EN | PL | ES | IT | RO

Cursuri


A face față incertitudinii, ambiguității și riscului într-un mediu cibernetic
Mindset-ul asupra riscului cibernetic în IMM-uri

Note introductiveApasa pentru a citi  

 

Conținutul acestui modul de formare este o continuare neoficială a EntreComp pentru pregătirea pentru riscul cibernetic.

În unitățile anterioare, am prezentat câteva cadre utile pentru o mai bună pregătire în evaluarea riscurilor și amenințărilor cibernetice care provin din mediul IT.

 

În secțiunea următoare, vom oferi cursanților roadmap-uri conceptuale care pot fi folosite în securitatea cibernetică, pregătirea cibernetică și reziliența cibernetică din perspectiva asigurării calității și a managementului riscului.

Acum, când întreprinderile și organizațiile se confruntă cu o expunere exponențială la amenințările cibernetice, securitatea cibernetică devine o preocupare majoră nu numai pentru specialiștii IT, ci și pentru profesioniștii și experții care activează în domeniul managementului riscurilor.

Organizațiile se bazează din ce în ce mai mult pe mijloace/instrumente digitale pentru a-și planifica, gestiona și dezvolta activitățile, iar orice întrerupere a „lanțului valoric digital” se traduce prin consecințe grave pentru care mulți sunt în mare parte nepregătiți.

Există o concepție greșită comună despre securitatea cibernetică, și anume: securizarea sistemelor IT în fața amenințărilor cibernetice implică proceduri complexe și extrem de sofisticate în domeniul informaticii.
 

Deși este cu siguranță adevărat că profesioniștii în securitate cibernetică dispun de expertiză în inginerie avansată și de un know-how, o mentalitate cibernetică este la îndemâna tuturor...

 

Punctele cheie ale unui raport IBM din 2021 indică faptul că reziliența cibernetică presupune câteva acțiuni simple:

• Investiția în prevenire (i.e. identificarea riscurilor și evaluarea)
 
• Modulul de securitate Zero-Trust (“cine a avut acces la datele tale?”)
 
• Testarea la stres (măsurarea și evaluarea strategiilor de reziliență internă)
 
• [relevante în era de lucru inteligent] gestionarea identității și a accesului pentru a gestiona telemunca
 
• Programe de conformitate: promovarea culturii cibernetice la nivel interfuncțional
 
• Reducerea complexității (“a fi simplu, dar sofisticat”)
 
Reducerea lipsei de competențe
 

 

De fapt, dovezile din raportul menționat anterior indică faptul că principalele cauze care acționează ca perturbatori suplimentari sunt asociate mai degrabă factorilor umani decât ineficiențelor tehnologice::

Plase de siguranță

Perturbatori

Testarea echipei roșii

„Grupul operativ” pentru managementul riscului

Erori de conformitate

Platfărmo de AI

Prevenirea pierderilor de date

Migrare în Cloud

Implicarea consiliului

Criptare extinsă

IoT / OT impacted

CISO experimentat

Formarea unei echipe de PR Device-uri pierdute sau furate

Routine de limitare a riscului

Asigurare cibernetică Telemuncă

DevSecOps

Gestionarea serviciilor de securitate Lipsa abilităților de securitate

Threat Intel Sharing

Testarea vulnerabilităților

Birocrație internă complexă

Instruirea  angajaților

ID Theft protection

Third Party Breach

Analitice de securitate    

Source: IBM, 2021

 

 

Managementul risculuiApasa pentru a citi  

Dovezile adunate de partenerii Cyber MSME identifică lipsa unor sisteme de gestionare a riscurilor (cibernetice) ca fiind una dintre cele mai frecvente cauze ale expunerii cibernetice.

 În sine, acest rezultat indică „nerecunoașterea” securității cibernetice ca principală preocupare pentru reziliența și competitivitatea afacerilor.

Managementul riscului cibernetic ar trebui să urmeze aceleași paradigme și aceleași focalizări operative (adică, monitorizarea și evaluarea) ca oricare altă funcție de bază, fiind un indicativ al unei noi pârghii competitive care se află la dispoziția întreprinderilor pentru a se adapta (și a reacționa) la noile amenințări venite din rândul piețelor și societăților.

ISO 31000

Organizația Internațională pentru Standardizare recunoaște în managementul riscului un proces care implică aplicarea sistematică a politicilor, procedurilor și practicilor la activitățile de comunicare și consultanță, stabilirea contextului și evaluarea, tratarea, monitorizarea, revizuirea, înregistrarea și raportarea riscului.

Întrucât toate funcțiile de afaceri rămân legate de eficiența și eficacitatea sistemelor și rețelelor IT care reglementează fluxul sarcinilor lor, managementul riscului cibernetic devine o parte integrantă a procesului decizional strategic și a planificării pe termen lung.

Managementul riscului cibernetic este un proces ciclic și include mecanisme continue orientate spre atingerea unor standarde din ce în ce mai înalte.

    Verificare> Evaluare> Reglare fină

 

ISO 31000, o reprezentare vizuală

Atenuarea riscului ciberneticApasa pentru a citi  

Pe baza ISO 31000, modelele interne de management al riscului (cibernetic) ar trebui să reflecte valorile, obiectivele și resursele organizației și să fie în concordanță cu politicile și declarațiile despre obligațiile organizației și cu opiniile părților interesate.

Odată ce organizația stabilește domeniul de aplicare, contextul și criteriul modelului său de management, se recomandă inițierea evaluării propriu-zisă.

Evaluarea presupune un proces în trei etape:

Fluxul de evaluare a risculuiApasa pentru a citi  

 

Sursă: Caliste, J.-P & Heitor, Jone (2020)

Grila de evaluare a risculuiApasa pentru a citi  

 

NASA, Goddard Space Flight Center, Goddard Technical Standard GSFC-STD-0002, Risk Management Reporting

QA pentru igiena cibernetică

Introducere în QAApasa pentru a citi  

Profesioniștii și experții din domeniul managementului afacerilor vor fi auzit cu siguranță de Lean Manufacturing, Total Quality Management (TQM), Just In Time (JIT) etc.

Cele pe care tocmai le-am menționat sunt printre cele mai cunoscute cadre de audit pentru managementul calității aplicate la nivel industrial.

Aceste modele au un singur lucru în comun: originile lor sunt din Japonia și au devenit cea mai importantă referință la nivel mondial pentru procedurile de audit și asigurare a calității.

Introducere în QA – KAIZEN Apasa pentru a citi  

Ceea ce se știe mai puțin despre TQM și JIT, este „filozofia” de afaceri din care au apărut: Kaizen (改善), tradus literal ca 改 = schimbare,善 = bine.

Cultura Kaizen presupune o evoluție constantă și continuă către standardele de performanță mai înalte.

În jurul anilor 80 a devenit paradigma de afaceri dominantă a industriilor japoneze, cu referire în special la Toyota (adică, Toyota Production System, Toyotism).

… dar și mai puțin cunoscut este faptul că cultura Kaizen nu este un produs complet fabricat în Japonia.

Introducere in QA - DEMING Apasa pentru a citi  

 

 

Modelul Kaizen își are originile într-un program de colaborare industrială transnațională între SUA și Japonia, început la sfârșitul celui de-al Doilea Război Mondial.

Mai precis, începuturile modelului Kaizen actual au fost inspirate de munca unei figuri luminoase din peisajul afacerilor din SUA din acea vreme: W. Edwards Deming (1990-1993).

E. Deming este omul din spatele unuia dintre primele cadre de referință pentru asigurarea calității și pentru audit: modelul DEMING.

 

 

Modelul DEMING

Sursă: Deming, W.E., 1950. Elementary Principles of the Statistical Control of Quality, JUSE.

 

De-a lungul timpului, modelul DEMING a cunoscut un număr foarte mare de revizuiri promovate de alți autori care îi urmează E. Deming, Kaizen fiind de fapt unul dintre ele.

În zilele noastre, modelul original DEMING a inspirat ISO 9001 pentru principiile managementului calității.

Dintre toate readaptările modelului DEMING, am dori să îl propunem pe cel prezentat într-o perspectivă „evoluționară” (slide-ul următor).
 

Modelul DEMING avansat

Modelul DEMING - remarci

Adevărata putere a modelului DEMING care i-a permis să treacă testul de timp este că:

• Este simplu de înțeles
• Poate fi aplicat de orice organizație - indiferent de industria pe care o ocupă
• Poate fi aplicat oricărui proces/funcție de business - inclusiv securitatea cibernetică

Începând cu ISO 31000, am văzut că un model cuprinzător de management al riscului ia în considerare un proces transversal și continuu de monitorizare și evaluare.

Ciclul DEMING acoperă ambele priorități, deoarece permite utilizatorilor să:

1. Planifice strategii pentru cele mai potrivite soluții de securitate cibernetică ținând cont de riscurile și setările organizaționale mapate
2. Să le implementeze pe cele menționate anterior
3. Să evalueze și valideze adecvarea acestora
4. Să reacționeze în consecință.
Evaluare formativă vs. evaluare sumativăApasa pentru a citi  

Ar putea fi recomandată împărțirea procesului de evaluare (adică, faza de „verificare”) în două etape separate, în funcție de momentul real al evaluării.

 

Evaluarea formativă Evaluarea sumativă
Evaluarea pas cu pas a proceselor și evaluarea zilnică a activităților dumneavoastră.

După încheierea oricărui rezultat major, priviți înapoi la ceea ce s-a făcut și încercați să comparați cu standardele / așteptările dumneavoastră inițiale.

 

Aspecte cheieApasa pentru a citi  

• Managementul riscului trece de la o funcție orizontală la resursele interne cheie pentru a rezulta într-un succes competitiv

• Managementul riscului privit ca un mindset, nu ca o abordare operațională

• Conștientizare → Pregătire → Reziliență

• Atenuarea riscurilor și contramăsuri: identificare, analiză și evaluare

• Evaluarea riscului: Probabilitate VS Impact

• Quality Assurance: îmbunătățire constantă și continuăCuvinte cheie

Asigurarea calității, ciclul DEMING, identificarea riscurilor, evaluarea riscurilor, monitorizare, evaluare, management

Obiective/scopuri:

Obiectivul acestui modul este de a cultiva în rândul cititorilor o conștientizarea cu privire la rolul strategic al managementului (ciber) riscului pentru întreprinderile micro și mici-mijlocii care operează într-un ecosistem digital interconectat.

Descriere:

Conținutul acestui modul este destinat să ajute țintele să dobândească o nouă agendă pentru managementul riscului, acționând ca o funcție de afaceri care pătrunde transversal în toate sarcinile și activează în același timp, răspunzând la noua nevoie urgentă de a proteja întreprinderile de amenințările cibernetice.

Vom face acest lucru prin partajarea unor cadre manageriale de încredere, care se aplică în mod tradițional tuturor funcțiilor de afaceri.


Materiale de instruire aferente

CONSORȚIU


team img
team img
team imgteam img
team img
team img
Sprijinul Comisiei Europene pentru producerea acestei publicații nu constituie o aprobare a conținutului, acesta reflectând doar opiniile autorilor, iar Comisia nu poate fi trasă la răspundere pentru folosirea informației incluse.
Descriere legală – licență Creative Commons:
Materialele publicate pe site-ul web al proiectului CyberMSME sunt clasificate drept Resurse Educaționale Deschise (OER) și pot fi liber (fără permisiunea creatorilor acestora): descărcate, utilizate, reutilizate, copiate, adaptate și partajate de utilizatori, cu informații despre sursă. de originea lor.