Στα πλαίσια της διοργάνωσης του 3ου Συνεδρίου του ISACA Athens Chapter είχαμε την ευκαιρία να συνομιλήσουμε με τον Πρόεδρο του ISACA International για το διάστημα 2012-2013, κο Gregory T. Grocholski, ο οποίος διαθέτει εμπειρία 30 ετών στον Εσωτερικό Έλεγχο στη Dow Chemical Company.
Η εμφάνιση της οικονομικής ύφεσης έχει οδηγήσει στην αμείλικτη μείωση του κόστους σε Επιχειρήσεις και Οργανισμούς του δημόσιου τομέα σε όλο τον κόσμο. Ειδικά στην Ελλάδα, οι λειτουργίες της ασφάλειας πληροφοριών και του ελέγχου πληροφοριακών συστημάτων θεωρούνται περιττά κέντρα κόστους, που πρέπει να «αναδιαρθρωθούν». Τι πιστεύετε;
Είναι γεγονός ότι δεν υπάρχει καμία δικαιολογία για τις επιχειρήσεις να επιβαρύνονται με περιττά έξοδα. Κάτι τέτοιο είναι πιθανό να επιφέρει μικρή αξία στα ενδιαφερόμενα μέρη (π.χ. τους μετόχους, τις δημόσιες επιχειρήσεις, τους φορολογούμενους και πολίτες που λαμβάνουν δημόσιες υπηρεσίες, όσους έχουν την ανάγκη των υπηρεσιών από μη κερδοσκοπικά φιλανθρωπικά ιδρύματα). Αυτό ισχύει πάντα, αλλά παράλληλα προκαλεί αυξημένη ανησυχία σε περιόδους ύφεσης. Ωστόσο, η λέξη που πρέπει να επικεντρωθεί κάποιος είναι το «περιττά». Με δεδομένο ότι η πληροφορία έχει γίνει κύριο περιουσιακό στοιχείο για τις επιχειρήσεις σε όλο τον κόσμο, οι επιχειρήσεις δεν μπορούν να διακινδυνεύσουν την οικονομική ζημία και τη δυσφήμιση που μπορεί να προκύψουν από την παραβίαση της ασφάλειας ή τη μη λειτουργία της ιστοσελίδας τους, είτε αυτό είναι αποτέλεσμα σφαλμάτων, ενεργειών από χάκερς, δυσλειτουργία ή δυσαρεστημένων υπαλλήλων. Η ασφάλεια των πληροφοριών και ο έλεγχος πληροφοριακών συστημάτων συνιστούν κύριες γραμμές άμυνας των επιχειρήσεων για την προστασία των επιχειρησιακών πληροφοριών, των σχετικών με την πληροφορική περιουσιακών στοιχείων και επενδύσεων, διασφαλίζοντας ότι δημιουργούν αξία στα ενδιαφερόμενα μέρη και τους μετόχους. Αυτό επιτυγχάνεται με την αξιολόγηση των οφελών που λαμβάνονται, των κινδύνων που αντιμετωπίζονται και των πόρων που χρησιμοποιούνται για τη δημιουργία αυτής της αξίας, λαμβάνοντας υπόψη τις ανάγκες των ενδιαφερόμενων μερών και τις ενέργειες της επιχείρησης για την αντιμετώπισή τους με τον πιο αποτελεσματικό, αποδοτικό και οικονομικό τρόπο. Εξασφαλίζουν δηλαδή ότι οι ενέργειες αυτές δεν είναι υπερβολικές, αλλά οι επαρκείς και αναγκαίες.
Υποθέτοντας ότι οι περισσότεροι υπεύθυνοι Ασφάλειας Πληροφοριών και Ελεγκτές Πληροφοριακών Συστημάτων ενεργούν με στόχο την αποφυγή κινδύνου, ποια θα είναι η συμβολή τους στην ελαχιστοποίηση του λειτουργικού κινδύνου; Ποιοι είναι οι πιο κρίσιμοι παράγοντες κινδύνου που πρέπει να ληφθούν υπόψη;
Η κακή διαχείριση των κινδύνων πληροφοριακών συστημάτων μπορεί να μειώσει την αξία των επιχειρήσεων, να δημιουργήσει οικονομική ζημία, να καταστρέψει την εταιρική φήμη και να συντελέσει αρνητικά ώστε μια επιχείρηση να παραβλέψει πολλές υποσχόμενες νέες ευκαιρίες. Σύμφωνα με μια μελέτη από το Project Management Institute, για κάθε ένα δισεκατομμύριο δολάρια που δαπανά μια επιχείρηση, αντιπροσωπεύει 135 εκατομμύρια δολάρια σε κίνδυνο.
Ωστόσο, θα πρέπει να υπενθυμίσουμε ότι η «ελαχιστοποίηση του κινδύνου» δεν είναι πάντα ο στόχος της επιχείρησης ή των μετόχων της και ως εκ τούτου έχει προκύψει το ρητό ότι «αν δεν αναλάβεις κανένα κίνδυνο δεν θα υπάρχει καμία ανταμοιβή». Το COBIT 5 του ISACA, το οποίο αποτελεί ένα επιχειρηματικό πλαίσιο για τη διοίκηση και τη διαχείριση των πληροφοριακών συστημάτων, χρησιμοποιεί τον όρο «βελτιστοποίηση του κινδύνου» αντί της ελαχιστοποίησής του. Επαγγελματίες της ασφάλειας και του ελέγχου πληροφοριακών συστημάτων, συμβάλλουν στη βελτιστοποίηση του κινδύνου κατανοώντας τις ανάγκες των ενδιαφερομένων μερών στις επιχειρήσεις και τους συμφωνηθέντες επιχειρηματικούς στόχους για την κάλυψη των αναγκών αυτών. Στη συνέχεια επιβεβαιώνουν ότι οι ανάγκες αυτές (η «αξία που θα δημιουργηθεί») ικανοποιούνται, διασφαλίζοντας ότι οι ενέργειες οι οποίες επιφέρουν τα προσδοκώμενα οφέλη, η βελτιστοποίηση διαχείρισης πόρων, καθώς και οι κίνδυνοι, εξετάζονται από κοινού, επιδιώκοντας την κατάλληλη ισορροπία. Αυτό αποτελεί μέρος του προγράμματος επιχειρησιακής διαχείρισης κινδύνων (ERM), το οποίο απαιτεί εξαιρετικά ικανούς επαγγελματίες της ασφάλειας και του ελέγχου πληροφοριακών συστημάτων, δημιουργώντας περισσότερη δουλειά γι ‘αυτούς – και όχι λιγότερη!
Το πλαίσιο “COBIT 5 for Risk” του ISACA, που αναπτύχθηκε από μια παγκόσμια επιτροπή επαγγελματιών διαχείρισης κινδύνου, παρέχει ένα λεπτομερή οδηγό για τη διοίκηση και τη διαχείριση κινδύνων πληροφοριακών συστημάτων στη σημερινή εποχή των απρόβλεπτων απειλών. Επιπλέον, το “COBIT 5 for Information Security” μπορεί να βοηθήσει τις επιχειρήσεις να μειώσουν το προφίλ κινδύνου τους, διαχειριζόμενο κατάλληλα την ασφάλεια.
Ο μηδενισμός, ειδικά των πιο κρίσιμων παραγόντων κινδύνου, οδηγεί πίσω στη συζήτηση βελτιστοποίησης του κινδύνου. Αν οι επιχειρήσεις δεν προσδιορίζουν σωστά τις ανάγκες των ενδιαφερόμενων μερών και αποτυγχάνουν να καθορίσουν κατάλληλους στόχους για την κάλυψη των αναγκών αυτών, οι πιθανότητες είναι να συμβούν πολλά, μη επιθυμητά αποτελέσματα: Προγραμματισμένα οφέλη δεν υλοποιούνται, απειλές για την επιχείρηση δεν γίνονται κατανοητές ή δεν αντιμετωπίζονται αποτελεσματικά και οι πόροι δεν χρησιμοποιούνται αποτελεσματικά, αποδοτικά και οικονομικά. Ως εκ τούτου, οι μέτοχοι δεν απολαμβάνουν την αξία που αναμενόταν από την επιχείρηση. Φυσικά, τα συγκεκριμένα σενάρια ή οι τρόποι με τους οποίους οι κίνδυνοι αυτοί θα μπορούσαν να υλοποιηθούν και η επίπτωση που θα μπορούσαν να έχουν, είναι μοναδικοί σε κάθε επιχείρηση.
Πιστεύετε ότι η εκπαίδευση είναι απαραίτητη για να παραμείνεις ανταγωνιστικός σε αυτήν την οικονομική ύφεση; Τι θα εξετάζατε πρώτα αν ήσασταν ένας νέος απόφοιτος Πανεπιστημίου που ψάχνει για δουλειά;
Η εκπαίδευση είναι απολύτως απαραίτητη. Πιθανώς δεν υπάρχουν επαγγελματικά πεδία στα οποία η γνώση που απαιτείται για να εργαστείς αποτελεσματικά παραμένει σταθερή για μεγάλο χρονικό διάστημα – και αυτό είναι σίγουρο, ειδικά στον τομέα της πληροφορικής και των τεχνολογιών. Νέες τεχνολογίες, νέα επιχειρηματικά μοντέλα, νέες επιλογές υπηρεσιών, νέες ανάγκες των επιχειρήσεων και νέες νομικές και κανονιστικές απαιτήσεις προκύπτουν σε τακτική βάση. Τίποτα δεν μένει σταθερό.
Η συνεχής εκπαίδευση είναι μια αναγκαιότητα για να παραμείνεις ανταγωνιστικός. Η παιδεία μπορεί να ακολουθήσει πολλές διαδρομές, συμπεριλαμβανομένης της εκπαίδευσης, πρακτικής εμπειρίας, της επίτευξης πιστοποιήσεων που αποδεικνύουν τη γνώση και την εμπειρία, συμμετέχοντας σε συνέδρια για να έρθεις σε επαφή με εξειδικευμένους επαγγελματίες της αγοράς, για επαγγελματική δικτύωση, αλλά και για να αποτελείς ενεργό μέλος μιας επαγγελματικής Ένωσης.
Το μέλλον δείχνει πολλές τάσεις που προσφέρουν άφθονες ευκαιρίες για τους νέους στον τομέα των πληροφοριακών συστημάτων. Για παράδειγμα, η έλλειψη γνώσεων και εμπειρίας στην κυβερνοασφάλεια είναι μια μεγάλη πρόκληση σήμερα. Υπάρχει επείγουσα ανάγκη για περισσότερο ταλέντο στην ασφάλεια των πληροφοριών και οι υποψήφιοι για την κάλυψη αυτής της ανάγκης είναι όσοι έχουν σχετική εξειδικευμένη εκπαίδευση. Καθώς η κινητικότητα και ο χακτιβισμός αυξάνονται, θα υπάρξει μεγαλύτερη ανάγκη για επαγγελματίες που μπορούν να λειτουργούν με προληπτικό τρόπο για την προστασία του πιο πολύτιμου περιουσιακού στοιχείου της επιχείρησης – την πληροφορία. Και αξιοποιώντας τα μεγάλα δεδομένα (big data) θα στηρίζονται σε εξειδικευμένους επαγγελματίες, οι οποίοι θα προσδίδουν αξία από τις τεράστιες ποσότητες των πληροφοριών που συλλέγονται και χρησιμοποιούνται.
Το “Internet of Things” είναι μια άλλη αναπτυσσόμενη τάση, που θα απαιτεί υψηλό επίπεδο μόρφωσης και άρτια καταρτισμένους επαγγελματίες. Σύμφωνα με την πρόσφατη έρευνα του ISACA, “2013 IT Risk/Reward Barometer”, το 99% των επαγγελματιών που συμμετείχαν σε αυτήν, πιστεύουν ότι το “Internet of Things” θέτει θέματα διακυβέρνησης και το 42% λένε ότι τα οφέλη του, υπερτερούν των κινδύνων. Ο ISACA συστήνει πέντε τακτικές για να βοηθήσει τις επιχειρήσεις να είναι ευέλικτες (agile) και έτοιμες για αυτήν την τάση:
- Δράστε γρήγορα! Μια επιχείρηση δεν μπορεί συνεχώς να ακολουθεί τη δράση άλλων επιχειρήσεων (να είναι δηλαδή reactive).
- Εγκαθιδρύστε πλαίσιο διακυβέρνησης των πρωτοβουλιών, για να εξασφαλίσετε ότι τα δεδομένα παραμένουν ασφαλή και οι κίνδυνοι διαχειρίζονται.
- Αναγνωρίστε τα αναμενόμενα οφέλη και τον τρόπο μέτρησής τους.
- Χρησιμοποιήστε την IT Steering Committee για να επικοινωνήσει τα οφέλη στη Διοίκηση.
- Αγκαλιάστε τη δημιουργικότητα και την ενθάρρυνση της καινοτομίας.
Συνέντευξη με τον Gregory T. Grocholski Πρόεδρος του ISACA International 2012-2013