Cybersécurité: les barbares sont à la porte

[ad_1]

La cybersécurité est l’un des problèmes les plus critiques auxquels sont confrontées les entreprises d’investissement.

En effet, selon le , publié par le CFA Institute au début de l’année, 24% des membres du CFA Institute ont déclaré que la cybersécurité était la principale priorité technologique de leur entreprise. Et ce chiffre ne devrait croître que dans les années à venir, la technologie jouant un rôle de plus en plus important dans le processus de gestion des investissements.

Dans cet esprit, que peuvent faire les entreprises pour se protéger, ainsi que leurs clients, contre d'éventuelles violations de données?

Pour obtenir des conseils à ce sujet, nous avons parlé de Ascendant Compliance Management – a. Les recommandations de Yerzak sur la manière de prévenir les attaques et d’y répondre au mieux quand elles se produisent peuvent se résumer en deux mots: Soyez prêts.

Ce qui suit est une transcription légèrement modifiée de notre conversation.

CFA Institute: Les cyber barbares sont aux portes métaphoriques de nombreuses entreprises d’investissement. Quelle est la meilleure façon de se préparer?

E.J. Yerzak: Les pirates sont certainement à la porte. Dans de nombreux cas, ils sont déjà à l'intérieur de la porte. C’est ce que les entreprises devraient prendre à cœur.

Le moment où un cyber incident est détecté n’est pas le moment de préparer votre plan de réponse. Le temps presse lorsque les délais impartis aux États et aux États pour signaler les infractions sont signalés. Je pense que l’Union européenne impose un délai de déclaration de 72 heures.

C’est un temps incroyablement court, étant donné le temps généralement nécessaire pour identifier exactement ce qui s’est passé lors d’un cyber incident, ce qui a pu être compromis, quels fichiers ou dossiers ont été consultés, quelle que soit la durée.

Cela a-t-il commencé il y a une semaine? Il ya trois mois? Les hackers sont-ils toujours dans le système? Ces types d’enquêtes prennent beaucoup de temps à régler. Par conséquent, le fait de respecter une échéance très courte en matière de signalement des violations accentue la nécessité de disposer d’un plan de réaction aux incidents et d’une préparation adéquate à l’avance, et non au moment d’une violation ou d’un cyber incident.

L'élaboration et la mise à l'essai d'un plan de réaction aux incidents à l'avance peuvent fournir des assurances raisonnables et une tranquillité d'esprit quant à l'efficacité du plan.

Il est intéressant de noter que les entreprises disent tout le temps: «Je ne suis pas en danger.» Soit: «Je suis une petite entreprise. Je ne suis pas une cible, je n'ai donc pas besoin de préparer autant », ou« je suis une grande entreprise. J'ai de bons contrôles techniques en place et les pirates informatiques sont plus susceptibles de s'en prendre aux petits types sans sécurité. »

Je pense que les deux côtés calculent peut-être leur exposition au risque de manière erronée. Ils se sont trompés. La vérité se situe probablement quelque part au milieu et la vérité est que nous sommes tous en danger.

Indépendamment de la taille de l'entreprise, supposons que vous investissez temps et énergie dans la préparation du plan de crise. Dans quelle mesure ces protocoles fonctionnent-ils lorsque le cyber-incident se produit?

Vous avez absolument raison de laisser entendre que, dès qu’une crise survient, les protocoles passent apparemment par la fenêtre. Le stress est élevé. Obtenir le contact des gens, trouver les bons partis, même organiser une téléconférence peut être un défi.

Ce sont des considérations importantes à planifier à l'avance. Il est pratiquement impossible de prévoir tous les scénarios ou types d’incidents de cyber-sécurité possibles. Préparez-vous donc aux situations les plus favorables et prévoyez une certaine flexibilité pour ceux que vous n’auriez peut-être pas prévus. Le plan d’action devrait au moins tenir le plus clair du chemin sans trop de déviations.

Une autre raison pour laquelle c'est une bonne question: comme je l'ai mentionné, le stress est élevé. Les gens veulent des réponses tout de suite et les gens veulent que les décisions soient prises hier. Le temps presse.

Vous ne voulez pas prendre la décision de manière incorrecte. Vous ne voulez pas non plus que plusieurs parties de votre organisation prennent la même décision séparément ou prennent des décisions différentes car elles ont pris ces décisions séparément.

Lorsqu’il s’agit de communiquer sur la violation, vous ne voulez pas que quelqu'un dans un rôle de relation client explique ce qui est arrivé à un client lorsque le service marketing peut créer un message de réponse de violation spécifique à tous les clients.

Il existe une bonne raison pour laquelle un plan de réponse à un incident fonctionne dans un cyber incident réel, lorsque la tension est élevée et qu'il existe de nombreuses priorités contradictoires. Par exemple, le CTO peut vouloir fermer les systèmes pour empêcher les pirates de passer à d’autres systèmes. Dans le même temps, le PDG peut vouloir garder les systèmes opérationnels pour éviter les temps d'arrêt pour les clients. Le temps de réponse est essentiel lorsque plusieurs parties prenantes demandent que des décisions soient prises, plus une entreprise est confrontée à des implications commerciales et réglementaires.

En cette période de crise, vous ne voulez pas perdre de moments critiques à chercher le numéro de téléphone de votre conseiller juridique, par exemple, ou le nom du contact de votre fournisseur informatique. Un plan documenté élimine une partie de ce stress.

Au minimum, il fournit une série d'étapes à suivre dans chaque cas. Donnez une certaine souplesse à votre réponse pour tenir compte de circonstances uniques. Encore une fois, vous ne pouvez pas vous préparer à chaque scénario. Planifiez donc le plus probable et documentez toutes les informations pertinentes, telles que les coordonnées, au même endroit, pour plus de facilité.

Qui devrait composer l’équipe de crise d’une entreprise?

De nombreuses entreprises ont des problèmes de ce genre. Devrait-il y avoir une ou deux personnes? Devrait-il s'agir d'un grand comité?

La réponse varie d'une entreprise à l'autre en fonction de leur taille, de leur infrastructure, de leurs arrangements et des relations avec les fournisseurs. Si une entreprise d’investissement dispose d’un personnel informatique spécialisé en interne, la situation change par rapport à celle d’un personnel externe.

Au minimum, les membres de l’équipe d’intervention en cas d’incidents, ou de l’équipe d’intervention en cas de crise, que vous souhaitez associer sont des décideurs clés. Ils devraient avoir accès aux informations nécessaires pour prendre ces décisions et être autorisés à les prendre. Avoir quelqu'un dans l'équipe d'intervention en cas d'incident qui n'a aucune autorité serait une perte de temps et de ressources.

C’est normal de consulter ces parties, si nécessaire plus tard dans le processus, pour une expertise particulière ou pour répondre à une question particulière. Cependant, le noyau de l'équipe de réponse aux incidents devrait être les décideurs. Au minimum, vous voudriez le PDG, probablement le CCO (responsable de la conformité), une personne des opérations, telle que le COO (directeur de l'exploitation), et une personne jouant un rôle dans la technologie, que ce soit le responsable de la technologie (CTO) ou responsable des systèmes (CSO). Vous voudriez également que les cadres de la suite C de l'équipe entament le processus. Quelqu'un doit être autorisé à invoquer le processus de réponse aux incidents et permettre aux membres de l’équipe d’approfondir la chaîne alimentaire et de faire venir d’autres intervenants le cas échéant.

Un incident de moindre ampleur, par exemple une cyberattaque sur le site Web de l'entreprise, peut être principalement géré par le CTO, qui contactera le fournisseur informatique ou le fournisseur d'hébergement et le restaurera.

Ransomware est différent, et vous voudrez que toutes ces parties prennent des décisions pouvant affecter l’ensemble de la société.

La clé du succès d’une équipe d’intervention en cas d’incident est qu’elle soit malléable. L'une des raisons pour lesquelles les entreprises ont du mal à composer est le désir d'anticiper chaque type d'incident. Il devient très difficile de déterminer à l'avance qui, dans toutes les situations possibles, devra prendre une décision.

Au lieu de cela, il est parfaitement correct de concevoir votre plan de réponse aux incidents en tenant compte de la possibilité de mettre en boucle des ressources supplémentaires si nécessaire. Peut-être que le plan d’intervention en cas d’incident définit les parties qui peuvent être convoquées au besoin, que ce soit en désignant des personnes spécifiques par leur nom, leur rôle, leur fonction, leur titre ou même par groupe ou par renvoi à d’autres comités.

Un exemple que je vois beaucoup dans un plan de réponse à un incident est que vous avez l'équipe de base de réponse à un incident, puis des références à la boucle dans l'avocat général de la société ou un conseiller juridique externe, si nécessaire, et à l'administrateur système de la société ou à des fournisseurs informatiques particuliers. aider au processus d'enquête sur la violation. Il peut être clair dès le départ quelle est la cause et la réaction d’un incident. Dans certains cas, vous devrez peut-être faire appel à ces experts pour vous guider lors des prochaines étapes.

Quelles sont les parties externes autres que les fournisseurs habituels de la société à inclure?

Avoir un conseiller juridique spécialisé sur le mandat, avec une expertise particulière dans les violations de la vie privée et la réponse à la violation. Votre avocat pourrait être le premier appel que vous ferez pour protéger toute communication ultérieure et discussions sous privilège approprié.

De plus, je vous recommande de faire appel à un cabinet d’enquêtes médico-légales pour vous aider à examiner les fichiers de votre réseau et à rassembler ce qui s’est passé et quels fichiers ont été consultés.

Souvent, ces types de fournisseurs préfèrent que vous les conserviez à l'avance pour avoir le temps de se familiariser avec vos systèmes et votre réseau – au lieu de les contacter lorsque vous êtes au centre de l'action. d'une brèche. Ils vont certainement facturer une prime pour tout lâcher, s’envoler vers votre entreprise et examiner vos systèmes. Avoir ces discussions à l'avance peut économiser de l'argent.

Vous voudrez peut-être avoir un cabinet de relations publiques sous la main, ou du moins à l’esprit, pour aider à la formulation de messages destinés au public, qu’ils soient adressés à des clients, à des régulateurs ou à des actionnaires. Là encore, en fonction de la nature de l’incident et du modèle commercial de la société, ces communications publiques sont essentielles pour bien faire les choses et peuvent faire toute la différence entre la société d’investissement qui maintient son activité ou perd de nombreux clients.

Ayez à portée de main le personnel des forces de l’application de la loi aux niveaux local et fédéral, ainsi que les informations de contact des départements et des régions, afin que, s’il s’agisse d’un incident majeur ou impliquant une tentative de piratage à grande échelle, par exemple, vous pouvez vous connecter aux forces de l’ordre.

Si vous voyez une tentative de piratage informatique dans votre entreprise, il y a de fortes chances que d'autres entreprises aient déjà assisté à une tentative similaire. Le FBI est probablement déjà au courant et peut avoir des recommandations et des solutions.

Comment hiérarchisez-vous les décisions au moment du brouillard de guerre?

La plupart du stress provoqué par un incident de cybersécurité provient de priorités concurrentes au sein de l'organisation et avec les parties prenantes de l'entreprise. Comme je l'ai mentionné plus tôt, le PDG peut vouloir garder les systèmes en fonctionnement et le CTO dire: «Non, nous devons tout fermer pour empêcher la propagation de ce malware, ou de ce ransomware, afin d'empêcher la transmission de données supplémentaires. être compromis. "

En ce qui concerne les priorités, je recommande à l'entreprise de prendre en compte tous les risques commerciaux et réglementaires. Des sanctions financières sont-elles en jeu si la réponse dépasse un certain délai?

Ce risque de conformité général doit être pris en compte par tous. Des exigences légales sont-elles en jeu, en plus de la SEC, par exemple? Le FBI voudrait-il que vous preniez certaines mesures? Votre conseiller juridique Si votre entreprise a souscrit une cyber-assurance, le transporteur vous obligera-t-il à prendre certaines mesures ou à annuler votre couverture? Voici quelques exemples de priorités et de décisions contradictoires à prendre.

Si je devais donner la priorité à une ou deux actions, votre premier appel devrait être adressé à un avocat. Votre deuxième chez votre cyberassureur. Au moins leur donner la configuration de la terre, les informations que vous connaissez à ce moment-là.

Essayez de discerner le plus d’informations possible le plus rapidement possible, sachant que vous n’avez pas encore forcément eu recours à une firme de criminalistique pour analyser l’incident. Soyez au moins en mesure de dire à votre avocat et à votre transporteur comment l'infraction a été détectée, quelles informations auraient pu être compromises et comment elles ont été portées à votre attention. Il est important de commencer la conversation, même si vous n’avez pas tous les faits.

Pouvez-vous faire la guerre à ces cyberattaques?

C’est une chose d’avoir un plan documenté sur papier. Jusqu'à ce que vous mettiez à l'épreuve avec des jeux de guerre ou des exercices sur table, vous ne réaliserez peut-être pas que des situations imprévues peuvent survenir.

Faire en sorte que votre plan d’intervention en cas d’incident puisse vous aider à évaluer son caractère raisonnable. Encore une fois, vous ne pouvez pas tout anticiper sous le soleil, mais avez-vous anticipé tous les scénarios probables?

Lorsque vous commencez à mettre à l'épreuve le plan de réponse aux incidents. . . quelqu'un à la table peut dire: «Hé, qu'en est-il de ce système ici? Notre série de cinq étapes ne prévoyait pas la nécessité de tirer des sauvegardes du système A, et ce dernier ne peut pas communiquer avec le système B sans avoir effectué les étapes un, deux et trois ici. » sont importants d'essayer de travailler à l'avance.

Un moyen simple de tester un plan de réaction aux incidents consiste à effectuer un test de phishing pour le personnel. Ces tests peuvent renforcer vos défenses et la sensibilisation de votre personnel à la sécurité et empêcher que ces problèmes ne se produisent en premier lieu. Les tests de phishing peuvent également vous aider à découvrir une situation probable de ransomware sur votre réseau. Une des premières étapes à prendre en compte est-ce que vous débranchez vos systèmes? Faites-vous une boucle dans le service informatique pour rechercher ce qui se passe en temps réel? À quel moment commencez-vous à communiquer avec les clients?

Vous devez jeter une clé dans l'équation de temps en temps. Imaginons, par exemple, qu’un client appelle et demande pourquoi il ne peut pas accéder à son compte en ligne alors que vous êtes en train d’exécuter votre plan de réponse. Vous avez maintenant un client au téléphone qui demande une réponse. Le marketing n’a pas encore préparé la réponse du public. Que faites-vous dans cette situation? Ces questions sont importantes pour un brainstorming en avance.

Un bon moyen de contrer l'incident en plan de guerre est de créer une boucle entre les différentes parties, les différents services et le personnel de l'entreprise, afin que chacun puisse avoir un avant-goût.

Je dis toujours aux entreprises que la réponse à un incident est la responsabilité de tous. Ce n’est pas simplement une situation informatique ou de gestion supérieure. Chaque employé est en mesure de détecter et d'aider à mettre fin à une violation.

Avez-vous vu des moments propices à l'apprentissage dans la récente vague de cyberattaques de haut niveau?

Un certain nombre de cyberattaques récentes ont mis en évidence la nécessité d'une meilleure vigilance vis-à-vis des fournisseurs. Nous avons vu avec les cyberattaques chez Target et avec d’autres que les interactions entre les entreprises et leurs fournisseurs et vendeurs tiers peuvent avoir des conséquences imprévues.

Si quelqu'un compromet les systèmes du fournisseur, cela aura-t-il un impact sur les autres contreparties en bout de ligne? Les fournisseurs tiers d’une entreprise d’investissement présenteraient-ils un risque s’ils sont compromis, piratés ou utilisés comme un tremplin pour attaquer des tiers?

Encore une fois, cela revient au fait que les petites entreprises ont parfois l’impression de ne pas être visées. Peut-être n’ont-ils pas autant d’argent que les gros poissons. Ils pensent que les pirates vont s'en prendre aux gros.

Parfois, les petites entreprises sont invitées à utiliser leurs systèmes pour lancer des attaques contre d’autres entreprises, pour masquer l’origine du trafic ou pour tenter de passer inaperçues. Les violations publiques ont montré que les vendeurs posent un risque.

Ils montrent également qu’il est extrêmement important de bien préparer son plan de relations publiques. Faire passer le message de manière inappropriée peut avoir de graves conséquences pour la viabilité continue de l'entreprise. Certaines entreprises l'ont très bien compris et d'autres ont échoué.

Quelle est la meilleure pratique pour communiquer après l’incident?

Obtenez tout le monde sur la même page. Coordonnez tous les messages en interne avant de faire une déclaration publique.

Soyez très prudent dans la description de l'incident. N’utilisez pas le mot violation sauf s’il ya effectivement eu violation. Divers règlements de l'État définissent ce qui constitue une violation à signaler. Déterminer que quelque chose est une violation est une décision légale. Les entreprises ne devraient pas le prendre à la légère. Soyez très prudent dans la messagerie et les communications dans la manière dont vous cadrez la nature de ce qui s'est passé.

Souvent, les entreprises décrivent les choses comme un incident, un événement ou une activité détectée. Une fois que vous utilisez le mot violation, il y a des implications en matière de rapport.

Existe-t-il une bonne cyber-crise?

Aucune crise n'est bonne d'un point de vue ferme. Cependant, de longues périodes sans aucune cyberattaque peuvent mener à la complaisance. Il est dangereux de baisser la garde alors que les menaces augmentent et que les pirates informatiques deviennent plus sophistiqués.

Ce n’est qu’une question de temps avant que votre société d’investissement ne soit la cible.

Des derniers mots de sagesse?

Ne retardez pas l’élaboration de votre plan d’intervention en cas d’incident. Il y a des chances que les pirates informatiques soient déjà sur votre réseau. Plus vous attendez, plus vous risquez de ne pas être préparé.

Si vous avez aimé cet article, n'oubliez pas de vous abonner à la Investisseur entreprenant.

Tous les messages sont l'opinion de l'auteur. En tant que tels, ils ne doivent pas être interprétés comme un conseil en investissement, et les opinions exprimées ne reflètent pas nécessairement les vues du CFA Institute ou de l’employeur de l’auteur.

Paul Kovarsky, CFA, est directeur des partenariats institutionnels au CFA Institute.

[ad_2]

Cybersécurité: les barbares sont à la porte

Écrit par Apeas

À peine sorti, les promos coulent à flots pour obtenir l’iPhone 15 Pro à prix réduit !

Le rôle des portefeuilles électroniques sur les jeux d’argent en ligne

Le pouvoir du storytelling dans le Marketing d’entreprise

Événements corporate : quel avenir pour les entreprises de demain ?

Les meilleures techniques de marketing pour annoncer un produit

Comment le rachat de crédits devient-il un outil de réduction des inégalités économiques ?

À peine sorti, les promos coulent à flots pour obtenir l’iPhone 15 Pro à prix réduit !

Le rôle des portefeuilles électroniques sur les jeux d’argent en ligne

Comment le rachat de crédits devient-il un outil de réduction des inégalités économiques ?

Comment calculer le salaire de la convention 66

Voici les chefs qui ont perdu des étoiles Michelin en 2022

Découvrez comment jouer au casino en ligne Mummys Gold

Comment j'ai profité de 63 000 $ sur une propriété sans être vu | Immobilier

Publicité de location: Comment identifier un marché cible pour votre propriété