Την πλούσια εμπειρία τους από την καθημερινή αναμέτρηση με το «θεριό» της διαχείρισης πρόσβασης μοιράζονται μαζί μας οι εκπρόσωποι δυο σημαντικών κλάδων, με ιδιαίτερο κοινωνικό αποτύπωμα, της λιανικής πώλησης και της φιλοξενίας. Ο Γιάννης Παπίδης, CTO & BCO της Κωτσόβολος-Dixons SE Europe, και ο Ηλίας Κυριακάκης, βετεράνος CIO και μέλος του Δ.Σ. της Grecotel, απαντούν στις ίδιες ερωτήσεις εκ μέρους του NW, από τη δική του -προφανώς- σκοπιά ο καθένας.

Η επιτακτική και διαρκής ανάγκη πρόσβασης σε online συστήματα και φυλασσόμενους χώρους για πολλαπλάσιους πλέον χρήστες στην με-και μετά-πανδημία εποχή, οξύνει το πρόβλημα και πιέζει για γρήγορες και αποτελεσματικές λύσεις, που θα διευκολύνουν τη ζωή μας, χωρίς παραχωρήσεις σε θέματα ασφαλείας.

Καθώς η ζωή μας περνάει μέρα με τη μέρα όλο και περισσότερο από το offline στο online μοντέλο, μοιραία αυξάνουν και οι απαιτήσεις που θέτει η «νέα κανονικότητα» σε όλους εμάς, τους χρήστες των ψηφιακών υπηρεσιών. Ένας από τους βασικούς λόγους, που μετατρέπεται σε βασική υποχρέωση, είναι η ανάγκη αναγνώρισής μας από τα συστήματα και τις υπηρεσίες του δημόσιου ή του ιδιωτικού τομέα. Για κάθε συναλλαγή, δοσοληψία, ανταλλαγή δεδομένων, πρόσβαση ή ό,τι άλλο χρειαζόμαστε, το όποιο σύστημα έχουμε απέναντί μας πρέπει να είναι βέβαιο, πέραν πάσης αμφιβολίας, ότι είμαστε αυτοί που του λέμε, για να μπορέσει με τη σειρά του να μας εξυπηρετήσει. Έτσι, δεν είναι καθόλου παράξενη και ασυνήθιστη η μεγάλη σημασία που δίνεται πλέον διεθνώς αλλά και στη χώρα μας στο Identity & Access Management (ΙΑΜ), δηλαδή στη Διαχείριση της Ταυτοποίησης & Πρόσβασης σε κάθε λογής συστήματα, αλλά και χώρους, όπου για διαφορετικούς κάθε φορά λόγους και αιτίες, το δικαίωμα εισόδου είναι αυστηρά προσωπικό.

Τα μέτρα περιορισμού της πανδημίας, η τηλεργασία, η κατακόρυφη αύξηση των online χρηστών σε κρατικά και μη συστήματα, η μετάβαση στο cloud computing για εκατοντάδες χιλιάδες επιχειρήσεις στο πλαίσιο του ψηφιακού μετασχηματισμού τους, η αυξημένη απαίτηση για χρήση φορητών συσκευών και πρόσβαση από παντού, θέτουν με έμφαση τα εργαλεία ταυτοποίησης και διαχείρισης χρηστών στο επίκεντρο της καθημερινότητάς μας. Καθώς διευρύνεται η πολιτική μηδενικής εμπιστοσύνης (zero-trust) προς τους εκατομμύρια χρήστες, ο ρόλος των τεχνολογιών ΙΑΜ αποκτά ξεχωριστή σπουδαιότητα. Τόσο τα συστήματα ΙΑΜ των εργαζομένων, όσο και εκείνα των πελατών (Customer IAM) θα ελέγχουν στο εξής την πρόσβαση και προσθήκη (ή αφαίρεση) χρηστών με ασφάλεια και ευκολία σε συστήματα και φυλασσόμενους χώρους, σε συνδυασμό πάντα με τη δυνατότητα άμεσης εποπτείας και τροποποίησης αυτών των δικαιωμάτων από τους αρμόδιους administrators.

Η πανδημία ως καταλύτης
Τον τελευταίο ενάμιση χρόνο, η πανδημία πρόσθεσε εκατοντάδες χιλιάδες ασθενείς στα συστήματα υγείας και ταυτόχρονα αύξησε τους πονοκεφάλους στους υπεύθυνους ασφαλείας δεδομένων όλων τον οργανισμών και επιχειρήσεων, απανταχού της Γης. Με την «εργασία από το σπίτι» και την «πρόσβαση από κάθε συσκευή», που επέβαλε η πανδημία προκειμένου να μην ανασταλούν οι ζωτικές λειτουργίες των επιχειρήσεων, η περίμετρος ασφαλείας για τη διαχείριση της πρόσβασης στα εταιρικά πληροφοριακά συστήματα και αρχεία διευρύνθηκε υπέρμετρα. Δεν περιορίζεται πια στα στενά όρια των «γραφείων» μιας επιχείρησης, αλλά επεκτείνεται στα σπίτια, τα εξοχικά και τους εναλλακτικούς τόπους εργασίας που χρησιμοποιούν σε καθημερινή βάση πλέον τα στελέχη της.
Και η πανδημία αργά ή γρήγορα θα περάσει, όμως η εργασία από το σπίτι -όπως όλα δείχνουν- θα μείνει μαζί μας και στο μέλλον, σε μεγαλύτερο ή μικρότερο βαθμό, στο πλαίσιο ενός υβριδικού μοντέλου, ανάλογα με τα ιδιαίτερο χαρακτηριστικά και τις απαιτήσεις κάθε δουλειάς. Πιθανότατα, θα μείνουν και οι πονοκέφαλοι, τους οποίους προκαλεί αυτή η προοπτική στους υπευθύνους ασφαλείας δεδομένων, αν δεν επιδεινωθούν κιόλας, λόγω της πληθώρας των διαφορετικών και δυναμικά εξελισσόμενων παραγόντων.

Βεβαίως, όσο υπάρχουν προβλήματα, θα υπάρχουν και λύσεις. Κι αυτές ψάχνουν, αν δεν τις υλοποιούν ήδη, οι ενδιαφερόμενες επιχειρήσεις.
Σύμφωνα με εκτιμήσεις της εταιρίας ερευνών Gartner, επιχειρήσεις και οργανισμοί που ως τώρα δεν είχαν υλοποιήσει τέτοιου είδους προγράμματα, θα χρειαστεί να επενδύσουν 40% περισσότερο σε λύσεις ΙΑΜ φέτος, αν και το αντίκρισμά τους θα είναι μικρότερο εκείνων που ήδη τα διαθέτουν. Οι ειδήμονες, μάλιστα, προτείνουν σε κάθε περίπτωση να προτιμηθούν ολιστικές λύσεις, καθώς οι σίγουρες εκ των προτέρων συνέργειες μεταξύ των στοιχείων τους εκμηδενίζουν τον κίνδυνο για κενά ασφαλείας και επικίνδυνες «κερκόπορτες» στα συστήματα που αναλαμβάνουν να προστατεύσουν.

Passwordless authentication και zero-trust policies
Σε αφιερώματα σαν κι αυτό, ουσιαστικό ρόλο παίζει η καταγραφή σχολίων, ιδεών και προτάσεων από τους ανθρώπους της αγοράς. Την πλούσια εμπειρία τους από την καθημερινή αναμέτρηση με το «θεριό» της διαχείρισης πρόσβασης μοιράζονται, λοιπόν, μαζί μας οι εκπρόσωποι δυο σημαντικών κλάδων, με ιδιαίτερο κοινωνικό αποτύπωμα, της λιανικής πώλησης και της φιλοξενίας. Ο Γιάννης Παπίδης, CTO & BCO της Κωτσόβολος-Dixons SE Europe, και ο Ηλίας Κυριακάκης, βετεράνος CIO και μέλος του Δ.Σ. της Grecotel, απαντούν στις ίδιες ερωτήσεις εκ μέρους του NW, από τη δική του -προφανώς- σκοπιά ο καθένας.

netweek: Τι προσφέρει το Identity & Access Management στην εταιρεία σας και πώς συνδυάζεται με τον Ψηφιακό Μετασχηματισμό της;
Γιάννης Παπίδης: Στην Κωτσόβολος πιστεύουμε ότι η τεχνολογία είναι το μέσο για καλύτερη ζωή, τόσο για τον πελάτη μας, όσο και για τα στελέχη των καταστημάτων μας. Οι χρήστες των εταιρικών εφαρμογών πρέπει να έχουν τη δυνατότητα να εξυπηρετήσουν σε οποιοδήποτε σημείο του καταστήματος κι αν βρίσκονται, χωρίς να πρέπει να μεταβούν σε κάποιο σταθμό εργασίας. Παράλληλα, όταν βρίσκονται σε σταθμό εργασίας, πρέπει να μπορούν να εστιάζουν στην εξυπηρέτηση του πελάτη κι όχι σε δύσκολες διαδικασίες ταυτοποίησης και ασφάλειας. Για να επιτευχθούν όλα αυτά, οι εταιρικές εφαρμογές θα πρέπει να είναι προσβάσιμες με ασφάλεια από κάθε συσκευή (κινητό υπαλλήλου, tablet ή σταθμό εργασίας). Αυτή τη δυνατότητα μας την προσφέρει μόνο ένα ενιαίο σύστημα διαχείρισης πρόσβασης, το οποίο εγγυάται την ασφαλή πρόσβαση, χωρίς να απαιτείται χρήση κωδικών.

Ο πωλητής μπορεί να έχει πρόσβαση με το κινητό του, χωρίς κωδικούς (passwordless login) σε οποιαδήποτε εφαρμογή, από οποιαδήποτε συσκευή. Η ευκολία πρόσβασης βελτιώνει την παραγωγικότητα, αλλά και την εμπειρία του πελάτη, ενώ μειώνει σημαντικά το ρίσκο υποκλοπής των κωδικών πρόσβασης. Έτσι έχουμε πρόσβαση σε πληθώρα εφαρμογών όπως Sales (KRetail), CRM (MS Dynamics), Collaboration (MS Teams,Office 365) κλπ. με ενιαίο τρόπο, ασφάλεια και, κυρίως, χωρίς ταλαιπωρία.

Ηλίας Κυριακάκης: Ο ψηφιακός μετασχηματισμός αρχίζει με την αλλαγή νοοτροπίας και τρόπου δουλειάς και με την επανεκπαίδευση των εργαζομένων μιας επιχείρησης, οι οποίοι καλούνται πλέον να χρησιμοποιήσουν την τεχνολογία και τα πληροφοριακά συστήματα στην καθημερινότητα τους. Στο πλαίσιο αυτό, η ασφάλεια στην πρόσβαση είναι βασικό ζητούμενο για την εξασφάλιση της ακεραιότητας των ευαίσθητων δεδομένων κάθε οργανισμού. Που θα πρέπει να υιοθετήσει νέα συστήματα και πρωτόκολλα αναγνώρισης των χρηστών του, ώστε να εξασφαλίζεται η συνεχής, ασφαλής και απροβλημάτιστη πρόσβαση στο εταιρικό πληροφοριακό περιβάλλον, σε όσους τη δικαιούνται, στο βαθμό και στο επίπεδο που τη δικαιούνται, από το σημείο που τη δικαιούνται (ανεξάρτητα αν εργάζονται από το σπίτι ή οπουδήποτε αλλού) και στο χρονικό διάστημα για το οποίο τη δικαιούνται. Αυτό εξασφαλίζεται μόνο με την προσεκτική διαχείριση των ευκολιών πρόσβασης στα πληροφοριακά μας συστήματα, με βάση την ταυτότητα, τη συσκευή και το συγκεκριμένο σημείο πρόσβασης στις εταιρικές πληροφορίες.

Μ’ άλλα λόγια, ένας εργαζόμενος δικαιούται να έχει πρόσβαση σε άλλες πληροφορίες όταν βρίσκεται στο πόστο του στο ξενοδοχείο που εργάζεται, σ’ ένα μικρότερο υποσύνολο από αυτές όταν βρίσκεται στο σπίτι του αν χρησιμοποιεί «γνωστή στο σύστημα» συσκευή για την πρόσβαση του, και σ’ ένα ακόμη μικρότερο υποσύνολο, αν η συσκευή πρόσβασης δεν είναι το «εταιρικό» laptop, αλλά ο οικιακός του υπολογιστής ή ένα μη-γνωστό tablet. Επίπεδα προσβάσεων όπως αυτά που περιεγράφηκαν παραπάνω, είναι δυνατόν να υλοποιηθούν μόνο με σύγχρονα συστήματα διαχείρισης πρόσβασης και ταυτοποίησης των χρηστών μας.

Πόσο καιρό εφαρμόζετε Customer Identity & Access Management και με ποια αποτελέσματα ως τώρα;
Γ.Π.: Για τον πελάτη μας, το identity & access management έχει τεράστια σημασία, καθώς μπορεί να αποτελέσει σημαντικό λόγο απώλειας ευκαιριών πώλησης, λόγω κακής εμπειρίας πρόσβασης. Η προσπάθεια εδώ είναι πιο σύνθετη και περιλαμβάνει την ενοποίηση των πληροφοριών του πελάτη κάτω από μία μοναδική οντότητα (CRM Person), έτσι ώστε η πρόσβαση με ένα και μοναδικό κλειδί να ανοίγει ολόκληρο τον κόσμο των υπηρεσιών μας προς αυτόν.

Η σύνδεση της εύκολης και με ασφαλή τρόπο πρόσβασης στο σύνολο των δεδομένων του πελάτη, βρίσκεται στην «καρδιά» όλων των προσπαθειών για παροχή συγχρόνων προσωποποιημένων πολυκαναλικών εμπειριών πώλησης. Η βάση γι’ αυτή την ενοποίηση είναι η διασύνδεση του Customer Master Data Management (CRM Dynamics) με τα συστήματα πρόσβασης των πελατών.

Η.Κ.: Η διαχείριση της ταυτότητας του ξενοδοχειακού επισκέπτη ώστε να δίνεται σε καθένα από αυτούς η πρόσβαση στα συστήματα που τον ενδιαφέρουν (πχ. κρατήσεις τραπεζιών στα εστιατόρια, εγγραφή σε εκδηλώσεις αναψυχής, κράτηση θέσης στο SPA κλπ.) εξαρτάται κυρίως από την αποδοχή (customer consent) για τη χρησιμοποίηση των προσωπικών πληροφοριών του από εμάς, ώστε να προχωρήσουμε στις παραπάνω κρατήσεις. Συνεπώς, ο πλήρης τίτλος του συστήματος που χρησιμοποιούμε είναι Customer consent for the Identity & Access Management.

Με πάνω από 700.000 επισκέπτες στα ξενοδοχεία της Grecotel πριν από την πανδημία, η εφαρμογή αυτών των συστημάτων -που ξεκίνησε σταδιακά το 2015- έχει εξασφαλίσει την ασφαλή διαχείριση των απολύτως απαραίτητων προσωπικών δεδομένων των επισκεπτών μας, για περιορισμένο χρόνο και μόνο με τη σύμφωνη γνώμη τους, ως προς τη χρήση τους. Ο κορονοϊός επέβαλε την επαύξηση των υποχρεωτικά τηρουμένων πληροφοριών των επισκεπτών μας για λόγους ιχνηλασιμότητας και απέδειξε πόσο απαραίτητη ήταν η χρήση αυτών των συστημάτων για τη διασφάλιση της ακεραιότητας των προσωπικών δεδομένων τους.

Πόσο πιστεύετε στις πολιτικές μηδενικής εμπιστοσύνης (zero-trust) και πόσο δύσκολη θεωρείτε την εφαρμογή τους;
Γ. Π.: Στον σύγχρονο κόσμο του cloud και των πολλαπλών εφαρμογών, το μοντέλο του zero trust security αποτελεί μονόδρομο.

Η.Κ.: Οι πολιτικές zero trust είναι χρήσιμες, για να μην πω απαραίτητες, παρόλο που προσθέτουν σε πολυπλοκότητα και συνεπάγονται πάρα πολλές φορές διαμαρτυρίες και «γκρίνιες», από τους εργαζόμενους μας, ενώ σε μερικές περιπτώσεις προκαλούν και εγωιστικές συμπεριφορές του τύπου «ξέρεις ποιος είμαι εγώ, ρε…» στην εφαρμογή τους. Απαιτείται συνεπώς πειθαρχία, αποδοχή και πλήρης δέσμευση όλων των επιπέδων της Διοίκησης ενός οργανισμού για την επιτυχή εφαρμογή τους. Κι αυτό γίνεται μόνο με την ενημέρωση, την «εκπαίδευση» και την πληροφόρηση για τις συνέπειες, σε περίπτωση μη-εφαρμογής. Γενικά μιλώντας, πρόκειται για ένα από τα πιο δύσκολα ζητήματα στην εφαρμογή των μεθόδων ασφαλείας δεδομένων και απομακρυσμένης πρόσβασης στις εταιρικές πληροφορίες.

Ποιες τεχνολογίες / εφαρμογές / πλατφόρμες χρησιμοποιείτε γι’ αυτόν τον σκοπό;
Γ.Π.: Τη χρονιά που πέρασε χτίσαμε από την αρχή το σύνολο της δικτυακής υποδομής μας, υλοποιώντας ένα σύγχρονο SDWAN δίκτυο σε συνεργασία με την Vodafone, την Cosmos Business Systems και την HPΕ, το οποίο αποκεντρώνει τη διαχείριση της ασφάλειας και υλοποιεί zero trust policies. Όταν το ΖΤ συνδυάζεται με νέες τεχνολογικές λύσεις, η εφαρμογή του είναι εύκολη υπόθεση – ωστόσο, η προσαρμογή παλαιότερων υποδομών και πολιτικών, μπορεί να αποδειχθεί ιδιαίτερα δύσκολη.

Η.Κ.: Η λεπτομερής αναφορά σε συγκεκριμένες τεχνολογίες και πλατφόρμες θεωρούμε ότι έχει αρνητικές συνέπειες και εξασθενεί την ασφάλεια των πληροφοριακών συστημάτων ενός οργανισμού. Υπάρχουν, πάντως, αρκετές λύσεις απομακρυσμένης δικτυακής πρόσβασης που εξασφαλίζουν επιλεκτική πρόσβαση σε εταιρικές εφαρμογές και περιορίζουν τα δικαιώματα που δίνει μία πρόσβαση με VPN στο εταιρικό περιβάλλον, όταν ο χρήστης βρίσκεται έξω από αυτό, ή προσπαθεί να το προσπελάσει είτε με άγνωστη συσκευή, είτε μέσα από ένα μη-ασφαλές δίκτυο.

Η ανάπτυξή τους έχει γίνει in house (ενδεχομένως, με τη βοήθεια κάποιου συμβούλου) ή με ανάθεση (outsourcing) σε κάποια εξωτερική εταιρία;
Γ.Π.: Για την εσωτερική χρήση χρησιμοποιούμε υποδομές Azure AD – για τους πελάτες η πρόσβαση είναι υλοποιημένη πάνω στο HCL Commerce.

Η.Κ.: Η μελέτη και έρευνα για τη χρησιμότητα και τη χρήση τους έγινε σε συνεργασία με εξωτερικούς συμβούλους, αλλά η εφαρμογή και υλοποίηση έγινε εσωτερικά.
Ο κύριος λόγος για αυτό, ήταν η βούλησή μας για περιορισμό του κύκλου που δυνητικά θα μπορούσε να γνωρίζει τη μεθοδολογία ελέγχου πρόσβασης και τις εφαρμογές που χρησιμοποιούμε, με αποτέλεσμα τη δημιουργία ενός ακόμη κενού ασφαλείας που θα έπρεπε να αποφευχθεί.

Ποιο είναι το επόμενο βήμα για εσάς που θα βελτιώσει ακόμα περισσότερο τις επιδόσεις σας σ’ αυτόν τον τομέα;
Γ.Π.: Τα usernames και passwords δεν είναι πια λύση για μια σύγχρονη ψηφιακή εμπειρία. Καλύτερη ζωή σημαίνει να έχω πρόσβαση με τη μέγιστη ασφάλεια χωρίς να προβληματίζομαι. Οι νέες βιομετρικές τεχνολογίες το επιτρέπουν αυτό, όταν υλοποιούνται μέσα από ένα σύγχρονο ΙΑΜ που υλοποιεί passwordless authentication. Τα στελέχη μας το απολαμβάνουν ήδη, ενώ η ενσωμάτωσή του σε όλα τα «ταξίδια» του πελάτη θα αποτελέσει σημαντική προτεραιότητα για εμάς, τους επόμενους μήνες.

Η.Κ.: Παρακολουθούμε τις εξελίξεις και τα επόμενα βήματα εξαρτώνται πολύ από τη νέα κανονικότητα, το «new normal» που θα ξημερώσει μετά τη λήξη της περιπέτειας της ανθρωπότητας με τον κορωνοϊό. Υπάρχουν σκέψεις, πλάνα και προτάσεις, αλλά ακόμα δεν έχουμε καταλήξει σε αποφάσεις.