.

Βασικές αρχές κυβερνοασφάλειας


Σε μια πρόσφατη συνεδρίαση του Δ.Σ. μιας εταιρείας που δραστηριοποιείται σε παγκόσμιο επίπεδο, ο CIO ξεκίνησε μια συζήτηση σχετικά με την ανάγκη θωράκισης της εταιρείας απέναντι σε ενδεχόμενες κυβερνοεπιθέσεις. Το Δ.Σ. πρότεινε μεγαλύτερη επένδυση και επαγρύπνηση, ενώ προχώρησε στο επόμενο θέμα της ατζέντας του, που ήταν μια παρουσίαση της οικονομικής επιτροπής για την ψήφιση της ενοποίησης της ιδιοκτησίας μιας επιχείρησης στην οποία η εταιρεία κατείχε μειοψηφικό μερίδιο. Προς έκπληξη του CIO, η συζήτηση δεν συμπεριελάμβανε τίποτα σχετικά με την «κυβερνοασφάλεια», παρόλο που η αποκτηθείσα επιχείρηση δραστηριοποιείται σε γεωγραφική περιοχή όπου οι κυβερνοεπιθέσεις και το hacking είναι σε έξαρση.

Το Δ.Σ. δεν είχε κάνει τη σύνδεση μεταξύ των δύο θεμάτων της ατζέντας, επειδή η άποψή τους για την κυβερνοασφάλεια επικεντρωνόταν περισσότερο σε θέματα διαχείρισης κινδύνου και διακυβέρνησης, παρά στις επιπτώσεις των επιχειρησιακών αποφάσεων στην ασφάλεια. Πρόκειται για πρόβλημα ετών: πολλά Δ.Σ. και CEO αντιμετωπίζουν την κυβερνοασφάλεια ως τομέα του CIO και του «τεχνικού τμήματος» και παραβλέπουν τους κινδύνους της εταιρικής πολυπλοκότητας –αλλά και τη δύναμη της απλότητας– όταν πρόκειται για τις απειλές στον κυβερνοχώρο.

Η εταιρική αρχιτεκτονική Τεχνολογίας πολλών επιχειρήσεων, που συχνά αποτελείται από πολλαπλά επίπεδα «κληροδοτημένων (legacy)» συστημάτων, αποκτά ολοένα μεγαλύτερη πολυπλοκότητα. (Αντιθέτως, πολλές «ψηφιακά γηγενείς» εταιρείες έχουν το πλεονέκτημα της απλότητας.) Οι κληροδοτημένες δομές είναι συχνά διάτρητες, με μη ασφαλείς συνδέσεις, τις οποίες μπορούν να εκμεταλλευθούν οι επιτιθέμενοι.

Η πολυπλοκότητα αυτή έχει οδηγήσει τους κινδύνους κυβερνοασφάλειας και τα κόστη σε επικίνδυνα υψηλά επίπεδα. Ο αριθμός των κυβερνοεπιθέσεων παγκοσμίως αυξάνεται με δυνητικά καταστροφικές επιπτώσεις, όπως ενδεικτικά επιθέσεις «ransomware» ή περιστατικά που στοχεύουν σε κυβερνητικές υπηρεσίες, καθώς και συστήματα άμυνας ή/και υψηλής τεχνολογίας.

Η έναρξη μπορεί να γίνει με κάποιες βασικές αρχές. Η πρώτη αφορά στη διασφάλιση ότι οι στρατηγικές κινήσεις δεν θα αυξήσουν την πολυπλοκότητα επομένως ούτε και τον κίνδυνο. Η άλλη έγκειται στην κατανόηση ότι η απλοποίηση της τεχνολογίας ίσως απαιτήσει ουσιαστικές μεταβολές στο επιχειρησιακό ή/και λειτουργικό μοντέλο της εταιρείας.

1. Επιχειρησιακά / Επιχειρηματικά μοντέλα. Οι εταιρείες συχνά αντιδρούν στις παραβιάσεις της κυβερνοασφάλειας με δράσεις περιορισμένου εύρους και κλίμακας. Ωστόσο, η νέα ένταση των απειλών, συχνά απαιτεί την επανεξέταση σε υψηλότερο επίπεδο, όπως την εξοικείωση με τους κινδύνους που ενέχουν τα επιχειρησιακά / επιχειρηματικά μοντέλα.

2. Εξωτερικοί συνεργάτες. Σε μια εταιρεία προκύπτουν συχνά προβλήματα σε σχέση με τα οικοσυστήματα και τις εφοδιαστικές αλυσίδες, όπου η πολυπλοκότητα υπερβαίνει τις προσπάθειες διαχείρισής τους με ασφάλεια. Η μείωση της πολυπλοκότητας μπορεί να προσφέρει μεγαλύτερη διαφάνεια και να δώσει τη δυνατότητα σε όλα τα μέρη να κατανοήσουν καλύτερα τον ρόλο τους σε σχέση με την ασφάλεια στις εφοδιαστικές τους αλυσίδες.

3. Εσωτερικά συστήματα. Οι εσωτερικές διαδικασίες και τα συστήματα θα πρέπει να εξεταστούν προσεκτικά για τυχόν κινδύνους. Πιθανές διακοπές που θέτουν ένα σύστημα εκτός διαθεσιμότητας, ίσως να μην οφείλονται τόσο σε παλαιότερη τεχνολογία όσο στις απαρχαιωμένες διαδικασίες. Η πολυπλοκότητα αυξάνει την πιθανότητα μικρότερων διακοπών και σημαντικών βλαβών.

Αν και τα οφέλη από την απλοποίηση ξεπερνούν τα όρια της κυβερνοασφάλειας, η υλοποίησή τους συχνά αποτελεί μια δύσκολη διαδικασία. Η μείωση της πολυπλοκότητας παράλληλα με την εδραίωση ενός πλαισίου για τη διακυβέρνηση και τον επιμερισμό της ευθύνης, απαιτεί από τους CEO και τα Δ.Σ. μια καλά μελετημένη δράση. Οι ηγέτες που θα πάρουν τα ηνία, δύνανται να δημιουργήσουν ένα καλύτερο «σχέδιο δράσης» για να εξασφαλίσουν την ασφάλεια της επιχείρησής τους.

* Ο κ. Richard Horne είναι Cyber Security Partner, PwC ΗΒ.

** Ο κ. Sean Joyce SEANείναι Global & US Cybersecurity, Privacy & Forensics Leader, PwC.

Ετικέτες
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.