Οι ταχύτατοι ρυθμοί με τους οποίους προχωράει ο ψηφιακός μετασχηματισμός, η μετάβαση στο cloud, τα υβριδικά μοντέλα εργασίας αλλά και τα ολοένα και περισσότερα κανονιστικά πλαίσια έχουν ως αποτέλεσμα να αυξάνουν διαρκώς τις απαιτήσεις για τη διασφάλιση των συστημάτων και των οργανισμών ευρύτερα. Στο ψηφιακό περιβάλλον η έννοια της κανονικότητας είναι άγνωστη, αφού οι εξελίξεις είναι ραγδαίες και δίχως κανόνες, ενώ καλούμαστε να υπηρετήσουμε συνεχώς μεταβαλλόμενες επιχειρηματικές απαιτήσεις.

Χαρακτηριστικά των τελευταίων δύο ετών υπήρξαν, μεταξύ άλλων, ο άκρατος ψηφιακός μετασχηματισμός, η (συχνά) βεβιασμένη μετάβαση στο υπολογιστικό σύννεφο, η καθιέρωση του υβριδικού μοντέλου εργασίας, η ύπαρξη ενός διαρκώς διογκούμενου και ενίοτε αντικρουόμενου κανονιστικού πλαισίου, καθώς και από η ψηφιακή αυτοματοποίηση μεγάλου αριθμού επιχειρηματικών διεργασιών. Πέραν αυτών, η χρήση κάθε είδους νεωτερισμού που άπτεται της τεχνολογίας, υιοθετείται με σκοπό τη δημιουργία ανταγωνιστικού πλεονεκτήματος. Κατ’ αυτόν τον τρόπο, οι ευρύτεροι κίνδυνοι που αφορούν στη βιωσιμότητα ενός Οργανισμού, σχετίζονται, σε μεγάλο βαθμό με την εκμετάλλευση των αδυναμιών ασφάλειας της τεχνολογίας. Ταυτόχρονα, χρειάζεται ιδιαίτερη προσοχή στη διαχείριση των κινδύνων που προέρχονται από εξωγενείς απειλές, αφού στο επιχειρηματικό λειτουργικό περιβάλλον, ο φυσικός, ο εικονικός και ο ψηφιακός κόσμος αλληλεπιδρούν, προκαλώντας αυξημένη πολυπλοκότητα.

Αναφορικά με την Ασφάλεια Πληροφοριών & Ψηφιακών Υποδομών/Κυβερνο-ασφάλεια, είναι γεγονός ότι σε θεωρητικό επίπεδο παρατηρείται μεγάλη κινητικότητα, η οποία, ωστόσο, δεν ανταποκρίνεται στην πράξη και στην παρατηρούμενη ελάχιστη πραγματική δραστηριοποίηση, ενώ παράλληλα ανώτερα στελέχη Οργανισμών και φορέων τοποθετούνται ολοένα και περισσότερο επί των ζητημάτων της.

Το τοπίο των απειλών
Βρισκόμαστε ήδη μπροστά σε μια υβριδική/συνδυαστική μορφή εκμετάλλευσης των αδυναμιών ασφάλειας (τεχνικών και διαχειριστικών) οι οποίες προέρχονται από διαφορετικά περιβάλλοντα και τεχνολογίες μέσα στον ίδιο οργανισμό. Επιπρόσθετα, οι κακόβουλοι χρήστες χρησιμοποιούν πλέον και τη τεχνολογία της τεχνητής νοημοσύνης προκειμένου ν’ αναλύουν γρήγορα και με ακρίβεια διαφορετικές στρατηγικές επίθεσης, μεγιστοποιώντας τις πιθανότητες επιτυχίας τους. Οι επιθέσεις που κάνουν εκτεταμένη χρήση τεχνητής νοημοσύνης, γίνονται δύσκολα αντιληπτές και είναι δύσκολα προβλέψιμες, από τις υφιστάμενες τεχνολογίες ανίχνευσης επιθέσεων. Τα εργαλεία εκτέλεσης επιθέσεων που κάνουν χρήση τεχνητής νοημοσύνης, παρέχουν τη δυνατότητα εκτέλεσης πολύπλοκων και πλήρως στοχευμένων επιθέσεων και σε λιγότερο εξειδικευμένους χρήστες, σε προσιτό κόστος, παρέχοντας επιπλέον κίνητρο στους κακόβουλους χρήστες. Ταυτόχρονα, η ελαχιστοποίηση του χρόνου απόκρισης σε περιστατικά ασφάλειας, λόγω της αυξημένης διασυνδεσιμότητας και αυτοματοποίησης των εταιρικών λειτουργιών, επιτάσσει την ουσιαστική αλλαγή της εταιρικής κουλτούρας για την ασφάλειας πληροφοριών και καθιστά απαραίτητη την ολοκληρωτική και αποτελεσματική διαχείριση των συναφών κινδύνων.

Στον αντίποδα, είναι προφανές ότι η προσέγγιση της αναγκαιότητας και της προστιθέμενης αξίας της ασφάλειας πληροφοριών ως αναπόσπαστου στοιχείου της επιχειρηματικής ανθεκτικότητας και η ταυτόχρονη αύξηση των σχετικών επενδύσεων, δεν έχουν συμβάλει, ως τώρα, στην αύξηση της αποτελεσματικότητας των μέτρων που υιοθετούνται. Αντιθέτως, η αποτελεσματικότητα μειώνεται, καθώς παρατηρείται αδυναμία αποτελεσματικής εφαρμογής των βασικών επιταγών της ΑΠ, η οποία με τη σειρά της συνεπάγεται την αδυναμία έγκαιρης διαχείρισης των σχετικών κινδύνων και κατ’ επέκταση την αδυναμία διεκπεραίωσης του επιχειρηματικού ρόλου τον οποίο η ΑΠ καλείται να υπηρετήσει. Στόχο αποτελεί, επομένως, η αποτελεσματικότερη κατά το δυνατόν εφαρμογή των απαιτήσεων της ασφάλειας πληροφοριών και η άμεση αντίδραση ως προς την αποτίμηση του εκάστοτε κινδύνου από το στιγμή της εμφάνισής του, καθώς και η γρήγορη απόκριση αναφορικά με γνωμοδοτήσεις και αποφάσεις οι οποίες επηρεάζουν τη ροή σχετικών διαδικασιών.

Τα επόμενα βήματα, το αναγκαίο τώρα και η μετεξέλιξη της Ασφάλειας Πληροφοριών
Το μάθημα που μας έδωσε η εμπειρία των τελευταίων δύο ετών συνοψίζεται στα ακόλουθα: α) Διαπιστώνεται αδυναμία αποτελεσματικής εφαρμογής των βασικών επιταγών της ασφάλειας πληροφοριών, η οποία συνεπάγεται την αδυναμία έγκαιρης διαχείρισης των σχετικών κινδύνων και κατ’ επέκταση την αδυναμία διεκπεραίωσης του επιχειρηματικού ρόλου τον οποίο αυτή καλείται να υπηρετήσει, ενώ παράλληλα η απαιτούμενη προτεραιότητα σε θέματα υλοποίησης και επιβολής των βασικών κανόνων της εξακολουθεί να μην είναι αυτονόητη και β) Καθίσταται αναγκαία η διεύρυνση των αρμοδιοτήτων των ρόλων που είναι επιφορτισμένοι με την αντιμετώπιση των περιστατικών ΑΠ, αλλά και η ενσωμάτωσή τους στις παραγωγικές μονάδες του οργανισμού, προς τον σκοπό της αποτελεσματικότερης απόκρουσής τους.

Αλλαγή κουλτούρας
Η ασφάλεια πληροφοριών χρειάζεται να μετεξελιχθεί σε μία ολιστική διεργασία διαχείρισης των κινδύνων που αφορούν στην προστασία τόσο των πληροφοριών και των ψηφιακών υποδομών όπου και αν αυτές βρίσκονται, όσο και της αξιοπιστίας του ψηφιακού λειτουργικού περιβάλλοντος. Προς τούτο, είναι αναγκαία η αναθεώρηση της στρατηγικής για την ασφάλεια πληροφοριών, αλλά και της διεργασίας αποτελεσματικής υλοποίησης και συνεχούς βελτίωσης των μέτρων προστασίας που εφαρμόζονται. Η στρατηγική για την ασφάλεια πληροφοριών απαιτείται να επικεντρωθεί στη βελτίωση της ανθεκτικότητας όλων των δικλείδων ασφάλειας και στην περαιτέρω ενδυνάμωση εκείνων που αφορούν την ακεραιότητα των πληροφοριών. Βασικό συστατικό της αναθεωρημένης στρατηγικής συνιστά η αυτοματοποίηση σε συνδυασμό με την ενσωμάτωση των αρμοδιοτήτων που σχετίζονται με την ασφάλεια πληροφοριών στην επιχειρηματική καθημερινότητα. Με στόχο τη διαρκή βελτίωση, απαιτείται να υιοθετηθεί μία νέα προσέγγιση μέσω «τομέων / θεματικών περιοχών» (domains) της ασφάλειας πληροφοριών που αντιμετωπίζουν ολιστικά συγκεκριμένες ενότητες αναγκών, όπως π.χ. τη βελτίωση όλων των πτυχών της διαχείρισης των περιστατικών ασφάλειας, όλες τις πτυχές του ελέγχου πρόσβασης των χρηστών, όλες τις πτυχές της διαχείρισης κινδύνου, όλες τις πτυχές της διαρροής κρίσιμων δεδομένων. Αντιμετωπίζουν, δηλαδή, το πρόβλημα σε όλες του τις διαστάσεις χωρίς να περιορίζονται σε μέρος μόνο αυτού. Στο πλαίσιο της παραπάνω προσέγγισης, καθίσταται αναγκαία η αναθεώρηση των διαδικασιών και η αναδιανομή των ρόλων και των αρμοδιοτήτων με σκοπό την για ενσωμάτωση της ασφάλειας πληροφοριών στις παραγωγικές μονάδες του Οργανισμού.

Ενσωμάτωση στις παραγωγικές μονάδες
Καθίσταται πλέον αναγκαία η διεύρυνση των αρμοδιοτήτων των ρόλων που είναι επιφορτισμένοι με την αντιμετώπισή των κινδύνων για την ΑΠ, αλλά και η ενσωμάτωσή τους στις παραγωγικές μονάδες του οργανισμού, προς τον σκοπό της αποτελεσματικότερης διαχείρισής τους. Με τον τρόπο αυτόν, επιτυγχάνεται ένας ακόμα στόχος της αποτελεσματικής εφαρμογής της ασφάλειας πληροφοριών στο επιχειρηματικό περιβάλλον, ήτοι η έμφαση στην πρόληψη (τήρηση των διαδικασιών και μεγιστοποίηση της αποτελεσματικότητας των δικλείδων ασφάλειας) και στην άμεση κατανόηση και αποτίμηση του κινδύνου. Ο εκάστοτε υπεύθυνος για την ΑΠ αποτελεί τον ενορχηστρωτή της εταιρικής προσπάθειας για την ΑΠ, καθώς και τον βασικό παράγοντα διαχείρισης των σχετικών με αυτήν κινδύνων. Δεν αποτελεί δηλαδή τροχοπέδη και δεν καθίσταται ο μοναδικός υπεύθυνος για την υλοποίηση των απαραίτητων δικλείδων ασφάλειας πληροφοριών.

Στελέχωση
Ένας ακόμα καθοριστικός για την υλοποίηση των ανωτέρω παράγοντας αναφέρεται στην επάρκεια των ικανοτήτων που αφορούν στην ασφάλεια πληροφοριών στο εκάστοτε επιχειρηματικό περιβάλλον. Οι οργανωτικές μονάδες που άπτονται της ασφάλεια πληροφοριών είναι κατά κανόνα υποστελεχωμένες. Η εν λόγω παράμετρος δεν είναι κατά κύριο λόγο ποσοτική, αλλά σχετίζεται με τις συγκεκριμένες ανάγκες του εκάστοτε εταιρικού περιβάλλοντος. Συχνά παρατηρείται το φαινόμενο να στελεχώνονται τα αντίστοιχα τμήμα από πρόσωπα που δεν διαθέτουν τις κατάλληλες για τη φύση και τις ανάγκες του εκάστοτε οργανισμού ειδικότητες. Πολλές φορές, ωστόσο, η ουσιαστική συνδρομή των προσώπων αυτών είναι εν τοις πράγμασι περιστασιακή και θα μπορούσε να καλυφθεί μέσω της παροχής υπηρεσιών από εξωτερικούς συνεργάτες.

Βήματα μπροστά
Είναι περισσότερο από ποτέ προφανής η ανάγκη αποτελεσματικής εφαρμογής των βασικών αρχών και δικλείδων ασφαλείας, ενώ ταυτόχρονα αναδεικνύεται έντονη η ανάγκη προσαρμογής της στρατηγικής, της αρχιτεκτονικής και της διαχείρισης των απειλών στο νέο, συνεχώς εξελισσόμενο ψηφιακό/φυσικό/εικονικό κόσμο. Η ολιστική προσέγγιση για την ασφάλεια πληροφοριών, όπου και αν οι πληροφορίες αυτές βρίσκονται μέσα στο ευρύτερο εταιρικό περιβάλλον, είναι μονόδρομος. Ο διαχωρισμός και ο κατακερματισμός της διαχείρισης της ασφάλειας στο επιχειρηματικό περιβάλλον ανήκουν πλέον οριστικά και αμετάκλητα στο παρελθόν. Η αβεβαιότητα που αναδεικνύεται από τις συνθήκες καθιστά αναγκαία την αποτελεσματική αντιμετώπιση και την ολιστική προσέγγιση. Ο τρόπος με τον οποίο ο εκάστοτε Οργανισμός θα επιλέξει να δομήσει το συγκεκριμένο πλαίσιο που θα καλύπτει τις δικές του ανάγκες, εξαρτάται από το επιχειρηματικό και τεχνολογικό περιβάλλον στο οποίο λειτουργεί, αλλά και από τον βαθμό ωριμότητας, την κουλτούρα και την προσέγγιση που υιοθετεί απέναντι στην επιχειρηματική βιωσιμότητα και την ανθεκτικότητα εν γένει. Ταυτόχρονα, η υιοθέτηση της ψηφιακής πραγματικότητας και η ταχύτητα με την οποία αλλάζει η τεχνολογία που την υποστηρίζει, επιβάλλουν την πρακτική εφαρμογή μιας από τις θεμελιώδεις αρχές της ασφάλειας των πληροφοριών, η οποία συνίσταται ακριβώς στο να αποτελέσει αυτή να μέρος της εταιρικής κουλτούρας και κατ’ επέκταση μέρος των αρμοδιοτήτων κάθε εργασιακού ρόλου.