Πόσο “on board” είναι οι οργανισμοί στην ψηφιακή τους ασφάλεια;

Ελέω digitization, η ψηφιακή ασφάλεια δεν περιορίζεται μόνο στις αρμοδιότητες του τμήματος Information Security • αντίθετα, οι περισσότερες διεθνείς έρευνες επικυρώνουν την ένταξη του cyber security στην ατζέντα των συναντήσεων του Διοικητικού Συμβουλίου. Και μολονότι αυτό είναι, σαφώς, ένα βήμα προς τη σωστή κατεύθυνση, η στρατηγική αναβάθμιση της ασφάλειας πληροφοριών δεν αποτελεί εχέγγυο για την αποτελεσματική θωράκιση του οργανισμού έναντι των ψηφιακών απειλών.

Η ψηφιακή ατζέντα έχει γίνει μέρος της στρατηγικής των σύγχρονων οργανισμών (μέσα από τη χρήση υποδομών και λύσεων mobile, cloud, analytics και social). Σε αυτό το πλαίσιο, είναι απαραίτητο για τις επιχειρήσεις να διαμορφώσουν προδραστική και ευθυγραμμισμένη με τις λειτουργίες IT security στρατηγική. Η ανάδυση τάσεων, όπως είναι το Internet of Things, οι οποίες αυξάνουν εκθετικά τα endpoints του επιχειρησιακού δικτύου, δημιουργούν μεγαλύτερη πολυπλοκότητα για την ψηφιακή ασφάλεια του οργανισμού. Σε αυτό το περιβάλλον, είναι απαραίτητο για τους οργανισμούς να επενδύσουν στο IT Security, προκειμένου να διασφαλίσουν τη βιωσιμότητα των ψηφιακών στρατηγικών τους. Το θέμα δεν αφορά πλέον μόνο τους CISOs ή το IT, καθώς το management, αλλά και τα Διοικητικά Συμβούλια των οργανισμών πρέπει να συνδιαμορφώσουν με το security και την Πληροφορική στρατηγικές που θα θωρακίσουν τον οργανισμό απέναντι στις νέες ψηφιακές απειλές.

Η ψηφιακή ασφάλεια ως μείζον στρατηγικό θέμα
Το 2014, το αμερικάνικο National Association of Corporate Directors συνιστούσε στα μέλη των Διοικητικών Συμβουλίων να εξετάζουν τους ψηφιακούς κινδύνους και να προσδιορίζουν τον πιθανό νομικό τους αντίκτυπο. Το 2015, το 29% των CEOs ανέφερε την ψηφιακή ασφάλεια ως το ζήτημα με τον μεγαλύτερο αντίκτυπο στην επιχειρησιακή λειτουργία, ενώ το 20% αυτών δήλωνε ότι οι ψηφιακές απειλές αποτελούν τον σημαντικότερο κίνδυνο για τον οργανισμό τους (2015 KPMG CEO Outlook). Τα ποσοστά δεν είναι διόλου ευκαταφρόνητα και, ιδιαίτερα σε τόσο υψηλό επίπεδο management, αποδεικνύουν τη στρατηγική σημασία της ψηφιακής ασφάλειας.

Η εξέλιξη αυτή φαίνεται να έχει διάρκεια, ειδικότερα για τα Διοικητικά Συμβούλια: σύμφωνα με το The Global State of Information Security® Survey 2016 της PwC, τα Διοικητικά Συμβούλια συμμετέχουν ενεργά στη διαμόρφωση και υλοποίηση της security στρατηγικής του οργανισμού στο 54% των οργανισμών. Τα ευρήματα της PwC επιβεβαιώνει και η έρευνα του ISACA State of Cybersecurity: Implications for 2016, σύμφωνα με την οποία το 82% των μελών ΔΣ δηλώνει ιδιαίτερα ανήσυχο ή ανήσυχο για την ψηφιακή ασφάλεια. Η εμπλοκή των μελών του Διοικητικού Συμβουλίου έχει θετική επίδραση στην αναγνώριση των σημαντικότερων ψηφιακών κινδύνων, επιτρέπει την ευθυγράμμιση της information security στρατηγικής με το risk management και την εταιρική διακυβέρνηση του οργανισμού, ενώ συμβάλλει στην αύξηση της επένδυσης για την ψηφιακή ασφάλεια –σύμφωνα με την PwC, η ένταξη του cyber security στην ατζέντα του Διοικητικού Συμβουλίου συμπίπτει χρονικά με την κατά 24% αύξηση των κονδυλίων information security.

Προς τη σωστή κατεύθυνση οι στρατηγικές ασφάλειας πληροφοριών
Σε επίπεδο υλοποίησης της στρατηγικής και εξέλιξης της σε εφαρμόσιμες πολιτικές, η έρευνα της PwC επισημαίνει ότι το 58% των οργανισμών διαθέτουν επιχειρησιακή στρατηγική ασφάλειας πληροφοριών, το 53% αυτών έχει σχεδιάσει πρόγραμμα εκπαίδευσης του προσωπικού σε θέματα ψηφιακής ασφάλειας, το 54% έχει διορισμένο Chief Information Security Officer, το 52% έχει εδραιώσει πρότυπα ασφαλείας για τα τρίτα μέρη ενώ το 49% πραγματοποιεί συστηματικά threat assessments. Σε αυτήν την ομολογουμένως θετική εικόνα, σαφώς και υπάρχουν περιθώρια βελτίωσης. Σύμφωνα με το Global Information Security Survey 2015 της EY, το 47% των οργανισμών δεν έχει ιδρύσει Security Operations Center, το 37% δεν διαθέτει επίσημη πολιτική προστασίας δεδομένων (ή εφαρμόζει ad hoc πολιτικές), το 18% δεν εφαρμόζει κάποιο πρόγραμμα Identity & Access Management ενώ μόνο το 40% αυτών πραγματοποιεί συστηματική καταγραφή του ψηφιακού οικοσυστήματος (third-party providers, network connections, data κλπ.).

Όταν το υπερβολικό ενδιαφέρον (μπορεί και να) βλάπτει
Η εμπλοκή του ανώτατου management και των μελών ΔΣ στην information security στρατηγική των οργανισμών δεν αποτελεί (και δεν πρέπει να αποτελεί) εχέγγυο για την προστασία τους απέναντι στις ψηφιακές απειλές –άλλωστε δεν μπορεί να υπάρξει πλέον απόλυτη προστασία από τους ψηφιακούς κινδύνους. Μια διάσταση της στρατηγικής αναβάθμισης της ψηφιακής ασφάλειας που χρήζει προσοχής αφορά και στη δημιουργία εφησυχασμού σχετικά με την ασφάλεια του οργανισμού. Αυτό διότι πρόσφατες έρευνες καταδεικνύουν κενά ανάμεσα στις στρατηγικές προθέσεις των οργανισμών σχετικά με την ασφάλεια πληροφοριών και στις επιμέρους παραμέτρους εφαρμογής.Σύμφωνα με την έρευνα The State of Cybersecurity and Digital Trust 2016, η οποία διεξήχθη από την HfS Research, για λογαριασμό της Accenture, το 31% αναφέρει τα ελλιπή κονδύλια για εκπαίδευση ή νέες προσλήψεις ως το σημαντικότερο ανασταλτικό παράγοντα για την αντιμετώπιση των επιθέσεων. Επίσης, μόνο το 37% των επιχειρήσεων διενεργεί αξιολογήσεις για digital ethics και ετοιμότητα απέναντι σε επιθέσεις στο οικοσύστημα των συνεργατών του (εύρημα που συνάδει με αυτό της EY για καταγραφή του ψηφιακού οικοσυστήματος μόνο από το 40% των εταιρειών), ενώ το 70% αναφέρει ελλιπή ή και μηδενική χρηματοδότηση για τεχνολογία ψηφιακής ασφάλειας και αξιοποίηση ταλέντου στο εν λόγω πεδίο, άρα και για εκπαίδευση.

Τέλος, το 36% των συμμετεχόντων στην έρευνα εκτιμά ότι τα ανώτερα στελέχη θεωρούν την ψηφιακή ασφάλεια περιττό κόστος. Η Accenture προχωρά ένα βήμα παραπέρα και αναδεικνύει, στο πλαίσιο της High Performance Security Research 2016 ότι, μολονότι μία στις τρεις απόπειρες κλοπής εταιρικών δεδομένων πετυχαίνει τον στόχο της, οι οργανισμοί αισθάνονται ασφαλείς (confident) για τη security στρατηγική τους, και επισημαίνει την αναντιστοιχία ανάμεσα στις επίσημες πολιτικές και τα πραγματικά γεγονότα. Αξίζει πάντως να αναφερθεί ότι ο εφησυχασμός που αφορά στην επιτυχημένη αντιμετώπιση των ψηφιακών επιθέσεων είναι περισσότερο «αμερικάνικο» φαινόμενο: σύμφωνα με το 2015 KPMG CEO Outlook, λιγότεροι από ένας στους τρεις οργανισμούς στην Ευρώπη δηλώνει «έτοιμος να αντιμετωπίσει ψηφιακές επιθέσεις». Οι αναλυτές της KPMG επισημαίνουν ότι οι επιχειρήσεις στη Γηραιά Ήπειρο βρίσκονται στην αρχή ή στη μέση του «ταξιδιού» τους προς την ψηφιακή ασφάλεια και σίγουρα αισθάνονται λιγότερο ασφαλείς στο να εκθειάσουν τη cyber security ετοιμότητά τους. Ενδιαφέρον παρουσιάζει και το εύρημα του ISACA ότι μόλις το 8% των security τμημάτων αναφέρεται στο Διοικητικό Συμβούλιο -το 14% αυτών αναφέρεται στον CEO ενώ το 63% αναφέρεται στον CIO. Η γραμμή αναφοράς έχει ιδιαίτερη σημασία, καθώς η απευθείας λογοδοσία στο Διοικητικό Συμβούλιο αποτελεί εχέγγυο για την ανεξαρτησία τους τμήματος.

Οι οργανισμοί σίγουρα αντιλαμβάνονται την επίδραση της ψηφιακής ασφάλειας στις λειτουργίες τους, ωστόσο, και με δεδομένο ότι οι hackers βρίσκονται πάντα ένα βήμα μπροστά, ενδεχομένως αποτελεί πρόκληση για το ανώτατο management να προσδιορίσει τα κατάλληλα επιμέρους κομμάτια μιας information security στρατηγικής, αλλά και να αντιληφθεί την πολυπλοκότητα των ψηφιακών κινδύνων στην πλήρη τους διάσταση, η οποία δεν αφήνει κανένα περιθώριο εφησυχασμού.