Greșeli comune în managementul riscurilor IT/Cybersecurity

/ acum 7 zile. 15 decembrie 2025

După 3 ani de ”NIS 1” și în vremurile lui ”NIS 2” fac un scurt bilanț dezordonat despre lucrurile pe care le-am întîlnit.

1. Tratarea managementului riscurilor ca pe o activitate realizată o singură dată

Multe organizații fac o evaluare anuală de risc (”cel puțin odată pe an”), formală, și nu o mai actualizează. În realitate însă riscurile se schimbă constant — amenințări noi, active noi, vulnerabilități noi.

2. Concentrarea doar pe riscurile tehnice

Companiile limitează evaluările de risc la probleme IT (doar ”T” din ”PPT”) și ignoră:

  • Riscurile proceselor de business (nici nu se documentează toate procesele și activitățile implicate)
  • Factorul uman
  • Dependențele de terți

Rezultatul este o imagine incompletă a mediului de operare al organizației și asupra expunerii reale.

3. Managementul riscurilor IT nu are legătură cu strategia afacerii

Discuțiile despre risc au loc cel mai adesea în departamente tehnice/IT. Managementul superior este interesat însă de:

  • Venituri
  • Timp de nefuncționare
  • Expunere legală
  • Încrederea/pierderea clienților

Dacă managementul riscurilor nu este comunicat în limbajul businessului, este ignorat. ”Apetitul” și ”toleranța” sînt la conducerea superioară nu la IT.

4. Lipsa unui inventar exact al activelor critice

Teoria spune că ”nu poți proteja ceea ce nu știi că ai”: shadow IT, servere uitate, conturi de servicii, conexiuni externe…Dacă s-a ales o evaluare de riscuri ”bazată pe active” și nu ”pe scenarii”, atunci ”inventarul activelor” trebuie să fie ”la punct și virgulă”.

5. Prioritizarea slabă sau inexistentă a riscurilor

Multe organizații prioritizează riscurile pe baza intuiției și nu a:

  • Criticității pentru organizație (BIA)
  • Probabilității
  • Impactului
  • Costului

Acest lucru duce la risipirea resurselor și ignorarea riscurilor cu impact ridicat.

6. Utilizarea registrelor de risc generice

Se folosesc registre “copy-paste” generice (Google/AI), dar acestea:

  • Nu reflectă amenințările reale ale companiei
  • Ignoră procesele specifice organizaței
  • Creează o falsă senzație de securitate

7. Supraîncrederea în unelte/hîrtii

Toate instrumentele hardware și software sunt utile și indispensabile, dar presupunerea că uneltele „fac managementul riscului” este incorectă. La fel și cea despre ”hîrtii”. Fără procese, responsabilități și analiză, uneltele doar generează…”zgomot”…și loguri/birocrație….”A fool with a tool is still a fool ”.

8. Ignorarea furnizorilor și lanțului de aprovizionare

Vânzătorii/contractorii sunt adesea verigi slabe. Greșeli comune:

  • Fără evaluări de furnizori
  • Încredere oarbă în certificări
  • Neînțelegerea SLA/serviciului furnizat (Ce presupune CISOaaS, SOCaaS, MDR etc)

9. Lipsa unui responsabil pentru fiecare risc

Tot teoria ne învață că atunci cînd ”responsabilitatea este a tuturor, atunci responsabilitatea este a nimănui”
Fiecare risc are nevoie de un responsabil/proprietar cu autoritate și responsabilitate.

10. Planuri de răspuns și recuperare în caz de incident doar pe hîrtie

Acest lucru duce la reacții haotice în timpul incidentelor și la perioade lungi de indisponibilitate.

_________________________________________________________________________________________________

PUBLICITATE

Dacă ai ratat anunțurile anterioare de pe Linkedin, iată un material care te poate ajuta: MANAGEMENTUL RISCURILOR DE SECURITATE CIBERNETICĂ. Reziliență într-o lume digitală)

Articole similare

Mulţumesc.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.