Το περιοδικό IT SECURITY Professional σε συνεργασία με τη Symantec πραγματοποίησαν για πρώτη φορά στην Ελλάδα έρευνα αναφορικά με την ασφάλεια των πληροφοριών στις ελληνικές επιχειρήσεις. Τα συμπεράσματα που προκύπτουν παρουσιάζουν ιδιαίτερο ενδιαφέρον.
Οι οικονομικές συνθήκες στην Ελλάδα επηρεάζουν – αλλά όχι σε πάρα πολύ μεγάλο βαθμό – τις επενδύσεις για την ασφάλεια των πληροφοριών. Ιδιαίτερα σημαντική κρίνεται η διαφύλαξη της επιχειρησιακής συνέχειας, ενώ αναβαθμισμένος θεωρείται σήμερα ο ρόλος του υπεύθυνου ασφάλειας στις ελληνικές επιχειρήσεις. Η διαρροή εμπιστευτικών πληροφοριών αποτελεί το σοβαρότερο κίνδυνο, ενώ απαιτούνται σημαντικές προσπάθειες προκειμένου η πλειοψηφία των ελληνικών επιχειρήσεων να εξοικειωθεί με τις υπηρεσίες cloud.
Αυτά είναι μερικά μόνο από τα βασικά συμπεράσματα που προκύπτουν από την έρευνα για την ασφάλεια των πληροφοριών στις ελληνικές επιχειρήσεις, που διεξήγαγε το “it SECURITY Professional” σε συνεργασία με τη Symantec. Είναι η πρώτη φορά που πραγματοποιείται μία ανάλογη έρευνα αποκλειστικά για τις επιχειρήσεις και τους Οργανισμούς στην Ελλάδα, καλύπτοντας πολλές και σημαντικές πτυχές του θέματος.
Η ταυτότητα της έρευνας – που πραγματοποιήθηκε από τις 15 Δεκεμβρίου 2010 μέχρι 15 Ιανουαρίου 2011 – απεικονίζεται στα σχεδιαγράμματα 1, 2 και 3. Το δείγμα της έρευνας αποτελείται από 150 ελληνικές επιχειρήσεις, ενώ όπως φαίνεται και από τα σχεδιαγράμματα, επιλέχθηκαν αντιπροσωπευτικές επιχειρήσεις από όλους τους κλάδους, δίνοντας έμφαση σε εταιρείες που διαχειρίζονται δεδομένα σημαντικής διαβάθμισης, όπως οι βιομηχανίες (τροφίμων, κατασκευαστικές, φαρμάκων, πετρελαϊκές, κ.ά.), οι μεγάλες εμπορικές επιχειρήσεις, καθώς φυσικά και οι μεγάλοι Όμιλοι από τον κλάδο των χρηματοοικονομικών υπηρεσιών και τηλεπικοινωνιών. Αναφορικά με το μέγεθος των εταιρειών του δείγματος σε σχέση με τον αριθμό των χρηστών ηλεκτρονικών υπολογιστών, συνολικά, σχεδόν πάνω από το 81 % είναι εταιρείες με 100 και περισσότερους χρήστες υπολογιστών, ενώ υπάρχουν και πολλές εταιρείες (34 % του συνολικού δείγματος) με πάνω από 300 χρήστες, οι οποίες στην Ελλάδα θεωρούνται μεγάλες επιχειρήσεις. Πρέπει επίσης να επισημάνουμε ότι αναζητώντας τους υπευθύνους των επιχειρήσεων που θα απαντούσαν στα ερωτήματα της έρευνας, το 20% κατέχει θέση με τίτλο ΙΤ Security Officer (ή παρεμφερές), ποσοστό αρκετά ικανοποιητικό για τα δεδομένα της Ελλάδας, κάτι το οποίο προκύπτει λόγω της προσεκτικής επιλογής του δείγματος της έρευνας, με βάση όχι μόνο ποσοτικά αλλά και ποιοτικά κριτήρια. Το ερωτηματολόγιο διαχωρίστηκε σε 4 θεματικές ενότητες και τα αποτελέσματα παρουσιάζονται στη συνέχεια με τη βοήθεια διαγραμμάτων, επιχειρώντας παράλληλα να εξάγουμε κάποια χρήσιμα συμπεράσματα.
1η ενότητα: Επενδύσεις για την ασφάλεια πληροφοριών
Είναι δεδομένο σήμερα ότι το δύσκολο οικονομικό περιβάλλον στις περισσότερες ελληνικές επιχειρήσεις αποτελεί τροχοπέδη για τις όποιες επενδυτικές κινήσεις είτε αυτές αφορούν σε επενδύσεις για την ανάπτυξη είτε για τη βελτιστοποίηση των λειτουργικών υποδομών. Σε αυτό λοιπόν το ασφυκτικό περιβάλλον είναι απόλυτα λογικό το 56% των ερωτηθέντων να δηλώνει ότι σε μικρό ή μεγαλύτερο βαθμό, οι οικονομικές συνθήκες στην Ελλάδα επηρεάζουν τις επενδύσεις στον τομέα της ασφάλειας των πληροφοριών στην επιχείρηση τους. Από την άλλη βέβαια, σίγουρα είναι αισιόδοξο το γεγονός ότι ένα αρκετά μεγάλο ποσοστό (44%) απάντησε ότι οι τρέχουσες οικονομικές συνθήκες έχουν επηρεάσει από λίγο έως καθόλου το κρίσιμο αυτό τομέα (διάγραμμα 4).
Παρόλα αυτά είναι λογικό η οικονομική κατάσταση να έχει δημιουργήσει ένα ασταθές περιβάλλον που επιφέρει διαφοροποιήσεις σε επιχειρηματικά πλάνα, ακόμα και σε αποφάσεις που έχουν ληφθεί. Έτσι το 40 % των επιχειρήσεων που έλαβε μέρος στην έρευνα, μας δήλωσαν ότι λόγω του γενικότερου κλίματος που επικρατεί υπήρξαν περικοπές σε έργα που σχετίζονταν με την ασφάλεια (διάγραμμα 5). Προσπαθώντας να διαγνώσουμε τις προθέσεις των εταιρειών για τις ενδεχόμενες επενδύσεις στον τομέα της ασφάλειας, θέσαμε στη συνέχεια το ερώτημα: ” Σκοπεύει η δική σας επιχείρηση να αυξήσει τις επενδύσεις για την ασφάλεια των πληροφοριών τα επόμενα ένα ή δύο χρόνια;”. Στην ερώτηση, όπως φαίνεται και από το διάγραμμα 6, σχεδόν οι μισές εταιρείες (49%) απάντησαν θετικά, το 24% αρνητικά, ενώ το 27% ότι δεν γνωρίζουν, κάτι που οδηγεί στο συμπέρασμα ότι ένα μεγάλο ποσοστό εταιριών αντιλαμβάνεται την ανάγκη επενδύσεων στον τομέα της ασφάλειας πληροφοριών, προκειμένου να αντιμετωπίσουν τις προκλήσεις που έρχονται.
Αναφορικά με το ποιοι είναι οι πιο σημαντικοί παράγοντες που ωθούν τις εταιρείες στην αγορά εξοπλισμού και υπηρεσιών ασφάλειας, όπως φαίνεται και στο διάγραμμα 7 “η διαφύλαξη επιχειρησιακής συνέχειας” θεωρείται ο πιο σημαντικός παράγοντας (69%). Όμως και “η εταιρική φήμη” και οι “οικονομικές επιπτώσεις από διαρροή δεδομένων” (63%), φαίνεται ότι επίσης αποτελούν προτεραιότητα. Στη συνέχεια ακολουθούν η “εσωτερική πολιτική ασφάλειας” (48%) και η “κανονιστική συμμόρφωση” (44%), όπου και αυτοί θεωρούνται πολύ ή αρκετά σημαντικοί παράγοντες.
Επιχειρώντας να αξιολογήσουμε το πού θα κατευθυνθούν οι δαπάνες για την ασφάλεια των πληροφοριών τα επόμενα 3 χρόνια, η πλειοψηφία των εταιριών (60%) απάντησε σε “αγορά προϊόντων & εξοπλισμού” όπως φαίνεται στο διάγραμμα 8. Ακολουθούν η «συμμόρφωση με το κανονιστικό πλαίσιο» (18%), οι συμβουλευτικές υπηρεσίες (12%) και τέλος οι αξιολογήσεις κινδύνων (10%)
2η ενότητα: Εσωτερική δομή & οργάνωση για την Ασφάλεια Πληροφοριών
Θέλοντας να αξιολογήσουμε ευρύτερα τη σημασία που δίνουν σήμερα οι ελληνικές επιχειρήσεις στην ασφάλεια πληροφοριών, θέσαμε στη συνέχεια ερωτήματα που αφορούν στην εσωτερική δομή και οργάνωση των εταιρειών σε αυτόν τον τομέα. Καταρχήν το γεγονός ότι στο δείγμα της έρευνας το 35% απάντησε ότι η εταιρεία τους διαθέτει υπεύθυνο για την ασφάλεια των πληροφοριών – όπως φαίνεται και από το διάγραμμα 9 – κρίνεται ιδιαίτερα αισιόδοξο και δείχνει μια αλλαγή νοοτροπίας. Παρόλα αυτά όπως φαίνεται από τα αποτελέσματα για την πλειοψηφία των εταιριών (57%) ο τομέας της ασφάλειας πληροφοριών εξακολουθεί να αποτελεί μια από τις αρμοδιότητες του υπεύθυνου IT. Όσον αφορά το “πού αναφέρεται ο υπεύθυνος για την ασφάλεια πληροφοριών” το 51% απάντησε στον IT manager ενώ ένα αρκετά μεγάλο ποσοστό (43%) δήλωσε ότι αναφέρεται απευθείας στη Διοίκηση, κάτι που δείχνει μια αναβάθμιση στο ρόλο του συγκεκριμένου στελέχους σε σχέση με ότι γνωρίζαμε μέχρι τώρα.
Από το διάγραμμα 11 συμπεραίνουμε ότι σε λιγότερες από τις μισές επιχειρήσεις του δείγματος (46%) υπάρχει Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, ενώ το 43% διαθέτει μόνο «πολιτική ασφάλειας».
Ένα θέμα που πρέπει σίγουρα να απασχολήσει τους υπεύθυνους είναι το κατά πόσο η πολιτική & οι διαδικασίες ασφάλειας πληροφοριών είναι σε απόλυτη γνώση των εργαζομένων, καθώς από την έρευνα προκύπτει ότι ένα ποσοστό 42% θεωρούν όχι πολύ ικανοποιητικό ή καθόλου ικανοποιητικό το βαθμό γνώσης στην πολιτική και τις διαδικασίες αυτές (διάγραμμα 12).
Στην ερώτηση τώρα για το πόσο συχνά διενεργούνται έλεγχοι για την τήρηση των κανόνων ασφάλειας πληροφοριών από τους εργαζόμενους, το μεγαλύτερο ποσοστό (43%) απάντησε κάθε χρόνο, το 29% απάντησε κάθε εξάμηνο (διάγραμμα 13) ενώ υπάρχουν και επιχειρήσεις (16 % επί του δείγματος) όπου δεν διενεργούνται ποτέ έλεγχοι για την τήρηση των κανόνων ασφάλειας πληροφοριών.
3η ενότητα: Κίνδυνοι – απειλές
Στην 3η ενότητα της έρευνας, ο στόχος ήταν να αναδείξουμε τους κινδύνους και τις απειλές όπως αυτές αξιολογούνται από τις ελληνικές επιχειρήσεις. Προσπαθώντας να διερευνήσουμε πόσο σοβαροί θεωρούνται κάποιοι διαδεδομένοι κίνδυνοι για την ασφάλεια των πληροφοριών, η πλειοψηφία των εταιριών (59%) φαίνεται να θεωρεί ως σοβαρότερο κίνδυνο τη “Διαρροή εμπιστευτικών πληροφοριών” (διάγραμμα 14). Ακολουθεί η “Εξωτερική παρείσδυση” (54%) και έπονται κατά σειρά η “Τροποποίηση επιχειρησιακών δεδομένων” (46%) το “Denial of Service” (31%) και η “Μη συμμόρφωση με κανονιστικό πλαίσιο” (29%).
Αναζητώντας στη συνέχεια από τις επιχειρήσεις του δείγματος να αξιολογήσουν το «επίπεδο ετοιμότητάς τους για την αντιμετώπιση των κινδύνων ασφάλειας πληροφοριών» το 83% θεωρεί ότι είναι από υψηλό έως πολύ υψηλό, ενώ μόλις το 17% θεωρεί θεωρεί ότι είναι χαμηλό (διάγραμμα 15).
Ιδιαίτερα επίκαιρο είναι το ζήτημα της χρήσης των κοινωνικών δικτύων από τους εργαζόμενους σε μία επιχείρηση εν ώρα εργασίας και αξιοποιώντας τους εταιρικούς πόρους. Σε ανάλογο λοιπόν ερώτημα κατά πόσο αυτό θεωρείται ως απειλή, είναι χαρακτηριστικό ότι το 65% απάντησε θετικά (διάγραμμα 16). Σε ερώτηση για το κατά πόσο οι εταιρίες αντιμετώπισαν περιστατικά ασφάλειας που να έθεσαν σε κίνδυνο σημαντικούς πόρους για την λειτουργία της επιχείρησης, αξίζει να αναφέρουμε ότι ένα σημαντικό ποσοστό (23%) απάντησε θετικά. Η διενέργεια αξιολόγησης των κινδύνων σε μια επιχείρηση θεωρείται πλέον απαραίτητο να γίνεται συχνά. Σε αντίστοιχη ερώτηση της έρευνας – τα αποτελέσματα της οποίας φαίνονται στο διάγραμμα 18 – το 48 % των ερωτηθέντων απάντησε ότι γίνεται σε ετήσια βάση, το 13% κάθε εξάμηνο, ενώ το 17 % απάντησε ότι δεν γίνεται ποτέ αξιολόγηση των κινδύνων.
4η ενότητα: Μέτρα προστασίας
Αναφορικά με το “Ποια τεχνικά μέσα προστασίας πρόκειται να υλοποιήσουν τα οι εταιρίες τα επόμενα 3 χρόνια” η πλειοψηφία των απαντήσεων (51%) ανέδειξε ως πιο σημαντικό μέσο προστασίας το “Strong user authentication” (διάγραμμα 19), ενώ αμέσως πιο διαδεδομένες απαντήσεις ήταν κατά σειρά “Web content filters” (47%), “Encryption of removable media” (42%), “Data leakage prevention” (33%) και “Identity management” (30%).
Όσον αφορά την υλοποίηση μέτρων ασφάλειας που σχετίζονται με υπηρεσίες cloud από ελληνικές επιχειρήσεις το γεγονός ότι η πλειοψηφία των εταιριών (63%) απάντησε ότι δεν σκέφτεται να προμηθευτεί υπηρεσίες ασφάλειας μέσω cloud, καταδεικνύει την ανάγκη για μεγαλύτερη ενημέρωση και ώθηση των υπηρεσιών αυτών, ώστε οι ελληνικές επιχειρήσεις να αρχίσουν να εξοικειώνονται με τη νέα αυτή τάση. Όσοι απάντησαν θετικά, έδειξαν να κατευθύνονται κυρίως σε λύσεις Mail Filtering (Antivirus, Antispam) και Web Filtering (Antivirus, URL Filtering), όπως διακρίνουμε και στο διάγραμμα 20.
Υποστηρικτική άποψη για την έρευνα
Του Χρήστου Βεντούρη
Technology Manager, Symantec
Βλέποντας τα αποτελέσματα της έρευνας παρατηρούμε ότι υπάρχουν διαπιστώσεις και σαφή μηνύματα, πολλά εκ των οποίων βρίσκονται σε μεγάλη σύμπνοια με αντίστοιχες έρευνες σε ευρωπαϊκό επίπεδο. Για ευκολία, θα τα χωρίσουμε σε κατηγορίες :
Στελέχωση
Σε μεγάλο ποσοστό η διαχείριση της ασφάλειας αποτελεί δευτερεύοντα ρόλο ενός IT Manager, ο οποίος είναι ήδη επιβαρημένος με πολλές επιπλέον αρμοδιότητες. Σε τέτοιες περιπτώσεις, ο IT manager θα πρέπει να χρησιμοποιήσει τεχνολογίες ασφάλειας που παρέχουν ευκολία στη χρήση, ενοποιημένη διαχείριση και ελάχιστη δυνατή επίπτωση στην απόδοση της υποδομής τους. Επίσης σε περίπτωση όπου υπάρχει ρόλος IT security στην επιχείρηση, κατά κύριο λόγο αναφέρεται στο IT Management, που εκ πρώτης όψεως δείχνει λογική κατεύθυνση αλλά ενδέχεται να αποτελέσει πρόβλημα στο διαχωρισμό ρόλων και στην επιλογή στρατηγικών προτεραιοτήτων στα ζητήματα ασφάλειας.
Επενδύσεις
Παρ’ όλη τη δύσκολη οικονομική κατάσταση που διανύει η χώρα – και κατά συνέπεια η ελληνική επιχείρηση – οι επενδύσεις στην ασφάλεια συνεχίζουν να υπάρχουν. Υπάρχουν προδιαγεγραμμένα έργα ασφάλειας για την προσεχή διετία και αυτά που δεν έγιναν αναβάλλονται, σε αντίθεση με άλλα έργα σε άλλους τομείς που ενδεχομένως ακυρώνονται. Οι απειλές που έχει να αντιμετωπίσει μια επιχείρηση βάζουν ψηλά σε προτεραιότητα τα έργα προστασίας των δεδομένων.
Απειλές
«Πληροφορία είναι οποιαδήποτε διαφορά κάνει τη διαφορά» είπε ο Gregory Pateson (http://goo.gl/clmbu) και για να κάνει τη διαφορά μία επιχείρηση πρέπει να διαφυλάξει τις πληροφορίες που την κάνουν να διαφέρει από τους ανταγωνιστές της. Ψηλά στις προτεραιότητες βλέπουμε ότι είναι η προστασία της φήμης και η διατήρηση της επιχειρησιακής συνέχειας μιας επιχείρησης, όπως – φυσικά – ψηλά στις απειλές βρίσκεται η εξωτερική παρείσδυση και η διαρροή εμπιστευτικών δεδομένων. Η κάθε επιχείρηση λοιπόν έχει να απαντήσει σε ερωτήματα όπως:
- Ποια είναι εμπιστευτικά δεδομένα για την επιχείρηση;
- Πού – ή μάλλον πού αλλού – βρίσκονται αποθηκευμένα;
- Ποιος έχει πρόσβαση σε αυτά και υπό ποιους όρους;
- Πώς χρησιμοποιούνται/ διακινούνται;
- Κρυπτογραφούνται ή χρήζουν κρυπτογράφησης κατά τη διακίνηση/ φύλαξή τους;
H αύξηση των έξυπνων φορητών συσκευών και των κοινωνικών δικτύων τόσο σε απόλυτους αριθμούς όσο και από άποψη επιλογής πλατφόρμας, απαιτούν αποτελεσματικότερες διαδικασίες ελέγχου πρόσβασης και χρήσης τους στο εταιρικό δίκτυο. Η Symantec αποτελεί το μοναδικό κατασκευαστή λύσεων IT Security που μπορεί να προσφέρει κορυφαίες στην κατηγορία τους λύσεις, εξασφαλίζοντας ταυτόχρονα τη δυνατότητα ενοποιημένης διαχείρισης και κάλυψης πολλαπλών αναγκών στη διαφύλαξη της πληροφορίας. Ενδεικτικά στους τομείς:
- Data Loss Prevention
- Endpoint Security
- Mail/Web Gateway filtering
- Strong Authentication
- Encryption/ PKI
- Event Management
- IT Compliance
- Managed Security Services
- Υπηρεσίες Symantec.Cloud
Η Symantec κατέχει ηγετικό ρόλο και διαθέτει πολυετή εμπειρία, μέσα από το μεγάλο πλήθος των εγκαταστάσεών της σε κάθε τομέα της ελληνικής αγοράς.