Η Κυβερνοασφάλεια δεν είναι Μόδα

Πώς να Επιλέγετε τις Σωστές Λύσεις για την Επιχείρησή σας

ΘΟΔΩΡΗΣ ΣΤΑΝΗΜΕΡΑΚΗΣ

Cyber Threat Protection Platforms Manager

της Coca-Cola HBC

Σε έναν κόσμο όπου η κυβερνοασφάλεια πλέον αποτελεί πρωταρχική ανάγκη για κάθε επιχείρηση και οργανισμό, η επιλογή του κατάλληλου συνδυασμού προστασίας είναι μια απόφαση που δεν πρέπει να βασίζεται σε τάσεις, εμπορικές προωθήσεις και μόδες. Συχνά, ακούμε για “καινοτόμες λύσεις” ή “must-have” συστήματα που υπόσχονται πλήρη προστασία, τα οποία είναι “ΑΙ-Powered” ή κάποιο άλλο buzzword που είναι διαδεδομένο τη συγκεκριμένη χρονική στιγμή. Ωστόσο, το να ακολουθούμε τυφλά τη μόδα στην τεχνολογία μπορεί να αποδειχθεί όχι μόνο αναποτελεσματικό, αλλά και επιζήμιο για την επιχείρηση. Επειδή μια τεχνολογία είναι κορυφαία, δεν σημαίνει ότι είναι πανάκεια και ταιριάζει παντού.

Η ορθή προσέγγιση, λοιπόν, δεν βασίζεται σε επιφανειακές επιλογές που εντυπωσιάζουν, ακούγονται ωραία ή τις έχει ο ανταγωνιστής. Αντιθέτως, ξεκινά από τη συνεργασία μεταξύ του IT τμήματος, της ομάδας κυβερνοασφάλειας, της διοίκησης και των υπολοίπων τμημάτων της κάθε εταιρείας, λαμβάνοντας υπόψιν τις ανάγκες, αλλά και τις ιδιαιτερότητες τους.

Ακολουθούν τα βασικά σημεία που πρέπει να ληφθούν υπόψη:

Η Ανάγκη για Εσωτερική Συνεργασία – Το IT τμήμα γνωρίζει τις τεχνικές ανάγκες και τις δυνατότητες της επιχείρησης, ενώ το τμήμα κυβερνοασφάλειας κατανοεί τους κινδύνους και τις απειλές που καραδοκούν. Η συνεργασία αυτών των δύο τμημάτων είναι το πρώτο βήμα για την επιλογή των κατάλληλων λύσεων που μπορούν να υποστηρίξουν οι υπάρχουσες υποδομές της εταιρείας. Κανένα σύστημα, όσο εξελιγμένο κι αν είναι, δεν μπορεί να προστατεύσει μια επιχείρηση χωρίς να είναι κατάλληλα προσαρμοσμένο και ευθυγραμμισμένο με τις υλικοτεχνικές υποδομές της. Η ομάδα IT γνωρίζει ποιες τεχνολογίες μπορούν να ενσωματωθούν εύκολα, με ασφάλεια και συμβατότητα, στο υπάρχον περιβάλλον, ενώ το τμήμα κυβερνοασφάλειας μπορεί να αξιολογήσει αν το σύστημα πληροί τις απαραίτητες προδιαγραφές προστασίας για την εκάστοτε περίπτωση.

Προστασία χωρίς Εμπόδια στην Επιχειρηματική Δραστηριότητα – Η ασφάλεια δεν πρέπει να γίνεται εμπόδιο για την παραγωγικότητα. Ένα σύστημα που μπλοκάρει σημαντικές λειτουργίες ή επιβαρύνει υπέρμετρα την καθημερινή εργασία, μπορεί να προκαλέσει περισσότερα προβλήματα από αυτά που λύνει. Αποτελεί, μάλιστα, συχνό παράπονο του business ακόμα και όταν πρόκειται για ελάχιστη διαφορά σε σχέση με τον τρόπο που λειτουργούσαν πριν.

Για αυτόν τον λόγο, είναι σημαντικό οι λύσεις που υιοθετούνται να προσφέρουν διαφάνεια και ευκολία χρήσης. Αν δεν εξασφαλίζεται αυτό, είναι πολύ πιθανό να παρατηρηθούν φαινόμενα παράκαμψης των διαδικασιών και των πρωτοκόλλων από τους εργαζόμενους, να τους ωθήσει να ζητούν συνεχώς εξαιρέσεις, εν τέλει καθιστώντας την όλη προσέγγιση αναποτελεσματική. Και φυσικά, το έργο των επαγγελματιών cyber security γίνεται πολύ πιο δύσκολο διότι θα πρέπει να αντιμετωπίσουν τεράστια αντίσταση στο έργο τους. Το οποίο μας φέρνει στο επόμενο εγχείρημα:

Ευθυγράμμιση με την Εταιρική Κουλτούρα – Η κουλτούρα της επιχείρησης παίζει σημαντικό ρόλο στην αποδοχή των συστημάτων ασφαλείας. Αν η εταιρεία σας ενθαρρύνει την καινοτομία, οι εργαζόμενοι μπορεί να είναι πιο ανοιχτοί στη δοκιμή και χρήση νέων εργαλείων. Αντίθετα, σε έναν οργανισμό που λειτουργεί πιο συντηρητικά, η επιβολή μιας λύσης υψηλής πολυπλοκότητας χωρίς προετοιμασία είναι σχεδόν βέβαιο ότι θα προκαλέσει αντίσταση.

Σημαντικό εδώ είναι να έχουμε ειλικρινή προσέγγιση, διότι πολλές εταιρείες μιλούν για καινοτομία και απλώς μένουν στα λόγια, ενώ οι πράξεις δείχνουν κάτι πολύ διαφορετικό. Αν η επιχείρηση δεν είναι έτοιμη να καινοτομήσει, καλύτερα να μην το κάνει καθόλου τη δεδομένη χρονική στιγμή και να εργαστεί προς τη σωστή προετοιμασία του εδάφους για κάτι τέτοιο.

Οι εργαζόμενοι είναι η πρώτη γραμμή άμυνας στην κυβερνοασφάλεια. Συνεπώς, τα εργαλεία και οι διαδικασίες που επιλέγετε πρέπει να ευθυγραμμίζονται με τον τρόπο που εργάζονται και να τους παρέχεται εκπαίδευση που ενθαρρύνει και εμπνέει να υιοθετήσουν τα μέτρα ασφαλείας στην καθημερινότητά τους. Η καλλιέργεια μιας κουλτούρας που περιλαμβάνει την κυβερνοασφάλεια ως βασικό συστατικό θα βοηθήσει την εταιρεία να προστατευτεί καλυτερα, ακόμη και αν δεν διαθέτει εντυπωσιακές λύσεις τελευταίας τεχνολογίας.

Οι Επιχειρηματικές Ανάγκες Στο Επίκεντρο – Κάθε επιχείρηση είναι διαφορετική. Ενώ ορισμένες λύσεις μπορεί να είναι ιδανικές για μια πολυεθνική εταιρεία, μπορεί να είναι περιττές ή δυσλειτουργικές για μια μικρομεσαία επιχείρηση. Η ανάλυση και αξιολόγηση κινδύνου (risk analysis and assessment) πρέπει να προηγείται οποιασδήποτε απόφασης. Ποιες είναι οι κρίσιμες λειτουργίες που χρειάζονται προστασία; Ποια δεδομένα είναι πιο ευαίσθητα; Αυτές οι ερωτήσεις θα καθοδηγήσουν την επιλογή σας.

Το κυριότερο, όμως, είναι η σωστή προτεραιότητα των εφαρμογών. Αν δεν υπάρχουν ήδη βασικά πράγματα, όπως antispam, network segmentation ή WAF (Web Application Firewall), δεν έχει νόημα να βάλουμε Next Generation Firewall με IPS και IDS ή να κάνουμε micro segmentation. Είναι σημαντικό να φροντίσετε τα προαπαιτούμενα προτού προχωρήσετε σε κάτι πιο εξειδικευμένο.

Αγοράστε Αυτό που Ταιριάζει στην Επιχείρηση – Η αγορά της κυβερνοασφάλειας είναι κορεσμένη από προϊόντα που υπόσχονται λύσεις πανάκειας. Το θέμα είναι ότι δεν κάνουν όλα για όλους και χρειάζεται προσοχή ώστε να μην επιλέξετε το πιο φανταχτερό, αλλά το πιο κατάλληλο. Η αξιολόγηση πρέπει να βασίζεται σε αντικειμενικά κριτήρια, όπως:

Είναι το σύστημα συμβατό με τις υπάρχουσες υποδομές; Τι επιπλεον χρειάζεται για το integration; Μπορεί να επεκταθεί καθώς η επιχείρηση αναπτύσσεται; Μας έχει δώσει roadmap για τη μελλοντική του εξέλιξη; Έχει θετικές αξιολογήσεις από παρόμοιες επιχειρήσεις στον κλάδο σας; Διαθέτει την αναγκαία υποστήριξη από τον πάροχο; Μπορεί να παρέχει αυτοματισμό και ορατότητα στα υπόλοιπα συστήματα ώστε να συνεργαστούν ως μια πλατφόρμα;

Όταν απαντηθούν επαρκώς τα παραπάνω ερωτήματα, θα πρέπει να γίνει ένα POC (Proof Of Concept) ώστε να διαπιστωθεί πως θα λειτουργήσει στο δικό μας περιβάλλον.

Το cybersecurity χρειάζεται μια δομημένη προσέγγιση με γερές βάσεις, οι οποίες θα αποτελέσουν τον ακρογωνιαίο λίθο για την ανοικοδόμηση ενός γερού συστήματος προστασίας. Συμβαίνει συχνά σε εταιρείες να βιάζονται να χτίσουν το μεταφορικό ρετιρέ και να παραβλέπουν τα θεμέλια, κάτι το οποίο θα εμποδίσει τη σωστή αξιοποίηση των συστημάτων και η επένδυση δεν θα αποδώσει ποτέ πλήρως.

Συμπερασματικά, δεν υπάρχει one size fits all και όλες οι επιλογές θα πρέπει να γίνονται στρατηγικά. Είναι προτιμότερο να δημιουργήσουμε κάτι ορθό που εξελίσσεται πιο αργά αλλά σταθερά, πάρα να κινούμαστε βιαστικά σε μια πρόχειρη απόπειρα για άμεση πρόοδο, που μακροπρόθεσμα θα δημιουργήσει τεράστιο τεχνικό χρέος (technical debt) και ανεπίλυτα προβλήματα.

Cybersecurity Compliance Framework

Η Pylones Hellas και η SecurityHQ αναλύουν το Μέλλον της Κυβερνοασφάλειας

Yuliya Novikova, Kaspersky: Οι χάκερς έχουν επάγγελμα… το έγκλημα!

Digital Operational Resilience Act (DORA)

Η Πράξη Ψηφιακής Επιχειρησιακής Ανθεκτικότητας (DORA) και οι Κίνδυνοι Μη Συμμόρφωσης

Ψηφιακή Ανθεκτικότητα – Θωράκιση πέρα από την Κυβερνοασφάλεια

“D.O.R.A the Resilience Explorer” (pun stops now!)

Κανονισμός DORA: Ενίσχυση της Ψηφιακής Ανθεκτικότητας στον Χρηματοπιστωτικό Τομέα

Πλοηγώντας στο Νέο Τοπίο: Ο DORA και η Αυγή της Ενισχυμένης Ψηφιακής Ανθεκτικότητας

DORA και Privileged Access Management: Ενισχύοντας την ψηφιακή ανθεκτικότητα στον χρηματοοικονομικό τομέα

Bitdefender | Κανονισμός DORA-Το Game Changer που δεν πρέπει να υποτιμήσετε

DORA: Άλλη μια συμμόρφωση ή ευκαιρία για βελτίωση:

Συμμόρφωση με την DORA: Πως η BeSecure ενισχύει την ανθεκτικότητα των χρηματοπιστωτικών ιδρυμάτων στον κυβερνοχώρο

Third Party Risk Management: Πρόβλημα που έχει Λύση

Πρώτα Security Assessment, Μετά Security Investment!

AXIA CERT: Πιστοποιήσεις ISO για Ασφάλεια, Ανθεκτικότητα και Επιχειρησιακή Συνέχεια των Εταιριών

Αντιμετωπίζοντας τις Προκλήσεις του Ανθρώπινου Παράγοντα

Η νέα εποχή του Cybersecurity με EDR & AI-Powered Identity Protection!

Διαχείριση Ταυτότητας και Πρόσβασης Πελατών (CIAM)