Η σημερινή δύσκολη εποχή, για την οικονομία και τις επιχειρήσεις, έχει επηρεάσει σημαντικά προς τα κάτω τις επενδύσεις σε Πληροφορική και Τεχνολογία. Ωστόσο, μπορεί να αποτελέσει και ευκαιρία για τις Διευθύνσεις Πληροφορικής προκειμένου αυτές να ανασυνταχθούν, να συγκεντρώσουν και να βελτιστοποιήσουν την υπάρχουσα υποδομή τους, χωρίς να δέχονται παράλληλα αφόρητες πιέσεις για νέα έργα

Δεν θα ήταν υπερβολή να πούμε ότι η πληροφορία αποτελεί πλέον για τις επιχειρήσεις σημαντικότερο περιουσιακό στοιχείο σε σχέση με τους εργαζόμενους. Σύγχρονα συστήματα Πληροφορικής επιτρέπουν πλέον την καταχώριση τεράστιου όγκου πληροφοριών, τις οποίες αναλύουν, δημιουργώντας γνώση και επιλογές αποφάσεων. Πολλές δε από τις αποφάσεις αυτές λαμβάνονται, πλέον, χωρίς την ανθρώπινη παρέμβαση.

Η ιστορία μέσα από χιλιάδες παραδείγματα μάς έχει δείξει ότι κάθε σύστημα ασφάλειας έχει αδυναμίες που μπορούν να οδηγήσουν στην παραβίασή από ανθρώπους που βρίσκονται εντός ή εκτός των «τειχών». Η Societe Generale, όταν πριν ένα χρόνο, έχασε σχεδόν 5 δισ. ευρώ από δραστηριότητες του χρηματιστή Ζερόμ Κερβιέλ, πήρε ένα από τα πιο ακριβά μαθήματα.

Ωστόσο, κάτι τέτοιο δεν στάθηκε ποτέ εμπόδιο στη δημιουργία συστημάτων ασφαλείας, αλλά και στην προσπάθεια των ανθρώπων να τα παραβιάζουν. Η «συνέπεια» αυτή στηρίζει μια βιομηχανία παραγωγής λογισμικού και υλικού, η οποία κάθε χρόνο φαίνεται να ανθίζει και περισσότερο. Ακόμα και αυτήν τη δύσκολη περίοδο της οικονομικής κρίσης, τόσο οι έρευνες της Gartner όσο και αυτές τις IDC, δείχνουν ότι ο τομέας του IT security θα είναι από τους λίγους, ίσως ο μόνος, που θα παρουσιάσει θετικό ρυθμό ανάπτυξης μέσα στο 2009.

Ενα τόσο «ζωντανό» θέμα δεν θα μπορούσε να αφήσει αδιάφορο το περιοδικό netweek, το οποίο διοργάνωσε ένα roundtable με IT managers και προμηθευτές τεχνολογίας, ώστε να καταλήξει σε συμπεράσματα σχετικά με τον τρόπο που σχεδιάζουν τη στρατηγική ασφάλειας οι ελληνικές επιχειρήσεις.


Ραγδαία αύξηση δεδομένων
Σύμφωνα με τις περισσότερες αναλύσεις παρατηρείται μια ραγδαία αύξηση του όγκου δεδομένων, λόγω της χρήσης του Internet, αλλά και λόγω της χρήσης σημαντικού όγκου αρχείων. Οπότε εύλογα, τίθεται το ερώτημα για το ποιες είναι οι αιτίες αυτής της αύξησης δεδομένων στην επιχείρηση και πόσο πολύπλοκη καθιστά αυτό τη διαχείρισή τους και την προστασία τους.

Νικόλαος Δαμανάκης: Ο λόγος που ξεκινώ τη συζήτηση είναι ότι πολύ πρόσφατα δεχτήκαμε τον έλεγχο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία δεν διαπίστωσε κανένα πρόβλημα, καθώς τα μέτρα ασφαλείας που λαμβάνουμε είναι πολλές φορές περισσότερα από αυτά που απαιτούν οι οδηγίες των ελεγκτικών φορέων.

Θα συμφωνήσω με τη θέση σας, κ. Κονδάκη, καθώς και εμείς τον τελευταίο καιρό έχουμε διαπιστώσει μια σημαντική αύξηση στον όγκο των δεδομένων που πρέπει να αποθηκεύουμε, επειδή πρακτικά έχει αυξηθεί ο αριθμός των πληροφοριών που καλούμαστε να παράγουμε από τα δεδομένα. Για παράδειγμα, μόνο ένα προϊόν που βγάλαμε πρόσφατα στην αγορά, το credit scoring, το οποίο επιτρέπει σε χρηματοπιστωτικούς κυρίως οργανισμούς να αξιολογούν το ρίσκο δανεισμού, αυξάνει καθημερινά τα δεδομένα που αποθηκεύουμαι κατά ένα μεγάλο ποσοστό.

Οσον αφορά το θέμα της ασφάλειας, αυτό γίνεται περισσότερο έντονο κάθε χρονιά, καθώς αυξάνονται οι προσπάθειες και η ευφυΐα των επιτιθέμενων. Εκτός από αύξηση των επενδύσεων, οι αυξημένες δικλείδες ασφάλειας δημιουργούν και ζητήματα, ανάμεσα στο τμήμα Πληροφορικής και την επιχειρηματική λειτουργία. Θεωρώ ότι αυτό είναι ένα εξίσου σοβαρό ζήτημα και μπορεί να ξεπεραστεί μόνο από ένα σωστό πάντρεμα των δύο πλευρών, το οποίο θα γίνει και με τις «ευλογίες» της κεντρικής διοίκησης.

Πάνος Ηλιόπουλος: Πόσο έχετε εξασφαλίσει ότι τα δεδομένα του Τειρεσία δεν κυκλοφορούν ελεύθερα στην αγορά;

Νικόλαος Δαμανάκης: Απόλυτη προστασία στο θέμα της ασφάλειας δεδομένων δεν υπάρχει. Το καλά στελεχωμένο τμήμα της μηχανογράφησης σε συνδυασμό με αυστηρές διαδικασίες είναι τα βασικά όπλα που έχουμε για να μειώνουμε το ρίσκο διαρροών. Ενδεικτικά αναφέρω ότι υπάρχει καθημερινός εσωτερικός έλεγχος σε βαθμό που όπως είπα, μερικές φορές, κάνει «δύσκολη» τη καθημερινή λειτουργία κάποιων συναδέλφων.

Θανάσης Βαβάτσικος: Η συζήτησή μας ξεκινάει πολύ δυναμικά και θα αρπάξω την ευκαιρία να θέσω μια σημαντική παράμετρο σε αυτήν. Θα πρέπει όσον αφορά θέματα ασφάλειας να έχουμε πάντα κατά νου δύο συνιστώσες. Η μια αφορά στα θέματα ασφάλειας που προκύπτουν από έξω προς τα μέσα και παραδοσιακά αφορά όλους τους υπεύθυνους συστημάτων Πληροφορικής. Ωστόσο, υπάρχει και ο άξονας της διαρροής δεδομένων και το ζήτημα αυτό θίγει ο κ. Ηλιόπουλος.

Θα συμφωνήσω ότι πρόκειται για ένα πολύ καυτό ζήτημα αυτή την εποχή, όχι γιατί κάποιος ηθελημένα θα κάνει κάποια διαρροή, αλλά γιατί είναι πολύ πιθανό να το κάνει χωρίς να το θέλει, μέσω μιας web 2.0 εφαρμογής ή μιας απροσεξίας. Βλέπουμε πλέον πολύ συχνά στον τύπο θέματα για στελέχη που ξέχασαν ή έχασαν φορητούς υπολογιστές με σημαντικά δεδομένα της επιχείρησής τους.

Νικόλας Κονδάκης:
Θα πρότεινα να δούμε και την άποψη του εσωτερικού ελέγχου σε αυτό το θέμα.

Γεράσιμος Μοσχονάς: Συμφωνώ με τα λεγόμενα του κου. Βαβάτσικου. Είναι πρόκληση για μια εταιρεία η προστασία από τον εσωτερικό κίνδυνο. Σύμφωνα με πρόσφατα στοιχεία ερευνών, πάνω από το 50% των περιστατικών παραβίασης ασφάλειας παγκοσμίως, προέρχονται είτε από λάθος είτε από σκοπιμότητα του εσωτερικού χρήστη.

Λόγω του Internet, τα τελευταία χρόνια, όλοι κάναμε μεγάλες επενδύσεις για να προστατευθούμε από τους εξωτερικούς κινδύνους και είχαμε παραμελήσει κάπως την προστασία από εσωτερικούς χρήστες.

Ζαχαρίας Μαριδάκης: Πιστεύω ότι αυτή η ολιγωρία δεν ήταν μόνο θέμα επενδύσεων, αλλά και μια αδυναμία των IT managers να επιβληθούν στο business και να θέσουν τους κανόνες ασφαλείας που απαιτεί η χρήση της σύγχρονης τεχνολογίας.

Πάνος Ηλιόπουλος: Από μια οπτική, όσοι αντιδρούσαν στην πολιτική ασφάλειας, είχαν συχνά δίκιο γιατί επηρέαζε λίγο ως πολύ τον τρόπο εργασίας τους. Δεν πρέπει να παραβλέπουμε ότι οι άνθρωποι της Πληροφορικής που ασχολούνταν κατά κύριο λόγο με τη χάραξη της πολιτικής ασφάλειας δεν ήταν μέχρι πρόσφατα κοντά στο business. Επομένως, δημιουργούσαν άθελά τους σημαντικά προβλήματα.

Πάνος Παπανικολάου: Θα συμφωνήσω και εγώ ότι σήμερα υπάρχει ένα μεγάλο χάσμα ανάμεσα στο business και το IT, το οποίο όμως με διαρκή εκπαίδευση και με το πέρασμα του χρόνου συνεχώς μικραίνει.


Αντώνης Γιαννάς: Για να επαναφέρω πάντως τη συζήτηση και στο ζήτημα της αύξησης των δεδομένων, θα ήθελα να επισημάνω ότι από τις έρευνες που έχει κάνει η Symantec, παγκοσμίως, διαπιστώνει ότι δεν υπάρχει αύξηση δεδομένων, αλλά αύξηση της αντιγραφής.

Βασίλης Κουρέντας: Θα συμφωνήσω ότι ίσως αυτό να ισχύει για την πλειονότητα των επιχειρήσεων. Ωστόσο, υπάρχουν και αρκετές εταιρείες, όπως η ΕΡΤ για παράδειγμα, οι οποίες έχουν σημαντική αύξηση των πρωτογενών δεδομένων. Καθημερινά ψηφιοποιούμε επί 24ωρου όλο το πρόγραμμα τριών καναλιών, προκειμένου να δημιουργήσουμε ένα πλήρες ψηφιακό αρχείο, το οποίο συνεπάγεται 12 GB πληροφορίας ανά ώρα για κάθε κανάλι.

Το θέμα της ασφάλειας για εμάς, έχει να κάνει με την προστασία του αρχείου, ώστε αυτό να μη διαρρεύσει, χωρίς να έχουν προηγουμένως τακτοποιηθεί τα πνευματικά δικαιώματα, αλλά και με την προστασία της λειτουργίας. Για παράδειγμα, δεν θα θέλαμε να δούμε μια αποκλειστική είδηση που μας στέλνει κάποιο πρακτορείο να είναι δημοσιευμένη σε κάποιο blog λόγω διαρροής.

Γεράσιμος Μοσχονάς: Εγώ δεν θα συμφωνήσω με τον κ. Γιαννά, γιατί παρά το γεγονός ότι δεν είμαστε μια ειδική περίπτωση, όπως η ΕΡΤ, παρατηρούμε καθημερινά μεγάλη αύξηση στον όγκο των δεδομένων που πρέπει να αποθηκεύουμε. Μόνο τα περιμετρικά συστήματα ασφάλειας που χρησιμοποιούμε για να καλύψουμε την εισβολή στα συστήματά μας, δημιουργούν τεράστια logs που πρέπει να αποθηκεύουμε για μεγάλα χρονικά διαστήματα. Μάλιστα, είναι ενδιαφέρον ότι σήμερα δεν υπάρχει κανονιστική αρχή που ορίζει ποια logs πρέπει να κρατάμε και για πόσο χρόνο. Εκτός αυτού, υπάρχουν νέες υπηρεσίες και προϊόντα που δημιουργούν αύξηση του όγκου δεδομένων.

Πάνος Ηλιόπουλος: Δηλαδή κ. Γιαννά θεωρείτε ότι η τεχνολογία σήμερα βοηθάει τις επιχειρήσεις να κάνουν «ξεκαθάρισμα» των δεδομένων τους, ώστε να αποφεύγονται αντιγραφές και άλλες μορφές επιβαρύνσεων που τελικά αυξάνουν αλόγιστα τη χρήση αποθηκευτικών χώρων; Γιατί εγώ δεν πιστεύω ότι η τεχνολογία είναι έτοιμη να δώσει αυτή τη βοήθεια…

Αντώνης Γιαννάς: Οι απαιτούμενες τεχνολογίες υπάρχουν και μάλιστα είναι πολύ απλές στη χρήση τους.

Νίκος Αντιμησιάρης: Οσον αφορά την αύξηση και την ανάκτηση των δεδομένων, νομίζω ότι θα πρέπει να δούμε και μια άλλη διάσταση, η οποία μπορεί να μην αφορά αρχεία ή email. Για παράδειγμα, σε έναν οργανισμό τηλεπικοινωνιών, το τμήμα Πληροφορικής έχει κυρίως να εξασφαλίσει την αποθήκευση και την ανάκτηση δεδομένων που αποθηκεύονται σε βάσεις και στη συνέχεια είναι διαθέσιμα σε πολλαπλές εφαρμογές. Σε αυτές τις περιπτώσεις, η διατήρηση της μορφοποίησης, η ταχύτητα εισόδου και εξόδου των δεδομένων και οι εφαρμογή διάφορων εσωτερικών και εξωτερικών κανονιστικών περιορισμών, δημιουργούν ένα εντελώς διαφορετικό περιβάλλον.

Ζαχαρίας Μαριδάκης: Επίσης, να συμπληρώσω ότι, σε κάποιες εταιρείες, το κόστος αύξησης του κεντρικού storage, έχει οδηγήσει σε λύσεις αύξησης του περιφερειακού storage. Για παράδειγμα, είναι πιο εύκολο να καλυφθεί η απαίτηση ενός χρήστη για διπλασιασμό του χώρου αποθήκευσης που χρησιμοποιεί με την αγορά ενός μεγαλύτερου σκληρού δίσκου για το PC του.

Ωστόσο, κάτι τέτοιο μπορεί να έχει επιζήμια αποτελέσματα για την εταιρεία, καθώς οδηγεί σε απαξίωση της κεντρικής πολιτικής ασφάλειας και επιπλέον δημιουργεί αποθηκευτικούς χώρους πληροφορίας και γνώσης, οι οποίοι δεν είναι προσβάσιμοι από τα κεντρικά συστήματα ανάλυσης και αξιολόγησης.


Κρίση και μείωση προϋπολογισμών
Νικόλας Κονδάκης:
Θεωρώντας ότι η κρίση έχει οδηγήσει σε μείωση των budgets, πόσο επηρεάζεται η στρατηγική στους τομείς του security και storage;

Γιάννης Λευκάκης: Οταν μιλάμε για επενδύσεις σε ασφάλεια θα πρέπει να σκεφτόμαστε όχι το κέρδος αλλά τη μείωση της ζημιάς. Αν λοιπόν κάποιος παρουσιάσει το ζήτημα της ασφάλειας στο business με αυτή την οπτική, μπορεί να γίνει πιο πειστικός. Για παράδειγμα, ένα λογισμικό ελέγχου fraud σε ATM, μπορεί να κοστίζει στην τράπεζα περισσότερο από τις απώλειες που έχει από αυτόν τον τύπο απάτης, αλλά ποιος μπορεί να μετρήσει το κόστος της κακής φήμης και της απώλειας πελατών που αυτή συνεπάγεται;

Πάνος Ηλιόπουλος: Πιστεύω ότι αν θέλουμε να έχουμε μια άμεση απάντηση, η οποία θα αφορά το μεγαλύτερο ποσοστό των εταιρειών, θα πρέπει να αποδεχτούμε ότι η μείωση του budget επιδρά και στο storage και στο security. Αυτό όμως είναι μια ευκαιρία για τον IT manager, ο οποίος πρέπει πλέον να πείσει με δυνατά επιχειρήματα ότι η επένδυση που προτείνει θα είναι αποτελεσματική για την επιχείρηση.

Μάνος Σερρέλης: Πιστεύω ότι οι μεγάλες επιχειρήσεις θα δυσκολευτούν να ακολουθήσουν τη στρατηγική τους, αλλά τελικά θα μείνουν πολύ κοντά στους αρχικούς τους στόχους. Ωστόσο, εκεί που θα υπάρξουν σημαντικές περικοπές είναι οι μικρομεσαίες επιχειρήσεις, οι οποίες σε πολλές περιπτώσεις έχουν και τη λογική «ας καούμε πρώτα και μετά βλέπουμε τι μπορούμε να κάνουμε».

Νικόλας Κονδάκης: Εγιναν αρκετές αναφορές στους τρόπους που η πολιτική ασφάλειας επηρεάζει το business της επιχείρησης. Ωστόσο, δεν θα έπρεπε να εξετάζετε και το πώς επηρεάζει τον πελάτη;

Γεράσιμος Μοσχονάς: Αν ήταν στο χέρι του πελάτη θα ήθελε μια τράπεζα ανοιχτή, χωρίς κανένα password, αλλά και παράλληλα ασφαλή. Αυτό φυσικά δεν είναι δυνατό. Η ασφάλεια που εμπεριέχει κάθε υπηρεσία μας, όπως το token για το web banking για παράδειγμα, είναι πάντα θέμα συζήτησης με το αντίστοιχο business unit. Σε καμία περίπτωση δεν θα εφαρμόσουμε μια πολιτική ασφάλειας που θα διώξει πελάτες. Το token αξιολογήθηκε αφού εφαρμόστηκε και διαπιστώσαμε ότι ελάχιστοι ήταν οι πελάτες που διαμαρτυρήθηκαν, οπότε συνεχίσαμε να το εφαρμόζουμε.

Νικόλας Κονδάκης: Η κρίση έχει δημιουργήσει περισσότερη όρεξη για ρίσκο ή την έχει μείωση;

Νίκος Παλάβος: Το security είναι αναγκαίο κακό και για αυτό εξ’ ορισμού είναι τροχοπέδη στο business. Ωστόσο, η προσπάθεια σε κάθε επιχείρηση γίνεται ώστε να βρεθεί η χρυσή τομή και να υπάρχει προστασία της επιχείρησης αλλά και ροή στις καθημερινές της λειτουργίες. Σύμφωνα με έρευνες που έχουμε μελετήσει, η επένδυση σε security είναι της τάξης του 6%-12% του συνολικού προϋπολογισμού του IT.

Archiving
Νικόλας Κονδάκης:
Θα είχε ενδιαφέρον να κλείσουμε τη συζήτησή μας με το θέμα του email και content archiving;

Γεράσιμος Μοσχονάς: Πρόσφατα εφαρμόσαμε στην τράπεζα μια λύση, για να διαχειριστούμε το email των εργαζομένων στις κεντρικές υπηρεσίες της τράπεζας και στα καταστήματα. Το πρόβλημα που κληθήκαμε να λύσουμε είχε δύο άξονες. Ο ένας αφορούσε στο storage και ο άλλος στο control. Πρακτικά, οι δίσκοι των servers και των μεμονωμένων PCs γέμιζαν, γιατί οι περισσότεροι χρήστες προτιμούσαν να μην σβήνουν τα email τους, ενώ επιπλέον ο καθένας έσβηνε όποια email ήθελε όποτε ήθελε με αποτέλεσμα να χάνουμε κάποιες φορές πληροφορίες που χρειαζόμασταν.

Εδώ αξίζει να αναφέρουμε ότι ακόμα και αν ο χρήστης είχε κρατήσει το email στον υπολογιστή του, δεν ήταν σίγουρο ότι μπορούσαμε να το πάρουμε, γιατί η Αρχή Προστασίας Πνευματικών Δεδομένων, επιβάλλει ότι δεν μπορούμε να έχουμε πρόσβαση στο email του ηλεκτρονικού ταχυδρομείου, παρά το γεγονός ότι είναι εταιρικό.

Μια από τις βασικές αποφάσεις που λάβαμε για το συγκεκριμένο έργο είναι ο ορισμός των ατόμων που έχουν πρόσβαση στα emails. Αποφασίσαμε δε ότι το IT δεν πρέπει να έχει πρόσβαση στα email. Επομένως, η διοίκηση μπορεί να ζητήσει από το IT τα email, αλλά με αιτιολογία, ενώ το ίδιο ισχύει και για την οποιαδήποτε κρατική αρχή.

Αντώνης Γιαννάς: Διαπιστώσατε κάποια μείωση κόστους από την επένδυση αυτή;

Γεράσιμος Μοσχονάς: Αυτό που μπορούμε να πούμε ότι είχαμε ως άμεσο όφελος ήταν ο χώρος αποθήκευσης στους υπολογιστές των χρηστών και σε περιφερειακούς υπολογιστές. Τη συγκεκριμένη μείωση κόστους την αξιοποιήσαμε για να εγκαταστήσουμε ένα κεντρικό σύστημα αποθήκευσης.


Συμπέρασμα
Η ασφάλεια από επιθέσεις εκ των έσω αποκτά την αξία που της αρμόζει, μετά από αρκετά περιστατικά που διαδραματίστηκαν τα τελευταία χρόνια. Ωστόσο, η εφαρμογή μιας πολιτικής που περιλαμβάνει την εσωτερική ασφάλεια δεν είναι εξίσου απλή με την περιμετρική ασφάλεια. Ο άνθρωπος αποκτά καθοριστικό ρόλο και για αυτό το λόγο χρειάζεται την κατάλληλη εκπαίδευση, πειθαρχία και εν τέλει έλεγχο. Οι ρυθμιστικοί κανόνες που χρειάζεται να εφαρμοστούν για να εξασφαλίσουν την εταιρεία από επιθέσεις, αρκετές φορές δημιουργούν προβλήματα λειτουργίας στο business και αυτός είναι ο βασικός λόγος που δεν τηρούνται.

Η αύξηση του όγκου της πληροφορίας είναι δεδομένη και επομένως, οι επενδύσεις σε storage δεν μπορεί παρά να συνεχίσουν να έχουν ανοδική πορεία.
Ωστόσο, ο συνδυασμός της αύξησης κόστους του storage με παραμέτρους της πολιτικής ασφάλειας, αναμένεται να οδηγήσουν τις επιχειρήσεις σε κεντρικοποίηση των συστημάτων αποθήκευσης και ανάκτησης. In house ή στο cloud είναι μια ερώτηση που χρειάζεται αρκετό καιρό ακόμα για να απαντηθεί.

Στη συζήτηση συμμετείχαν οι:
Συντονιστής:
Νικόλας Κονδάκης, Διευθυντής Εκδόσεων & Εκδηλώσεων, BOUSSIAS
Νικόλαος Δαμανάκης, Chief Security Officer, Τειρεσίας
Πάνος Ηλιόπουλος, CIO, DSGI Group
Βασίλης Κουρέντας, IT Manager, EΡΤ
Ζαχαρίας Μαριδάκης, IT Manager, Γιούλα Α.Ε.
Γεράσιμος Μοσχονάς, Group Information Security Officer, Alpha Bank
Γιάννης Λευκάκης, Head of Internal Audit Department, Millennium Bank
Πάνος Παπανικολάου, Director IT Operations, ICAP
Μάνος Σερρέλης, Εmporiki Βank
Νίκος Αντιμησιάρης, IS Operations, Wind Hellas
Νίκος Παλάβος, Τομεάρχης, Λειτουργιών Πληροφοριακών Συστημάτων, Διεθνής Αερολιμένας Αθηνών
Θανάσης Βαβάτσικος, Country Manager. Symantec Hellas
Αντώνης Γιαννάς, Technical Consultant, Symantec Hellas
Γιάννης Παναγόπουλος, Υπεύθυνος Servers, Fujitsu
Γιώργος Νικολόπουλος, Υπεύθυνος Πωλήσεων, Fujitsu