Τον τελευταίο καιρό παρατηρούμε συχνές αναφορές και δημοσιότητα σε περιστατικά παραβίασης ασφάλειας πληροφοριακών συστημάτων και μάλιστα σε μεγάλους διεθνείς οργανισμούς και επιχειρήσεις. Ομως, παρά τους αυξανόμενους κινδύνους, η σχετική ευαισθητοποίηση έρχεται με καθυστέρηση στις διοικήσεις των επιχειρήσεων.
Λαμβάνοντας υπόψη το διαρκώς μεταβαλλόμενο τοπίο κινδύνων για την ασφάλεια των πληροφοριακών συστημάτων, η Ernst & Young πραγματοποιεί ετησίως τη διεθνή έρευνα Global Information Security Survey. Σύμφωνα με την τελευταία έρευνα του 2010, διαπιστώνονται σημαντικές αντιφάσεις στην αντίληψη των εταιρειών για την ασφάλεια πληροφοριακών συστημάτων. Ενδεικτικά, παρόλο που η πλειοψηφία των συμμετεχόντων (60%) ανέφερε αυξημένους κινδύνους λόγω αυξανόμενης χρήσης μέσων κοινωνικής δικτύωσης, Cloud Computing και προσωπικών συσκευών εντός επιχείρησης, σημαντικό ποσοστό (40%) θεώρησε ότι οι κίνδυνοι συνολικά δεν έχουν αυξηθεί. Επίσης, παρόλο που το 87% των συμμετεχόντων θεώρησαν πολύ σημαντικό τον κίνδυνο φήμης λόγω διαρροής πληροφοριών, το ποσοστό αυτών που βλέπει αυξημένες επενδύσεις σε τεχνολογίες αποτροπής διαρροής δεδομένων (Data Leakage Prevention) δεν υπερβαίνει το 50%. Τέλος, μόνο 10% των συμμετεχόντων θεώρησαν ότι η εξέταση των νέων τάσεων στην πληροφορική είναι πολύ σημαντική για τη λειτουργία της ασφάλειας πληροφοριακών συστημάτων, ενώ μόνο 17% των συμμετεχόντων θεώρησαν ότι υπάρχουν σημαντικοί κίνδυνοι διαθεσιμότητας από τη χρήση λύσεων Cloud Computing.
Στο σημερινό περιβάλλον πληροφορικής ο ρόλος της πληροφορικής και των επικοινωνιών είναι κρίσιμος, αφού μη διαθεσιμότητα συστημάτων συνήθως σημαίνει διακοπή λειτουργιών. Παράλληλα, η πολυπλοκότητα αυξάνεται συνεχώς, καθώς η λειτουργία της πληροφορικής καλείται να χρησιμοποιήσει υπηρεσίες και υποδομές τρίτων (π.χ. Software as a Service, Cloud Computing) και να υποστηρίξει πληθώρα συστημάτων, αρχιτεκτονικών, συσκευών, μέσων κοινωνικής δικτύωσης, ακόμη και έπειτα από απαίτηση των χρηστών. Χαρακτηριστική είναι η διείσδυση που βλέπουμε από τους υπολογιστές «ταμπλέτες» ή τα έξυπνα κινητά τηλέφωνα. Η καθυστέρηση με την οποία έρχεται η σχετική ευαισθητοποίηση στις διοικήσεις των εταιρειών έχει δημιουργήσει ένα «παράθυρο» αυξημένου κινδύνου. Αυτό οφείλεται σε διάφορους λόγους, στους οποίους περιλαμβάνεται το γεγονός ότι το μοντέλο χρήσης και εφαρμογής των υποδομών πληροφορικής, καθώς και το ευρύτερο περιβάλλον εντός του οποίου αυτές λειτουργούν, έχει τελευταία εξελιχθεί ταχύτερα από τις ίδιες τις υποδομές, αλλά και από τα σχετικά μέτρα ασφαλείας. Επιπλέον, καθώς η παγκόσμια αγορά ανακάμπτει από μια περίοδο οικονομικής ύφεσης, πολλές επιχειρήσεις τείνουν να είναι «επιθετικότερες» όσον αφορά τη χρήση των νέων μέσων και τεχνολογιών, με καθυστέρηση, όμως, ως προς τους ανάλογους μηχανισμούς ασφάλειας. Τέλος, αρκετές επιχειρήσεις πραγματοποίησαν επενδύσεις στο πλαίσιο της διαχείρισης και παρακολούθησης κινδύνων πληροφορικής τα προηγούμενα χρόνια, ενδεχομένως καλύπτοντας κανονιστικές απαιτήσεις, όπως π.χ. το πλαίσιο Sarbanes-Oxley των ΗΠΑ. Αυτό σε κάποιο βαθμό έφερε εφησυχασμό, με αποτέλεσμα να μη γίνει έγκαιρα αποτελεσματική επαναξιολόγηση νέων κινδύνων.
Δεδομένου ότι το νέο τοπίο ασφάλειας πληροφοριακών συστημάτων ενέχει σημαντικότατους κινδύνους φήμης, αλλά και οικονομικών ζημιών από τη διακοπή παραγωγικής δραστηριότητας, αποζημιώσεις, νομικά κόστη ή και κανονιστικά πρόστιμα, οι επιχειρήσεις θα πρέπει να επαναξιολογήσουν τα μέτρα που λαμβάνουν για τη διαχείριση των κινδύνων αυτών. Είναι χαρακτηριστικό ότι το κόστος των υπηρεσιών για την αξιολόγηση κινδύνων πληροφορικής και επιχειρηματικών επιπτώσεων, τον έλεγχο ευπαθειών και τον εξωτερικό έλεγχο ασφάλειας (Penetration Testing) είναι συγκριτικά χαμηλό σε σχέση με τις ενδεχόμενες ζημίες από ένα περιστατικό παραβίασης ασφάλειας. Από την άλλη μεριά, καθώς η υλοποίηση λύσεων αποτροπής διαρροής δεδομένων (Data Leakage Prevention), επιχειρηματικής συνέχειας ή συστημάτων κατά της απάτης μπορεί να έχει ένα μεγαλύτερο κόστος, είναι σημαντικό για έναν οργανισμό να αξιολογήσει τους κινδύνους που αντιμετωπίζει και τις επιπτώσεις από αυτούς, ώστε να μπορεί να τεκμηριώσει τις επενδύσεις ασφάλειας πληροφοριακών συστημάτων κατά το δυνατόν σε όρους κόστους-οφέλους.
* Partner, Τμήμα Συμβουλευτικών Υπηρεσιών, Ernst & Young Ελλάδος.