Στην πρόσφατη ετήσια διάσκεψη του Παγκόσμιου Οικονομικού Φόρουμ που διεξήχθη στο Νταβός και στο οποίο συμμετείχε η πολιτική ελίτ και ο επιχειρηματικός κόσμος, ένα από τα θέματα που για πρώτη φορά μπήκαν στην ατζέντα ήταν το «CyberSecurity» ως ένας από τους αναδυόμενους κινδύνους που ενδέχεται να πλήξουν την παγκόσμια οικονομία.

Το ντόμινο της οικονομικής κρίσης ανέδειξε την ανάγκη υιοθέτησης μιας συντονισμένης προσέγγισης στην αντιμετώπιση απειλών που ενδέχεται να πλήξουν τον παγκόσμιο οικονομικό ιστό. Στη σύγχρονη «διαδικτυακή πραγματικότητα» οι κίνδυνοι που διέπουν τον κυβερνοχώρο αποτελούν απειλή για το παγκόσμιο επιχειρηματικό οικοσύστημα.

Οι κυβερνοεπιθέσεις έχουν αυξηθεί σε εντυπωσιακό βαθμό, επιφέροντας πολυ-επίπεδες επιπτώσεις, πλήττοντας μεταξύ άλλων τη σταθερότητα αλλά και το προφίλ των στόχων. Αποτελεί πλέον επιτακτική ανάγκη η αναγνώριση των κυβερνοεπιθέσεων ως ενός «πραγματικού» κινδύνου που ενδέχεται να πλήξει την επιχειρησιακή λειτουργία ενός Οργανισμού, ανεξαρτήτως μεγέθους και τομέα δραστηριοποίησης.

Το νέο επιχειρησιακό περιβάλλον απαιτεί μια νέα προσέγγιση στη διαχείριση των θεμάτων που αφορούν στην Ασφάλεια Πληροφοριών:

 

Παρελθόν

Σήμερα

Εύρος της ασφάλειας πληροφοριών Περιοριζόταν στα όρια της επιχείρησης. Συμπεριλαμβάνει όλο το διασυνδεδεμένο οικοσύστημα του Οργανισμού.
Διαχείριση και καθοδήγηση Γινόταν κυρίως από το προσωπικό Πληροφορικής. Αποτελεί συνολική ευθύνη της διοίκησης. Συνδέεται με τους στόχους της επιχείρησης.
Τακτική προστασίας Ισοδύναμη προστασία για όλα τα συστήματα. Προτεραιότητα κρίσιμων υποδομών.
Αντιμετώπιση κινδύνων Κινητοποίηση όταν η επίθεση έχει ήδη εξελιχθεί. Οργανωμένο πλάνο παρακολούθησης, άμεση απόκριση σε όλες τις επιθέσεις.

Αντίστοιχη εξέλιξη παρατηρούμε και στο προφίλ των απειλών. Παλαιότερα ήταν μεμονωμένα άτομα που εκμεταλλεύονταν τα ευάλωτα σημεία μιας πληροφοριακής υποδομής, με σκοπό το προσωπικό όφελος, την πρόκληση βλάβης και την απόκτηση φήμης. Σήμερα οι επιθέσεις είναι οργανωμένες (και πιθανότατα χρηματοδοτούμενες), με συγκεκριμένους στόχους – πολλές φορές με πολιτικές σκοπιμότητες. Πίσω από αυτές τις επιθέσεις ενδέχεται να κρύβονται εκτός από το οργανωμένο έγκλημα, (χ) ακτιβιστές, κρατικές οργανώσεις, ακόμα και οι ίδιοι οι υπάλληλοι ενός Οργανισμού.

Μέσα σε αυτά τα πλαίσια, το παραδοσιακό μοντέλο ασφάλειας κρίνεται ως ανεπαρκές και συνήθως επιτυγχάνει οριακά τους στόχους που τίθενται κυρίως από τα θεσμικά, νομικά ή κανονιστικά πλαίσια. Η ασφάλεια δεν πρέπει να αντιμετωπίζεται πλέον ως ένα τεχνολογικό πρόβλημα, αλλά ως ζήτημα διαχείρισης επιχειρησιακού κινδύνου. Οι διοικήσεις που θα βάλουν το θέμα της ασφάλειας πληροφοριών στην επιχειρηματική τους ατζέντα, όχι μόνο προστατεύουν την επιχείρηση, αλλά είναι σε θέση να αποκομίσουν ουσιαστικά επιχειρησιακά οφέλη. Η γνώση είναι δύναμη – και γνωρίζοντας κανείς ποιες είναι οι αδυναμίες του, αλλά και τους κινδύνους στους οποίους είναι εκτεθειμένος, έχει τη δυνατότητα να σχεδιάσει τη στρατηγική του για την αποτελεσματική αντιμετώπισή τους.

Δυστυχώς, πολλές επιχειρήσεις ακόμη και σήμερα ξοδεύουν μεγάλους προϋπολογισμούς συντηρώντας ένα παραδοσιακό μοντέλο ασφάλειας, το οποίο κρίνεται ως αναποτελεσματικό και δεν παρέχει διαφάνεια ως προς τη συνεισφορά του στην εκπλήρωση των στρατηγικών επιχειρησιακών στόχων ενός Οργανισμού.

Στην PwC, αναγνωρίζουμε την επιτακτική ανάγκη υιοθέτησης ενός νέου μοντέλου στην Ασφάλεια Πληροφοριών, που θα εναρμονίζεται με την επιχειρησιακή στρατηγική, θα συνδέεται με συγκεκριμένους επιχειρηματικούς στόχους και θα παρέχει απόλυτη διαφάνεια ως προς την εκπλήρωση ενός στρατηγικού πλάνου με βάση τις προτεραιότητες που θέτει ο εκάστοτε Οργανισμός. Τρεις τομείς που μπορούν να εξεταστούν κατά την αξιολόγηση της στάσης του Οργανισμού απέναντι στην Ασφάλεια Πληροφοριών είναι οι εξής:

Α. Στρατηγική Ασφάλειας Πληροφοριών

  • Υπάρχει μια ολοκληρωμένη στρατηγική ασφάλειας στο επίκεντρο του επιχειρηματικού μοντέλου; Η στρατηγική αυτή εξετάζει σε όλο το εύρος της θέματα τεχνολογίας, φυσικές απειλές, διαδικασίες αλλά και ζητήματα ανθρωπίνου δυναμικού;
  • Η Διοίκηση έχει ενημέρωση για σημαντικές απειλές που ενδέχεται να συνδέονται και με την υιοθέτηση αναδυόμενων τεχνολογιών (όπως για παράδειγμα η μετάβαση στο Cloud);
  • Μπορούμε να τεκμηριώσουμε και να παρουσιάσουμε τη στρατηγική ασφάλειας στη Διοίκηση και να τη συνδέσουμε με τους επιχειρησιακούς στόχους του Οργανισμού;

Β. Κατανόηση και προσαρμογή

  • Γνωρίζουμε ποια πληροφορία είναι πολύτιμη για την επιχείρηση; Έχουν ληφθεί τα κατάλληλα μέτρα για την αποτελεσματική προστασία της; Σε περίπτωση απώλειάς της, έχει ποσοστικοποιηθεί ο αντίκτυπος που θα έχει στην επιχείρηση;
  • Αντιλαμβανόμαστε τις σημαντικές αλλαγές στο προφίλ των απειλών που αντιμετωπίζει η επιχείρηση; Ποια είναι τα κίνητρα; Ποιες τεχνικές μπορεί να χρησιμοποιήσουν και ποιοι ενδέχεται να είναι οι στόχοι τους;
  • Ποια είναι τα μέτρα ασφάλειας που έχουμε λάβει και κατά πόσον κρίνονται αποτελεσματικά; Υπάρχει ένα ολοκληρωμένο πλάνο έγκαιρης αντιμετώπισης των περιστατικών ασφάλειας;

Γ. Υιοθέτηση υπεύθυνης στάσης ως προς την Ασφάλεια Πληροφοριών μέσα από ένα κοινό όραμα

  • Αναφέρεται ο υπεύθυνος Ασφάλειας Πληροφοριών στην ανώτερη Διοίκηση του Οργανισμού;
  • Οι εργαζόμενοι αντιλαμβάνονται το ρόλο τους για την προστασία των πληροφοριακών υποδομών; Τους παρέχονται κατάλληλα εργαλεία και κατάρτιση;
  • Τι εγγυήσεις απαιτούνται από τους προμηθευτές και τους παρόχους υπηρεσιών;

Οι επιχειρήσεις ακόμη και μέσα στο δύσκολο οικονομικό περιβάλλον που έχει διαμορφωθεί, δεν μπορούν να αφήνουν την Ασφάλεια των Πληροφοριών τους «στην τύχη». Οι νέοι κανόνες του παιχνιδιού απαιτούν σαφή στρατηγική και δεξιότητες ασφάλειας υψηλού επιπέδου. Μόνον έτσι οι επιχειρήσεις θα βρίσκονται σε πλεονεκτική θέση, ώστε είτε να αποφεύγουν ή να αντιμετωπίζουν αποτελεσματικά περιστατικά ασφάλειας, που σε αντίθετη περίπτωση ενδέχεται να επιφέρουν σοβαρές επιπτώσεις.

Του Χρήστου Σαπουνά
InfoSec Consultant, PwC