Παρότι οι συντριπτική πλειοψηφία των οργανισμών επενδύουν δυσθεώρητα ποσά για την διασφάλιση των δικτύων υπολογιστών και των ψηφιακών δεδομένων που έχουν στην κατοχή τους, κάθε χρόνο συμβαίνουν σοβαρές παραβιάσεις ασφάλειας, οι οποίες γίνονται πρώτο θέμα στα δελτία ειδήσεων.

Πρόσφατα παραδείγματα παραβίασης είναι τα περιστατικά ασφάλειας στην SONY Pictures που οδήγησε σε απώλεια ηλεκτρονικής αλληλογραφίας υπαλλήλων και υλικού υπό πνευματική ιδιοκτησία, καθώς και στην Morgan Stanley που οδήγησε σε απώλεια στοιχείων 350.000 πελατών τις τράπεζας, δίνουν μια ανάγλυφη εικόνα. Αυτές είναι μόνο μερικές από τις πρόσφατες παραβιάσεις, οι οποίες θα συνεχίσουν να συμβαίνουν μέχρις ότου αλλάξει η προσέγγισή μας σχετικά με την ασφάλεια.

Η φύση των απειλών έχει αλλάξει
Οι απειλές για έναν οργανισμό δεν είναι πια τοπικές. Ο τρόπος που διασυνδέονται οι οργανισμοί μέσω της ανταλλαγής πληροφοριών, η προσβασιμότητα που απολαμβάνουμε μέσω της κινητής τεχνολογίας και η ευκολία με την οποία οι άνθρωποι, τα προϊόντα και οι πληροφορίες μετακινούνται κατά μήκος των συνόρων, δημιουργούν νέες απειλές. Περιστατικά σε μακρινές χώρες μπορούν να επηρεάσουν έναν οργανισμό. Ταραχές σε μία κοινότητα, περιοχή ή χώρα, μπορούν να δημιουργήσουν διακοπή υπηρεσιών για χιλιάδες επιχειρήσεις, η οποία με τη σειρά της, επηρεάζει τις επιχειρήσεις / πελάτες που αυτές εξυπηρετούν.

Η σημερινή εποχή της πληροφορίας, ειδικά η εποχή του cloud computing και των κοινωνικών δικτύων, έφερε στην επιφάνεια νέες απειλές. Συχνά τα φώτα της δημοσιότητας καταλαμβάνουν ειδήσεις που αφορούν περιστατικά ασφάλειας, τα οποία εν τέλει έχουν ως αποτέλεσμα σοβαρό πλήγμα στην δημόσια εικόνα γνωστών οργανισμών. Ακόμα και σε προσωπικό επίπεδο, γινόμαστε στόχος επιθέσεων που αποβλέπουν σε προσωπικά δεδομένα.

Η κατακερματισμένη προσέγγιση της Ασφάλειας Πληροφοριών δεν είναι αποδοτική
Δυστυχώς, η κατακερματισμένη προσέγγιση της ασφάλειας πληροφοριών που εστιάζει μόνο σε μια περιοχή, χωρίς να ληφθούν υπόψη πιθανές συνέργειες και επιπτώσεις σε άλλες περιοχές, και που στο παρελθόν ήταν σε θέση να προστατεύσει τον οργανισμό, δεν είναι πια επαρκής.

Οι λειτουργίες του οργανισμού – βασίζονται – και συγκλίνουν με τις πληροφορίες. Οι οργανισμοί που εξακολουθούν να τις θεωρούν ανεξάρτητες αντιμετωπίζουν αυξανόμενες απειλές και κινδύνους. Αντίθετα, η εξάρτηση του οργανισμού από τις πληροφορίες για να λάβουν περίπλοκες, κρίσιμες επιχειρηματικές αποφάσεις, δημιουργεί πίεση για την ασφάλειά τους. Το πρόβλημα προκύπτει όταν οι οργανισμοί αντιδρούν σε ορισμένες απειλές, επικεντρώνοντας την προσοχή σε εκείνες τις περιοχές και άμυνες, αφήνοντας άλλες περιοχές χωρίς άμυνα.

Η ολιστική προσέγγιση στην Ασφάλεια Πληροφοριών
Προσεγγίζοντας την ασφάλεια και τη διαχείριση κινδύνου ολιστικά, δηλαδή λαμβάνοντας υπόψη το σύνολο των πτυχών της λειτουργίας ενός οργανισμού – δεδομένου ότι σχετίζονται μεταξύ τους – είναι μια τάση που προβλέπουμε ότι θα συνεχιστεί, δεδομένου ότι οδηγεί σε αποδοτικότερο μετριασμό των κινδύνων που αντιμετωπίζει ο οργανισμός. Προσεγγίζοντας την ασφάλεια του οργανισμού ολιστικά, με πολλά μέρη που επηρεάζουν άλλα μέρη, ο οργανισμός έχει την δυνατότητα πρόβλεψης των θεμάτων και δυσλειτουργιών που πιθανόν να αντιμετωπίσει λόγω της έστω προσωρινής, δυσλειτουργίας ενός κρίσιμου συστήματος, και πώς αυτή θα επηρεάσει τα αλληλοεξαρτώμενα με αυτό, συστήματα.

Ακρογωνιαίος λίθος στην προτεινόμενη προσέγγιση αποτελεί, εκτός του προφανούς στόχου για την ασφάλεια των πληροφοριών του οργανισμού, η συμμόρφωση με το κανονιστικό πλαίσιο που πιθανά ο οργανισμός είναι υποχρεωμένος να διατηρεί, οι λειτουργίες του οργανισμού και τέλος, η επιχειρησιακοί στόχοι.

Αναλυτικότερα, η ασφάλεια πληροφοριών έχει ως στόχο την αντιμετώπιση των ρίσκων που ο οργανισμός αντιμετωπίζει μέσω της διαρκούς παρακολούθησης των εσωτερικών και εξωτερικών απειλών. Ταυτόχρονα, η συμμόρφωση με το κανονιστικό πλαίσιο που διέπει τη λειτουργία του οργανισμού, καθορίζει τους κινδύνους που πρέπει να αντιμετωπιστούν διαφορετικά μπορεί να οδηγήσουν σε σοβαρές επιπτώσεις (πρόστιμα, φυλάκιση, αφαίρεση άδειας λειτουργίας), αυξάνοντας ταυτόχρονα τις δυνατότητες απόδοσης ευθυνών. Τέλος, η ολιστική προσέγγιση της ασφάλειας, έχει τη δυνατότητα να βελτιώσει τις εσωτερικές λειτουργίες του οργανισμού (ταχύτερη επίλυση προβλημάτων, διαχείριση αλλαγών, ελαχιστοποίηση λαθών), ενώ έχει αποτέλεσμα την επίτευξη επιχειρησιακών στόχων (μείωση λειτουργικού κόστους, αποδοτικότερα SLAs, ελαχιστοποίηση τεχνολογικών προβλημάτων και περιστατικών, βελτίωση της συνολικής αποδοτικότητας του οργανισμού).

Η ασφάλεια των πληροφοριών, όμως, δεν αφορά μόνο τεχνολογίες και προϊόντα. Η προτεινόμενη προσέγγιση, αφορά τους παρακάτω παράγοντες, ώστε να επιτυγχάνονται οι προαναφερθέντες στόχοι:

  • Άνθρωποι – το κατάλληλο προσωπικό του οργανισμού πρέπει να εκτελεί τις κατάλληλες εργασίες
  • Πολιτικές και διαδικασίες – οι κατάλληλες πολιτικές και διαδικασίες έχουν θεσπιστεί για την διαχείριση της ασφάλειας και επιχειρησιακής συνέχειας του οργανισμού
  • Διεργασίες – τα κατάλληλα μοντέλα διεργασιών ασφάλειας/επιχειρησιακής συνέχειας είναι σε θέση να εξασφαλίζουν την ανταλλαγή πληροφοριών μεταξύ του οργανισμού και των εξωτερικών συνεργατών ή πελατών
  • Προϊόντα – τα κατάλληλα προϊόντα / τεχνολογίες έχουν υλοποιηθεί για την μείωση των σχετικών ρίσκων
  • Βελτίωση – οι κατάλληλες μέθοδοι επαλήθευσης, μετρικές και δείκτες απόδοσης έχουν θεσπιστεί για την αποδοτική μέτρηση της αποδοτικότητας των μηχανισμών ελέγχου

Τέλος, η ολοκληρωμένη διαχείριση των παραπάνω παραγόντων με σκοπό την επίτευξη των καθορισμένων στόχων, γίνεται μέσα από έναν επαναλαμβανόμενο κύκλο δραστηριοτήτων (Εικόνα 1):

  • Θέσπισης Στρατηγικής
  • Στοχοθεσίας
  • Σχεδιασμού
  • Υλοποίησης
  • Λειτουργίας
  • Παρακολούθησης
  • Βελτιστοποίησης

Σύνοψη
Στο παρόν άρθρο, έγινε μια συνοπτική αναφορά στην ολιστική προσέγγιση της ασφάλειας πληροφοριών, μια προσέγγιση που θεωρούμε ότι έχει ως αποτέλεσμα το βέλτιστο βαθμό προστασίας του οργανισμού, έναντι πιθανών περιστατικών ασφάλειας. Παρά το γεγονός ότι οι απαιτήσεις σε θέματα κυβερνοασφάλειας διαφέρουν ανάλογα με τη φύση και το μέγεθος του οργανισμού, το κανονιστικό πλαίσιο και τους περιβαλλοντικούς παράγοντες στους οποίους λειτουργεί, η παρατιθέμενη προσέγγιση θεωρούμε ότι είναι εφαρμόσιμη στο σύνολο των οργανισμών, ενισχύοντας σημαντικά το επίπεδο ανθεκτικότητας του οργανισμού έναντι επιθέσεων και τον περιορισμό των επιπτώσεων σε περίπτωση περιστατικών παραβίασης.

Στο πλαίσιο αυτό, η Space Hellas, με πολυετή εμπειρία στο χώρο της ασφάλειας των πληροφοριών είναι σε θέση να παρέχει, τόσο συμβουλευτικές υπηρεσίες, όσο και συγκεκριμένες λύσεις που θωρακίζουν στο μέγιστο δυνατό βαθμό τους ”πόρους” της σύγχρονης επιχείρησης. Ακόμα περισσότερο, μέσα από το πλήρως εξοπλισμένο Security Operation Center (SOC) που διαθέτει, αλλά και με το εξειδικευμένο προσωπικό της, παρακολουθεί 24×7 προληπτικά και δίνει άμεση λύση σε περιστατικά, πριν ακόμα αυτά γίνουν επιβλαβή για έναν οργανισμό.

Πλαίσιο Ολιστικής Ασφάλειας

Ολιστική Ασφάλεια και Space Hellas

Παναγιώτης Καλαντζής
InfoSec Consultant, Networking Solutions