Ο Charles Cresson Wood ρίχνει μια πιο συνολική ματιά στις απαιτήσεις που συνεπάγεται η πλήρης ασφάλεια των πληροφοριακών συστημάτων. Εχετε παρατηρήσει ότι πολλές από τις εταιρείες που επλήγησαν από σοβαρές και επώδυνες παραβιάσεις ασφαλείας πληρούσαν πάραυτα τις προϋποθέσεις συμμόρφωσης με κανόνες, πλαίσια και πρότυπα;

Η ανώτατη διοίκηση συχνά ασχολείται υπερβολικά με τη συμμόρφωση, χωρίς όμως να δίνει την πρέπουσα σημασία στην ασφάλεια. Ενα κοινό πρόβλημα είναι αυτό της έλλειψης της εστίασης στις παραμέτρους εκείνες που έχουν πραγματική σημασία για την ασφάλεια.

Παράλληλα, κάποια στελέχη εστιάζουν αποκλειστικά σε λειτουργίες της ασφάλειας, παραβλέποντας σημαντικά τεχνικά θέματα. Αλλοι πιστεύουν ότι αρκεί ένα απλό security scan κάθε τόσο ή το τσεκάρισμα μιας λίστας με απαιτήσεις για συμμόρφωση. Συγνώμη, αλλά τα πράγματα δεν είναι τόσο απλά! Εχω συναντήσει ακόμα και καταστάσεις όπου οι αρμόδιοι δεν ήξεραν ως προς τι θα έπρεπε να συμμορφωθούν. Οι σωστοί managers γνωρίζουν τι έχουν να αντιμετωπίσουν και είναι σε θέση να κρίνουν τι ταιριάζει σε κάθε επιχείρηση αντί να αντιμετωπίζουν τα πάντα με προσέγγιση τύπου «άσπρο ή μαύρο».

Κινούμενη άμμος
Μέρος του προβλήματος της συμμόρφωσης με τους νόμους, τις ρυθμίσεις και τα πρότυπα είναι η στατικότητα τους. Αντιθέτως, η ασφάλεια της πληροφορίας είναι δυναμική και ταχέως μεταλλασσόμενη. Οι managers πρέπει να εξετάζουν τις ιδιαίτερες συνθήκες του υπολογιστικού τους περιβάλλοντος και στοιχεία όπως το επίπεδο της ευαισθητοποίησης των χρηστών,τον τύπο τεχνολογίας των πληροφορικών συστημάτων και το είδος των παρεχόμενων προϊόντων και υπηρεσιών. Η φύση των χρειαζούμενων ελέγχων αποτελεί συνάρτηση των παραπάνω παραγόντων. Ολη αυτή η δουλειά θα πρέπει να γίνεται μετά από μία ετήσια αξιολόγηση κινδύνου. Τα πληροφορικά συστήματα εξελίσσονται και αλλάζουν πολύ γρήγορα και απαιτούν τουλάχιστον την παραπάνω συχνότητα αναθεώρησης.

Ενα άλλο μέρος του προβλήματος είναι η ανθρώπινη φύση. Οι άνθρωποι θέλουν shortcuts. Πρόκειται για το άμεσο αποτέλεσμα της έμφυτης ανάγκης για στιγμιαία ικανοποίηση. Επιπλέον, οι άνθρωποι δεν θέλουν να πληρώνουν περισσότερα χρήματα απ’ ότι είναι πραγματικά απαραίτητο, ούτε να αφιερώνουν μεγαλύτερη προσπάθεια -ειδικά όταν είναι απασχολημένοι με άλλα πράγματα.

Το πρόβλημα σχετίζεται και με τις κοινωνικές προσδοκίες. Η Wall Street εστιάζει στα βραχυπρόθεσμα αποτελέσματα και ανταμείβει τους managers που μειώνουν τα κόστη σήμερα, ακόμα κι αν αυτό θέτει μακροπρόθεσμα σε κίνδυνο την ίδια τη βιωσιμότητα της επιχείρησης. Παρομοίως, δεν έχουν ακόμα καθιερωθεί τα κατάλληλα κίνητρα σε νομικό επίπεδο. Συχνά, αυτοί που είναι σε θέση να επιλύουν προβλήματα σχετιζόμενα με την ασφάλεια δε φέρουν νομική ευθύνη για τις τυχόν απώλειες.

Για παράδειγμα, οι προμηθευτές λειτουργικών συστημάτων δεν θεωρούνται υπεύθυνοι για τις πολλές βλάβες που προκαλεί κακόβουλο λογισμικό όπως οι Trojans, παρά το ότι διαθέτουν την τεχνολογία που απαιτείται για την πλήρη εξάλειψη του malware για πολλά χρόνια. Αυτή έχει, άλλωστε, ενσωματωθεί σε πολλά συστήματα mainframe. Η εστίαση όσον αφορά την ασφάλεια των πληροφορικών συστημάτων είναι βραχυπρόθεσμη και περιορισμένου εύρους.

Τι πρέπει να κάνει ο CISO
Ο ρόλος του Chief Information Security Officer (CISO) θα πρέπει να είνια εν μέρει εκείνος του τεχνικού σύμβουλου της ανώτατης διοίκησης ώστε εκείνη να αποφασίζει για τη σωστή ισορροπία μεταξύ ανταγωνιστικών στόχων όπως το κόστος, η ευκολία χρήσης, ο χρόνος απόκρισης, η ασφάλεια, η διαθεσιμότητα και η δυνατότητα ανάκτησης.

Οι εταιρείες που θέλουν -ή που βρίσκονται αναγκασμένες- να βελτιώσουν το επίπεδο της ασφάλειάς τους, θα πρέπει να υιοθετήσουν άμεσα τη διαδικασία της διαχείρισης κινδύνου. Αυτό, όχι μόνο θα περιορίσει άμεσα τους επιχειρησιακούς κινδύνους, αλλά και θα δημιουργήσει τη βάση για ελαχιστοποίηση των χρημάτων, του χρόνου και της προσπάθειας που απαιτούν οι πρωτοβουλίες για ασφάλεια των πληροφορικών συστημάτων μακροπρόθεσμα.

O Charles Cresson Wood είναι ένας από τους κεντρικούς ομιλητές του Enterprise IT Security Conference. Περισσότερες πληροφορίες για το συνέδριο στο www.eits.gr.