Όσο οι επιχειρήσεις αναπτύσσονται στα πλαίσια ενός ανταγωνιστικού περιβάλλοντος, τόσο εντονότερη γίνεται η ανάγκη να δραστηριοποιηθούν ηλεκτρονικά. Το Internet είναι πραγματικότητα και η σωστή αντιμετώπισή του είναι βασική προϋπόθεση για την αποτελεσματική υλοποίηση κάθε ηλεκτρονικής λύσης.
Το ηλεκτρονικό επιχειρείν ή e-Business όπως το έχουμε συνηθίσει, μπορεί να οριστεί ως η χρήση των πληροφοριακών και επικοινωνιακών συστημάτων της επιχείρησης, για την υποστήριξη όλων των δραστηριοτήτων της.
Σε αντίθεση με το ηλεκτρονικό εμπόριο ή e-Commerce, το οποίο είναι μία εμπορική συναλλαγή – αγορά ή πώληση – μέσω μιας ασφαλούς διασύνδεσης στο Internet, το e-Business περιλαμβάνει όλα τα στάδια της παραγωγικής αλυσίδας ενός προϊόντος – από την αγορά της πρώτης ύλης, την παραγωγή και τη διάθεση του τελικού προϊόντος, μέχρι την ηλεκτρονική επεξεργασία των παραγγελιών, την εξυπηρέτηση πελατών και κάθε είδους εμπορική συνεργασία.
Η υιοθέτηση του e-Business αλλάζει τελείως την παραδοσιακή επιχειρηματική λογική, με εμφανή αποτελέσματα στη μείωση του κόστους λειτουργίας, στη βελτίωση του δείκτη απόδοσης των επενδύσεων, στην καλύτερη εξυπηρέτηση των πελατών, στη μείωση του χρόνου παραγωγής – διάθεσης προϊόντων, στην αποτελεσματικότερη διαχείριση των προμηθευτών, ακόμα και στην παρακολούθηση του ανταγωνισμού.
Οι ηλεκτρονικές επιχειρήσεις, όμως, αντιμετωπίζουν ακόμα μία πρόκληση: Τη δημιουργία σχέσεων εμπιστοσύνης και σιγουριάς με τους πελάτες και προμηθευτές τους, δεδομένου ότι τώρα πλέον η προσωπική επαφή έχει αντικατασταθεί από ένα ψυχρό και απρόσωπο web interface και η ‘φυσική συναλλαγή’ από μια διαδικτυακή εφαρμογή. Πώς θα μπορέσουν λοιπόν οι επιχειρήσεις να θεμελιώσουν ή και να συντηρήσουν το επίπεδο εμπιστοσύνης, που παραδοσιακά παρέχουν στους πελάτες τους; Στο ερώτημα αυτό απαντούν οι ολοένα και περισσότερο εξειδικευμένες και εξελιγμένες τεχνολογίες ασφάλειας, οι οποίες, σε συνδυασμό με σωστή στρατηγική, επιτρέπουν στους πελάτες και συνεργάτες μιας ηλεκτρονικής επιχείρησης να εμπιστευτούν τη νέα ηλεκτρονική τους συνεργασία.
Τι είδους ασφάλεια θέλουμε;
Η ασφάλεια στην παραδοσιακή επιχείρηση ήταν σχεδόν εξ ολοκλήρου προσανατολισμένη στο να αποτρέψει την είσοδο σε παράνομους εισβολείς, χρησιμοποιώντας firewalls, IDSs και content filters. Αυτή η προσέγγιση, όμως, δεν καλύπτει τις απαιτήσεις του αναδυόμενου κόσμου του e-Business. Οι νέες επιχειρήσεις θέλουν μεν τα συστήματα και οι πληροφορίες τους να είναι διαθέσιμα σε υπαλλήλους, πελάτες και συνεργάτες, αλλά ταυτόχρονα να υπάρχει αυστηρός έλεγχος στην πρόσβαση και σαφείς περιορισμοί στη διαβάθμιση των πληροφοριών – τι είναι διαθέσιμο και σε ποιον.
Οι νέες αυτές προτεραιότητες αναδεικνύουν τις αδυναμίες των υπαρχόντων συστημάτων και εργαλείων ασφάλειας, τα οποία, αν και χρήσιμα δεν επαρκούν πλέον. Τα firewalls και τα content filters προστατεύουν από ιούς και κλοπές ευαίσθητων πληροφοριών, αλλά δεν βοηθούν τους στρατηγικούς εταίρους και τους πελάτες της επιχείρησης να αξιοποιήσουν πλήρως τις εξελιγμένες δυνατότητες των εφαρμογών e-Business.
Μέχρι σήμερα, οι επιχειρήσεις προσπαθούν να επιλύσουν θέματα πρόσβασης και ασφάλειας, ενσωματώνοντας διαδικασίες εξουσιοδότησης και ταυτοποίησης χρηστών σε κάθε εφαρμογή ξεχωριστά. Αυτό απαιτεί σημαντική εμπειρία, είναι χρονοβόρο και ακριβό. Να μην αναφέρουμε και τα προβλήματα συντήρησης και ‘αντοχής ‘των εφαρμογών, καθώς οι πελάτες, τα προϊόντα και οι επιχειρηματικές απαιτήσεις συνεχώς αυξάνουν.
Ένα ακόμη κύριο μέλημα του e-Business είναι η ασφάλεια των προσωπικών δεδομένων πελατών, που κάθε επιχείρηση τηρεί στα συστήματά της. Υπάρχουν νομικοί, ηθικοί και επιχειρηματικοί λόγοι, για τους οποίους τα στοιχεία αυτά πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση και η οποιαδήποτε αλλαγή τους να παρακολουθείται ανελλιπώς. Πολλές ηλεκτρονικές επιχειρήσεις χρησιμοποιούν ως επιχειρηματικό πλεονέκτημα την αυστηρή τήρηση της εμπιστευτικότητας των προσωπικών δεδομένων των πελατών τους, αλλά πρέπει και να είναι συνεπείς στις υποσχέσεις τους.
Οι ηλεκτρονικές επιχειρήσεις, λοιπόν, πρέπει να αναθεωρήσουν την προσέγγισή τους στα θέματα ασφάλειας, υιοθετώντας λύσεις που εξασφαλίζουν την εμπιστευτικότητα και ακεραιότητα των πληροφοριών τους, τη συνεχή διαθεσιμότητα των συστημάτων τους, τη σωστή και νόμιμη χρήση των εφαρμογών τους, καθώς και την ομαλή εκτέλεση των συναλλαγών με πελάτες και συνεργάτες.
Συνήθεις απειλές στο e-Business
Δεν θα προσπαθήσουμε να μετρήσουμε τους τρόπους με τους οποίους η ηλεκτρονική επιχείρηση μπορεί να δεχθεί επίθεση από hackers, crackers και δυσαρεστημένους υπαλλήλους, γιατί θα χάσουμε το λογαριασμό. Παράνομη πρόσβαση, παραβίαση συστημάτων ασφάλειας, πλαστοπροσωπία, αποστολή IP πακέτων με παραποιημένη ταυτότητα του αποστολέα (spoofing), Denial of Service (DoS), Trojan horses, ιοί, παγίδευση του δικτύου, είναι μερικές μόνο από τις ευφάνταστες μεθόδους που χρησιμοποιούν οι απατεώνες.
Προσπαθώντας να αποφύγουμε την απλούστευση, μπορούμε να τις εντάξουμε σε 4 κατηγορίες:
- Spoofing.
- Γνωστοποίηση ευαίσθητων πληροφοριών.
- Μη εξουσιοδοτημένες πράξεις.
- Διαστρέβλωση δεδομένων.
Στόχοι της ασφάλειας
Η εξέλιξη της τεχνολογίας του διαδικτύου σε συνδυασμό με την ευρεία διασυνδεσιμότητα πολλών συστημάτων, αυξάνει την ανησυχία των στελεχών για την προάσπιση των συστημάτων e-Business. Στο σημερινό διαδικτυακό κόσμο είναι εύκολο να δημιουργηθούν, να αλλαχθούν και να μεταδοθούν πληροφορίες και είναι πολύ πιθανό να παραβιαστεί ένα σύστημα, ακούσια ή εκούσια. Η ασφάλεια των πληροφοριών είναι πρώτη προτεραιότητα των e-Business, όπως προκύπτει από πρόσφατες έρευνες, με πρώτες στη σειρά τις τράπεζες, τις επιχειρήσεις υγείας και τις τηλεπικοινωνίες – και ακολουθούν οι επιχειρήσεις λιανικής.
Ανεξάρτητα όμως από το είδος της επιχείρησης, αυτή οφείλει να εξασφαλίζει βασικές επιχειρηματικές αξιώσεις που συμβάλλουν στην ομαλή λειτουργία και επιτυχία της, όπως:
- Αναγνώριση και επιβεβαίωση της ταυτότητας του συναλλασσόμενου.
- Διασφάλιση ότι οι συναλλαγές στις οποίες εμπλέκονται άτομα ή μηχανές, δεν παραβιάζουν το επίπεδο εξουσιοδότησης που τους έχει εκχωρηθεί.
- Επιβεβαίωση μιας συναλλαγής, πέραν πάσης αμφισβήτησης.
- Προστασία πληροφοριών από παράνομες μεταβολές κατά τη μεταφορά ή την αποθήκευση.
- Πρόσβαση στις πληροφορίες, μόνο από εξουσιοδοτημένα άτομα.
- Πλήρης διαθεσιμότητα των υπηρεσιών σε πελάτες και συνεργάτες.
- Καταγραφή της ηλεκτρονικής ‘διαδρομής’ των συναλλαγών σε ειδικά αρχεία, τα οποία να υπόκεινται σε έλεγχο.
Λαμβάνοντας υπόψη τις βασικές αυτές απαιτήσεις, το σύστημα ασφάλειας που θα κληθεί να υποστηρίξει τις εφαρμογές e-Business, πρέπει να έχει 6 βασικούς στόχους:
1. Εμπιστευτικότητα
Η πληροφορία πρέπει να είναι διαθέσιμη μόνο σε όσους είναι εξουσιοδοτημένοι. Ευαίσθητα προσωπικά στοιχεία, όπως φάκελοι ασθενών, τραπεζικοί λογαριασμοί και κάρτες, αριθμοί ταυτότητας, διαβατηρίων κ.λπ., πρέπει να προστατεύονται από παράνομη πρόσβαση. Δεν είναι τυχαίο ότι το 65% των χρηστών Internet αντιδρά στην ιδέα τήρησης των στοιχείων που αφορούν στην υγεία τους, σε on-line περιβάλλον, επειδή φοβάται ότι κάποιοι μπορούν να δουν τα στοιχεία αυτά. Το 90% ανησυχεί ότι οι εταιρείες μπορεί να πουλήσουν τα προσωπικά τους στοιχεία, ενώ το 85% πιστεύει ότι οι ασφαλιστικές εταιρείες μπορούν να αλλάξουν τις καλύψεις τους, αν εντοπίσουν μεμπτά σημεία στην on-line συμπεριφορά τους (π.χ. στις σελίδες που επισκέπτονται συχνά).
Για να υποστηρίξουν την εμπιστευτικότητα, οι εταιρείες πρέπει να είναι σε θέση να ελέγξουν την πρόσβαση στην αποθηκευμένη πληροφορία και να διασφαλίσουν ότι κατά τη μεταφορά της, δεν θα πέσει σε λάθος χέρια.
2. Ακεραιότητα
Η μεταφορά της πληροφορίας μέσω internet ή άλλου δικτύου, μοιάζει με την αποστολή ενός πακέτου με το ταχυδρομείο. Το πακέτο μπορεί να διασχίσει διάφορες περιοχές και δίκτυα, έμπιστα ή όχι, μέχρι να φτάσει στον τελικό αποδέκτη. Είναι πιθανόν τα δεδομένα να υποκλαπούν ή να αλλάξουν κατά τη μεταφορά και γι’ αυτό να ευθύνεται ένας hacker, ο διαχειριστής του δικτύου, ένας δυσαρεστημένος υπάλληλος, κάποιος ανταγωνιστής ή ένα λάθος. Η ανάγκη για ακρίβεια της πληροφορίας σε ένα περιβάλλον που βασίζεται σ’ αυτήν, είναι αδιαπραγμάτευτη και η πρωταρχική μέριμνα των αρμοδίων είναι να διασφαλίσουν ότι τίποτα δεν προστίθεται ή αφαιρείται από αυτήν, εκτός και αν είναι ηθελημένο και εξουσιοδοτημένο.
3. Διαθεσιμότητα
Διαθεσιμότητα σημαίνει ότι η ηλεκτρονική επιχείρηση συνεχίζει να παρέχει υπηρεσίες, ακόμα κι αν κάποια υποσυστήματά της είναι εκτός λειτουργίας ή συνέβη μια περιβαλλοντική καταστροφή. Η συνηθέστερη αιτία μη διαθεσιμότητας είναι η επίθεση Denial of Service (DoS), αλλά μπορεί να προκληθεί και από διακοπή υποσυστημάτων ή από προβλήματα του δικτύου και του παρόχου. Στενά συνδεδεμένοι με τη διαθεσιμότητα και πολύ σημαντικοί για το e-Business, είναι οι δείκτες της αξιοπιστίας και της ανταπόκρισης. Αξιοπιστία σημαίνει ότι το σύστημα λειτουργεί κατά τα αναμενόμενα και ανταπόκριση μετρά την ταχύτητα με την οποία η επιχείρηση ανακάμπτει μετά από διακοπή των συστημάτων της. Μ’ άλλα λόγια, οι δείκτες αυτοί μετράνε τη βιωσιμότητα της επιχείρησης.
4. Νόμιμη χρήση
Η νόμιμη χρήση έχει τρεις παραμέτρους: αναγνώριση, ταυτοποίηση και εξουσιοδότηση. Η αναγνώριση περιλαμβάνει τη διαδικασία όπου ο χρήστης (άνθρωπος ή μηχανή) προσδιορίζει o ίδιος την ταυτότητά του στην επιχείρηση με την οποία επιθυμεί να συνεργαστεί, είτε με κάτι που ‘γνωρίζει’ (userid και password) είτε με κάτι που ‘έχει’ (smart card, token) ή με κάτι που ‘είναι’ (biometrics: π.χ. δακτυλικό αποτύπωμα). Η επιχείρηση ανταποκρίνεται με την ταυτοποίηση με την οποία αποκλείεται η πλαστοπροσωπία. Η ταυτοποίηση δουλεύει προς δύο κατευθύνσεις: οι χρήστες ταυτοποιούν το server της επιχείρησης που προσεγγίζουν και ο server αναγνωρίζει τους πελάτες του. Όταν ταυτοποιηθεί ο φορέας, το επόμενο βήμα για τη διασφάλιση της νόμιμης χρήσης των συστημάτων είναι η επιβεβαίωση ότι η δραστηριότητά του περιορίζεται σύμφωνα με τα δικαιώματα που του έχουν δοθεί. Αυτό περιλαμβάνει πρόσβαση σε αρχεία, διαχείριση δεδομένων, αλλαγές σε συστήματα κ.λπ. Το ασφαλές σύστημα πρέπει να διαθέτει σαφή πολιτική ανάθεσης δικαιωμάτων και μέσα εντοπισμού μη εξουσιοδοτημένης πρόσβασης.
5. Έλεγχος και εξακρίβωση
Ο έλεγχος ασφάλειας στο e-Business αφορά στην εξέταση των συναλλαγών, από την αφετηρία μέχρι την ολοκλήρωσή τους. Εάν υπάρχει αμφισβήτηση ή ασυμφωνία, ελέγχεται η διαδρομή της συναλλαγής προς τα πίσω, μέχρι να εντοπιστεί το πρόβλημα ή ο υπεύθυνος. Σε ένα καλά σχεδιασμένο σύστημα, είναι δυνατός ο εντοπισμός και η ανασύσταση συναλλαγών και μετά την πραγματοποίησή τους. Έτσι, είναι αποτελεσματικός και ο έλεγχος, ο οποίος με τη χρήση αρχείων χρηστών, πράξεων, εφαρμογών που χρησιμοποιήθηκαν σε συγκεκριμένες χρονικές στιγμές κ.λπ., μπορεί να εντοπίσει προβλήματα στις συναλλαγές ή ρωγμές στην ασφάλεια των συστημάτων.
6. Μη- αποποίηση συναλλαγών
Η μη-αποποίηση συναλλαγών (non-repudiation) είναι η ικανότητα του αποστολέα ή του αποδέκτη μιας συναλλαγής να αποδείξει σε έναν τρίτο (π.χ. δικαστήριο) ότι η συναλλαγή πραγματοποιήθηκε πέραν πάσης αμφιβολίας. Έτσι, ο αποστολέας πρέπει να είναι σε θέση να παρουσιάσει αποδείξεις ότι η συναλλαγή έφτασε στο σύστημα του αποδέκτη και αυτός με τη σειρά του να αποδείξει ότι ο αποστολέας πραγματοποίησε την επίμαχη συναλλαγή.
Η δυνατότητα non-repudiation είναι κρίσιμη σε επιχειρηματικές συναλλαγές, όπου οι δύο συμβαλλόμενοι πρέπει όχι μόνο να είναι βέβαιοι ότι συναλλάσσονται με το σωστό φορέα, αλλά και ότι διαθέτουν αποδεικτικά στοιχεία για να υποστηρίξουν οποιαδήποτε αξίωση προκύψει σχετικά με τις συναλλαγές τους.
Υλοποίηση ασφάλειας
Το πρόβλημα με την υλοποίηση της ασφάλειας είναι ότι τα επιμέρους τμήματα της υποδομής του e-Business αντιμετωπίζονται ξεχωριστά και μόνο σε ό,τι αφορά την ασφαλή τους χρήση. Η πολιτική ασφάλειας που εφαρμόζουν, συνίσταται στο εξής: ‘καταρτίζω κατάλογο με τους κινδύνους και αγοράζω από το ράφι ό,τι νομίζω ότι τους καλύπτει’. Κατά συνέπεια, η λύση που θα επιλεγεί, βασίζεται σε μια ομάδα απειλών που αλλάζει σχεδόν καθημερινά και όχι σε εμπεριστατωμένη ανάλυση αναγκών, απαιτήσεων, κινδύνων, δυνατοτήτων και επιχειρηματικών προοπτικών.
Για να σχεδιαστεί ολοκληρωμένα και να υλοποιηθεί αποτελεσματικά η ασφάλεια στην επιχείρηση, απαιτείται αναλυτική πολιτική ασφάλειας και συστηματική εκτίμηση και διαχείριση των κινδύνων.
Πολιτική Ασφάλειας
Εν αρχή ην η πολιτική ασφάλειας, η οποία για να είναι αποτελεσματική πρέπει να είναι ακριβής, ξεκάθαρη, συμβατή με το υπόλοιπο επιχειρηματικό περιβάλλον και να απαντά σε βασικά ερωτήματα, όπως:
- Ποια είναι τα κρισιμότερα και πιο ευαίσθητα συστήματα;
- Ποιες πληροφορίες είναι εμπιστευτικές και πρέπει να προστατευτούν;
- Πώς θα επιτευχθεί αυτό;
- Ποιο σύστημα ταυτοποίησης θα χρησιμοποιήσουμε;
- Ποιος είναι υπεύθυνος για την εγκατάσταση και διαμόρφωση της υποδομής;
- Έχουμε σχέδια για επιχειρηματική συνέχεια, σε περίπτωση καταστροφής;
Η πολιτική ασφάλειας καλύπτει κάθε επιμέρους σύστημα, εξωτερικές και εσωτερικές απειλές, ανθρώπινους και μηχανικούς παράγοντες, διοικητικές και μη ευθύνες.
Διαχείριση κινδύνων
Καμιά πολιτική ασφάλειας δεν έχει ουσιαστικό αντίκρισμα, εάν δεν συνοδεύεται από διαχείριση των κινδύνων σε όλο το φάσμα της επιχειρηματικής δραστηριότητας. Η διαχείριση συνίσταται στην αναγνώριση των κινδύνων, στην εκτίμηση της κρισιμότητάς τους, στη μείωση των επιπτώσεων με τη χρήση τεχνολογιών ασφάλειας και στην κάλυψη με άλλα μέσα (συμβάσεις, ασφαλιστικές εταιρείες κ.λπ.) των κινδύνων που παραμένουν ορατοί. Η μείωση των κινδύνων επιτυγχάνεται με την υιοθέτηση βέλτιστων πρακτικών στην προστασία της τεχνολογικής υποδομής, όπως κανόνες για τη φυσική ασφάλεια της εγκατάστασης, προγράμματα antivirus, ισχυροί μηχανισμοί ταυτοποίησης, συστήματα προστασίας από παράνομη πρόσβαση, κρυπτογράφηση, αντίγραφα ασφαλείας, διαχείριση έκτακτων περιστατικών κ.λπ.
Διαρκής αναθεώρηση
Η υλοποίηση της ασφάλειας είναι μια δυναμική διαδικασία. Η τεχνολογία αλλάζει διαρκώς, το ίδιο και οι κίνδυνοι. Η εδραίωση εταιρικής κουλτούρας προσανατολισμένης στη διαχείριση του κινδύνου και στην επίτευξη της ασφάλειας, δεν επιτυγχάνεται από τη μια μέρα στην άλλη. Απαιτείται η υιοθέτηση αποτελεσματικού συστήματος παρακολούθησης και επαναπροσδιορισμού των υφιστάμενων μέτρων προστασίας, ώστε αυτά να συνεχίσουν να λειτουργούν αποτελεσματικά.
Τεχνολογίες ασφάλειας
Μετά τον προσδιορισμό των απαιτήσεων ασφάλειας, η επιχείρηση πρέπει να εντοπίζει τις τεχνολογίες που θα τις ικανοποιήσουν. Ένα ικανοποιητικό πλαίσιο ασφάλειας υλοποιείται με τη χρήση τεχνολογιών ταυτοποίησης και εξουσιοδότησης, σε συνδυασμό με ενιαία πλατφόρμα εφαρμογών, ισχυρές συνδεσμολογίες servers και σύγχρονα συστήματα παρακολούθησης της κυκλοφορίας των δικτύων επικοινωνίας. Ο συνδυασμός αυτός, επιτρέπει τον έλεγχο πρόσβασης στις εφαρμογές και στα δεδομένα, με ταυτόχρονη μείωση του κινδύνου από πιθανές επιθέσεις στο δίκτυο.
- Ταυτοποίηση
Υπάρχουν πολλές μέθοδοι ταυτοποίησης, οι οποίες καλύπτουν διαφορετικές ανάγκες των επιχειρήσεων και οι οποίες όσο αυξάνονται οι κίνδυνοι, γίνονται περισσότερο δύσχρηστες και ακριβές. Τα κρυπτογραφημένα passwords και usernames μπορεί να είναι μια χαρά για συγκεκριμένες εφαρμογές, αλλά για πρόσβαση σε κρίσιμες πληροφορίες και συναλλαγές, δεν επαρκούν. Για τις περιπτώσεις αυτές, επιλέγονται άλλες μέθοδοι όπως η βιομετρική (biometrics), οι κωδικοί μίας χρήσης ή τα ψηφιακά πιστοποιητικά.
Τα biometrics έχουν αποδειχθεί εξαιρετικά επιτυχημένη μέθοδος ταυτοποίησης, αλλά η διαδικασία επιβεβαίωσης στοιχείων (scanning ματιού ή ταίριασμα δακτυλικών αποτυπωμάτων σε κάποια database), συχνά θεωρείται αδιακρισία και πάντα υπάρχει ο φόβος κακής χρήσης των στοιχείων αυτών.
Το ψηφιακό πιστοποιητικό, το οποίο περιέχει μοναδικές πληροφορίες για το χρήστη και ένα κλειδί κρυπτογράφησης, είναι βασισμένο στην υποδομή δημόσιου κλειδιού (Public Key Infrastructure) και ο ιδιοκτήτης του το χρησιμοποιεί για να υπογράψει ψηφιακά τα δεδομένα. Η γνησιότητα του ψηφιακού πιστοποιητικού επιβεβαιώνεται από ανεξάρτητη, έμπιστη οντότητα (Certificate Authority).
Άλλη λύση που κερδίζει συνεχώς έδαφος, είναι η χρήση κωδικού πρόσβασης μιας χρήσης (one-time password-OTP), που παράγεται από ειδική συσκευή (token). Ο κωδικός αυτός ‘ζει’ μέχρι να χρησιμοποιηθεί και ακυρώνεται αυτόματα μετά από παρέλευση συγκεκριμένου χρονικού διαστήματος.
Παραλλαγή της λύσης αυτής είναι η παραγωγή του OPT με τη χρήση smart card που ο χρήστης έχει στην κατοχή του, καθιστώντας έτσι δυσκολότερη την υποκλοπή του από κάποιον ‘ενδιάμεσο’.
Μία επιχείρηση μπορεί να έχει εγκαταστήσει περισσότερες από μία λύσεις – πιθανόν από διαφορετικούς προμηθευτές – και να επιθυμεί να τις εφαρμόσει στις νέες υπηρεσίες που θα παρέχει στο μέλλον. Βασικό χαρακτηριστικό της τεχνολογικής υποδομής πρέπει να είναι η υποστήριξη μεθόδων ταυτοποίησης, χωρίς να απαιτείται αλλαγή στη λογική των εφαρμογών.
Ένα σημαντικό πλεονέκτημα ορισμένων τεχνολογιών ταυτοποίησης, είναι η δυνατότητα παροχής single sing-on σε όλες τις εφαρμογές. Διατηρώντας τα στοιχεία της αρχικής ταυτοποίησης καθενός χρήστη, του επιτρέπει εφεξής την πρόσβαση στα συστήματα που καθορίζονται από το προφίλ του. Επίσης, παρέχεται η δυνατότητα κατηγοριοποίησης της πρόσβασης σε ομάδες χρηστών ανάλογα με τις εξουσιοδοτήσεις τους, έτσι ώστε να είναι ευκολότερη η διαχείρισή τους. - Ενοποίηση εφαρμογών
Πρέπει να δοθεί ιδιαίτερη σημασία στην ενσωμάτωση και των παλαιών εφαρμογών στο σύστημα ασφάλειας. Είναι εξαιρετικά ακριβή η υλοποίηση και συντήρηση δύο διαφορετικών συστημάτων ασφάλειας στην ίδια επιχείρηση. Υπάρχουν λύσεις που επιτρέπουν την ανταλλαγή στοιχείων μεταξύ παλαιών και νέων εφαρμογών, καθώς και τη συντήρηση καταλόγων με πληροφορίες για τους χρήστες και τις εφαρμογές. - Hardware
Το e-Business απαιτεί λειτουργία 24 ώρες το εικοσιτετράωρο, επτά ημέρες την εβδομάδα. Αυτό επιτυγχάνεται με ισχυρούς servers, υψηλής απόδοσης, σε πολλαπλή διάταξη για την αύξηση της αξιοπιστίας, ώστε οι επιχειρήσεις να είναι σίγουρες ότι θα αντέξουν τις συχνά υπερβολικές απαιτήσεις των εφαρμογών. - Monitoring
Εκτός από την προστασία των πληροφοριών και την υποστήριξη των εφαρμογών, η δραστηριότητα του δικτύου πρέπει να παρακολουθείται συνεχώς, ώστε να εντοπιστεί οποιαδήποτε παράνομη προσπάθεια πρόσβασης. Firewalls, συστήματα ανίχνευσης παράνομης εισβολής (intrusion detection systems), φίλτρα προστασίας από ιούς κ.λπ., είναι τα εργαλεία που χρησιμοποιούνται για τη συνολική προστασία του δικτύου.
Συμπέρασμα
Η επιτυχία του e-Business στηρίζεται στην ασφαλή και ελεγμένη πρόσβαση σε πληροφορίες και δεδομένα στους πελάτες, προμηθευτές και υπαλλήλους. Η διαχείριση της ασφάλειας είναι μία πολύπλευρη πρόκληση και απαιτεί συνεργασία επιχειρηματικής πολιτικής και πρακτικών με τις νέες τεχνολογίες ασφάλειας. Οι νέες τάσεις στην τεχνολογία, επιτρέπουν στις επιχειρήσεις να διαχειρίζονται ευκολότερα την ασφάλεια των web εφαρμογών, εξασφαλίζουν την ευελιξία στην πρόσβαση των διαφορετικών ομάδων χρηστών, τη συνεχή διαθεσιμότητα των υπηρεσιών, την ομαλή διενέργεια των συναλλαγών και την προστασία των ευαίσθητων προσωπικών δεδομένων.
Βέβαια, μόνο η εγκατάσταση βασικών τεχνολογιών, δεν λύνει αυτόματα τα προβλήματα.
Η ασφάλεια στο e-Business είναι μια πολύπλευρη πρόκληση και η συνταγή για την επιτυχία, είναι: Στρατηγική, ισχυρή ομάδα, τεχνολογία. Τα αποτελέσματα ποικίλουν σημαντικά, εάν αλλάξει η σειρά!
Της Ελένης Σωτηρίου
CISA, CISM
Πηγές: ISACA, Information Systems Control Journal, e-Business Resource Group, Gartner Group, Oracle, IBM.