Beneficiind de observația noastră retrospectivă, în timp ce privim înapoi la 2011, credeți că Ghidul suplimentar a fost eficient în actualizarea îndrumării inițiale într-un mod semnificativ?
Versiunea îmbunătățită a Ghidului suplimentar este, fără îndoială, mai eficientă decât varianta din 2005. În primul rând, este evident că ghidul anterior nu mai era capabil să asigure un management adecvat al riscului, datorită faptului că au fost dezvoltate noi tehnologii în cadrul acestor șase. ani și, astfel, au fost inventate noi modalități de performanță a fraudei cibernetice.
Noul ghid are o serie de caracteristici distinctive care îl fac mai eficient decât cel din 2005. El pune un accent deosebit pe necesitatea controlului de securitate stratificat care asigură o protecție pe mai multe niveluri. În plus, ghidul subliniază esențialitatea evaluării periodice a riscurilor, care este critică în contextul mediului în schimbare rapidă (FDIC, 2011). Ultima, dar nu cea mai puțin semnificativă modificare a versiunii actualizate este diferențierea între părțile interesate afectate: conturile de consum și de afaceri.
Cu toate acestea, experții își exprimă unele îndoieli cu privire la utilitatea actualizării ghidului. Prin urmare, de exemplu, Avivah Litan (2011) își împărtășește îngrijorările cu privire la eficiența noii versiuni. El observă că, la fel ca și îndrumările anterioare, noua variantă nu descrie nicio metodă specială sau soluții alternative care pot fi utilizate pentru a asigura securitatea consecventă.
Care sunt potențialii indicatori pe care organismele de reglementare ar trebui să ia în considerare atunci când evaluează necesitatea unor noi reglementări?
Una dintre responsabilitățile cheie ale unui organism de reglementare constă în evaluarea în timp util a stării actuale a sistemului SI și implementarea de noi reglementări atunci când este necesar. Astfel, se pune întrebarea cu privire la indicatorii care ar putea ajuta un organism de reglementare în evaluarea nevoii de schimbare.
În primul rând, trebuie menționat că, în mod ideal, ar trebui implementate noi reglementări în fiecare an. Noile tehnologii creează noi riscuri punând sistemele IS existente în pericol, indiferent de fiabilitatea lor. Ca urmare, un sistem ar putea să nu gestioneze riscurile nu din cauza invalidității sale, ci din cauza schimbărilor din mediu. În al doilea rând, organismele de reglementare ar trebui să ia în considerare în mod necesar caracterul în schimbare al fraudei cibernetice. Prin urmare, gestionarea riscurilor aferente necesită acum implementarea unui sistem IS stratificat care cuprinde o autentificare multifactorială și controale stratificate eficiente (FDIC, 2011). De asemenea, se poate recomanda evaluarea rentabilității sistemului IS existent – s-ar putea dovedi că piața poate oferi câteva soluții alternative care să asigure același nivel de securitate la un cost mai mic.
Descrieți avantajele și dezavantajele includerii unor orientări specifice de implementare în ghid.
În primul rând, Ghidului suplimentar din 2011 îi lipsesc unele clarificări cu privire la modalitățile în care strategiile evidențiate pot fi eventual implementate. Astfel, de exemplu, ar fi putut fi incluse câteva linii directoare specifice pentru a clarifica modul în care se poate ajunge la „conștientizarea activă a consumatorilor”. În plus, ghidul subliniază că anumite tipuri de identificare a dispozitivelor nu mai sunt eficiente (FDIC, 2011). Prin urmare, ar fi rezonabil ca aceste tipuri să fi fost înscrise în anexă. Din această perspectivă, destinatarul contestației ar fi recunoscător dacă îndrumarea ar furniza câteva instrucțiuni concise cu privire la anumite implementări.
Cu toate acestea, trebuie realizat că ghidul încearcă să ofere o schiță universală pentru asigurarea securității – evidențiază cele mai critice probleme și oferă câteva soluții generale. Atâta timp cât ghidul admite că mediul fraudei cibernetice se schimbă constant, dezvoltând noi metode și tehnici, ar fi ilogic dacă ar oferi linii directoare deosebite – acestea din urmă ar deveni depășite în jumătate de an de la lansarea ghidului. Din acest punct de vedere, includerea unor linii directoare deosebite ar face, foarte curând, întregul ghid irelevant.
Din nou, beneficiind de locul nostru în viitor, critică interpretarea analistului Gartner (Avivah Litan, 2011) de mai sus
Au trecut cinci ani de când Avivah Litan și-a oferit interpretarea îndrumării. Cu toate acestea, trebuie să admitem că expertul a fost extrem de precis în aprecierile sale. De aici, de exemplu, el a subliniat că ghidul din 2011 s-a concentrat exclusiv pe riscurile legate de PC, neglijând astfel de amenințări precum atacurile bancare mobile (Litan, 2011). În urmă cu un an, acesta din urmă a fost inclus în primele riscuri critice de securitate de către Laboratorul Kaspersky (Kaspersky Lab, 2015). În general, Litan a avut dreptate în presupunerea că ghidul va deveni depășit în câțiva ani. Între timp, nu înseamnă că a cuprins linii directoare înșelătoare – doar că mediul se schimbă prea rapid pentru ca ghidurile să ia în considerare toate riscurile și amenințările.
Ce pot face personalul intern de guvernare, risc și conformitate pentru a anticipa lansarea de noi reglementări legate de schimbările tehnologice?
Personalul intern de Risc de Guvernare și Conformitate ar trebui să-și sporească în mod constant gradul de conștientizare a mediului relevant pentru a anticipa riscurile asociate cu schimbările rapide. Prin urmare, se presupune că trebuie să urmărească și să adopte cele mai bune practici și să implementeze controale multiple care asigură prevenirea riscurilor la diferite niveluri. În plus, guvernanța nu trebuie să neglijeze procedurile de audit care pot ajuta la furnizarea de linii directoare pentru îmbunătățirea arhitecturii de control. În sfârșit, autorităților de reglementare li se recomandă să efectueze teste de sistem pentru a identifica defectele acestuia în timp util și pentru a evita defecțiunile neașteptate ale sistemului. Cu alte cuvinte, SI ar trebui să fie evaluat și examinat în mod regulat în ceea ce privește conformitatea cu standardele existente.
Whitman și Mattord (2011) recomandă, de asemenea, ca guvernarea să efectueze o planificare de urgență consecventă, care poate ajuta companiile să se pregătească pentru cele mai probabile amenințări și să asigure o anumită stabilitate în ciuda potențialelor schimbări de mediu.
