• Σήμερα είναι: Πέμπτη, 12 Δεκεμβρίου, 2024

Η ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΕΙΝΑΙ ΜΕΡΟΣ ΤΗΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΣΤΡΑΤΗΓΙΚΗΣ

Αστέριος Βουλανάς

PARTNER ΚΑΙ ΕΠΙΚΕΦΑΛΗΣ ΤΟΥ ΤΟΜΕΑ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΤΗΣ PWC ΣΤΗΝ ΕΛΛΑΔΑ

 

Οι διοικήσεις των ελληνικών επιχειρήσεων πρέπει να συνειδητοποιήσουν ότι η ασφάλεια των πληροφοριών είναι μέρος της επιχειρηματικής στρατηγικής τους. Στην Ελλάδα σήμερα οι δαπάνες για την ασφάλεια των πληροφοριών καθορίζονται από την κατάσταση της οικονομίας και όχι από τις ανάγκες των επιχειρήσεων.

 

Οι επενδύσεις στην ασφάλεια των πληροφοριών είναι κρίσιμες, καθώς οι απειλές αυξάνονται ραγδαία, μαζί με τις τεχνολογικές εξελίξεις. Αντιμετωπίζουν όμως οι διοικήσεις των επιχειρήσεων τον τομέα αυτό με την απαραίτητη σοβαρότητα; Είναι έτοιμες να αντιμετωπίσουν τις νέες προκλήσεις και να εντοπίσουν τις ευκαιρίες που συνδέονται με τις καινοτόμες τεχνολογικές τάσεις και λύσεις, όπως το Cloud και το mobile computing; Αναγνωρίζουν τους κινδύνους εγκαίρως και επαρκώς; Αυτά είναι μερικά από τα ζητήματα που εξετάζει η μελέτη για την ελληνική αγορά που διεξήγαγε για πρώτη φορά η PwC, στο πλαίσιο της 10ης Παγκόσμιας Έρευνας για την κατάσταση της ασφάλειας των πληροφοριών (Global Information Security Survey 2013®1).

Για πολλές επιχειρήσεις, η μάχη για την επίτευξη ενός ικανοποιητικού επιπέδου ασφάλειας είναι πλέον άνιση. Ενώ οι απειλές και η πολυπλοκότητά τους αυξάνονται ταχύτατα, οι μηχανισμοί ασφάλειας των επιχειρήσεων αποδυναμώνονται λόγω της οικονομικής κρίσης. Και οι δαπάνες σε διάφορες δραστηριότητες για την ασφάλεια μειώνονται, είτε πρόκειται για τεχνολογικές λύσεις και υπηρεσίες είτε για εξειδικευμένους επαγγελματίες ή ακόμα και για εκπαίδευση.

Το Internet είναι το νέο πεδίο μάχης, με πολλαπλασιαζόμενους κινδύνους από απρόβλεπτους παράγοντες –οργανωμένο έγκλημα, ανταγωνιστές, επιθέσεις σε κυβερνητικούς οργανισμούς, οικονομικές απάτες, hacktivists2. Δυστυχώς, η ψαλίδα ανάμεσα στις απειλές και τα κατάλληλα μέτρα προστασίας διευρύνεται και μάλιστα με ταχύτερους ρυθμούς απ’ ό,τι στο παρελθόν. Επιπλέον οι οικονομικές συνθήκες από την κρίση στην Ελλάδα επιβαρύνουν ακόμα περισσότερο την κατάσταση. Οι επιχειρήσεις δεν μπορούν να αφήνουν την ασφάλεια των πληροφοριών τους στην τύχη. Αντίθετα, πρέπει να εξετάζουν εις βάθος και να διαχειρίζονται ένα ευρύ φάσμα δραστηριοτήτων. Οι νέοι κανόνες του παιχνιδιού απαιτούν σαφή στρατηγική και δεξιότητες ασφάλειας υψηλού επιπέδου. Μόνον έτσι οι επιχειρήσεις θα βρίσκονται σε πλεονεκτική θέση ώστε να αποφεύγουν ή να αντιμετωπίζουν αποτελεσματικά περιστατικά ασφάλειας που θα μπορούσαν να έχουν σοβαρές επιπτώσεις.

 

Η διοίκηση πρέπει να δίνει τη δέουσα σημασία στην ασφάλεια των πληροφοριών.

Στην PwC πιστεύουμε ότι η στρατηγική και οι δαπάνες για την ασφάλεια των πληροφοριών πρέπει να είναι εναρμονισμένες με τους επιχειρηματικούς στόχους και να αποτελούν προτεραιότητα στην ατζέντα της διοίκησης. Οι επικεφαλής του τομέα της ασφάλειας των πληροφοριών (CSO, CISO) πρέπει να συμμετέχουν στη λήψη σημαντικών αποφάσεων και να έχουν άμεση πρόσβαση στη διοίκηση. Παρόλα αυτά, η έρευνα δείχνει ότι οι διοικήσεις των επιχειρήσεων πρέπει να ασχοληθούν σοβαρότερα με την ασφάλεια, καθώς, στην Ελλάδα και στην ευρωζώνη, σχεδόν ένας στους δύο CSO αναφέρονται στον επικεφαλής του τομέα τεχνολογίας, ενώ σχετικά λίγοι αναφέρονται σε διευθύνοντες συμβούλους.

Ακόμη, η ίδια η διοίκηση συχνά αποτελεί ένα από τα μεγαλύτερα εμπόδια στην αποτελεσματικότητα της ασφάλειας, σύμφωνα με το 50% περίπου των συμμετεχόντων στην έρευνα από την Ελλάδα αλλά και διεθνώς. Επιπλέον, αρκετοί δήλωσαν ότι οι επιχειρήσεις εξακολουθούν να μην κατανοούν τη χρησιμότητα της ασφάλειας των πληροφοριών για τις μελλοντικές τους ανάγκες (33% Ελλάδα, 24% διεθνώς).

Οι νέες απειλές δεν αντιμετωπίζονται μόνο μέσω τεχνολογικών λύσεων, είναι ζήτημα κουλτούρας επίγνωσης των κινδύνων και διαρκούς εγρήγορσης, την οποία μπορεί να εμφυσήσει καλύτερα απ’ όλους η ηγεσία της επιχείρησης.

 

Οι δαπάνες μειώνονται λόγω κρίσης και δεν αξιολογούνται ικανοποιητικά

Στην Ελλάδα, οι επιχειρήσεις επενδύουν στην ασφάλεια των πληροφοριών έχοντας προτεραιότητα να προστατεύσουν τα οικονομικά τους στοιχεία (77%), την πνευματική τους ιδιοκτησία (63%) και τα δεδομένα των πελατών τους (61%).

Η έρευνα δείχνει ότι οι οικονομικές συνθήκες και όχι οι επιχειρηματικές ανάγκες των επιχειρήσεων είναι αυτές που επηρεάζουν το μέγεθος των δαπανών για την ασφάλεια των πληροφοριών. Στην Ελλάδα το γεγονός αυτό είναι πολύ πιο έντονο (74% Ελλάδα, 46% διεθνώς, 40% ευρωζώνη).

Σύμφωνα με την έρευνα, βασικό κριτήριο αξιολόγησης της αποτελεσματικότητας των δαπανών για την ασφάλεια είναι η επαγγελματική κρίση των στελεχών (62%), χωρίς όμως να είναι μετρήσιμο. Για το λόγο αυτό οι συμμετέχοντες δεν εμφανίζονται απόλυτα σίγουροι για την αποτελεσματι- κότητα των δραστηριοτήτων τους ως προς την ασφάλεια των πληροφοριών.

Οι υπεύθυνοι ασφάλειας θα πρέπει να συντηρούν ένα αποδεκτό επίπεδο ασφάλειας και να στοιχειοθετούν ικανοποιητικά προς τη διοίκηση το κόστος και τα οφέλη επενδύσεων για την ασφάλεια των πληροφοριών. Θα πρέπει επίσης να λαμβάνουν υπόψη, εκτός από το αμιγώς οικονομικό κόστος, παραμέτρους όπως η ποιοτική μείωση κινδύνων και άλλα επιχειρηματικά οφέλη.

 

Οι συνέπειες ενός λάθους έχουν μεγαλύτερο κόστος από το κόστος πρόληψής του

Σύμφωνα με την έρευνα, στην Ελλάδα οι οργανισμοί διστάζουν να αναγνωρίσουν ότι έχουν πληγεί από περιστατικά ασφάλειας πληροφοριών και εμφανίζονται ακόμα περισσότερο απρόθυμοι να τα αναφέρουν στις αρχές (65% δεν έκαναν καταγγελία στις αρμόδιες αρχές). Κι αυτό παρόλο που το 70% δήλωσαν σημαντικές οικονομικές ζημιές, απώλεια πελατών, εμπλοκή σε χρονοβόρες νομικές διαδικασίες, και ότι παράλληλα βάλλεται το όνομά τους και η εταιρική τους φήμη. Οι επιπτώσεις αυτές μακροπρόθεσμα μπορούν να αποβούν ακόμα πιο επιζήμιες για τις επιχειρήσεις.

 

Cloud και αναδυόμενες τεχνολογίες

Η έρευνα έδειξε ότι οι Έλληνες είναι σχετικά διστακτικοί στο να επεκτείνουν τις δραστηριότητές τους στο Cloud, λόγω του επιπέδου ασφαλείας των πληροφοριών το οποίο σχετίζεται με τη χρήση της συγκεκριμένης τεχνολογίας. Το ενθαρρυντικό όμως συμπέρασμα της έρευνας είναι ότι ο σχεδιασμός ή η υλοποίηση συγκεκριμένης στρατηγικής για το Cloud αποτελεί προτεραιότητα για τις επιχειρήσεις και τους οργανισμούς στην Ελλάδα.

Οι κινητές συσκευές, τα μέσα κοινωνικής δικτύωσης (social media) και το Cloud αποτελούν κοινό τόπο εντός και εκτός των επιχειρήσεων, και η υιοθέτηση αυτών των νέων τεχνολογιών κινείται ταχύτερα από την εφαρμογή της ασφάλειας. Σύμφωνα με την έρευνα, ενώ το 88% των καταναλωτών χρησιμοποιούν προσωπικές τους συσκευές τόσο για την ιδιωτική τους ζωή όσο και για επαγγελματικούς λόγους, μόλις το 45% των επιχειρήσεων έχουν στρατηγική ασφάλειας για τις προσωπικές συσκευές στο χώρο εργασίας και 37% διαθέτουν προστασία από κακόβουλο λογισμικό για κινητές συσκευές.

 

 

Σχετικά με την έρευνα – Μεθοδολογία

1. Η Παγκόσμια έρευνα για την κατάστα- ση της ασφάλειας των πληροφοριών (Global State of Information Security® Survey 2013) διεξήχθη από 1/2 έως 15/4 2012. Πραγματοποιείται από την PwC διε- θνώς εδώ και 15 χρόνια, και τα τελευταία 10 σε συνεργασία με τα CIO Magazine και CSO Magazine που διανέμονται σε 128 χώρες. Φέτος συμμετείχαν 9.300 ανώτερα στελέχη από όλο τον κόσμο (CEO, CFO, CIO, CISO, CSO, IT Directors). Από την Ελλάδα συμμετείχαν 77 ανώτερα στελέχη εκπροσωπώντας σχεδόν όλους τους κλάδους της αγοράς.

2. Με τον όρο «hacktivism» εννοούμε τη χρήση των ηλεκτρονικών υπολογιστών και δικτύων ως μέσο διαμαρτυρίας για την προώθηση πολιτικών στόχων.