Το Cyber Insurance εργαλείο διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων

 

Για την αντιμετώπιση των χρηματοικονομικών επιπτώσεων, αποτελεσματικό εργαλείο διαχείρισης των περιστατικών παραβίασης αποτελεί η ασφάλιση Cyber Insurance, δίνοντας εκτός από τις χρηματικές αποζημιώσεις και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών.

Ενώ η ασφάλιση δεν μπορεί να αποτρέψει ένα περιστατικό παραβίασης, όπως αυτή της Sony που συνέβη πρόσφατα, μπορεί να βοηθήσει ελαχιστοποιώντας την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.

Πρέπει να τονιστεί ότι αύξηση των χρηματοοικονομικών επιπτώσεων θα έχουμε με την εφαρμογή της νέας ευρωπαικής νομοθεσίας για την προστασία των προσωπικών δεδομένων η οποία προβλέπει υποχρεωτικη γνωστοποίηση συμβάντων στις αρμόδιες αρχές και στους πελάτες των οποίων χάθηκαν τα δεδομένα. Επίσης οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν έως 4 % του ετήσιου κύκλου εργασιών της εταιρείας ή €20εκ όποιο από τα δύο είναι μεγαλύτερο. 

Εταιρική Φήμη.

Ένα ακόμη μεγάλο πρόβλημα που έχει να αντιμετωπίσει ένας Διευθύνων Σύμβουλος είναι η βλάβη που μπορεί να υποστεί η φήμη της εταιρίας του.

Όπως περίφημα είπε ο Warren Buffett:

"Χρειάζονται 20 χρόνια για να χτιστεί η φήμη μιας εταιρίας και μόνο πέντε λεπτά για να καταστραφεί."

Σε μελέτη του Ponemon Institute το 2014 διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.

Δυστυχώς, υπάρχουν αρκετά παραδείγματα παραβιάσεων συστημάτων επιχειρήσεων που δεν ήταν επαρκώς προετοιμασμένες και δεν κατάφεραν να διαχειριστούν αποτελεσματικά τα εκδηλωθέντα περιστατικά.

Το μεγαλύτερο λάθος που κάνουν οι εταιρίες στην αντιμετώπιση αυτών των περιστατικών είναι ότι δεν έχουν προετοιμάσει την επικοινωνιακή στρατηγική τους. Θεωρούν δεδομένο ότι μπορούν να αντιμετωπίσουν μια κρίση που μπορεί να προέλθει από περιστατικά παραβίασης συστημάτων γιατί έχουν την καλύτερη ομάδα ΙΤ. Ακόμα χειρότερα γιατί θεωρούν οτι μπορούν να χειριστούν την κρίση την στιγμή που συμβαίνει χωρίς προηγούμενη προετοιμασία.

Οι εταιρίες θα πρέπει να είναι προετοιμασμένες για κάθε πιθανή κατάσταση. Δεν έχει σημασία πόσο μακρινό φαίνεται αυτό το ενδεχόμενο. Ο σχεδιασμός της αντιμετώπισης της κρίσης  μετά την εκδηλωσή της και χωρίς καμμία αρχική πρετοιμασία οδηγεί σε σφάλματα που οφείλονται σε ανακριβείς πληροφορίες, πανικό, και μη σωστό καθορισμό προτεραιοτήτων. 

Αυτό που παρατηρείται επίσης είναι ότι οι εταιρείες είτε ανταποκρίνονται πολύ γρήγορα σε μια κρίση, ή πολύ αργά. Ο συγχρονισμός είναι ζωτικής σημασίας για την αντιμετώπιση της κρίσης.

Αν για το περιστατικό παραβίασης βγεί κάποια ανακοίνωση πολύ γρήγορα, ίσως να μην γνωρίζουμε την πλήρη έκταση της ζημίας, κατι που σε δεύτερο χρόνο θα μας αναγκάσει πιθανόν να την αναθεωρήσουμε. Αν αυτό γίνει πάρα πολύ αργά θα φαίνεται ότι προσπαθούμε να αποφύγουμε την ευθύνη και λόγω  αυτής της καθυστέρησης και οι πελάτες της εταιρίας μπορούν να επηρεάστουν περισσότερο από το περιστατικό.

Οι  Δημόσιες σχέσεις μπορούν να μετριάσουν σημαντικά την ζημιά σε μια κατάσταση κρίσης. Η μη άμεση ανταπόκριση μπορεί να ενισχύσει την κατάσταση και να προκαλέσει  πρόσθετη ζημία σε μια εταιρεία σε μια κατάσταση κρίσης. Πάντοτε πρέπει να έχουμε ένα σχέδιο αντιμετώπισης τέτοιων περιστατικών.

Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων

Για το λόγο αυτό θα πρέπει σε κάθε εταιρία να έχει δημιουργηθεί μια Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων η οποία αποτελείται από ανώτατα στελέχη της εταιρίας από τα τμήματα:

• Information Security
• IT
• Νομικής υπηρεσίας
• Κανονιστικής Συμμόρφωσης
• Δημοσίων Σχέσεων & Επικοινωνίας
• Εξυπηρέτησης Πελατών
• Οικονομικής Διεύθυνση
• Business Continuity
• Risk Management
• HR
• Marketing

και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους , επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.

Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.

Η ομάδα αυτή πρέπει να συντονίζεται από  τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνοντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης. Όταν συμβεί παραβίαση συστημάτων και διαρροή δεδομένων, θα πρέπει να παρθούν γρήγορα αποφάσεις και πολλές φορές χωρίς δυνατότητα αναίρεσης ακόμα. Σε πολλές περιπτώσεις οι αποφάσεις αυτές πρέπει να παρθούν χωρίς τα στελέχη της εταιρίας να έχουν στην διαθεσή τους όλη την σχετική πληροφόρηση.

Η ασφάλιση Cyber Insurance, δίνει εκτός από τις χρηματικές αποζημιώσεις, πρόσβαση σε ομάδες ειδικών (δικηγόροι, επικοινωνιολόγοι, forensics investigators κλπ) οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους  και να προστατεύσουν την   εταιρική φήμη. Η ασφάλιση Cyber Insurance αποτελεί ένα αποτελεσματικό εργαλείο αντιστάθμισης κινδύνου.  

Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος  για  την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό. Είναι αναγκαίο ο Διευθύνων Σύμβουλος  να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του.

Πηγή: http://www.cyberinsurancegreece.com/clevel-executives-data-breach/