Επαναπροσδιορίζοντας την κυβερνοασφάλεια

Επαναπροσδιορίζοντας την κυβερνοασφάλεια

Εν μέσω του ραγδαία αυξανόμενου ψηφιακού μετασχηματισμού των επιχειρήσεων τα τελευταία χρόνια, η κυβερνοασφάλεια αποτελεί πλέον θέμα συζήτησης όχι μόνο για τις διευθύνσεις πληροφορικής αλλά για το σύνολο της Διοίκησης των εταιρειών.

1000
Picture of Effie Katsouli

Γενική Διευθύντρια

KPMG στην Ελλάδα

Email

Συνεχείς απειλές και επιτυχημένες, δυστυχώς, προσπάθειες παρείσδυσης σε εταιρικά δίκτυα, έχουν κρούσει τον κώδωνα του κινδύνου για πληθώρα Ελληνικών επιχειρήσεων, οι οποίες καλούνται να αντιμετωπίσουν ολοένα αυξανόμενες προκλήσεις, συμπεριλαμβανομένης της προστασίας έναντι κακόβουλου λογισμικού (π.χ. ransomware) και της αντιμετώπισης διαρροής δεδομένων από εσωτερικούς χρήστες. Ταυτόχρονα, οι αυξανόμενες κανονιστικές απαιτήσεις, όπως ο Γενικός Κανονισμός Προστασίας Δεδομένων ή ο Ν. 4577/2018 περί προστασίας κρίσιμων υποδομών και δικτύων, επηρεάζουν άμεσα τις επιχειρηματικές δραστηριότητες.

Παρ’ όλα αυτά, αναδεικνύεται το φαινόμενο της ελλιπούς ενημέρωσης των Διοικήσεων σε θέματα κυβερνοασφάλειας και της αδυναμίας των ανθρώπων που έχουν επιφορτιστεί με τους αντίστοιχους ρόλους να απαντήσουν σε ερωτήσεις όπως «Πόσο ασφαλείς είμαστε;», «Σε σχέση με την επένδυση που έχουμε κάνει, τι αποτελέσματα έχουμε;», «Πού βρισκόμαστε σε σχέση με τον ανταγωνισμό μας;».

Για να καταστεί δυνατή η απάντηση στις παραπάνω ερωτήσεις, θα πρέπει να ληφθούν υπόψη αρκετοί παράγοντες.

Οι επιχειρήσεις αντιμετωπίζουν την κυβερνοασφάλεια βάσει του αξιώματος «γνωρίζω ότι θα δεχθώ επίθεση αλλά δεν γνωρίζω πότε», καταλήγοντας να επενδύουν σε μέτρα ασφάλειας ενίσχυσης της περιμέτρου ή παρακολούθησης των ενεργειών των χρηστών τους. Τα μέτρα αυτά αποδεικνύονται ελλιπή ιδιαίτερα όταν ο οργανισμός κληθεί να αντιμετωπίσει περιπτώσεις απάτης μέσω ηλεκτρονικού ταχυδρομείου, κακόβουλο λογισμικό προερχόμενο από μη ασφαλείς ιστότοπους τους οποίους επισκέπτονται οι χρήστες εκτός γραφείου με τις εταιρικές συσκευές, κλπ. Η βασική αιτία αποτυχίας των μέτρων ασφάλειας είναι ότι το εν λόγω αξίωμα, το οποίο διέπει τον σχεδιασμό της κυβερνοασφάλειας, είναι πλέον παρωχημένο. Έχει αναθεωρηθεί σε «ο επιτιθέμενος έχει ήδη καταφέρει να παρεισδύσει στο δίκτυο, πρέπει να μπορώ να αντιμετωπίσω το συμβάν με τον καλύτερο δυνατό τρόπο».

Η κατανόηση του αναθεωρημένου αξιώματος θα οδηγήσει μια επιχείρηση να επαναπροσδιορίσει τα μέτρα κυβερνοασφάλειας και να διασφαλίσει την επιχειρησιακή της συνέχεια γνωρίζοντας ότι κάποιος έχει τη δυνατότητα να δει, αλλάξει και καταστήσει μη διαθέσιμα τα συστήματα και τα δεδομένα της. Ο επαναπροσδιορισμός αυτός αφορά πολιτικές και διαδικασίες, προσβάσεις σε συστήματα και πληροφορίες, τεχνικά μέτρα και ελέγχους, την εκπαίδευση και συνεχή ενημέρωση των χρηστών, μεθόδους αντιμετώπισης συμβάντων και, κυρίως, την ανάθεση ρόλων και αρμοδιοτήτων.

Είναι πλέον σημαντικό η διαχείριση της κυβερνοασφάλειας να αποτελεί μέλημα πλήρους απασχόλησης και όχι ένα από τα πολλά καθήκοντα της διεύθυνσης πληροφορικής. Ο Υπεύθυνος Ασφάλειας Πληροφοριών (Information Security Officer) θα σχεδιάσει και υλοποιήσει τα οργανωτικά, διαδικαστικά και τεχνικά μέτρα ασφάλειας που αρμόζουν στο προφίλ κινδύνων στους οποίους εκτίθεται η συγκεκριμένη επιχείρηση. Ο ίδιος ρόλος θα πρέπει να χρησιμοποιήσει κατάλληλες μεθόδους/εργαλεία (cyber dashboards) για να μπορεί να παρουσιάσει στη Διοίκηση ποιοτικά και ποσοτικά χαρακτηριστικά αναφορικά με το επίπεδο ασφάλειας της επιχείρησης και την απόδοση των επενδύσεων που έχουν γίνει ή θα γίνουν για την προστασία της. Τέλος, ο Υπεύθυνος Ασφάλειας Πληροφοριών πρέπει να «εκπαιδεύσει» τη Διοίκηση στη σημασία της λήψης μέτρων για την αντιμετώπιση των συμβάντων και όχι μόνο για την πρόληψή τους.

Δεδομένου ότι δεν είναι όλες οι επιχειρήσεις σε θέση να στελεχώσουν τον ρόλο διαχείρισης της κυβερνοασφάλειας, η παροχή της υπηρεσίας από εξειδικευμένες εταιρίες (CISO as a Service) αποτελεί μια εναλλακτική λύση. Η σωρευμένη εμπειρία των συμβούλων και η μεγάλη γκάμα επιπέδου υπηρεσιών (SLA) και κόστους είναι ένα εργαλείο για την πλήρωση του ρόλου όταν δεν μπορεί να γίνει εσωτερικά.

Το τρέχον περιβάλλον απειλών δεν χαρακτηρίζεται ως μεταβαλλόμενο λόγω του μετασχηματισμού των επιτιθέμενων, μιας και τα κίνητρα αλλά και η βασική μεθοδολογία επιθέσεων παραμένει εν πολλοίς αναλλοίωτη. Η μεταβολή αποτελεί άμεση συνάρτηση του τρόπου λειτουργίας των επιχειρήσεων και της αυξανόμενης χρήσης ψηφιακών μέσων. Η κατανόηση του νέου αξιώματος για την κυβερνοασφάλεια, καθώς και η χρήση εξιδεικευμένων μεθόδων και υπηρεσιών, αποτελούν μονόδρομο για την προστασία και την αντιμετώπιση των κυβερνοαπειλών.

© 2024 KPMG Σύμβουλοι Μονοπρόσωπη Α.Ε., Ελληνική Ανώνυμη Εταιρεία και μέλος του διεθνούς οργανισμού ανεξάρτητων εταιρειών-μελών της KPMG συνδεδεμένων με την KPMG International Limited, ιδιωτική Αγγλική εταιρεία περιορισμένης ευθύνης με εγγυητικές εισφορές. Με την επιφύλαξη κάθε δικαιώματος. 

Συνδεθείτε μαζί μας