.

Η ασφάλεια του κυβερνοχώρου εξαρτάται και από την ανώτατη διοίκηση




Οι επιθέσεις στον κυβερνοχώρο εξελίσσονται ραγδαία και γίνεται όλο και πιο δύσκολο να εντοπιστούν. Κυβερνήσεις και οργανωμένες ομάδες ηλεκτρονικού εγκλήματος συχνά χρηματοδοτούν και ενορχηστρώνουν τέτοιες επιθέσεις με οικονομικά και πολιτικά κίνητρα.

Αν λοιπόν οι υπεύθυνοι των επιθέσεων διαθέτουν υψηλού επιπέδου υποστήριξη, τότε το ίδιο θα πρέπει να κάνουν οι αμυνόμενοι. Έφτασε πλέον η στιγμή που η ανώτατη διοίκηση του κάθε οργανισμού πρέπει να συμμετάσχει ενεργά στα θέματα ασφάλειας. Είναι δεδομένο ότι στη συντριπτική πλειοψηφία των επιχειρήσεων υπάρχει ένα στέλεχος που είναι αποκλειστικά αρμόδιο για την ασφάλεια. Αλλά σε μια σύγχρονη επιχείρηση, οι υψηλά ιστάμενοι στην ιεραρχία οφείλουν και αυτοί να συμμετέχουν ενεργά. 

Οι πρόσφατες μαζικές παραβιάσεις δεδομένων που αφορούσαν γνωστές εταιρείες, η αυξημένη νομοθετική και κανονιστική δραστηριότητα σε σχέση με την ασφάλεια των δεδομένων, η γεωπολιτική δυναμική και οι προσδοκίες των μετόχων καθιστούν την ασφάλεια στον κυβερνοχώρο βασικό ζήτημα για την ανώτατη διοίκηση. Έκθεση της Information Systems Audit and Control Association (ISACA) αποκαλύπτει ότι το 55% των διευθυντικών στελεχών πρέπει πλέον να κατανοήσουν και να διαχειρίζονται προσωπικά την ασφάλεια στον κυβερνοχώρο, αντιμετωπίζοντάς την ως ενδεχόμενο κίνδυνο. 

Δεδομένου ότι στο πλαίσιο της σύγχρονης οικονομίας η κινητήρια δύναμη κάθε εταιρείας είναι η πληροφορική (ΙΤ), η αυξημένη προσοχή που τα διοικητικά στελέχη δίνουν πλέον στην ασφάλεια στον κυβερνοχώρο αποτελεί ένα θετικό βήμα, που έπρεπε ήδη να έχει γίνει από καιρό. Η ασφάλεια αποτελεί μέλημα κάθε μέλους του προσωπικού μιας επιχείρησης, από τον διευθύνοντα σύμβολο έως τον κάθε εργαζόμενο, και όχι μόνο του προσωπικού που είναι αρμόδιο για την ασφάλεια. Ο καθένας πρέπει να είναι υπεύθυνος και να γνωρίζει πώς να αποφεύγει τα προβλήματα σε αυτόν τον τομέα.


Ουσιώδης παράγοντας για το μέλλον της ασφάλειας του κυβερνοχώρου, θα είναι η μεγαλύτερη συμμετοχή των διοικητικών στελεχών. Οι σύμβουλοι κάθε εταιρείας και κάθε οργανισμού, οφείλουν να γνωρίζουν τους κινδύνους που διατρέχει η εκάστοτε επιχείρηση στον κυβερνοχώρο και τις πιθανές επιπτώσεις αυτών των κινδύνων. 

Προκειμένου κάθε επιχείρηση και κάθε οργανισμός να κατανοήσει σε βάθος τα ζητήματα ασφαλείας που αντιμετωπίζει, είναι πολύ πιθανόν στο μέλλον να παρατηρηθεί αυξανόμενη συμμετοχή των CIOs και CISOs στα διοικητικά συμβούλια. Η εξαρτώμενη σύνθεση των διοικητικών συμβουλίων από εξω-εταιρικούς παράγοντες δεν είναι κάτι καινούριο. Την προηγούμενη δεκαετία παρατηρήθηκε δραματική αύξηση της συμμετοχής των οικονομικών διευθυντών στα διοικητικά συμβούλια, ως άμεσο αποτέλεσμα της παγκόσμιας χρηματοπιστωτικής κρίσης και του ολοένα πιο περίπλοκου κανονιστικού περιβάλλοντος. Από έρευνα της Ernst & Young, διαπιστώθηκε ότι το 2002 το 36% των οικονομικών διευθυντών των μεγαλύτερων εταιρειών παγκοσμίως, συμμετείχαν στις εργασίες του διοικητικού συμβουλίου. Μια δεκαετία αργότερο το ποσοστό αυτό είχε φτάσει σχεδόν στο 50%. 


Τα κρίσιμα ερωτήματα

Η συμμετοχή στα διοικητικά συμβούλια μελών που διαθέτουν γνώσεις τεχνολογίας και ασφάλειας στον κυβερνοχώρο θα έχει ως αποτέλεσμα να δοθούν απαντήσεις στα δύσκολα ερωτήματα σχετικά με τους ελέγχους ασφαλείας: Τι ελέγχους πρέπει να εφαρμόσουμε; Πόσο καλά έχουν δοκιμαστεί; Διαθέτουμε διαδικασία πληροφόρησης; Πόσο γρήγορα μπορούμε να εντοπίσουμε και να αποκαταστήσουμε ένα αναπόφευκτο πρόβλημα; Ίσως βέβαια το σημαντικότερο ερώτημα να είναι: Τι άλλο θα πρέπει να γνωρίζουμε; 

Ακόμα κι αν σήμερα δεν συμμετέχουν ακόμη σε διοικητικά συμβούλια, οι CIO και οι CISO πρέπει να είναι έτοιμοι να δώσουν απαντήσεις σε αυτά τα ερωτήματα του διοικητικού συμβουλίου και με τρόπο που να είναι κατανοητές και να περιγράφουν τις επιπτώσεις στις επιχειρηματικές δραστηριότητες. Πρέπει πλέον να διευρύνουν τις γνώσεις τους πέρα από την τεχνολογία και τη στρατηγική ασφάλειας, ώστε να γνωρίζουν εξίσου καλά θέματα που αφορούν την επιχειρηματική στρατηγική της εταιρείας. Νέα επιχειρηματικά μοντέλα μπορούν να δημιουργήσουν σημαντικές ευκαιρίες για τις επιχειρήσεις, αλλά και πιθανούς κινδύνους. Συνεπώς, είναι καίριας σημασίας να βρεθούν τρόποι ώστε η τεχνολογία και η ασφάλεια να ευθυγραμμιστούν για την υποστήριξη αυτών των μοντέλων, που ενέχουν προκλήσεις τόσο οικονομικές όσο και ως προς τη διαχείριση των κινδύνων. 

Οι επικεφαλής στους τομείς της τεχνολογίας και της ασφάλειας πρέπει επίσης να διαθέτουν γνώσεις του κανονιστικού τοπίου και των προτύπων, ώστε να κατευθύνουν τα μέλη του συμβουλίου προς τη συμμόρφωση με τις νέες κανονιστικές απαιτήσεις. Οι γνώσεις σχετικά με τις τάσεις που επικρατούν στον εκάστοτε κλάδο και στην τεχνολογία, καθώς και οι στρατηγικές και οι εμπειρίες παρόμοιων οργανισμών, παρέχουν στα μέλη του συμβουλίου ένα πλαίσιο αναφοράς ώστε να είναι σε θέση να αξιολογούν τα τρέχοντα ζητήματα ασφάλειας και να καθιερώνουν τους σχετικούς ελέγχους.

Εξίσου σημαντική είναι και η επικοινωνία. Κάθε μήνυμα θα πρέπει να είναι σαφές, σύντομο και να περιέχει ελάχιστη τεχνική ορολογία. Παραδείγματος χάρη, οι CIO και οι CISO πρέπει να κατανοούν τις απειλές και τους παράγοντες που διευκόλυναν τις πρόσφατες επιθέσεις. Στη συνέχεια μεταφράζοντας τις επιπτώσεις αυτών των επιθέσεων σε επιχειρηματικό επίπεδο βάσει, για παράδειγμα, απώλειας εσόδων, παραγωγικότητας ή κερδών, διασφαλίζεται η κατανόησή τους από τα μέλη του συμβουλίου. Η χρήση εργαλείων με γραφικές παραστάσεις και απεικονίσεις, μπορεί επίσης να βοηθήσει ώστε να δοθεί μεγαλύτερη έμφαση σε στοιχεία που είναι σημαντικότερα για τις επιχειρηματικές δραστηριότητες.


Συμπέρασμα

Η συζήτηση θεμάτων ασφάλειας στον κυβερνοχώρο από τα διοικητικά συμβούλια, δεν είναι απλώς ένα θετικό βήμα, είναι απαραίτητο. Δίνει σε εμάς που υπεραμυνόμαστε της ασφάλειας, την ευκαιρία να εκπαιδεύσουμε καλύτερα τα υψηλότερα διοικητικά στελέχη σχετικά με τα προβλήματα ασφάλειας στον κυβερνοχώρο που αντιμετωπίζει η επιχείρηση. Έχοντας αυτές τις γνώσεις, το κάθε διοικητικό συμβούλιο είναι σε θέση να λαμβάνει πιο ενημερωμένες αποφάσεις για τη διαχείριση της ασφάλειας και των κινδύνων και μαζί μπορούμε να προστατεύσουμε καλύτερα τα πολύτιμα περιουσιακά στοιχεία, επιτυγχάνοντας παράλληλα τους επιχειρηματικούς στόχους.


Ετικέτες ,
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.