Σύμφωνα με τη 12η ετήσια Παγκόσμια Ερευνα για την ασφάλεια των Πληροφοριών (Global Information Security Survey) της Ernst & Young για το 2009, τα αντίποινα από πρόσφατα απολυμένους υπαλλήλους και η έλλειψη επαρκών κονδυλίων και πόρων για θέματα ασφάλειας προκαλούν ολοένα μεγαλύτερη ανησυχία στα ανώτατα στελέχη του κλάδου της Πληροφορικής.

Η έρευνα, στην οποία συμμετείχαν σχεδόν 1.900 ανώτατα στελέχη σε περισσότερες από 60 χώρες, αποκάλυψε ότι το 75% των ερωτηθέντων εκφράζει φόβους για ενδεχόμενα αντίποινα από εργαζομένους που πρόσφατα αποχώρησαν από τις επιχειρήσεις τους. Επίσης, το 42% των ερωτηθέντων καταβάλλει ήδη προσπάθειες να κατανοήσει τους πιθανούς κινδύνους που σχετίζονται με αυτό το θέμα και το 26% λαμβάνει ήδη μέτρα περιορισμού των εν λόγω κινδύνων.

Ο Paul van Kessel, Global Leader of Technology and Security Risk Services στην Ernst & Young, σχολιάζει: «Δεδομένου ότι η οικονομία βρίσκεται ακόμα σε ύφεση, οι εργαζόμενοι που απολύονται είναι πιθανόν να τρέφουν αισθήματα αγανάκτησης απέναντι στον πρώην εργοδότη τους, γεγονός που μπορεί να επηρεάσει την ομαλή λειτουργία μιας επιχείρησης με διάφορους τρόπους.

Τα πληροφοριακά συστήματα του εργοδότη γίνονται όλο και συχνότερα κοινός στόχος, ενώ η κλοπή δεδομένων είναι επίσης ευρέως διαδεδομένη. Είναι ζήτημα ύψιστης σημασίας για τις εταιρείες να πραγματοποιήσουν δοκιμές αξιολόγησης συγκεκριμένων κινδύνων, προκειμένου να προσδιορίσουν και να υιοθετήσουν τα κατάλληλα μέτρα αντιμετώπισης αυτών».

Δύσκολη η εξεύρεση επαρκών κονδυλίων
Η διάθεση επαρκών κονδυλίων για την ασφάλεια των συστημάτων Πληροφορικής εξακολουθεί να αποτελεί φλέγον ζήτημα, καθώς το 50% των ερωτηθέντων το θεωρεί ως «σημαντικό» ή «μείζον» ζήτημα, ποσοστό το οποίο συνιστά αξιοσημείωτη αύξηση της τάξεως των 17 ποσοστιαίων μονάδων έναντι του 2008. Το αποτέλεσμα αυτό είναι επίσης ιδιαίτερα εντυπωσιακό, λαμβάνοντας υπ’ όψιν το γεγονός ότι το 40% των ερωτηθέντων υπέδειξε ότι σχεδιάζει να αυξήσει τις ετήσιες επενδύσεις για την ασφάλεια των συστημάτων Πληροφορικής, ως ποσοστό επί των συνολικών δαπανών, ενώ το 52% σχεδιάζει να διατηρήσει το ίδιο επίπεδο δαπανών.

Ο Van Kessel συνεχίζει: «Σήμερα η ασφάλεια των συστημάτων Πληροφορικής απαιτεί ούτως ή άλλως πολύ περισσότερες επενδύσεις, και οι επιχειρήσεις κάνουν πλέον αγώνα δρόμου για να αντεπεξέλθουν στις ολοένα απειλητικότερες συνθήκες, μετά την καθυστερημένη εκκίνηση. Παρόλα αυτά, η ασφάλεια των συστημάτων Πληροφορικής δεν παραμένει ανεπηρέαστη από εξωτερικές οικονομικές πιέσεις και τα ανώτατα στελέχη IT θα πρέπει να αυξήσουν τόσο την αποδοτικότητα, όσο και την αποτελεσματικότητα, διατηρώντας παράλληλα τις δαπάνες στο ελάχιστο».

Συμμόρφωση με τους κανονισμούς
Η έρευνα έδειξε ότι η κανονιστική συμμόρφωση αποτελεί επίσης ζήτημα ύψιστης προτεραιότητας για τα ηγετικά στελέχη της ασφάλειας συστημάτων Πληροφορικής και ότι εξακολουθεί να αποτελεί σημαντικό κίνητρο για βελτιώσεις στον τομέα αυτό.

Οταν ρωτήθηκαν πόσα χρήματα ξόδευαν οι εταιρείες τους για θέματα συμμόρφωσης, το 55% των ερωτηθέντων δήλωσε ότι οι δαπάνες κανονιστικής συμμόρφωσης ευθύνονταν για τη μέτρια έως σημαντική αύξηση των συνολικών δαπανών για την ασφάλεια των πληροφοριακών συστημάτων. Μόνον το 6% των ερωτηθέντων σκοπεύει να προβεί σε μείωση των δαπανών τους επόμενους 12 μήνες για θέματα κανονιστικής συμμόρφωσης.

Ο Van Kessel εξηγεί ότι «Οι κανονισμοί που επιβάλλονται από το κράτος και τον ίδιο τον κλάδο οδήγησαν αναμφισβήτητα τις εταιρείες σε μια πιο συγκροτημένη προσέγγιση όσον αφορά την ασφάλεια των συστημάτων Πληροφορικής. Από τη μία, είναι θετικό το γεγονός ότι, στο πλαίσιο της συμμόρφωσης, οι διαδικασίες ή οι πολιτικές ασφαλείας των επιχειρήσεων αλλάζουν προς το καλύτερο. Από την άλλη, πολλές επιχειρήσεις εξακολουθούν να θεωρούν τη συμμόρφωση ως αναγκαίο κακό και όχι ως πρωταρχικό παράγοντα για την ασφάλεια των συστημάτων Πληροφορικής».


Ενισχύοντας την τεχνολογία
Λόγω της υψηλής συχνότητας εμφάνισης περιστατικών παραβίασης της ασφάλειας των πληροφοριών, η προστασία των δεδομένων αποτελεί το κύριο μέλημα για πολλούς επικεφαλής ασφαλείας των συστημάτων Πληροφορικής. Η εφαρμογή ή η βελτίωση των τεχνολογιών Προστασίας Διαρροής Ευαίσθητων Πληροφοριών (Data Leakage Prevention – DLP) συνιστά τη δεύτερη προτεραιότητα ασφαλείας για τους επόμενους 12 μήνες, καθώς το 40% των ερωτηθέντων την τοποθετούν ανάμεσα στα τρία σημαντικότερα θέματα προτεραιότητας. Η προστασία διαρροής αναφέρεται στο συνδυασμό εργαλείων και διαδικασιών για τον εντοπισμό, την παρακολούθηση και την προστασία των ευαίσθητων πληροφοριών.

Ενα από τα εντυπωσιακότερα πορίσματα της έρευνας είναι ο χαμηλός αριθμός των εταιρειών που χρησιμοποιούν συστήματα κρυπτογράφησης για τους φορητούς υπολογιστές τους. Μόνο το 41% των ερωτηθέντων κάνει επί του παρόντος τέτοιου είδους κρυπτογράφηση, ενώ μόλις το 17% σχεδιάζει να εφαρμόσει τη διαδικασία αυτή την επόμενη χρονιά. Το γεγονός αυτό προκαλεί έκπληξη για διάφορους λόγους, όπως ο αριθμός των παραβιάσεων που έχουν συμβεί λόγω απώλειας ή κλοπής φορητών υπολογιστών, το γεγονός ότι η απαιτούμενη τεχνολογία είναι άμεσα διαθέσιμη και με χαμηλό κόστος και ότι οι επιπτώσεις στους χρήστες κατά την εφαρμογή της είναι σχετικά περιορισμένες και δεν αποτελεί πλέον εμπόδιο.

Ο Van Kessel καταλήγει: «Η έρευνά μας αποδεικνύει ότι τα επίπεδα των εσωτερικών και των εξωτερικών κινδύνων συνεχίζουν να αυξάνονται. Η διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών απαιτεί μια ευέλικτη προσέγγιση, εστιασμένη στα σημαντικότερα θέματα για την επιχείρηση, προστατεύοντας τις πληροφορίες ζωτικής σημασίας. Μόνον εάν γίνει κατανοητή η χρήση των πληροφοριών στο πλαίσιο κρίσιμων επιχειρησιακών διαδικασιών μπορεί μια επιχείρηση, και συγκεκριμένα το τμήμα ασφαλείας των συστημάτων Πληροφορικής της, να αρχίσει ουσιαστικά να διαχειρίζεται τις ανάγκες της σε θέματα ασφαλείας».

Τα αποτελέσματα για την Ελλάδα
Σύμφωνα με τα αποτελέσματα της έρευνας, ειδικά στον ελληνικό χώρο υπάρχει αυξημένο ενδιαφέρον για επενδύσεις στην ενημέρωση και εκπαίδευση χρηστών σε θέματα ασφάλειας και γενικότερα διαπιστώνεται σχετική σύγκλιση της Ελλάδας με τις διεθνείς τάσεις, όπως π.χ. σε ότι αφορά στις επενδύσεις σε τεχνολογίες virtualization. Από την άλλη μεριά, υπάρχει ακόμη σημαντική υστέρηση όσον αφορά στην εφαρμογή τεχνολογιών Identity & Access Management, αλλά και σε θέματα αξιολόγησης των πρακτικών ασφαλείας των εξωτερικών συνεργατών (service providers), ενώ η ύπαρξη επαρκών κονδυλίων για την υλοποίηση προγραμμάτων ασφάλειας παραμένει και για την Ελλάδα μία από τις μεγαλύτερες προκλήσεις.

Ο κ. Λεωνίδας Χατζηκωνσταντής, Partner στο Συμβουλευτικό Τμήμα της Ernst & Young Ελλάδος, τονίζει: «Είναι γεγονός ότι στην Ελλάδα γίνονται σημαντικά βήματα στο χώρο της ασφάλειας πληροφοριακών συστημάτων τόσο σε επίπεδο τεχνολογιών, όσο και εταιρικής οργάνωσης. Ομως είναι σημαντικό τα ζητήματα αυτά, πέρα από τις μεγαλύτερες εταιρείες, να απασχολήσουν το σύνολο των ελληνικών επιχειρήσεων. Επιπλέον, και δεδομένου του τρέχοντος οικονομικού περιβάλλοντος, τα βήματα που ήδη γίνονται δεν θα πρέπει ανασταλούν λόγω έλλειψης κονδυλίων, καθώς οι επιχειρήσεις θα πρέπει να κατανοήσουν ότι οι επενδύσεις σε θέματα ασφάλειας τελικά περιορίζουν ενδεχόμενες ζημιές και οδηγούν σε μείωση κόστους».

Η έρευνα
Η Eκθεση για την Ασφάλεια των Πληροφοριών του 2009 που διεξάγεται από την Ernst & Young πραγματοποιήθηκε με τη βοήθεια των πελατών του τομέα συμβουλευτικών υπηρεσιών της Ernst & Young σε περισσότερες από 60 χώρες. Οι εργασίες της έρευνας διεξήχθησαν από τον Ιούνιο έως τον Αύγουστο του 2009. Τα αποτελέσματα συγκεντρώθηκαν κατά κυρίως μέσω συνεντεύξεων με ανώτατα στελέχη από περίπου 1.900 επιχειρήσεις που ανήκαν σε όλους τους βασικούς κλάδους.