Η επιτυχία της ψηφιακής στρατηγικής ενός οργανισμού βασίζεται στην προϋπόθεση ότι, η ανώτερη διοίκηση και ο υπεύθυνος ασφάλειας πληροφοριών, ξεκινώντας από διαφορετικές αφετηρίες, έχουν τους ίδιους στόχους. Ενώ η διοίκηση ανησυχεί για την οικονομική επίπτωση των θεμάτων ασφάλειας, ο υπεύθυνος ασφάλειας πληροφοριών σχεδιάζει και υλοποιεί τεχνολογίες για την ορθή αντιμετώπιση των παραπάνω ρίσκων. Παρόλα αυτά, πολλά προβλήματα μπορούν να προκύψουν.
Όταν αποφάσεις λαμβάνονται από την διοίκηση χωρίς τη συμμετοχή του υπεύθυνου ασφάλειας, κρίσιμοι παράγοντες μπορεί να παραβλεφθούν. Το πρόβλημα αυτό είναι εμφανές, ειδικά στην περίπτωση του cloud computing. Για τη διοίκηση, το σύννεφο είναι μια οικονομική υπηρεσία σε αντίθεση με την «ακριβή» υλοποίηση συστημάτων πληροφορικής. Αποτέλεσμα της προσέγγισης αυτής είναι αρκετές φορές, οι υπεύθυνοι ασφάλειας, να έρχονται αντιμέτωποι με καταστάσεις που δεν προασπίζουν το συμφέρον του οργανισμού.
Σύμφωνα με πρόσφατες μελέτες, η πλειοψηφία των οργανισμών στην Ευρώπη και τη Β. Αμερική, θεωρούν την ασφάλεια σαν τον πρωταρχικό αποτρεπτικό παράγοντα για την υιοθέτηση υπηρεσιών στο σύννεφο. Η ορθή προσέγγιση και η δημιουργία κατάλληλων αντίμετρων για την υιοθέτηση υπηρεσιών στο σύννεφο, είναι το κλειδί για την απομόνωση των προβληματισμών που δημιουργούν την έλλειψη εμπιστοσύνης. Η ίδια αντιμετώπιση, μπορεί να βοηθήσει τον υπεύθυνο ασφάλειας να κερδίσει την εμπιστοσύνη της διοίκησης, αναφορικά με την διαχείριση των κινδύνων που πηγάζουν από τη χρήση του σύννεφου.
Θετικές γνώμες για τη χρήση cloud υπηρεσιών | Αρνητικές γνώμες για τη χρήση cloud υπηρεσιών |
|
Οι προσεγγίσεις για την υιοθέτηση υπηρεσιών στο σύννεφο
Ανάλογα με τις εσωτερικές πολιτικές ισορροπίες, την ιστορία και τη στρατηγική του οργανισμού, υπάρχουν δύο προσεγγίσεις για την υιοθέτηση υπηρεσιών στο σύννεφο. Η πρώτη, αναφέρεται ως «Προληπτική στρατηγική οδικού χάρτη» και προϋποθέτει τη συνεργασία με τη διοίκηση, για τον καθορισμό των ανησυχιών, τον σχεδιασμό των αντίμετρων, καθώς και τον καθορισμό των πιθανών κενών στην αντιμετώπισή τους. Με την προσέγγιση αυτή, η διοίκηση είναι ο «πελάτης» και το πλάνο το «προϊόν», που πρέπει να απαντά στα κάτωθι: ποιό είναι το πρόβλημα, πώς η λύση στο σύννεφο συνεισφέρει στην επίλυση, πιθανά προβλήματα και τρόποι αντιμετώπισης.
Η δεύτερη προσέγγιση, «Σχέδια ταχείας αντίδρασης», επικεντρώνεται στο γεγονός ότι, η διοίκηση του οργανισμού, πολλές φορές αντιμετωπίζει τα προβλήματα που ανακύπτουν βασιζόμενη στο ένστικτο και τα ιστορικά στοιχεία, μεγεθυμένα πολλές φορές από την αντιμετώπιση των περιστατικών ασφάλειας από τα μέσα ενημέρωσης. Η αντιμετώπιση αυτή, όμως, αποτυγχάνει στον καθορισμό της πηγής των ανησυχιών της διοίκησης, με συνεπακόλουθη την αποτυχία αντιμετώπισής της.
Ανεξάρτητα από την ακολουθούμενη προσέγγιση, ο βαθμός επιτυχίας υιοθέτησης υπηρεσιών στο σύννεφο, εξαρτάται από το βαθμό εμπιστοσύνης που ο πάροχος μπορεί να εμπνεύσει. Η εμπιστοσύνη διαφέρει από την ασφάλεια. Ενώ η ασφάλεια επικεντρώνεται στο εσωτερικό του οργανισμού (άνθρωποι, τεχνολογίες και πληροφοριακά συστήματα), η εμπιστοσύνη είναι εξωστρεφής (αντικατοπτρίζοντας την σχέση με πελάτες, προμηθευτές και συνεργάτες).
Στην περίπτωση για παράδειγμα κάποιου περιστατικού ασφάλειας, η αποτυχία να καλυφθούν οι απαιτήσεις των πελατών για ταχύτατη και αποδοτική αντίδραση και διαφάνεια στην επικοινωνία, ακόμα και αν δεν είναι συμβατικές υποχρεώσεις, μπορεί να έχουν αντίκτυπο στην εμπιστοσύνη μεταξύ των πελατών και του οργανισμού.
Συνεπώς, οι πάροχοι υπηρεσιών μέσω σύννεφου πρέπει να είναι διάφανοι και ειλικρινείς ως προς τις παρεχόμενες δυνατότητες, την ακεραιότητα και τη στρατηγική τους. Από την πλευρά των πελατών, η εμπιστοσύνη πρέπει να υφίσταται, όχι μόνο μεταξύ του οργανισμού και του παρόχου υπηρεσιών, αλλά και μεταξύ της διοίκησης και του υπεύθυνου ασφάλειας, αναφορικά με την κατανόηση των απαιτήσεων και των προβληματισμών του οργανισμού.
Στο παρόν άρθρο, συνοψίσαμε τις δημοφιλέστερες προσεγγίσεις της διοίκησης, αναφορικά με υπηρεσίες στο σύννεφο, προτείνοντας προσεγγίσεις στους υπεύθυνους ασφάλειας, ώστε να «κερδίσουν» την εμπιστοσύνη της διοίκησης και να διαχειριστούν τις προσδοκίες τους αναφορικά με αυτές.
Θωρακίζοντας τους πόρους της σύγχρονης επιχείρησης στο σύννεφο
Στο πλαίσιο αυτό, η Space Hellas με πολυετή εμπειρία στο χώρο του ΙnformationSecurity, είναι σε θέση να παρέχει τόσο συμβουλευτικές υπηρεσίες, όσο και συγκεκριμένες λύσεις, που θωρακίζουν στο μέγιστο δυνατό βαθμό τους ”πόρους” της σύγχρονης επιχείρησης στο σύννεφο. Τα εξειδικευμένα στελέχη της ασχολούνται αποκλειστικά με τη μελέτη και διεκπεραίωση έργων ασφάλειας πληροφοριών και πληροφορικής και είναι σε θέση να αναλύσουν σε συνεργασία με τον πελάτη, τις εκάστοτε ανάγκες του και να παρέχουν λύσεις, με στόχο την επίτευξη του επιθυμητού επιπέδου ασφάλειας, με το βέλτιστο συντελεστή κόστους.Επιπλέον, διαθέτει στις εγκαταστάσεις της ένα υπερσύγχρονο Security Operation Center (SOC) με έμπειρο και πιστοποιημένο προσωπικό, όπου μπορεί να παρακολουθεί 24×7 προληπτικά και να δίνει άμεση λύση σε περιστατικά, πριν ακόμα αυτά γίνουν επιβλαβή για έναν οργανισμό.
Τέλος, η Space Hellas είναι μία από τις λίγες ελληνικές εταιρείες με πιστοποίηση ISO/IEC 27001:2013 για το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών σε επίπεδο Οργανισμού και για το σύνολο των δραστηριοτήτων και των σημείων παρουσίας της εταιρίας στην Ελλάδα και το εξωτερικό, (Μάλτα, Σερβία, Κύπρο και Ρουμανία).
Παναγιώτης Καλαντζής
InfoSec Consultant,
Space Hellas S.A