περιορισμό των ζημιών, των επιπτώσεων της φήμης, της πτώσης των τιμών των μετοχών και της απώλειας θέσεων εργασίας σε ανώτατο επίπεδο – είναι αποτέλεσμα έλλειψης εταιρικής διαφάνειας και υπευθυνότητας, οπότε η κατάσταση απαιτεί να παρθούν πρωτοβουλίες για να προστατευτεί στο μέγιστο η επιχειρηματική σας ικανότητα απέναντι σε απειλές του κυβερνοχώρου.
Για όσους δεν έχουν υποστεί ποτέ παραβίαση δεδομένων στον ιστότοπο τους, είναι εύκολο να απορρίψουν αυτήν την ιδέα ως κάτι που δεν μπορεί να σας συμβεί ποτέ. Ωστόσο, απειλές προέρχονται από όλες τις πλευρές και έχουμε δει σχεδόν 800 παραβιάσεις δεδομένων το 2017 (ρεκόρ μισού έτους στις Ηνωμένες Πολιτείες). Δεν είναι πλέον θέμα εάν θα παραβιαστείτε, αλλά πότε.
Ακόμα κι αν εξακολουθείτε να πιστεύετε ότι ο κίνδυνος παραβίασης που μπορεί να συμβεί σε εσάς είναι τόσο μικρός, όμως οι συνέπειες για την επιχείρησή σας, τους μετόχους σας και τους πελάτες σας, ίσως να είναι τόσο σημαντικές που η επένδυση σας να πάει στράφι, ως εκ τούτου δυστυχώς εξακολουθεί να μην είναι μία συνήθης απόφαση η επαγρύπνηση για προστασία των πληροφοριών σας.
Ακολουθούν τρεις λόγοι για να μην καθυστερήσετε τις προσπάθειες ασφάλειας και συμμόρφωσης και να προστατέψετε τώρα τα δεδομένα των πελατών σας, αν θέλετε να λέγεστε σοβαροί επαγγελματίες.
1. Δαπάνες, πρόστιμα και αποζημιώσεις.
Είναι ειρωνικό το γεγονός ότι όσοι προσπαθούν να εξοικονομήσουν χρήματα με την παρεμπόδιση μίσθωσης επαγγελματιών που ειδικεύονται στην ασφάλεια της ψηφιακής τους επιχείρησης ή ακόμα κι αν γίνει είναι βραχυπρόθεσμη μπορεί να καταλήξουν σε δαπάνες πολύ πέρα από την τιμή μιας λύσης ή ενός προγράμματος συμμόρφωσης.
Στην πραγματικότητα, το μέσο κόστος μιας παραβίασης δεδομένων για τους μεγάλους οργανισμούς είναι 3,62 εκατομμύρια δολάρια. Τα στοιχεία αυτά λαμβάνουν υπόψη τις οικονομικές απώλειες, τις νομικές αμοιβές, τις ελεγκτικές υπηρεσίες, τις αποζημιώσεις των πελατών και πολλά άλλα.
Οι αγωγές κατηγορίας για αμέλεια μπορεί να είναι ακόμη πιο καταστροφικές από οικονομικής απόψεως, όπως παρατηρήθηκε πρόσφατα όταν η αμερικανική ασφαλιστική εταιρεία υγείας, Anthem, συμφώνησε να διευθετήσει μια δίκη για μια παραβίαση δεδομένων που υπέστη το 2015 εξαναγκάστηκε να πληρώσει το ρεκόρ των 115 εκατομμυρίων δολαρίων.
Μπορεί επίσης να προκύψουν νέα κόστη στη διάρκεια της πορείας αν μια παραβίαση σε ένα οργανισμό προκύψουν νέες ξαφνικές, ή μη προγραμματισμένες αλλαγές στο πρόγραμμά της ασφάλειας, οι οποίες θα μπορούσαν να μετριαστούν με τον προγραμματισμό και την προορατική εφαρμογή λύσεων ασφάλειας.
Το πρόστιμο μη συμμόρφωσης από τις δημόσιες αρχές μπορούν επίσης να προστεθούν σε αυτό το υπέρογκο κόστος – ακόμη κι αν δεν ευθύνεστε στο ελάχιστο για την παραβίαση της ψηφιακής σας επιχείρησης. Για παράδειγμα, για τις επιχειρήσεις που πρέπει να συμμορφώνονται με το Πρότυπο Ασφαλείας Δεδομένων Καρτών Πληρωμών (PCI DSS), οι συνέπειες της μη συμμόρφωσης μπορούν να κυμανθούν από $ 5.000 έως $ 500.000 το μήνα. Σε περίπτωση παραβίασης μιας επιχείρησης, η τράπεζα μπορεί να επιβάλει πρόστιμο ύψους $ 50 έως $ 90 για κάθε Κάρτα Δεδομένων Καρτών (CHD) που διακυβεύεται, ανεξάρτητα από το αν η εταιρεία είναι συμβατή με το PCI DSS και έχει επικυρωθεί ως τέτοια.
Έτσι, εκτός από την εξασφάλιση δεδομένων, είναι επίσης ζωτικής σημασίας για τις εταιρείες να διατηρούν ένα ζωντανό και ανανεωμένο πρόγραμμα συμμόρφωσης με τακτικές αξιολογήσεις από ειδικούς.
2. Κίνδυνος φήμης της ψηφιακής σας επιχείρησης.
Αναμφισβήτητα, μια παραβίαση δεδομένων μπορεί να βλάψει τη φήμη της επιχείρησής σας στο σημείο που οι πελάτες να σας εγκαταλείψουν, οι τιμές των μετοχών να πέσουν δραστικά, οι συνάδελφοι σας να χάσουν την εμπιστοσύνη τους προς εσάς, και το χειρότερο από όλα, θα μπορούσατε να καταστρέψετε ολόκληρη την εταιρεία σας, από απλή απερισκεψία.
Θα σας παραθέσω ένα λαμπρό παράδειγμα που είναι γνωστό παγκοσμίως και είχε να κάνει με την γνωστή εταιρία Target, μετά την παραβίαση, οι τιμές των μετοχών της Target μειώθηκαν κατά 46%. Μια ακόμα πιο πρόσφατη ιστορία παραβιάσης που σχετίζεται με την Equifax , η οποία πιστεύεται ότι έθεσε σε κίνδυνο 143 εκατομμύρια προσωπικά δεδομένα των καταναλωτών της στις ΗΠΑ.
Σύμφωνα με την Ετήσια Έκθεση της Cybersecurity της Cisco το 2017, σχεδόν το ένα τέταρτο των 2.900 ερωτηθέντων δήλωσαν ότι οι επιχειρήσεις τους έχαναν πιθανό εισόδημα από επιχειρηματικές ευκαιρίες μετά από παραβίαση δεδομένων. Σχεδόν το 40% των χρηστών δήλωσαν ότι οι απώλειες ήταν «σημαντικές». Είκοσι δύο τοις εκατό των ερωτηθέντων δήλωσαν ότι οι επιχειρήσεις τους έχασαν τους σημερινούς πελάτες τους, ενώ το 39% δήλωσαν ότι έχασαν 20% ή περισσότερο της πελατειακής τους βάσης. Η φήμη μιας εταιρείας είναι πολύ σημαντική για να διακινδυνεύσει να εξοικονομήσει μερικά δολάρια.
3. Απώλεια θέσεων εργασίας.
Είτε είστε Διευθύνων Σύμβουλος, CSO, CIO ή ακόμη και ένας εκτελεστικός διευθυντής ή ένας εκπρόσωπος μιας εταιρείας, μια παραβίαση δεδομένων να είναι αιτία να σας απολύσουν από την επιχείρηση και να χάσετε τη δουλειά σας. Σημαντική περίπτωση: μετά την παραβίαση της Target, παραιτήθηκε ο Διευθύνων Σύμβουλος της εταιρείας και ο CIO. Αυτό είναι μόνο ένα από τα πολλά παραδείγματα στελεχών που παραιτούνται ή χάνουν τη δουλειά τους μετά από μεγάλα περιστατικά ασφάλειας στον κυβερνοχώρο – μόλις είδαμε την ίδια έξοδο σε ανώτατα στελέχη στην Equifax.
Ενώ μια παραβίαση δεδομένων μπορεί να μην επηρεάζει πάντα έναν διευθύνοντα σύμβουλο ή εκείνους που βρίσκονται στην κορυφή ενός οργανισμού, μπορεί ασφαλώς να εμποδίσει την τρέχουσα και μελλοντική σταδιοδρομία τους. Όποιος αποφάσισε να αποφάσισε να καθυστερήσει να εξασφαλίσει δεδομένα της εταιρείας. Εκείνοι που θα απολυθούν εξαιτίας αυτού του γεγονότος, και δεν έκαναν τίποτα για να αποτρέψουν μία τέτοιου είδους κατάσταση, σίγουρα θα έχουν προβλήματα στο να εξηγήσουν στον επόμενο εργοδότη τους ή δουλειά τους, με τρόπο έχασαν τη θέση τους. Προφανώς αν αναφέρουν πως έθεσαν σε κίνδυνο την εταιρεία σίγουρα δεν θα προσληφθούν.
Λειτουργήστε μεθοδικά για να προστατέψετε την ψηφιακή σας επιχείρηση.
Η προστασία της εταιρείας σας από παραβίαση δεδομένων δεν είναι κάτι που μπορείτε να αναβάλλετε μέχρι αύριο. Οι σοβαρές συνέπειες – τεράστιο κόστος, κατεστραμμένη φήμη, χαμένες θέσεις εργασίας και κακές επαγγελματικές σταδιοδρομίες – υπογραμμίζουν τον επείγοντα χαρακτήρα της σωστής ασφάλειας και συμμόρφωσης των δεδομένων. Ωστόσο, η εξασφάλιση των δεδομένων σας δεν πρέπει να αποτελεί αποθαρρυντικό έργο. Ακολουθούν ορισμένες συμβουλές για τον τρόπο δημιουργίας μιας κουλτούρας στον οργανισμό σας, όπου η προστασία και η συμμόρφωση με τα δεδομένα αντιμετωπίζονται με τον επείγοντα χαρακτήρα που αξίζουν:
1. Συζητήστε για το κόστος πρέπει να δαπανηθεί για την ασφάλεια.
Η ανώτερη διοίκηση θα δώσει προσοχή όταν αρχίσετε να μιλάτε για χρήματα. Τονίστε τη σημασία της προστασίας της φήμης της επωνυμίας της εταιρείας σας μέσω ενός προληπτικού και ισχυρού προγράμματος ασφάλειας δεδομένων. Βοηθήστε τους να καταλάβουν πώς θα προστατεύει την εταιρεία από χακάρισμα, η οποία μεταξύ άλλων θα σας διαφυλάσσει από τις βλάβες της φήμης , το πέσιμο στην τιμή των μετοχών και την απώλεια της εμπιστοσύνης των πελατών – όλα θα επηρεάσουν άμεσα την επωνυμία της ψηφιακής σας επιχείρησης. Εξηγήστε ότι οι επενδύσεις στην ασφάλεια των ευαίσθητων πληροφοριών δεν είναι απλά ένα άλλο στοιχείο γραμμής δαπάνης. στο σημερινό τοπίο του κυβερνοχώρου, είναι ένα κρίσιμο στοιχείο επιβίωσης κάθε επιχείρησης.
2. Κατάργηση ευαίσθητων δεδομένων από περιττές περιοχές της επιχειρησιακής σας υποδομής.
Πολλοί οργανισμοί επιτρέπουν την επεξεργασία, τη συγκράτηση ή τη μεταβίβαση ευαίσθητων δεδομένων μέσω περιοχών της επιχειρησιακής τους υποδομής ή εταιρικού δικτύου όπου απλά δεν χρειάζεται να είναι. Για παράδειγμα, πολλές μεγάλες επιχειρήσεις διαθέτουν κέντρα επαφής πελατών τα οποία δέχονται πληρωμές.
Οι εγκληματίες του κυβερνοχώρου θεωρούν ότι τα κέντρα επικοινωνίας έχουν χαμηλότατα επίπεδα προστασίας, και γνωρίζουν ότι συχνά διαθέτουν δεδομένα καρτών πληρωμής, διευθύνσεις, αριθμούς τηλεφώνου, τηλεφωνικές επαφές και άλλα στοιχεία PII στα αρχεία πελατών τους . Ωστόσο, δεν είναι απαραίτητο τα κέντρα επικοινωνίας να διαθέτουν καθόλου ευαίσθητα δεδομένα, όπως πληροφορίες για τις κάρτες πληρωμών στο δίκτυό τους. Υπάρχουν τεχνολογίες που τους επιτρέπουν να λαμβάνουν πληροφορίες κάρτας πληρωμής, να καλύπτουν και να κρυπτογραφούν τα δεδομένα, να το διαχωρίζουν και να το δρομολογούν με ασφάλεια στον επεξεργαστή πληρωμών, παρακάμπτοντας πλήρως τα πληροφοριακά συστήματα του κέντρου επικοινωνίας.
Όποτε είναι δυνατόν, κρατήστε τις ευαίσθητες πληροφορίες εκτός της επιχειρηματικής σας υποδομής και των περιοχών του δικτύου σας, όπου αυτό δεν είναι απαραίτητο. Διερευνήστε την ανάπτυξη τεχνολογιών σε ορισμένους τομείς της επιχείρησής σας που διατηρούν τα ευαίσθητα δεδομένα διαχωρισμένα από το δίκτυό σας και τα επιχειρηματικά συστήματα, όπως τα συστήματα προγραμματισμού επιχειρησιακών πόρων (ERP) και διαχείρισης πελατειακών σχέσεων (CRM). Αυτό θα κάνει τον οργανισμό σας λιγότερο ευάλωτο και λιγότερο ελκυστικό για τους χάκερ, τους απατεώνες και άλλους κυβερνοεγκληματίες.
Λοιπόν, γιατί να περιμένετε; Ήρθε η ώρα υπερασπιστείτε την ασφάλειά σας και να συμμορφωθείτε με τους κανονισμούς που θέτει η Ευρωπαϊκή Ένωση για τέτοιου είδους περιστάσεις.
