Στις μέρες μας, οι τεχνολογικές λύσεις και οι συμβουλευτικές υπηρεσίες στους τομείς της Ασφάλειας Πληροφοριών (Information Security), Επιχειρησιακής Συνέχειας (Business Continuity) & Διαχείρισης Κινδύνων (Risk Management) βρίσκουν εφαρμογή σε ολοένα περισσότερους οικονομικούς κλάδους (κάθετες αγορές) και επιχειρήσεις στην Ελλάδα.

Εν συντομία, ως Ασφάλεια Πληροφοριών εννοούμε την ικανότητα μιας επιχείρησης να προστατεύει τις πληροφορίες που διαχειρίζεται από τυχόν αλλοιώσεις και καταστροφές και να αποτρέπει τη μη εξουσιοδοτημένη χρήση τους. Η Επιχειρησιακή Συνέχεια είναι μια ολιστική διαδικασία-πλαίσιο, η οποία α) εντοπίζει τις πιθανές απειλές σε μια επιχείρηση και τις επιπτώσεις που έχουν στη λειτουργία της και β) παρέχει ένα πλαίσιο για αποτελεσματική απόκριση στην ενεργοποίηση αυτών των απειλών. Η Διαχείριση Κινδύνων είναι η συνολική διεργασία, με την οποία οι επιχειρήσεις προσεγγίζουν μεθοδικά τους κινδύνους που σχετίζονται με τις δραστηριότητές τους, με σκοπό την επίτευξη κέρδους (ή μη απώλειας εσόδων, φήμης κ.λπ.) σε κάθε δραστηριότητα. Η Διαχείριση Κινδύνων αποτελεί μια ευρεία έννοια, ενώ συνήθως οι λειτουργικοί κίνδυνοι (operational risks) είναι αυτοί που σχετίζονται με την Ασφάλεια Πληροφοριών και την Επιχειρησιακή Συνέχεια.

Με απλά λόγια, η Ασφάλεια Πληροφοριών προστατεύει τα δεδομένα μιας επιχείρησης, η Επιχειρησιακή Συνέχεια διασφαλίζει τη συνέχιση των κρίσιμων λειτουργιών μετά από ένα καταστροφικό συμβάν, ενώ η συνολική Διαχείριση Κινδύνων ελαχιστοποιεί τα ρίσκα και διασφαλίζει τα οφέλη – έσοδα. Οι τρεις προαναφερόμενοι τομείς έχουν συνάφεια και επικαλύψεις, αλλά και αρκετές διαφορές, σε σημείο να μπορούν να υιοθετηθούν ανεξάρτητα, ανάλογα με τις προτεραιότητες, τις ανάγκες και το επιχειρηματικό περιβάλλον του κάθε οργανισμού. Εντούτοις, υπάρχει συνήθως μια ασάφεια και έλλειψη ολοκληρωμένης γνώσης στα αντικείμενα αυτά που προκύπτει, επειδή δεν υπάρχει αρκετή ωριμότητα – ακόμα τουλάχιστον – από τις επιχειρήσεις που θέλουν να τα εφαρμόσουν.

Συνδυάζοντας την τεχνολογική γνώση με το consulting
Αρκετές επιχειρήσεις αγοράζουν λύσεις (κυρίως για την Ασφάλεια Πληροφοριών) επειδή έτσι είθισται, είναι commodity, το απαιτεί κάποια κανονιστική συμμόρφωση από ρυθμιστικές αρχές ή η Διοίκηση επιβάλει εναρμόνιση με κάποιο πρότυπο. Λιγότερες είναι αυτές που αντιλαμβάνονται πως τέτοιου είδους λύσεις διασφαλίζουν ένα κρίσιμο περιουσιακό τους στοιχείο που δεν είναι άλλο από τα δεδομένα και την διακινούμενη πληροφορία. Σε αυτή την κατεύθυνση σημαντικό ρόλο θα πρέπει να διαδραματίσουν τόσο οι εταιρείες Πληροφορικής που παρέχουν τεχνολογικές λύσεις όσο και οι εταιρείες παροχής συμβουλευτικών υπηρεσιών.

Συνήθως, όμως, οι ασχολούμενες με το θέμα εταιρείες πωλούν με βάση τα χαρακτηριστικά των λύσεων και όχι τα επιχειρηματικά οφέλη. Επειδή δεν κατέχουν πλήρως τα γνωστικά αντικείμενα εξισώνουν, για παράδειγμα, την Επιχειρησιακή Συνέχεια με την εφαρμογή λύσεων για εφεδρεία (back-up) ή για τη ανάπτυξη ενός δεύτερου (secondary ή disaster) data center, ενώ παραθεωρούν την ύπαρξη της ολιστικής προσέγγισης και την εφαρμογή διαδικασιών και προγράμματος που απαιτούνται «εξ’ ορισμού» (μαζί βέβαια με κάποιες τεχνολογικές λύσεις). Από την άλλη, οι εταιρείες παροχής συμβουλευτικών υπηρεσιών εστιάζουν σε πολιτικές και διαδικασίες που είναι απαραίτητες για την επιτυχή υιοθέτηση των εν λόγω τομέων, ενώ το σύνηθες παραδοτέο είναι μια αναφορά (Report).

Μερικές φορές, όμως, οι εκθέσεις αυτές είναι εκτενείς με λεπτομερή περιγραφή των ευρημάτων, αλλά χωρίς ουσιαστικές προτάσεις για θέσπιση προτεραιοτήτων και πρακτικών για την επίλυση των θεμάτων που ανέκυψαν κατά τη διερεύνηση. Τι χρειάζεται λοιπόν; Ένας συνδυασμός γνώσης τόσο σε θέματα τεχνολογίας και κατάλληλων λύσεων, όσο και συμβουλευτικών υπηρεσιών για θέματα πολιτικών, διαδικασιών, προτύπων και αναγκών της αγοράς. Δηλαδή, εταιρείες που είναι ταυτόχρονα technology providers και consultants που βλέπουν σαν χρέος τους να ενημερώνουν συνέχεια τις επιχειρήσεις – πελάτες για τα θέματα που προαναφέραμε.