.

Σύγκλιση Φυσικής και Ψηφιακής Ασφάλειας


Η σύγκλιση του ψηφιακού, εικονικού και φυσικού περιβάλλοντος παρέχει τη δυνατότητα και τα εργαλεία για την αύξηση της αποτελεσματικότητας και της αποδοτικότητας στο επιχειρηματικό περιβάλλον. Ταυτόχρονα, αυξάνει και το εύρος έκθεσης  των επιχειρηματικών πόρων, το οποίο μπορεί να οδηγήσει σε απώλεια πνευματικής ιδιοκτησίας, κρίσιμων πληροφοριών, καθώς και απώλεια εσόδων και κινδύνων που άπτονται της φυσικής προστασίας των επιχειρηματικών πόρων.

Αυτή η νέα εποχή αυξημένης τεχνολογικής συνδεσιμότητας και αυτοματισμού, δημιουργεί τεράστια ευκαιρία στο επιχειρηματικό περιβάλλον για ανάπτυξη, οικονομίες κλίμακας και καινοτομία. Ωστόσο χωρίς την κατάλληλη προστασία του ευρύτερου ψηφιακού και φυσικού περιβάλλοντος, οι έξυπνες υποδομές και οι συνδεδεμένες έξυπνες συσκευές/συστήματα μπορεί να είναι ευάλωτες σε πιθανά περιστατικά που αφορούν στην ασφάλεια με τη συνολική έννοια του όρου.
Η δυναμική μιας συνδυασμένης επίθεσης στις υποδομές μέσω εκμετάλλευσης αδυναμιών που αφορούν στη φυσική και ψηφιακή ασφάλεια και η περαιτέρω χρήση των παρανόμως ληφθέντων πληροφοριών, είναι μεγάλη και αποτελεί πιθανό σενάριο απειλής που επηρεάζει επιχειρήσεις και βιομηχανίες.
Τα παραπάνω, συμβάλλουν στην ολοένα και μεγαλύτερη κατανόηση της αναγκαιότητας για σύγκλιση των ρόλων του υπευθύνου φυσικής ασφάλειας και ασφάλειας πληροφοριών (Chief Security Officer και Chief Information Security Officer). Η εν λόγω σύγκλιση συγκεντρώνει πολλαπλές δραστηριότητες της ασφαλείας στο χώρο των επιχειρήσεων και βασίζεται στην ικανότητα διασύνδεσης μιας ευρείας σειράς διαδικασιών ασφαλείας, με στόχο την ολιστική διαχείριση των κινδύνων και των περιστατικών ασφάλειας.
Η ανάγκη και οι απαιτήσεις για σύγκλιση των λειτουργιών  ασφαλείας
Η αυτοματοποίηση και ο ψηφιακός μετασχηματισμός, παρέχουν λειτουργικά και επιχειρησιακά πλεονεκτήματα και ταυτόχρονα εισάγουν νέους κινδύνους συνυφασμένους, κυρίως, με την ασφάλεια των ψηφιακών πόρων, στους οποίους ολοένα και περισσότερο βασίζονται οι λειτουργικές διεργασίες ενός οργανισμού, συμπεριλαμβανομένων και των διεργασιών της φυσικής ασφάλειας.
Παραδείγματα τέτοιου είδους κινδύνων αποτελούν τα ακόλουθα:
  • Παραβίαση των συστημάτων επιτήρησης (video surveillance) – οικακόβουλοι χρήστες μπορούν πλέον να θέτουν τα συστήματα επιτήρησης εκτός λειτουργίας ή να τα ελέγχουν.
  • Πρόσβαση και πρόκληση βλάβης σε συστήματα που αυτοματοποιούν κρίσιμες λειτουργικές εργασίες και συστήματα φυσικής ασφάλειας – οικακόβουλοι χρήστες μπορούν να έχουν πρόσβαση και να βλάψουν τα συστήματα ελέγχου ανελκυστήρων, ελέγχου των πυλών ή ελέγχου του συστήματος ισχύος.
  • Ο έλεγχος των συνδεδεμένων συσκευών IP – οι κακόβουλοι χρήστες μπορούν να πάρουν τον έλεγχο των συνδεδεμένων συσκευών, όπως κάμερες, για να ανακτήσουν ευαίσθητα δεδομένα ή να τα χρησιμοποιήσουν ως μέσο επίθεσης.
  • Απενεργοποίηση συστημάτων θέρμανσης ή ψύξης σε ευαίσθητους κλάδους, όπως φαρμακευτικές μονάδες ή μονάδες επεξεργασίας τροφίμων. Σε άλλου τύπου οργανισμό θα μπορούσε να δημιουργήσει σημαντική επιχειρηματική αναστάτωση και χαμένη παραγωγικότητα.
  • Απενεργοποίηση λειτουργιών διαχείρισης ψύξης ή διαχείρισης ενέργειας για ένα Υπολογιστικό Κέντρο (Data Center), καταστροφή εξοπλισμού πληροφορικής και απώλεια της διαθεσιμότητα των κρίσιμων για την επιχείρηση εφαρμογών
  • Απόκτηση μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα φυσικής ασφάλειας που συνδέεται με το διαδίκτυο για να επιτρέψει κινητικές επιθέσεις
Οι εισβολείς προτιμούν να διαπράξουν μια υβριδική εισβολή μικτού τύπου, δηλαδή εισβολή τόσο κάνοντας χρήση των αδυναμιών ασφάλειας της ψηφιακής υποδομής όσο και μέσω του φυσικού χώρου.
Για παράδειγμα, αντί να προσπαθήσει να διεισδύσει μέσω ενός φράκτη ή μιας πύλης, ένας εισβολέας μπορεί να αναλάβει μια σειρά από δράσεις που είναι εξίσου αποτελεσματικές, όπως:
  • Εξουδετέρωση του συστήματος συναγερμών & ειδοποιήσεων- μπλοκάρισμα ή κορεσμός συναγερμών από τον έξυπνο φράκτη.
  • Δημιουργία ψευδών αντιλήψεων– πάγωμα των εικόνων που καταγράφονται από ψηφιακά καταγραφικά (IP cameras & videos) ή εκπομπή ήδη καταγεγραμμένων λήψεων στις οθόνες των φρουρών.
  • Δημιουργία πλαστών ταυτοτήτων- αναπαραγωγή κάρτας φυσικής πρόσβασης.
  • Μη εξουσιοδοτημένη πρόσβαση σε λειτουργικά συστήματα μέσω hacking – δημιουργώντας άμεση διακοπή ή ζημιά στη παροχή ηλεκτρισμού, στους ανελκυστήρες, στους συναγερμούς πυρκαγιάς, ακόμη και να βλάψει τα συστήματα παραγωγής.
Πώς μπορούν οι φυσικές επιθέσεις να εξουδετερώσουν την ασφάλεια στον ψηφιακό χώρο καθώς και τους ψηφιακές δικλείδες ασφάλειας;
Μόλις ένας εισβολέας αποκτήσει φυσική πρόσβαση στο εσωτερικό ενός οργανισμού μπορεί να πλήξει τη ψηφιακή υποδομή.
Ακολουθούν ορισμένα συνηθισμένα παραδείγματα για το πώς οι φορείς φυσικής απειλής μπορούν να θέσουν σε κίνδυνο την ψηφιακή ασφάλεια:
  • Ένας μολυσμένος δίσκος USB τοποθετείταισε ένα εταιρικό πάρκινγκ, χώρο υποδοχής κλπ., τον οποίο ένας υπάλληλος τον μαζεύει και τον φορτώνει στο εταιρικό δίκτυο.
  • Ένας εισβολέας εισέρχεται σε ένα υπολογιστικό κέντροκαι εγκαθιστά συσκευές υποκλοπής δεδομένων.
  • Η γραμμή σύνδεσης στο διαδίκτυο είναι προσβάσιμηαπό το εξωτερικό μέρος του κτιρίου, επιτρέποντας σε κάποιον  να υποκλέψει δεδομένα ή να κόψει εντελώς τη γραμμή.
  • Ένας εισβολέας προσποιείται ότι είναι ένας υπάλληλοςκαι εκμεταλλεύεται την ευγένεια ενός πραγματικού εργαζομένου να κρατήσει την πόρτα γι ‘αυτόν καθώς εισέρχονται μαζί στο κτίριο.
  • Ένας εσωτερικός χρήστης κοιτάζει πάνω από τον ώμοενός μηχανικού συστήματος καθώς πληκτρολογεί τους κωδικοί πρόσβασης σε ένα σύστημα.
Ένας επιτιθέμενος δεν χρειάζεται καν να διεισδύσει στο μέρος όπου βρίσκονται οι  διακομιστές ενός οργανισμού για να προκαλέσει εκτεταμένες ζημιές. Εάν για παράδειγμα μπορεί να εισχωρήσει στο κτίριο και να αποκτήσει πρόσβαση σε έναν Η/Υ που ανήκει στο τμήμα Ανθρώπινου Δυναμικού, θα μπορεί να έχει πρόσβαση σε αρχεία προσωπικού και να αντιγράψει αρχεία υπαλλήλων που περιέχουν ευαίσθητες & προσωπικές πληροφορίες. Παρόλο που όλοι οι Η/Υ μπορεί να έχουν εγκατεστημένες ψηφιακές δικλείδες ασφάλειας, μια αδυναμία φυσικής ασφάλειας μπορεί να επιτρέψει σε έναν εισβολέα να τις παρακάμψει.
Πώς οι αδυναμίες της ψηφιακής ασφάλειας συνηγορούν/βοηθούν στις φυσικές επιθέσεις;
Έχοντας στόχο την απόκτηση φυσικής πρόσβασης σε συστήματα που περιέχουν εμπιστευτικά δεδομένα, ο εισβολέας μπορεί να εισέλθει φυσικά στον χώρο που τον ενδιαφέρει, τροποποιώντας ή απενεργοποιώντας τις δικλείδες φυσικής ασφάλειας, μέσω των ψηφιακών ευπαθειών ασφάλειας. Αυτός ο τύπος ψηφιακής επίθεσης είναι ιδιαίτερα επικίνδυνος σε περιβάλλοντα βιομηχανιών και εργοστασίων.
Τα παρακάτω αποτελούν παραδείγματα για το πώς οι ευπάθειες ασφάλειας στον ψηφιακό κόσμο μπορούν να αποδυναμώσουν μια φυσική άμυνα και έχουν πραγματικές επιπτώσεις:
  • Ο επιτιθέμενος απενεργοποιεί τις συνδεδεμένες με το δίκτυο (ή το διαδίκτυο) κάμερες ασφαλείας, επιτρέποντας να μην εντοπιστεί κάποια φυσική μη εξουσιοδοτημένη πρόσβαση στο χώρο, επίσης θα μπορούσε να διαγράψει τα βίντεο κάποιου τέτοιου συμβάντος.
  • Μη εξουσιοδοτημένη πρόσβαση στο σύστημα διαχείρισης της φυσικής πρόσβασης, επιτρέποντας σε έναν εισβολέα να παραχωρήσει ή να καταργήσει σε κάποιον τη φυσική πρόσβαση στο κτίριο.
  • Διακοπή λειτουργίας ή μη εξουσιοδοτημένη πρόσβαση σε συστήματα παραγωγής που συνδέονται με το δίκτυο, μπορεί να προκαλέσει απώλεια παραγωγικότητας ή συμβάν φυσικής ασφάλειας.
  • Χρήση κακόβουλου λογισμικού τύπου malware που μπορεί να φορτωθεί σε ένα σύμπλεγμα διακομιστών που διαχειρίζεται την κατανάλωση ρεύματος, με αποτέλεσμα τη πρόκληση υπερθέρμανσης, ή τη συνολική απώλεια ενέργειας.
  • Χρήση κακόβουλου λογισμικού τύπου Ransomware στο δίκτυο ενός νοσοκομείου, μπορεί να αποτρέψει τους γιατρούς από την πρόσβαση σε αρχεία ασθενών και την παροχή της απαραίτητης φροντίδας.


Το νέο μοντέλο – Η σύγκλιση – ενσωμάτωση της φυσικής και της ψηφιακής ασφάλειας
Σύγκλιση στις διαδικασίες –  Η σύγκλιση αφορά τον τρόπο με τον οποίο διαχειριζόμαστε ολιστικά τους κινδύνους που αφορούν στην ασφάλεια, αλλά και το τρόπο διαχείρισης των σημαντικών συμβάντων ασφάλειας.
Αυτό που σταδιακά γίνεται αντιληπτό, είναι ότι οι εν λόγω διεργασίες είναι παρόμοιες και ορισμένες φορές είναι δύσκολο να διακρίνουμε τη διαχωριστική γραμμή  μεταξύ των φυσικών, των εικονικών και των ψηφιακών συμβάντων ασφάλειας. Τα τυπικά βήματα που ακολουθούνται με σκοπό τη διαχείριση των περιστατικών αλλά και των κινδύνων ασφάλειας, μοιάζουν αρκετά.
Εάν υπάρχει ένας κίνδυνος που αφορά στην ασφάλεια, το ερώτημα που τίθεται είναι «Έχει αντίκτυπο ή πρόκειται να επηρεάσει τους ανθρώπους μου, τα περιουσιακά μου στοιχεία, τα συστήματά, την εμπορική  φήμη, την εφοδιαστική αλυσίδα;» Εάν η απάντηση είναι ναι, τότε χρειάζεται να περάσουμε στο επόμενο βήμα που αφορά στη σύγκλιση της φυσικής και της ψηφιακής ασφάλειας. Μια φυσική εισβολή μπορεί να έχει αντίκτυπο στην ασφάλεια και την προστασία, όχι μόνο των ανθρώπων αλλά και των ψηφιακών συστημάτων και πόρων.
Πολλοί οργανισμοί δημιουργούν κέντρα διαχείρισης περιστατικών ασφάλειας, τα οποία μπορούν να χειριστούν τόσο περιστατικά φυσικής αλλά και ψηφιακής ασφάλειας. Με το τρόπο αυτό γίνεται το πρώτο βήμα που αφορά στη σύγκλιση της φυσικής και ψηφιακής ασφάλειας, μιας και επιτυγχάνεται η συνεργασία και η ανταλλαγή μεθοδολογιών και γνώσης.
Οι οργανισμοί που προχωρούν στην υλοποίηση των κέντρων ολιστικής διαχείρισης περιστατικών ασφάλειας, αποκτούν την ικανότητα να αντιδρούν και να διαχειρίζονται κάθε είδος συμβάντος ασφάλειας με μεγαλύτερη αποτελεσματικότητα, έχοντας πλήρη εικόνα των αλληλεξαρτήσεων αλλά και εικόνα των κινδύνων που θα μπορούσαν να οδηγήσουν σε ένα επόμενο περιστατικό.
Επιπλέον, η υλοποίηση ενός κέντρου ολιστικής διαχείρισης περιστατικών ασφάλειας, αποτελεί και κεντρικό σημείο διαχείρισης των διαφόρων απειλών ασφάλειας, πριν αυτές εξελιχθούν σε περιστατικό ασφάλειας.
Στο ψηφιακό χώρο χρησιμοποιούνται εργαλεία τα οποία σε συνεχή βάση παρακολουθούν και συλλέγουν στοιχεία σχετικά με πιθανές επιθέσεις ψηφιακής ασφάλειας που αφορούν συνολικά στη ψηφιακή υποδομή. Με αυτόν τον τρόπο, η τεχνολογία παρέχει προστασία σε πραγματικό χρόνο σε επίπεδο ψηφιακής υποδομής, ανιχνεύοντας μια επίθεση που προέρχεται από οπουδήποτε. Εάν τη παραπάνω υποδομή την εμπλουτίσουμε με στοιχεία που αφορούν στη φυσική ασφάλεια και συλλέγονται είτε από αντίστοιχους μηχανισμούς είτε από τον ανθρώπινο παράγοντα, όπως η βάση δεδομένων φυσικού ελέγχου πρόσβασης, αρχεία από βίντεο παρακολούθησης κτλ, τότε αυξάνουμε την αποτελεσματικότητα της όλης διεργασίας που αφορά στην ασφάλεια του περιουσιακών πόρων ενός οργανισμού.
Η διαφύλαξη των ίδιων των δεδομένων ασφάλειας είναι εξίσου σημαντική με τη προστασία των επιχειρηματικών δεδομένα. Ένας μη εξουσιοδοτημένος χρήστης που αποκτά πρόσβαση στα αρχεία δεδομένων ασφαλείας, θα μπορούσε ενδεχομένως να διαγράψει οποιαδήποτε ένδειξη παραβίασης της ασφάλειας.
 Σύγκλιση στην τεχνολογία – Τα τμήματα που διαχειρίζονται την τεχνολογία φυσικής και ψηφιακής ασφάλειας είναι συνήθως εντελώς ξεχωριστά και συχνά δεν συνεργάζονται. Με τη σύγκληση των τεχνολογιών αλλά και την υιοθέτηση κοινών πρωτοκόλλων επικοινωνίας, ο διαχωρισμός της διαχείρισης των τεχνολογιών φυσικής και ψηφιακής ασφάλειας δεν είναι ουσιαστικός και μπορεί να αποφέρει αρνητικές επιπτώσεις και στα δύο τμήματα, καθώς και στην συνολική ασφάλεια ενός οργανισμού.
Ο αριθμός των συσκευών που συνδέονται στο Internet αναμένεται να φθάσει τα 22 δισεκατομμύρια έως το 2020 και περιλαμβάνει επίσης όλους τους αισθητήρες φυσικής ασφάλειας, τις κάμερες και τις συσκευές που χρησιμοποιούνται στην ασφάλεια και διαχείρισης ανελκυστήρων, κλιματισμού κτλ.
Η κοινή διαχείριση των συστημάτων φυσικής και ψηφιακής ασφάλειας αποτελεί αναγκαιότητα, τόσο όσον αφορά στην παραμετροποίηση και λειτουργία της τεχνολογίας βάσει των βέλτιστων πρακτικών ψηφιακής ασφάλειας, αλλά και στην χρήση της τεχνολογίας για την αποτελεσματική προστασία των πόρων ενός οργανισμού.
Όσον αφορά στη χρήση της τεχνολογίας ψηφιακή και φυσικής ασφάλειας, εκτός από την ίδια τη τεχνολογία, είναι σημαντικό να εξετάζεται ο τρόπος με τον οποίο χρησιμοποιούνται οι πληροφορίες που συλλέγονται, έτσι ώστε οι τεχνολογίες ασφάλειας να δρουν συμπληρωματικά η μία της άλλης. Για παράδειγμα, ο φωτισμός δε πρέπει να ενεργοποιείται όταν δεν υπάρχουν εργαζόμενοι στο χώρο, ή η πρόσβαση να απαγορεύεται σε ορισμένες περιοχές όταν δεν υπάρχει ένας επόπτης. Ένα ακόμα ουσιαστικό παράδειγμα είναι η όλη διαδικασία διαχείρισης προσβάσεων σε φυσικό και ψηφιακό επίπεδο και πως αυτό υποστηρίζεται από τη σχετική τεχνολογία. Εάν δεν υπάρξει σύγκλιση φυσικής και ψηφιακής ασφάλειας τα υποστηρικτικά συστήματα και διαδικασίες δε θα είναι αποτελεσματικές.
Σύγκλιση ρόλων & δομών – Μία από τις πρώτες προσπάθειες που αφορά στη σύγκλιση των δύο χώρων, είναι η ενσωμάτωση των ομάδων που διαχειρίζονται τη φυσική και την ψηφιακή ασφάλεια, καθώς και την αντιμετώπιση της κρίσεων, κάτω από την ίδια οργανωτική δομή. Ταυτόχρονα η δημιουργία ενός κέντρου ολιστικής διαχείρισης των περιστατικών ασφάλειας είναι ένα παράλληλο βήμα που πρέπει να γίνει. Με το τρόπο αυτό ξεκινά η ζύμωση των διακριτών αυτών ομάδων μιας και ο σκοπός της επιχειρηματικής τους λειτουργίας είναι ο ίδιος.
Ένας άλλος τρόπος προσέγγισης θα ήταν μια οργανωτική δομή που θα επέτρεπε, για αρχή, την εικονική συνεργασία μεταξύ αυτών των ομάδων, με σκοπό τις κοινές δράσεις και τη σύγκληση των διαδικασιών διαχείρισης περιστατικών ασφάλειας, αλλά και της αξιολόγησης κινδύνων που αφορούν στη ασφάλεια ολιστικά.
Θα πρέπει επίσης να αναπτυχθεί μια τυποποιημένη, κοινή και μη τεχνική γλώσσα για την επικοινωνία των ζητημάτων ασφαλείας μέσα στον οργανισμό. Με το τρόπο αυτό, κατά τη διάρκεια του σχεδιασμού του προϋπολογισμού ή κατά τη διάρκεια μιας κρίσης ασφάλειας, η συνεννόηση θα είναι ευκολότερη και πιο αποτελεσματική.
Πολλές εταιρείες τείνουν να τοποθετούν οργανωτικά, τις μονάδες φυσικής και ψηφιακής ασφάλειας κάτω από την ίδια οργανωτική δομή. Δύο μεγάλες πολυεθνικές εταιρείες στο χώρο της ασφάλισης και της υγειονομικής περίθαλψης, επιβεβαιώνουν ότι τα τμήματα φυσικής και ψηφιακής ασφάλειας αναφέρονται σε ένα και μόνο Διοικητικό Στέλεχος (Chief Security Officer).
Είναι αντιληπτό ότι το παραπάνω αποτελεί έναν απαραίτητο συνδυασμό, επειδή πολλές απειλές για την ασφάλεια συνδυάζουν ψηφιακά και φυσικά στοιχεία. Αυτό συμβαίνει, για παράδειγμα, στην περίπτωση προστασίας των υψηλόβαθμων στελεχών, η οποία θεωρείται συνήθως θέμα φυσικής ασφάλειας. Ο αυξανόμενος αριθμός των επιθέσεων τύπου phishing και spoofing εναντίον υψηλόβαθμων στελεχών αποδεικνύει σαφώς ότι η εν λόγο διεργασία αφορά τόσο στη φυσική όσο και στην ψηφιακή ασφάλεια. 

Ποια τα επόμενα προτεινόμενα βήματα προς τη σύγκληση
Ο ρόλος του Υπευθύνου Ασφάλειας (Chief Security Officer) που θα οδηγεί αυτή την προσπάθεια, ιδανικά θα είναι υπεύθυνος για τη διαχείριση κινδύνων, τη κανονιστική συμμόρφωση, τη φυσική ασφάλεια και την ασφάλεια πληροφοριών.
Οι ρόλοι των υπευθύνων αλλά και των επαγγελματιών φυσικής ασφάλειας αλλά και ασφάλειας πληροφοριών (που περιέχει τη ψηφιακή ασφάλεια) θα εξακολουθήσουν υφίστανται, αλλά θα υπάρχει περισσότερη επικοινωνία μεταξύ αυτών των ρόλων και μεγαλύτερη ολοκλήρωση των τεχνολογικών λύσεων, αλλά και των πολιτικών, διαδικασιών και διεργασιών που απαιτούνται.
Η ηγεσία των οργανισμών θα πρέπει να κατανοήσει ότι ο οργανισμός διατρέχει τον ίδιο κίνδυνο από έναν εισβολέα που προσπαθεί να επιτεθεί στο δίκτυό τους και από έναν εισβολέα που εισάγει κακόβουλο κώδικα σε λογισμικό, καθώς από ένα μέλος του συνεργείου καθαρισμού που κλέβει έναν διακομιστή ή φορητό υπολογιστή με ευαίσθητες πληροφορίες.
Οι θετικές συνέπειες μια τέτοιας προσέγγισης, αναμένεται να είναι οι ακόλουθες;
  • Τα παραδοσιακά σιλό θα αρχίσουν να εξαφανίζονται, για παράδειγμα, οι διαχωριστικές γραμμές μεταξύ ψηφιακής ασφάλειας, φυσικής ασφάλειας και ασφάλειας πληροφοριών.
  • Οι κωδικοί και γενικά η πιστοποίηση ταυτότητας του εκάστοτε υπαλλήλου θα διαχειρίζεται κεντρικά και θα φορά όλες του τις προσβάσεις αλλά και τις εταιρικές συναλλαγές τις οποίες θα έχει την εξουσιοδότηση να εκτελεί. Η πιστοποίηση ταυτότητας θα περιλαμβάνει την πρόσβαση στις φυσικές εγκαταστάσεις και τα δικαιώματά πρόσβασης, καθώς και την πρόσβαση σε συστήματα και εφαρμογές δικτύων και των εφαρμογών.
  • Προσεγγίσεις όπως η χρήση Καρτών Κοινής Πρόσβασης που χρησιμοποιούνται σήμερα για την υποστήριξη της φυσικής πρόσβασης, θα χρησιμοποιούνται και για την πρόσβαση στο εταιρικό ψηφιακό δίκτυο, για τη κρυπτογράφησης των μηνυμάτων του ηλεκτρονικού ταχυδρομείου.
  • Οι έξυπνες τεχνολογίες ανάλυσης των συμβάντων από τα συστήματα φυσικής ασφάλειας θα χρησιμοποιούνται σε συνδυασμό με σχετικές αναλύσεις των αντίστοιχων μηχανισμών της ψηφιακής ασφάλειας. Θα μπορούμε δηλαδή να συλλέξουμε συμβάντα φυσικής ασφάλειας που ανιχνεύονται από κάμερες παρακολούθησης και να τις συσχετίζουμε με σχετικές προσβάσεις σε συστήματα πληροφορικής και εφαρμογές, για παράδειγμα.
Η υλοποίηση μια τέτοιας σύγκλησης, έρχεται αντιμέτωπη με διάφορες προκλήσεις, οι σημαντικότερες από τις οποίες αναφέρονται στη συνέχεια:
  • Έλλειψη προτύπων. Υπάρχουν μερικά αλλά πρωτίστως αφορούν στη σύγκλιση των τεχνολογιών ασφάλειας
  • Παραδοσιακή προκατάληψη, μαζί με την ανάγκη για να αποκτηθούν νέες δεξιότητας αλλά και ανάγκη για συνεχή ενημέρωση και συνδυαστική σκέψη. Το γνωστικό υπόβαθρο των επαγγελματικών των δυο χώρων είναι διαφορετικό. Τα διοικητικά στελέχη πρέπει να κατανοήσουν τα πλεονεκτήματα και τις αδυναμίες κάθε σετ δεξιοτήτων και να βρουν τρόπους να γεφυρωθούν τα κενά.
  • Ανάγκη να καθοριστούν σαφείς διακρίσεις αρμοδιοτήτων και ανάθεση ρόλων και ευθυνών με σκοπό την επίτευξη της σύγκλισης.
Ο κίνδυνος, ανεξάρτητα από το αν προέρχεται από φυσική, λογική ή ψηφιακή αδυναμία της ασφάλειας, θα πρέπει, να εκφραστεί με όρους που έχουν νόημα για τις διοικήσεις των επιχειρήσεων. Για παράδειγμα, μια παραβίαση της ασφάλειας, ανεξάρτητα από την προέλευσή της, οδηγεί σε απάτη ή κλοπή ταυτότητας ή κλοπή εταιρικών πληροφοριών και αυτό είναι που πρέπει να αποφύγουμε.
Κάθε κλάδος οφείλει να υιοθετήσει τα εργαλεία του άλλου (τεχνολογία, διαδικασίες, λογική) για να αναπτύξει ολοκληρωμένες δυνατότητες πρόληψης, ταυτοποίησης και αντίδρασης, ανάλογες με την αυξανόμενη πολυπλοκότητα του εταιρικού περιβάλλοντος και αυτή του πλήρως διασυνδεδεμένου κόσμου που ζούμε.
Ωστόσο, η αντιμετώπιση της φυσικής ασφάλειας και της ασφάλειας πληροφοριών ως ενιαίων και αλληλένδετων διεργασιών (και η τοποθέτησή τους κάτω από την ίδια οργανωτική δομή), χτίζει μια κουλτούρα ευαισθητοποίησης και λογοδοσίας σε θέματα ασφάλειας με σκοπό την ολιστική αντιμετώπιση της ασφάλειας με σκοπό τη προστασία των συμφερόντων του οργανισμού και των εργαζομένων του.
Στο σημερινό περιβάλλον, οι κύριες αρμοδιότητες των Υπεύθυνου Ασφάλειας (Chief Security Officer) θα πρέπει να περιλαμβάνουν την ανάπτυξη και εφαρμογή στρατηγικών και διαδικασιών για την κατανόηση της φύσης και της πιθανότητας καταστροφικών συμβάντων που αφορούν στην ασφάλεια των επιχειρήσεων, αλλά και τον περιορισμό των τρωτών σημείων σε σχέση με την ασφάλεια που αντιμετωπίζουν οι οργανισμοί.
Προκειμένου να προωθηθεί η συγκεκριμένη οργανωτική καινοτομία, ένα ολοκληρωμένο πλαίσο ασφάλειας πρέπει να διαχειρίζεται τους κινδύνους που εκτείνονται σε δια-τμηματικές εταιρικές περιοχές πέρα ​​από την ψηφιακή και φυσική ασφάλεια.
Μια ρεαλιστική στρατηγική ασφάλειας στο σημερινό συνεχώς εξελισσόμενο, μεταβαλλόμενο περιβάλλον πρέπει να περιλαμβάνει μια ολιστική προσέγγιση για την σύγκλιση της φυσικής και της ψηφιακής ασφάλειας, η οποία θα διαχειριστεί αποθεματικά την εταιρική ασφάλεια. Η αναγνώριση των τρωτών σημείων, καθώς και των απειλών που αφορούν στη φυσική και ψηφιακή ασφάλεια, καθώς και η λειτουργία φυσικής και ψηφιακής ασφάλεια κάτω από την ίδια οργανωτική δομή, θα επιτρέψει στους οργανισμούς να ενισχύσουν τις θέσεις τους όσον αφορά την ασφάλειά τους, μεγιστοποιώντας ταυτόχρονα τη συνολική τους αποδοτικότητα.
Του Νότη Ηλιόπουλου
MSc InfoSec, MSc MBIT, CISA, CISM, ISO27001 LA
Director, GRC & Assurance Service at ADACOM
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.