Τι δεν μπορούμε να μειώσουμε σε επίπεδο δαπανών για την ασφάλεια πληροφοριών κατά τη περίοδο της οικονομικής κρίσης που διανύουμε; Υπάρχουν περιοχές που «σηκώνουν» περικοπές και ποιες είναι αυτές;
Με τη υφιστάμενη πραγματική ή ψυχολογική οικονομική ύφεση και την ταυτόχρονα (πραγματική) συρρίκνωση των δαπανών που αφορούν στις τεχνολογικές υποδομές, ο τομέας της ασφάλειας πληροφοριών φαντάζει ως το ιδανικό πεδίο για μείωση των σχετικών επενδύσεων. Πόσο εύκολη είναι όμως η μείωση των επενδύσεων που αφορούν στην ασφάλεια πληροφοριών, όταν η ασφάλεια των πληροφοριών περισσότερο από ποτέ επηρεάζει τη λειτουργία και την αξιοπιστία της εταιρείας;
Μείωση δαπανών για την ασφάλεια…
Αν προσπαθήσουμε να δούμε τα πράγματα ορθολογικά, θα καταλήξουμε στο συμπέρασμα ότι ακόμα και στον τομέα της ασφάλειας πληροφοριών, χρειάζεται προσεκτική μελέτη για τις δαπάνες που πρέπει να μειωθούν. Οι συνέχεις νομικές και θεσμικές απαιτήσεις σε συνδυασμό με τις αυξανόμενες εξωτερικές και εσωτερικές απειλές, καθιστούν δύσκολη τη μείωση των επενδύσεων στην ασφάλεια πληροφοριών.
Παρόλα αυτά, οι επενδύσεις πρέπει να μειωθούν και να επικεντρωθούμε στα απολύτως απαραίτητα, ώστε να εξοικονομήσουμε πόρους και χρήματα από «μεγαλεπήβολα» έργα τα οποία μπορούν να περιμένουν για 1 με 2 χρόνια ακόμα. Η στρατηγική των επιχειρηματικών επενδύσεων για την ασφάλεια πληροφοριών για τα επόμενα 2 χρόνια θα είναι να επικεντρωθούμε στις βασικές επιχειρηματικές απαιτήσεις.
Do’s and dont’s
Υπάρχουν όμως περιπτώσεις που η μείωση των δαπανών δεν είναι εύκολη υπόθεση. Ακόμη και κατά τη διάρκεια της οικονομικής ύφεσης παρατηρούμε έναν αυξανόμενο αριθμό κανόνων και νομικών απαιτήσεων που μεταφράζονται σε δικλείδες ασφάλειας που αφορούν στην προστασία των κρίσιμων εταιρικών και προσωπικών δεδομένων. Ταυτόχρονα επιβάλλουν και το κόστος συμμόρφωσης το οποίο δεν μπορούμε να αποφύγουμε. Επιπροσθέτως, αυξάνονται οι διάφοροι Cyber-κακόβουλοι χρήστες που χρησιμοποιούν περίπλοκες και πιο αποτελεσματικές μεθόδους παρείσδυσης σε κρίσιμες επιχειρηματικές πληροφορίες.
Το κακόβουλο λογισμικό γίνεται ολοένα και πιο έξυπνο και εξαπλώνεται πολύ γρήγορα, επομένως επενδύσεις που αφορούν στην προστασία από κακόβουλο λογισμικό (malware, phissing, spam) δεν μπορεί να μειωθούν. Περικοπές που αφορούν σε λύσεις προστασίας των επιχειρηματικών δεδομένων από μη εξουσιοδοτημένη αντιγραφή και τροποποίηση, καθώς και δαπάνες που αφορούν στο Σχέδιο Επιχειρηματικής Συνέχειας, Αξιολόγηση Κινδύνων (έστω και σε περιορισμένη έκταση) & Κανονιστική Συμμόρφωση, δεν είναι θεμιτό να περικοπούν.
Περιπτώσεις οι οποίες μπορεί να μπουν σε καθεστώς περικοπής είναι οι ακόλουθες.
Η χρήση λογισμικού ανοιχτού κώδικα (open source) είναι μια καλή ιδέα που μειώνει το κόστος, αλλά προτείνεται μόνο σε εταιρείες με οργανωμένες μονάδες ασφάλειας πληροφοριών. Ταυτόχρονα η εσωτερική εκπαίδευση και ενημέρωση των τελικών χρηστών σε θέματα ασφάλειας των υπολογιστών τους, επιλογής και διαχείρισης των κωδικών πρόσβασης, αλλά και προστασίας από τα διάφορα φορητά gadgets, μπορούν να εξοικονομήσουν χρήματα μειώνοντας σχετικές επενδύσεις σε αυτοματοποιημένες λύσεις προστασίας.
Οι εταιρείες θα πρέπει να αναζητήσουν τρόπους μετακύλισης του κόστους λειτουργίας και ασφάλειας κάποιων συστημάτων (εφαρμογών), κάνοντας χρήση μεθόδων outsourcing. Παράδειγμα τέτοιων περιπτώσεων είναι το ηλεκτρονικό ταχυδρομείο. Αλλη μία περίπτωση μείωσης κόστους λειτουργίας και διαχείρισης ασφάλειας, είναι η χρήση τεχνολογιών virtualization & thin-client. Ειδικά οι αρχιτεκτονικές thin client προσφέρουν από τη φύση τους αυξημένη ασφάλεια και επομένως είναι λιγότερο δαπανηρές ως προς τη διαχείριση και τον έλεγχο, σε σχέση με client / server υπολογιστικά μοντέλα.
Σε κάθε περίπτωση, η μείωση των δαπανών που αφορούν στην ασφάλεια πληροφοριών πρέπει να γίνει μετά από σκέψη διότι μπορεί να θέσει το ανταγωνιστικό πλεονέκτημα της κάθε εταιρείας σε κίνδυνο εάν η αξιοπιστία της τεθεί υπό αμφισβήτηση. Στον αντίποδα, είναι καιρός να δούμε στη πράξη πόσο αποτελεσματικά έχουν λειτουργήσει οι μέχρι τώρα επενδύσεις στην ασφάλεια πληροφοριών και κατά πόσο οι επαγγελματίες του χώρου μπορούν να ενημερώσουν τις Διοικήσεις τους για το τι είναι πραγματικά σημαντικό και ποιοι είναι οι εκάστοτε κίνδυνοι για το επιχειρηματικό περιβάλλον.