Το δυσμενές οικονομικό κλίμα ανοίγει ένα φαύλο κύκλο: αυξάνει την ανάγκη για ασφάλεια αλλά, ταυτόχρονα, δυσχεραίνει τις σχετικές επενδύσεις.

Σύμφωνα με την Ερευνα για την Παγκόσμια Κατάσταση Ασφάλειας των Πληροφοριών (2011 Global State of Information Security Survey®) της PwC, ένας στους δύο συμμετέχοντες πιστεύει ότι οι οικονομικές συνθήκες συνεχίζουν να επηρεάζουν τις επενδύσεις για την Ασφάλεια των Πληροφοριών. Ομως, υπάρχει και αισιοδοξία, καθώς οι περισσότεροι είπαν ότι οι εταιρείες τους πρόκειται να αυξήσουν τις επενδύσεις για την Ασφάλεια την επόμενη χρονιά.

Πρόκειται για την 8η παγκόσμια έρευνα για την Ασφάλεια των Πληροφοριών σε όλο τον κόσμο, τη σημαντικότερη έρευνα στον κλάδο, που διεξήγαγε η PwC σε συνεργασία με τα περιοδικά CIO και CSO.  Συμμετείχαν πάνω από 12.800 στελέχη εταιρειών από 135 χώρες, ανάμεσα στις οποίες και η Ελλάδα.

Οι συμμετέχοντες στην έρευνα ήταν αισιόδοξοι, αλλά και επιφυλακτικοί. Οπως ήδη αναφέραμε, πάνω από τους μισούς (52%) δήλωσαν ότι η εταιρεία τους πρόκειται να αυξήσει τις επενδύσεις για την ασφάλεια, αλλά και ότι οι άμεσοι συνεργάτες και οι προμηθευτές τους, ιδιαιτέρως οι outsourcers (εξωτερικοί πάροχοι), αποδυναμώθηκαν από τις οικονομικές συνθήκες. Επίσης, το 47% δήλωσε ότι οι εταιρείες τους επηρεάστηκαν από τις περικοπές των δαπανών, καθυστερώντας ή και αναβάλλοντας έργα σχετικά με την ασφάλεια.

Τα φαβορί των επενδύσεων
Η έρευνα εντοπίζει τους βασικούς παράγοντες που οδήγησαν τις επενδύσεις στην ασφάλεια αυτή τη χρονιά. Οι εταιρείες επένδυσαν για να αποφύγουν τις οικονομικές επιπτώσεις από πιθανά περιστατικά ασφαλείας (49%), για να διασφαλίσουν τη συνέχεια των εργασιών τους και τη δυνατότητα ανάκαμψης από περιστατικά καταστροφής (40%), για να διατηρήσουν την καλή τους φήμη (35%), για συμμόρφωση με εσωτερικές πολιτικές ασφάλειας (34%) και για κανονιστική συμμόρφωση (33%).

«Στην  Ελλάδα, οι ίδιοι παράγοντες καθόρισαν τις δαπάνες. Αλλά με τη διαφορά ότι πολλές ελληνικές επιχειρήσεις και δημόσιοι οργανισμοί έχουν ακόμη δρόμο να διανύσουν για να φτάσουν στα ίδια επίπεδα με τις ήδη εξελιγμένες χώρες σε αυτούς τους τομείς», τονίζει ο Αστέριος Βουλανάς, Partner της PwC στην Ελλάδα, υπεύθυνος του τμήματος Technology Governance & Security.

Σύμφωνα με την έρευνα, ο μόνος παράγοντας καθορισμού των δαπανών που αυξήθηκε σημαντικά αυτή τη χρονιά ήταν οι υπηρεσίες προς τους ενδοεπιχειρησιακούς πελάτες. Αυτός ο παράγοντας, ενώ ήταν στο τέλος της λίστας το 2007, έφτασε φέτος να βρίσκεται σχεδόν στην κορυφή. Η αύξηση αυτή αποδεικνύει τη σταθερά στρατηγική σημασία που έχει η Ασφάλεια για τη λειτουργία των επιχειρήσεων.

Η έρευνα εντόπισε σημαντική μεταβολή στην ιεραρχία αναφοράς των στελεχών Ασφάλειας Πληροφοριών, καθώς τώρα αναφέρονται στα ανώτερα στελέχη και κυρίως στους γενικούς και οικονομικούς διευθυντές.

«Αυτή η αλλαγή δείχνει ότι αναγνωρίζεται όλο και περισσότερο η στρατηγική σημασία της Ασφάλειας Πληροφοριών, αλλά και ότι οι λειτουργίες της είναι στενά συνδεδεμένες με τη λειτουργία των επιχειρήσεων, και όχι μόνο με τα τμήματα Πληροφορικής.  Ομως στην Ελλάδα, η κατάσταση είναι διαφορετική. Η  λειτουργία της Ασφάλειας Πληροφοριών εξακολουθεί να παραμένει συγκεντρωμένη στο τμήμα Πληροφορικής. Αν και είναι βέβαιο ότι οι γενικοί και οικονομικοί διευθυντές αρχίζουν να στρέφουν όλο και περισσότερο την προσοχή τους σε θέματα που αφορούν την Ασφάλεια», διευκρινίζει ο Α. Βουλανάς.


Συνήθεις ύποπτοι
Ενώ οι εταιρείες μπορούν πια να γνωρίζουν περισσότερα για κάθε περιστατικό ασφαλείας, τα επίπεδα απόδοσης ευθυνών αυξάνονται για όλες τις πιθανές αιτίες τους, στις οποίες περιλαμβάνονται οι hackers, αλλά και οι ίδιοι οι εργαζόμενοι.

Οι hackers είναι η κατηγορία υπόπτων που εξελίσσονται πολύ γρήγορα σε σχέση με τις άλλες. Ομως, πολλές φορές, οι εισβολείς μέσα από την εταιρεία θεωρούνται ως οι πιο πιθανοί ύποπτοι. Και είναι αναμενόμενο να υπάρχουν περισσότερα περιστατικά που να οφείλονται σε υπαλλήλους ή πρώην υπαλλήλους, εξαιτίας της στασιμότητας των μισθών, της εργασιακής ανασφάλειας, των προσωρινών και οριστικών διακοπών στην απασχόληση, καθώς και άλλων θεμάτων που προκαλεί η οικονομική κρίση στο ανθρώπινο δυναμικό.

«Στις ελληνικές επιχειρήσεις ο κίνδυνος των εσωτερικών απειλών είναι πολύ μεγάλος, εξαιτίας των δύσκολων οικονομικών συνθηκών. Συνεπώς τα τμήματα Ασφάλειας Πληροφοριών θα πρέπει να δώσουν μεγαλύτερη βαρύτητα στην πρόληψη και στην αντιμετώπιση τέτοιου είδους απειλών, οι συνέπειες των οποίων μπορεί να επιβαρύνουν την ήδη δυσχερή οικονομική τους κατάσταση», επισημαίνει ο Α. Βουλανάς.

Social… Insecurity Networks
Η έρευνα αποκάλυψε ότι πολλές εταιρείες είναι ανέτοιμες να αντιμετωπίσουν πιθανούς κινδύνους που οφείλονται στην κοινωνική δικτύωση (social networking / Web 2.0 εφαρμογές). Το 60% των ερωτηθέντων απάντησε ότι οι εταιρείες τους δεν έχουν ακόμη θέσει σε εφαρμογή τεχνολογίες που υποστηρίζουν συναλλαγές με εφαρμογές Web 2.0, όπως είναι τα κοινωνικά δίκτυα (Facebook, Twitter, κ.λπ.), τα blogs ή τα wikis. Επίσης, ακόμα περισσότεροι (77%) υποστήριξαν ότι οι εταιρείες τους δεν έχουν ακόμα εφαρμόσει πολιτικές ασφαλείας σχετικά με τη χρήση κοινωνικών δικτύων ή τεχνολογίες ασφάλειας για Web 2.0 εφαρμογές.

Αυτή η έλλειψη στη λήψη μέτρων για την κοινωνική δικτύωση και για τις Web 2.0 εφαρμογές αφήνει τις εταιρείες εκτεθειμένες σε κινδύνους όπως η διαρροή κρίσιμων πληροφοριών, η σπίλωση της φήμης τους, η παράνομη χρήση (downloading) πειρατικού υλικού, αλλά και η κλοπή κωδικών πρόσβασης χρηστών.

Σύμφωνα με την έρευνα, πολλές εταιρείες χρησιμοποιούν μέτρα για την προστασία από την κλοπή ή την κακόβουλη χρήση των περιουσιακών στοιχείων του οργανισμού, όπως είναι τα διαβαθμισμένα δεδομένα ή τα ευαίσθητα δεδομένα πελατών. Επίσης, σχεδόν οι μισοί συμμετέχοντες (46%) είπαν ότι οι εταιρείες τους διεκδίκησαν ασφαλιστική αποζημίωση και ένα 13% δήλωσε ότι η εταιρεία τους αποζημιώθηκε.


Ασία: ένα σινικό τείχος ασφάλειας
Παρόλο που ακολουθούσε για πολλά χρόνια τη Βόρειο Αμερική, η Ασία τώρα εμφανίζει υψηλότερα επίπεδα ωριμότητας στην εφαρμογή και λήψη ποικίλων μέτρων ασφαλείας από οποιαδήποτε άλλη περιοχή του κόσμου.

Τα στελέχη που συμμετείχαν στην έρευνα από την Ασία απάντησαν, σε μεγαλύτερο ποσοστό από άλλες περιοχές, ότι οι δαπάνες για την ασφάλεια θα αυξηθούν μέσα στους επόμενους 12 μήνες (86% από την Ασία, 71% τη Βόρειο Αμερική, 81% από τη Νότιο Αμερική και το 68% από την Ευρώπη). Τα αποτελέσματα αυτά φαίνεται ότι συμβαδίζουν με το ρυθμό ανάπτυξης των λεγόμενων BRIC χωρών. Αξίζει να επισημάνουμε, ότι οι εταιρείες στην Ασία εφαρμόζουν ήδη τις νέες πρακτικές και τεχνολογίες ασφαλείας που υποστηρίζουν οι Web 2.0 εφαρμογές.

Η Ευρώπη φαίνεται να δίνει λιγότερη προσοχή σε θέματα Ασφαλείας Πληροφοριών, καθώς προς το παρόν είναι πίσω από άλλες περιοχές ως προς την ωριμότητα των μέτρων Ασφαλείας. Οπως και στη Βόρειο Αμερική, έτσι και στην Ευρώπη οι εταιρείες είναι ακόμη πίσω στην παρακολούθηση των περιστατικών Ασφαλείας, με αποτέλεσμα να αγνοούν τον πραγματικό αντίκτυπό τους. Παρόλο που πολλοί από τους Ευρωπαίους συμμετέχοντες (68%) είπαν ότι οι εταιρείες τους δίνουν μεγάλη σημασία στην προστασία των ευαίσθητων προσωπικών δεδομένων των πελατών τους, το αντίστοιχο ποσοστό στις άλλες περιοχές του κόσμου είναι υψηλότερο: στην Ασία 80%, στη Β. Αμερική 80% και στη Ν. Αμερική 76%.

Ο Α.  Βουλανάς δηλώνει ότι: «Παρόλο που η οικονομική κρίση εντείνεται και οι προϋπολογισμοί μειώνονται, οι ελληνικές εταιρείες, και πρωτίστως ο χρηματοπιστωτικός και ο τηλεπικοινωνιακός κλάδος, εξακολουθούν να δίνουν μεγαλύτερη σημασία στην Ασφάλεια Πληροφοριών σε σχέση με τους άλλους κλάδους. Εχουμε διαπιστώσει αυξημένη δραστηριότητα στον τομέα της Ενέργειας, όμως ο Δημόσιος Τομέας και η Υγεία συνεχίζουν να προσεγγίζουν την Ασφάλεια με λήψη σπασμωδικών μέτρων. Στον κλάδο της Λιανικής,  οι εξελίξεις καθορίζονται από την ανάγκη εφαρμογής του Διεθνούς Προτύπου Ασφαλείας των Καρτών (PCI-DSS)».

«Ενώ ορισμένες ελληνικές εταιρείες συνεχίζουν να αναβαθμίζουν και να επενδύουν στις τεχνολογίες Ασφαλείας, παρά τους σφιχτούς προϋπολογισμούς τους, θα πρέπει παράλληλα να επικεντρώσουν την προσοχή τους στον ανθρώπινο παράγοντα μέσω της εκπαίδευσης και της αφύπνισης των στελεχών της διοίκησης, του προσωπικού, των πελατών και των προμηθευτών τους», συμπλήρωσε ο Α. Βουλανάς.

Η εκπαίδευση και ευαισθητοποίηση των χρηστών μπορεί να συμβάλλει σημαντικά στην αλλαγή της συμπεριφοράς και στη σωστή αντίληψη σε θέματα ασφάλειας. Επίσης, με αυτές τις διαδικασίες ενισχύεται η αξιοπιστία του τμήματος Ασφαλείας Πληροφοριών και αναγνωρίζεται η συμβολή του για την προστασία των πληροφοριών και των συστημάτων του οργανισμού.