Η ασφάλεια είναι ζήτημα ανθρώπων, διαδικασιών και τεχνολογίας

Ο Σπύρος Αντύπας, Country Manager Greece & Cyprus της Outpost24, αναλύει τις προκλήσεις που αντιμετωπίζουν οι σύγχρονες επιχειρήσεις σχετικά με την ασφάλεια και παρουσιάζει τις προτάσεις και την εμπειρία της Outpost24 σε αυτό τον τομέα.

<‘Σελίδα 1: Το όραμα και οι στόχοι της Outpost24 και οι τομείς δραστηριοποίησής της’>
NetWeek: H Outpost24 είναι μία νέα εταιρεία στην ελληνική αγορά Πληροφορικής. Ποιο είναι το όραμα και οι στόχοι της εταιρείας;

Σπύρος Αντύπας: Η Outpost24 ιδρύθηκε το 2001 και ξεκίνησε την δραστηριότητά της στην Ελλάδα μόλις πριν λίγους μήνες. Η φιλοσοφία της εταιρείας μας είναι να δημιουργούμε με τις υπηρεσίες μας ένα υψηλό επίπεδο ασφάλειας, η οποία να προλαμβάνει πιθανές διεισδύσεις ώστε να μην μπορούν αυτές καν να λάβουν χώρα. Με αυτόν τον τρόπο, και σε συνδυασμό με τους μηχανισμούς εντοπισμού και αποτροπής διεισδύσεων, να μπορεί να επιτευχθεί η μέγιστη δυνατή ασφάλεια. Η Outpost24 προσφέρει λύσεις για τον αυτοματοποιημένο έλεγχο αδυναμιών ασφάλειας πληροφοριών-Vulnerability Assessment and Management.

Προσφέρουμε στους πελάτες μας τη δυνατότητα να εντοπίζουν τις παραπάνω αδυναμίες στα δίκτυά τους μέσω μιας αυτοματοποιημένης τεχνολογίας, η οποία προσφέρει στον πελάτη αυτό που χρειάζεται δηλαδή τα αποτελέσματα του ελέγχου σε μία μορφή που είναι άμεσα χρησιμοποιήσιμη και την διαχείριση της επιδιόρθωσης. Αυτό γίνεται δυνατό μέσω της τεχνολογίας SaaS (software as a service), την τεχνογνωσία μας που δίνει την ασφάλεια στον πελάτη ότι το assessment βασίζεται σε μια διαρκώς ενημερωμένη βάση δεδομένων και με την παράλληλη τεχνική υποστήριξη των ειδικών μας σε βάση 24×7 όπου αυτό χρειαστεί.
Είμαστε σίγουροι ότι με αυτό το μοντέλο θα κατακτήσουμε και στην Ελλάδα το μεγαλύτερο μερίδιο αυτής της αγοράς.

NetWeek: Ποιοι είναι οι τομείς δραστηριοποίησης της Outpost;

Σπύρος Αντύπας: Η Outpost24 προσφέρει λύσεις για τον έλεγχο του εξωτερικού αλλά και του εσωτερικού λειτουργικού περιβάλλοντος. Για το εξωτερικό λειτουργικό περιβάλλον ανακοινώσαμε πρόσφατα και μια επιπλέον λύση, το Outscan PCI που βασίζεται στην επιτυχημένη τεχνολογία του Outscan και αποτελεί μια λύση για τη συμμόρφωση με τα διεθνή πρότυπα της PCI (Payment Card Industry) για την ασφάλεια ηλεκτρονικών πληρωμών (PCI DSS).

NetWeek: Σε ποιους κλάδους της αγοράς απευθύνεστε; Υπάρχουν αγορές στις οποίες εξειδικεύεστε (π.χ λιανεμπόριο, τραπεζικός κλάδος κ.λπ);

Σπύρος Αντύπας: Οι υπηρεσίες μας είναι εκ φύσεως τέτοιες που αφορούν όλους τους κλάδους που έχουν «δεθεί» με τη χρήση συστημάτων Πληροφορικής.
Η εξασφάλιση της ασφάλειας πληροφοριών είναι πλέον ένα κρίσιμο ζήτημα για όλους τους οργανισμούς του ιδιώτικου αλλά και του δημοσίου τομέα.

Η ασφάλεια πληροφοριών είναι δηλαδή ένα κρίσιμο θέμα για όλες τις εταιρείες πλέον ανεξαρτήτως κλάδου. Βεβαίως εκ των πραγμάτων το πιο ζωηρό ενδιαφέρον -και η μεγαλύτερη ανάγκη- εντοπίζεται στον τομέα των τηλεπικοινωνιών και στον χρηματοοικονομικό κλάδο και ειδικά στις τράπεζες. Αυτό είναι λογικό γιατί και οι δυο αυτοί τομείς δεν μπορούν να λειτουργήσουν χωρίς τη χρήση συστημάτων Πληροφορικής. Εχουν μία, θα έλεγα, απόλυτη εξάρτηση από την τεχνολογία. Δεν είναι τυχαίο ότι ειδικά για τον χρηματοοικονομικό τομέα υπάρχουν ήδη αυστηροί κανονισμοί για την ασφάλεια πληροφοριών, όπως τον περιοδικό, τακτικό έλεγχο και πιστοποίηση της ασφάλειας πληροφοριών.
<‘here’>

<‘Σελίδα 2: Οι προκλήσεις και οι μεγαλύτεροι κίνδυνοι που πρέπει να αντιμετωπίσουν σχετικά με την ασφάλεια οι σύγχρονες επιχειρήσεις και πώς μπορεί η Outpost24 να βελτιώσει την ασφάλεια του δικτύου μιας εταιρείας’>
NetWeek: Η ασφάλεια αποτελεί ένα από τα κυρίαρχα ζητήματα που απασχολούν τις σύγχρονες επιχειρήσεις. Ποιες είναι οι προκλήσεις που πρέπει να αντιμετωπίσουν σχετικά με την ασφάλεια;

Σπύρος Αντύπας: Οι προκλήσεις είναι πολύ μεγάλες και αυξάνονται καθημερινά. Από την μια πλευρά αντιμετωπίζουν εξωτερικές προκλήσεις καθώς με την διαρκώς αυξανόμενη εξάρτηση από την τεχνολογία αλλά και την διάδοσή της στο ευρύ κοινό που γίνεται με ραγδαίους ρυθμούς γίνονται ένας όλο και πιο μεγάλος στόχος επιθέσεων. Ετσι αυξάνεται και η πιθανή ζημιά που ενδεχομένως να προκληθεί από μια κακόβουλη διείσδυση στο δίκτυό μας.

Από την άλλη πλευρά και για τους ίδιους λόγους είναι απόλυτα αναγκαίο να αυξήσουμε την αποδοτικότητα του ανθρώπινου δυναμικού μας, εξοπλίζοντάς το με σύγχρονα συστήματα Πληροφορικής πράγμα το οποίο από μόνο του είναι μια πρόκληση για τον κάθε οργανισμό.

Οπως καταλαβαίνετε, αυτό πολλαπλασιάζει με ένα μεγάλο ρυθμό τους κινδύνους και την πιθανή δημιουργία ασθενών σημείων στο λειτουργικό μας περιβάλλον, οι οποίοι πρέπει να εντοπίζονται, να αξιολογούνται όσον αφορά την επικινδυνότητά τους και να απομακρύνονται.

NetWeek: Ποιοι είναι οι μεγαλύτεροι κίνδυνοι που αντιμετωπίζουν οι εταιρείες όσον αφορά στην ασφάλεια των δικτύων τους;

Σπύρος Αντύπας: Εδώ θα ήθελα να μιλήσω για τους επιχειρηματικούς κινδύνους που μπορούν να προκύψουν από μια διείσδυση, οι οποίοι μπορεί να είναι

• διακοπή λειτουργίας της επιχειρησής μας για κάποιο χρονικό διάστημα (π.χ. επίθεση στην ιστοσελίδα μιας εταιρείας από το χώρο του e-commerce)
• κόστος αποκατάστασης όπως π.χ. στην περίπτωση κλοπής στοιχείων πιστωτικών καρτών
• πρόστιμα, δίκες και γενικά νομικές κυρώσεις
• απώλεια τζίρου π.χ. από τη διείσδυση σε βάση δεδομένων με στοιχεία πελατών μας
• υποκλοπές
• κλοπή πνευματικής ιδιοκτησίας, κ.ά.

Η λίστα μπορεί να επεκταθεί πολύ ακόμη. Ενα καλό παράδειγμα είναι το κόστος το οποίο προκύπτει στην περίπτωση που γίνει αντιληπτό ότι κάποιος έκλεψε τα στοιχεία ας πούμε 1000 πιστωτικών καρτών χωρίς καν να γίνουν συναλλαγές.

Αυτό συνδέεται με ένα κόστος της τάξης των 100.000 ευρώ, -δεδομένου οτι η μετά την κλοπή διαχείρισης αυτών των λογαριασμών απαιτεί μια διαχείριση η οποία συνδέεται με επιπλέον έξοδα, τα οποία μπορεί για μια μεμονωμένη κάρτα να μας φαίνονται χαμηλά αλλά στο σύνολό τους είναι ένα πολύ σοβαρό ποσό. Και εδώ θέλω να τονίσω ότι το παράδειγμα αυτό δεν περιλαμβάνει καμιά συναλλαγή διότι ο hacker που διείσδυσε στο σύστημα αυτό ήθελε απλώς να τα καταφέρει να διεισδύσει χωρίς να έχει κάποιο οικονομικό όφελος.

NetWeek: Πώς μπορεί μια εταιρεία να βελτιώσει την ασφάλεια του δικτύου της και πώς μπορεί να βοηθήσει σε αυτό η Outpost24;

Σπύρος Αντύπας: Επειδή πρόκειται περί ενός καθαρά επιχειρηματικού ζητήματος, η ασφάλεια πληροφοριών έχει πολλές πτυχές. Εκτός από αυτή την τεχνολογία, υπάρχει η διαδικαστική και η ανθρώπινη. Αναφέρομαι στο μοντελο People-Process-Technology. H Outpost24 προσφέρει μια τεχνολογική λύση γύρω από την εξεύρεση και διαχείριση αδυναμιών δικτύου.

Παράλληλα συνεισφέρει σε πολύ μεγάλο βαθμό και στις δύο άλλες πτυχές (People, Process) απλουστοποιώντας πολλές διαδικασίες και ενισχύοντας την αποδοτικότητα του ανθρώπινου δυναμικού, το οποίο μπορεί έτσι να εστιάσει την προσοχή του στην επιδιόρθωση των αδυναμιών αλλά και σε άλλα ζητήματα, ανεβάζοντας έτσι σε πολύ σημαντικό βαθμό το επίπεδο ασφάλειας.
<‘here’>

<‘Σελίδα 3: Η αντιμετώπιση των εσωτερικών κινδύνων και οι συνεργασίες της Outpost24’>
NetWeek: Κάποιοι αναλυτές υποστηρίζουν ότι τα δίκτυα είναι σήμερα ασφαλή -ή τουλάχιστον θα μπορούσαν να είναι- οπότε οι εταιρείες πρέπει να εστιάσουν στην αντιμετώπιση των εσωτερικών κινδύνων. Ποια η δική σας άποψη;

Σπύρος Αντύπας: Συμφωνώ με το ότι οι εσωτερικοί κίνδυνοι είναι οι περισσότεροι και πολλές φορές και οι μεγαλύτεροι. Αυτό έχει άλλωστε αποδειχθεί από διάφορες μελέτες που έγιναν τα τελευταία χρόνια, οι οποίες έδειξαν ότι ο μεγαλύτερος αριθμός παραβιάσεων προέρχεται από υπαλλήλους (πρώην και νυν) ή από συνεργάτες μιας εταιρείας. Διαφωνώ ριζικά όμως με την άποψη ότι τα δίκτυα είναι σήμερα ασφαλή. Οπως η τεχνολογία έτσι και η ασφάλεια υπόκειται στην ίδια δυναμικότητα συνεχούς ανάπτυξης και βελτίωσης.

Το γεγονός ότι κάναμε ένα assessment και πιστοποιήθηκε ότι το δίκτυό μας βρέθηκε να είναι ασφαλές έχει ένα χρονικό περιορισμό. Ο περιορισμός είναι ότι αυτό ισχύει για την στιγμή που έγινε η πιστοποίηση και δεν σημαίνει σε καμία περίπτωση ότι αυτό θα συνεχίσει να ισχύει και π.χ. μετά απο ένα μήνα η ίσως και μια εβδομάδα. Κάθε μέρα εντοπίζονται καινούργια τρωτά σημεία στην υποδομή που όλοι χρησιμοποιούμε. Για αυτό απαιτείται ένας συνεχής έλεγχος σε συνδυασμό με την σωστή εταιρική πολιτική για ζητήματα ασφαλείας πληροφοριών.

NetWeek: Η εκπαίδευση και η ανάπτυξη της σωστής κουλτούρας για την ασφάλεια θεωρούνται βασικοί παράγοντες για την επιτυχία οποιασδήποτε στρατηγικής και λύσης ασφάλειας. Ποιες υπηρεσίες προσφέρετε σε αυτή την περιοχή;

Σπύρος Αντύπας: Η Outpost24 προσφέρει υπηρεσίες τεχνολογικού χαρακτήρα και δίνει την τεχνολογική δυνατότητα ενσωμάτωσής τους σε μια ευρύτερη λύση ασφάλειας η οποία συμπεριλαμβάνει και τον ανθρώπινο αλλά και το διαδικαστικό τομέα.

Για αυτό το λόγο επιδιώκουμε συνεργασίες με εταιρείες που είναι εξειδικεύμενες και σε αυτούς τους τομείς και έτσι είναι σε θέση να προσφέρουν ολοκληρωμένες λύσεις ασφάλειας. Αυτές συμπεριλαμβάνουν από τη μία πλευρά τους δύο παραπάνω τομείς και από την άλλη και άλλες τεχνολογικές λύσεις οι οποίες είναι αναγκαίες για τη δημιουργία ενός ασφαλούς λειτουργικού περιβάλλοντος.

NetWeek: Ποιες είναι οι συνεργασίες της Outpost24;

Σπύρος Αντύπας: Σε διεθνές επίπεδο έχουμε συνεργασίες με τις μεγαλύτερες συμβουλευτικές εταιρείες, όπως Ernst &Young και Deloitte. Οσον αφορά την Ελλάδα είμαι στην πολύ ευχάριστη θέση να ανακοινώσω τη συνεργασία μας με μια πολύ δυναμική εταιρεία με εξαιρετικό ανθρώπινο δυναμικό, την Innova A.E.

NetWeek: Από πού προέρχεται η Outpost24;

Σπύρος Αντύπας: Η Outpost24 ΑΒ ειναι μια εταιρεία καθαρά ευρωπαϊκής προέλευσης με έδρα στη Σουηδία. Το 2006 προχώρησε στην εξαγορά της αμερικανικής Dyad Security. Η κίνηση αυτή αποσκοπούσε από τη μια πλευρά στην είσοδό μας στην αμερικανική αγορά και από την άλλη πλευρά στην άνοδο του επιπέδου τεχνογνωσίας αλλά και της αναγνωρισιμότητάς μας.

Η Dyad Security ήταν μια μικρή μεν εταιρεία η οποία είχε εξειδικευθεί στον έλεγχο δικτύων, στην εκπαίδευση σε ζητήματα ασφάλειας με πελάτες όπως η FBI, NSA και εταιρείες του Fortune 500 και είχε αναπτύξει δική της τεχνολογία. Επικεφαλής της ήταν ο πολύ γνωστός ειδικός στο διεθνή χώρο του IT security κ. Robert E. Lee, σημερινός CSO της Outpost24.
<‘here’>

<‘Σελίδα 4: Τα σχέδια και η ευρύτερη στρατηγική της Outpost 24 για το μέλλον’>
NetWeek: Ποια είναι τα σχέδια και η ευρύτερη στρατηγική της Outpost24 για το μέλλον;

Σπύρος Αντύπας: Είναι να συνεχίσουμε την επιτυχημένη ανάπτυξή μας στο διεθνή χώρο, εξασφαλίζοντας όμως την τοπική παρουσία και υποστήριξη των πελατών μας. Παράλληλα εργαζόμαστε και πάνω στην ανάπτυξη καινούργιων λύσεων οι οποίες θα έχουν σαν στόχο την ακόμη μεγαλύτερη άνοδο του επιπέδου ασφάλειας με την παράλληλη απλοποίηση της χρήσης της τεχνολογίας.

Innova
Ο κ. Νότης Ηλιόπουλος, Security Services Director της Innova A.E. αναφέρει τα εξης: «Το σύγχρονο επιχειρηματικό περιβάλλον χρειάζεται αμεσότητα στην λήψη αποφάσεων καθώς και στην υλοποίηση αυτών.

Κατ’ επέκταση οι δράσεις και αποφάσεις που αφορούν στην ασφάλεια πληροφοριών πρέπει να ακολουθήσουν το μοντέλο People-Process-Technology. Η Innova μέσω της συνεργασίας της με την Οutpost24 μπαίνει δυναμικά στο χώρο των on demand security services. Με τον τρόπο αυτό παρέχεται αμεσότητα στην παροχή υπηρεσιών αξιολόγησης αδυναμιών ασφάλειας τη στιγμή που χρειάζεται χωρίς χρονοβόρες διαδικασίες & πολύπλοκες τεχνικές υποδομές.

Η Innova χρησιμοποιεί τη τεχνογνωσία και το μοντέλο παροχής υπηρεσιών της Οutpost24 και το ενισχύει με επιπλέον on demand υπηρεσίες με σκοπό να προσφέρει αμεσότητα στην παροχή υπηρεσιών αξιολόγησης και διαχείρισης κινδύνων Ασφάλειας Πληροφοριών».
<‘here’>