Τα όνειρα ζωντανεύουν στις Κυκλάδες

Υπό την ασφυκτική πίεση να «ψηφιοποιήσουν» τις επιχειρήσεις τους με νέες τεχνολογίες και να μεταβούν στον κόσμο της νεφοϋπολογιστικής (cloud computing) και των μέσων κοινωνικής δικτύωσης, όπου τα σύνορα καταργούνται μέρα με τη μέρα, οι παγκόσμιες εταιρείες δημιουργούν ένα αυξανόμενο χάσμα μεταξύ των επιχειρησιακών αναγκών και της δυνατότητας αντιμετώπισης νέων και σύνθετων απειλών ασφαλείας, σύμφωνα με την 14η ετήσια έρευνα της Ernst & Young  με τίτλο “Global Information Security Survey”, η οποία δημοσιεύτηκε πρόσφατα.

Η έρευνα, στην οποία συμμετείχαν 1.700 εταιρείες από όλο τον κόσμο, υπέδειξε ότι το 72% των ερωτηθέντων διαβλέπουν αυξανόμενο επίπεδο κινδύνου λόγω αυξημένων εξωτερικών απειλών. Ταυτόχρονα, ωστόσο, μόνο το ένα τρίτο των ερωτηθέντων έχουν αναβαθμίσει τη στρατηγική ασφάλειας πληροφοριών τους κατά τους προηγούμενους 12 μήνες.

Καθώς το 80% των εταιρειών, στην προσπάθειά τους να προσαρμοστούν στο ταχέως μεταβαλλόμενο περιβάλλον,  χρησιμοποιούν ή εξετάζουν το ενδεχόμενο χρήσης mobile tablet ενώ το 61% χρησιμοποιούν ή εξετάζουν το ενδεχόμενο χρήσης υπηρεσιών νεφοϋπολογιστικής εντός του επόμενου έτους, η καθημερινή απειλή παραβίασης της ασφάλειας των επιχειρησιακών τους δεδομένων και υποδομών έχει περάσει σε δεύτερη μοίρα.

Ο Σωτήρης Παπιώτης, Executive Director, Επικεφαλής συντονισμού της παροχής υπηρεσιών διαχείρισης κινδύνων τεχνολογικών υποδομών της Ernst & Young στην Κεντρική και Νοτιοανατολική Ευρώπη, σχολιάζει:

«Aντιμέτωπες με τα εξαλειφόμενα σύνορα, τις υπηρεσίες νεφοϋπολογιστικής και τα επιχειρησιακά μοντέλα νέφους, οι εταιρείες διερευνούν πώς μπορούν να ανταποκριθούν στους νέους και αναδυόμενους κινδύνους, καθώς και εάν η στρατηγική τους χρειάζεται αναθεώρηση. Το κέντρο βάρους πρέπει να μετατοπιστεί από τις βραχυπρόθεσμες λύσεις σε μια περισσότερο ολιστική προσέγγιση, στην οποία θα ενσωματώνονται στρατηγικοί, μακροπρόθεσμοι επιχειρηματικοί στόχοι προστασίας των επιχειρησιακών αγαθών και των πληροφοριακών υποδομών».

Χρηματοδότηση

Ενθαρρυντικό είναι το γεγονός ότι το 59% των ερωτηθέντων σχεδιάζουν να αυξήσουν τους προϋπολογισμούς για την ασφάλεια των πληροφοριακών συστημάτων τους κατά τους προσεχείς 12 μήνες. Ωστόσο, μόνο 51% των ερωτηθέντων δήλωσαν ότι διαθέτουν τεκμηριωμένη στρατηγική ασφάλειας πληροφοριακών συστημάτων.

Οι ερωτηθέντες ανέφεραν τη νεφοϋπολογιστική ως την κορυφαία προτεραιότητα χρηματοδότησης για την ασφάλεια πληροφοριών κατά τους επόμενους 12 μήνες. Συνολικά, για δεύτερη συνεχή χρονιά, οι ερωτηθέντες υπέδειξαν ότι η επιχειρησιακή συνέχεια αποτελεί την κορυφαία προτεραιότητα χρηματοδότησής τους.

Μobile tablet

Η υιοθέτηση των tablet και των smartphones κατέλαβε τη δεύτερη θέση στη λίστα των σημαντικότερων τεχνολογικών προκλήσεων, με περισσότερους από τους μισούς ερωτηθέντες να την κατατάσσουν ως δύσκολη ή πολύ δύσκολη πρόκληση. Οι τροποποιήσεις των πολιτικών ασφάλειας και τα προγράμματα ενημέρωσης και ευαισθητοποίησης του προσωπικού αποτελούν τα δύο κορυφαία μέτρα που χρησιμοποιούνται για την αντιμετώπιση των κινδύνων που θέτει αυτή η νέα κινητή τεχνολογία. Ωστόσο, η υιοθέτηση τεχνικών και λογισμικού ασφαλείας εξακολουθεί να βρίσκεται σε χαμηλό επίπεδο. Για παράδειγμα, λιγότερες από τις μισές (47%) επιχειρήσεις χρησιμοποιούν τεχνικές κρυπτογράφησης.

Ενίσχυση εμπιστοσύνης στο νέφος

Παρά το επιτακτικό θέμα της υιοθέτησης της νεφοϋπολογιστικής, πολλές εταιρείες δεν γνωρίζουν ακόμα καλά τις συνέπειες του νέου πληροφοριακού μοντέλου λειτουργίας  και ενισχύουν τις προσπάθειες που καταβάλλουν προκειμένου να κατανοήσουν καλύτερα τον αντίκτυπο και τους κινδύνους.  Το 2011, 48% των ερωτηθέντων ανέφερε την εφαρμογή της νεφοϋπολογιστικής ως δύσκολη ή πολύ δύσκολη πρόκληση, ενώ περισσότεροι από τους μισούς δεν έχουν υιοθετήσει ή εφαρμόσει κανέναν έλεγχο για τη μείωση των κινδύνων που συνδέονται με την νεφοϋπολογιστική. Το μέτρο που λαμβάνεται συχνότερα είναι η εντονότερη επίβλεψη των διαδικασιών διαχείρισης των συμβάσεων με τους παρόχους υπηρεσιών νεφοϋπολογιστικής, αλλά ακόμη και αυτό αφορά μόνον στο 20% των ερωτηθέντων, υποδεικνύοντας υψηλό και ενδεχομένως παραπλανητικό επίπεδο εμπιστοσύνης.

«Ελλείψει ξεκάθαρης καθοδήγησης, πολλές εταιρείες φαίνεται πως λαμβάνουν αποφάσεις χωρίς να έχουν σωστή πληροφόρηση, είτε μεταβαίνοντας στη νεφοϋπολογιστική πρώιμα και χωρίς να εξετάζουν κατάλληλα τους σχετικούς κινδύνους, είτε αποφεύγοντάς τη συνολικά. Παρότι αρκετές εταιρείες έχουν μεταβεί στις υπηρεσίες νεφοϋπολογιστικής, πολλές το έπραξαν με σχετικό δισταγμό».

Σχεδόν 90% των ερωτηθέντων είναι υπέρ της εξωτερικής πιστοποίησης, ενώ σχεδόν οι μισοί (45%) υποστηρίζουν ότι αυτή πρέπει να βασίζεται μόνο σε συμφωνηθέν πρότυπο.

«Παρότι υπάρχουν συμμαχίες που εργάζονται για την υλοποίηση αυτού του στόχου, δεν επαρκεί να βασίζεται κανείς σε εξωτερικές οντότητες προκειμένου να αντιμετωπίσει όλους τους κινδύνους που σχετίζονται με τη νεφοϋπολογιστική», σχολιάζει ο Σωτήρης Παπιώτης. «Αυτοί οι κίνδυνοι μπορεί να αντικατοπτρίζουν μια σημαντική αλλαγή στον τρόπο με τον οποίο λειτουργεί μια εταιρεία και η διαχείρισή τους πρέπει να πραγματοποιείται μέσω επίσημων διαδικασιών διαχείρισης επιχειρησιακών κινδύνων και κινδύνων Τεχνολογίας Πληροφορικής».

Μέσα κοινωνικής δικτύωσης

Οι περισσότεροι ερωτηθέντες (72%) ισχυρίστηκαν ότι οι εξωτερικές κακόβουλες επιθέσεις ήταν ο κορυφαίος κίνδυνος που τους απασχολούσε. Αυτές οι επιθέσεις μπορεί να πυροδοτούνται από πληροφορίες που λαμβάνονται μέσω της χρήσης μέσων κοινωνικής δικτύωσης που χρησιμοποιήθηκαν για την αποστολή στοχευμένων μηνυμάτων εξαπάτησης/ψαρέματος (phishing) σε μεμονωμένα στοχευμένα άτομα.

Στην προσπάθεια αντιμετώπισης των δυνητικών κινδύνων που τίθενται από τα μέσα κοινωνικής δικτύωσης, οι εταιρείες φαίνεται πως υιοθετούν ένα σκληρό μέτρο αντίδρασης. Περισσότεροι από τους μισούς (53%) αντέδρασαν με τον αποκλεισμό της πρόσβασης σε διαδικτυακές τοποθεσίες αντί να ενστερνιστούν την αλλαγή και να υιοθετήσουν μέτρα που να καλύπτουν όλο το εύρος της επιχείρησης.

Κορυφαία προτεραιότητα

Η έρευνα δείχνει ότι μόνο το 12% των ερωτηθέντων παρουσιάζουν θέματα που αφορούν την ασφάλεια των πληροφοριών σε κάθε συνάντηση του διοικητικού συμβουλίου και λιγότεροι από τους μισούς (49%) συμμετέχοντες στην έρευνά μας δήλωσαν ότι το σύστημα ασφάλειας πληροφοριών τους καλύπτει τις ανάγκες της εταιρείας τους.

Ο Σωτήρης Παπιώτης καταλήγει: «Απαιτείται ρεαλιστική και έγκαιρη αντιμετώπιση και όχι σπασμωδική αντίδραση εκ των υστέρων. Η ασφάλεια πληροφοριών πρέπει να είναι περισσότερο «ορατή» στις συναντήσεις του διοικητικού συμβουλίου με μια σαφώς καθορισμένη και πολυεπίπεδη στρατηγική που θα υποστηρίζει την επιχειρηματική δραστηριότητα εντός ή/και εκτός νέφους.. Οι περισσότερες εταιρείες είναι ακόμα πολύ μακριά από την υιοθέτηση μιας τέτοιας πρακτικής».

«Προκειμένου να καταστεί αποτελεσματική η διαχείριση των κινδύνων ασφάλειας πληροφοριών, γενικότερα, οι εταιρείες πρέπει να αποκτήσουν μια ευρεία και συνολική εικόνα όσον αφορά στους κινδύνους αυτούς. Αυτή η ολιστική εικόνα θα παρέχει στις εταιρείες ένα εφαλτήριο για τον εντοπισμό και τη διαχείριση των υφιστάμενων κινδύνων και των προκλήσεων που απορρέουν από την Τεχνολογία Πληροφορικής, καθώς και των κινδύνων και των προκλήσεων που ενδέχεται να προκύψουν με την πάροδο του χρόνου».