Ο Errol Rhoden, Regional Sales Manager - Emerging Region New, Nascent and Emerging Technologies της Symantec, μιλάει για την ανάγκη των σύγχρονων επιχειρήσεων να έχουν πλήρη γνώση και έλεγχο των συστημάτων που εγγυόνται την ασφαλή τους λειτουργία

Netweek: Πώς θα μπορούσαμε να ορίσουμε τη συμμόρφωση όσον αφορά την πολιτική της Πληροφορικής;

Errol Rhoden: Η συμμόρφωση συνδέεται στενά με τη διαχείριση κινδύνου και τη διακυβέρνηση και αφορά τη διασφάλιση του ότι οι υφιστάμενοι έλεγχοι είναι επαρκείς και ταιριάζουν με τις διαδικασίες και τους κανόνες που διέπουν τη λειτουργία της επιχείρησης. Οι εταιρείες θα πρέπει να εξετάζουν τους ελεγκτικούς τους μηχανισμούς ως προς τον αντίκτυπό τους στην ασφάλεια τόσο σε επίπεδο τεχνολογίας όσο και διαδικασιών. Βασικό προβληματισμό αποτελεί και το κόστος της πραγματοποίησης των απαραίτητων ελέγχων όταν αυτή γίνεται με μη-αυτοματοποιημένο τρόπο.

Κάποιες εταιρείες αφιερώνουν χρόνο και χρήματα σε δειγματοληπτικούς ελέγχους, οι οποίοι δεν αποκαλύπτουν απαραίτητα τα τυχόν προβλήματα. Είναι πολλές οι εταιρείες που δεν ξέρουν… τι δεν ξέρουν. Επιπλέον, η σύγχρονη επιχείρηση καλείται να αποδείξει και στον εξωτερικό έλεγχο ότι έχει πλήρη γνώση και έλεγχο των συστημάτων της.  Όταν οδηγεί κανείς ένα αυτοκίνητο, ελέγχει πάντα τις ενδείξεις. Με τον ίδιο τρόπο, η σύγχρονη εταιρεία πρέπει να ελέγχει τη λειτουργία της μέσω της Πληροφορικής, ώστε αυτή να είναι πάντα συμβατή τόσο με εξωτερικές όσο και εσωτερικές πολιτικές. Η αυτοματοποίηση επιτρέπει την αύξηση της αποτελεσματικότητας ενώ, παράλληλα, μειώνει το κόστος. Χαρακτηριστικό είναι το παράδειγμα μίας ευρωπαϊκής εταιρείας-πελάτη μας που εξοικονομεί 8 εργατοώρες την εβδομάδα μέσα από την αυτοματοποίηση των ελέγχων.

Ο καλύτερος αυτός έλεγχος συνεπάγεται μικρότερα ποσοστά απώλειας δεδομένων και αυξημένη πελατειακή πιστότητα. Υπάρχουν, αντιθέτως, παραδείγματα εταιρειών που έχασαν το 8% των πελατών τους ή το 8% της αξίας της μετοχής τους, ως αποτέλεσμα της παραβίασης δεδομένων που υπέστησαν και που δημοσιοποιήθηκε.

Netweek: Ποια από τα ευρήματα της πρόσφατης έρευνας της Symantec χρήζουν σχολιασμού;

Errol Rhoden: Η συχνότητα των εσωτερικών ελέγχων. Οι εταιρείες που πραγματοποιούν τακτικούς εσωτερικούς ελέγχους είναι εκείνες που πάσχουν λιγότερο από παραβιάσεις και απώλειες δεδομένων. Τα σχετικά περιστατικά δεν ξεπερνούν το ένα με δύο ετησίως, σε αντίθεση με εταιρείες που δεν πραγματοποιούν τακτικούς ελέγχους και αναφέρουν ένα μέσο όρο 22 παραβιάσεων ή απωλειών δεδομένων, κάθε χρόνο. Οι λύσεις της Symantec στοχεύουν στη συνολική αντιμετώπιση του θέματος της συμμόρφωσης μέσα από την αυτοματοποίηση. Συχνά διευκολύνουν τις εταιρείες που τις χρησιμοποιούν να αναθεωρήσουν ή να βελτιώσουν, ακόμα και τις ίδιες τις πρακτικές που προστατεύουν την αποτελεσματικότητά τους, αλλά και την αξιοπιστία του brand τους.   

Netweek: Πώς θα μπορέσει η Διεύθυνση Πληροφορικής να διαμορφώσει μία στάση πρόληψης;

Errol Rhoden: Αποτελέσματα οίκων ερευνών, όπως αυτά της IT Policy Compliance Group δείχνουν ότι οι εταιρείες που αναγνωρίζουν το συσχετισμό μεταξύ διακυβέρνησης, διαχείρισης κινδύνου και συμμόρφωσης φροντίζουν να παρακολουθούν συστηματικά το σύνολο -και όχι απομονωμένα στοιχεία- της λειτουργίας τους. Η Διεύθυνση Πληροφορικής δεν περιμένει να κινητοποιείται μόνο όταν της ζητείται να πραγματοποιήσει ένα συγκεκριμένο έλεγχο. Θα πρέπει να έχει θέσει εκ των προτέρων προγραμματισμένους μηχανισμούς που διασφαλίζουν την απαιτούμενη ορατότητα σε σταθερή βάση. 

Netweek: Η συμμόρφωση «διαφημίζεται» συχνά ως κάτι παραπάνω από υποχρέωση και ως ευκαιρία για άντληση επιχειρησιακών πλεονεκτημάτων. Πρόκειται για κάτι που ισχύει στην πράξη;

Errol Rhoden: Είναι αλήθεια ότι, κάποιες φορές, τα επιχειρησιακά οφέλη είναι σχετικά έμμεσα. Είναι επίσης, γεγονός ότι ο ρόλος του CIO σήμερα έχει γίνει ιδιαίτερα απαιτητικός. Το ΙΤ παίζει τόσο μεγάλο ρόλο στο Business, που αποτελεί ταυτόχρονα και απειλή για αυτό. Ο CIO πρέπει να έχει γνώση όλων των κινδύνων και των απειλών που αντιμετωπίζει το ΙΤ και που μπορούν, με τη σειρά τους, να έχουν αρνητικό αντίκτυπο στο Business. Παράλληλα, πρέπει να αντιλαμβάνεται και τις επιχειρησιακές ευκαιρίες που ανοίγονται μέσω του ΙΤ. Το ΙΤ αποτελεί το εργαλείο για τη διασφάλιση του ότι οι πρακτικές της εταιρείας είναι ευθυγραμμισμένες με τις απαιτήσεις της συμμόρφωσης. Σε δεύτερο επίπεδο, τα εργαλεία Πληροφορικής μπορούν να αξιοποιηθούν για την επιδίωξη επιχειρησιακού και ανταγωνιστικού πλεονεκτήματος. Η συμμόρφωση θα πρέπει να προσδίδει αξία στο εταιρικό brand και να αυξάνει την αξιοπιστία του στα μάτια του κοινού. Το πλεονέκτημα αφορά λοιπόν, τόσο την αύξηση της αποτελεσματικότητας όσο και τη δυνατότητα απόδειξης ότι η εταιρεία λειτουργεί με ασφάλεια.