... και spam και malware και ένα βουνό από νέα και παλιά μηνύματα. Πώς θα «νοικοκυρέψετε» τα ηλεκτρονικά γραμματοκιβώτια των εταιρικών χρηστών και πώς θα εγγυηθείτε για την ασφάλεια και την προστασία του περιεχομένου τους; Στις περισσότερες επιχειρήσεις, το ηλεκτρονικό ταχυδρομείο λειτουργεί πλέον ως «νευρικό σύστημα». Αυτό είναι που δίνει τις απαντήσεις σε καθημερινά ερωτήματα: Τι πρέπει να κάνω στη συνέχεια; Τι συμφωνήσαμε; Τι συνέβη; Τι είχαμε κάνει την προηγούμενη φορά; Με ποιον θα πρέπει να μιλήσω;

Οκτώ στους δέκα Διευθυντές Πληροφορικής δηλώνουν ότι η επιχείρησή τους θα έπασχε σημαντικά εάν υπήρχε κάποια διακοπή της ηλεκτρονικής αλληλογραφίας. Περισσότεροι από τους μισούς απαντούν ότι στο σύστημα του email βρίσκονται αποθηκευμένες κρίσιμες επιχειρησιακές πληροφορίες.

Κι η αδιάλειπτη, αποτελεσματική και αξιόπιστη λειτουργία του email είναι απολύτως απαραίτητη, οι Διευθυντές Πληροφορικής βρίσκονται αντιμέτωποι με πολλές ανησυχητικές τάσεις. Ο όγκος των emails, όπως επίσης ο αριθμός και το μέγεθος των συνημμένων αρχείων, αυξάνεται κάθε χρόνο. Ο αριθμός των χρηστών λογαριασμών ηλεκτρονικού ταχυδρομείου υπολογίζεται στα 1,4 δισεκατομμύρια (συμπεριλαμβανομένων 568 εκατ. εταιρικών λογαριασμών), οι οποίοι στέλνουν 247 δισ. emails την ημέρα, σύμφωνα με εκτιμήσεις της εταιρείας αναλυτών Radicati Group.

Κατά μέσο όρο, οι εταιρικοί χρήστες στέλνουν ή λαμβάνουν 167 μηνύματα email την ημέρα, 37 από τα οποία φέρουν και συνημμένο. Το μέσο μέγεθος των συνημμένων αυτών είναι 460KB. Ταυτόχρονα, κανονιστικές απαιτήσεις και νομικές πιέσεις υπαγορεύουν τη δυνατότητα αρχειοθέτησης, αναζήτησης και ανάκτησης μηνυμάτων αλλά και την προστασία της πληροφορίας που φέρουν.

 Σημασία  Email Management προτεραιότητες  Ποσοστό ερωτηθέντων
 1  Διασφάλιση της συνέχειας  94%
 2  Πρόληψη απώλειας δεδομένων  82%
 3  Μπλοκάρισμα του malware  78%
 4  Διασφάλιση της συμμόρφωσης  54%
 5  Email archiving  51%

 Πηγή: Symantec

 Σημασία  Email Management προβλήματα  Ποσοστό ερωτηθέντων
 1  Μέγεθος του mailbox και των συνημμένων, de-duplication  53%
 2  Διατήρηση προβαδίσματος έναντι των απειλών  33%
 3  Αναζήτηση αρχειοθετημένων αρχείων  32%
 4  Εντοπισμός του κατάλληλου, εξειδικευμένου προσωπικού  29%
 5  Ενημέρωση των patches  27%

 Πηγή: Symantec

Ο CIO στο… ποδήλατο του ταχυδρόμου
Η κατάσταση που αντιμετωπίζει ο σύγχρονος Διευθυντής Πληροφορικής όσον αφορά το θέμα του e-mail management μοιάζει με… ξέφρενη ποδηλατάδα  ταχυδρόμου που «ιδρώνει» για να ισορροπήσει και να προλάβει αμέτρητες επιστολές, συστημένα, δέματα, έγνοιες, υποχρεώσεις και.. ληστές. Σε τι θα πρέπει να δώσει προτεραιότητα;

Σύμφωνα με έρευνα της Symantec, οι τρεις κεντρικές προτεραιότητες των IT Managers είναι η διασφάλιση της συνέχειας (για το 94% των ερωτηθέντων), η αποφυγή της απώλειας δεδομένων (για το 82%) και το μπλοκάρισμα του malware (για το 78%). Οσον αφορά το «τι δεν τους αφήνει να κοιμηθούν τις νύχτες», το 53% αναφέρει το μέγεθος των mailboxes, το de-duplication και την έκρηξη των attachments. Το δεύτερο κεντρικότερο πρόβλημα, το οποίο βασανίζεί το 33% των ερωτηθέντων, είναι η διατήρηση προβαδίσματος όσον αφορά τις απειλές και το τρίτο είναι η αναζήτηση αρχειοθετημένων μηνυμάτων (33%).

Ακολουθεί μια προτεινόμενη «διαδρομή» 10 σημείων, η οποία και έχει σαν τελικό προορισμό την «ηρεμία» του… ταχυδρόμου και την ικανοποίηση των απαιτήσεων των χρηστών.


1. Διασφάλιση της συνέχειας
Η απρόσκοπτη λειτουργία των συστημάτων email πρέπει να διασφαλίζεται παρά τα όποια προβλήματα, είτε αυτά είναι αναπάντεχα (όπως η διακοπή ρεύματος ή διακοπή λειτουργίας του hardware), είτε προγραμματισμένα (π.χ. συντήρηση). Ο προβληματισμός σχετικά με την επιχειρησιακή συνέχεια εντείνεται καθώς προστίθενται νέα σημεία παρουσίας της εταιρείας, νέα data centers και περισσότεροι servers.

Σύμφωνα με έρευνα της Radicati Group, οι χρήστες του Microsoft Exchange έρχονται αντιμέτωποι κατά μέσο όρο με 1,6 ώρες απρογραμμάτιστου downtime ανά μήνα και άλλες 2,4 ώρες προγραμματισμένου downtime ανά μήνα. Ο σχετιζόμενος επιχειρησιακός κίνδυνος έχει να κάνει με το γεγονός ότι οι χρήστες έχουν απόλυτη ανάγκη από διαρκή πρόσβαση στις πληροφορίες που έχουν αποθηκευμένες στο email τους προκειμένου να μπορούν να συνεργάζονται με συναδέλφους, προμηθευτές και πελάτες.

Σοβαρά προβλήματα δεν κινδυνεύουν να προκληθούν μόνο μετά από ένα μεγάλο περιστατικό. Ακόμα και μια διακοπή των 40 λεπτών, λόγω προβλημάτων κατά την αναβάθμιση, μπορεί να αποδειχθεί ιδιαίτερα ζημιογόνα.

Ως απάντηση στα παραπάνω ζητήματα, πέρα από την καθιέρωση ενός συστήματος failover, θα πρέπει να υπάρχει και ένα πλάνο για business continuity & disaster recovery. Οι χρήστες θα πρέπει να γνωρίζουν το τι θα πρέπει να κάνουν σε περίπτωση που δεν έχουν πρόσβαση στα e-mail τους. Σε κάποιες περιπτώσεις, είναι χρήσιμο να διαθέτετε έναν τρόπο για να ενημερώνετε τους χρήστες σχετικά με το ότι η υπηρεσία του ηλεκτρονικού ταχυδρομείου δεν είναι διαθέσιμη προσωρινά αλλά και με το τι κάνετε σχετικά. Θα μπορούσατε, για παράδειγμα, να ορίσετε μια διαδικασία αλυσιδωτής τηλεφωνικής ενημέρωσης μεταξύ των εργαζομένων ή να παραπέμπετε σε μια ιστοσελίδα όπου γνωστοποιείται το status.

2. Αποφυγή απώλειας δεδομένων
Στις περισσότερες περιπτώσεις, τα emails ταξιδεύουν στο internet σε μορφή απλού κειμένου, γεγονός που σημαίνει ότι είναι πολύ εύκολο να αναχαιτιστούν και να αναγνωστούν από τρίτους. Επιπλέον, οποιοσδήποτε υπάλληλος θα μπορούσε να αποστείλει πληροφορίες σχετικά με την εταιρεία σε οποιονδήποτε τρίτο. Ο κίνδυνος για απώλεια δεδομένων είναι σχεδόν απεριόριστος. Οταν τα δεδομένα που χάθηκαν αφορούν πελάτες της εταιρείας, τότε το πρόβλημα ξεφεύγει από τα όρια της Διεύθυνσης Πληροφορικής αφού θέτει πλέον σε κίνδυνο τη φήμη και την αξιοπιστία  του συνόλου της επιχείρησης.

Επιπλέον, κάποιες εταιρείες υπόκεινται σε συγκεκριμένους κανονισμούς όσον αφορά την προστασία των δεδομένων. Η αντιμετώπιση του θέματος αυτού πρέπει να γίνεται τόσο σε βάση τεχνολογίας, όσο και πολιτικών σχετικά με το πώς θα πρέπει να προστατεύεται κάθε είδος πληροφορίας αλλά και η συσκευή στην οποία αυτή αποθηκεύεται (πχ. laptops).

3. Αναχαίτιση του malware

Σχεδόν τα τρία τέταρτα των emails που κυκλοφορούν στο Internet αποτελούν spam ενώ περίπου ένα στα 200 φέρει κάποιας μορφής malware. Αν και τα στοιχεία ποικίλουν από μήνα σε μήνα, η παραοικονομία ανθεί και οι δημιουργοί κακόβουλου λογισμικού εξελίσσουν διαρκώς τον τρόπο με τον οποίον επιτίθενται κατά των χρηστών. Για παράδειγμα, οι trojans που γράφονται κατά παραγγελία δεν είναι δυνατό να εντοπιστούν από λογισμικό anti-virus που βασίζεται στις υπογραφές.

Σύμφωνα με έρευνες, οι μεγάλες επιχειρήσεις μπορεί να δαπανούν από 100.000 μέχρι και 200.000 ευρώ για να επιδιορθώσουν ένα σοβαρό περιστατικό ασφάλειας.

Αν και η συντριπτική πλειοψηφία των  επιχειρήσεων χρησιμοποιούν κάποιας μορφής anti-virus, ελλοχεύει ο κίνδυνος του εφησυχασμού. Η προστασία αυτή θα πρέπει να παρέχει διαρκή κάλυψη απ’ όλες τις απειλές αφού οι συνέπειες ενός και μόνο ιού μπορεί να είναι καταστροφικές. Στην καλύτερη περίπτωση, θα διακόψει τους εργαζόμενους και θα απαιτήσει κάποιο χρόνο για να «καθαριστεί». Στη χειρότερη, θα μπορούσε να προκαλέσει την απώλεια ευαίσθητης πληροφορίας ή να επιτρέψει στους επιτιθέμενους απομακρυσμένη πρόσβαση στα συστήματα της εταιρείας.


4. Διασφάλιση της συμμόρφωσης
Είναι εύκολο να ορίζει κανείς πολιτικές σχετικά με  την ορθή χρήση του Internet, την προστασία των δεδομένων, το email archiving, την μη-επαγγελματική χρήση κ.λπ. Αυτό που είναι δύσκολο είναι να τα επιβάλει. Οι άνθρωποι δεν είναι μηχανήματα: ξεχνάνε, παρακάμπτουν κάποιους κανόνες και, κάποιες φορές, ψεύδονται, εξαπατούν και κλέβουν. Μια από τις μεγαλύτερες μάχες διαρκείας που έχει να παλέψει κάθε Υπεύθυνος Πληροφορικής αφορά τον εντοπισμό του τρόπου θα διευκολύνει την αποδοχή των πολιτικών. Η παρατεταμένη αδυναμία εφαρμογής των απαραίτητων πολιτικών αποδυναμώνει την άμυνα σας, ακόμα και σε επικοινωνιακό επίπεδο.

Ταυτόχρονα, οι εταιρείες που αποτυγχάνουν να συμμορφωθούν με κανονισμούς κινδυνεύουν να τιμωρηθούν με πρόστιμα και αρνητική δημοσιότητα. Η αντιμετώπιση και αυτού του θέματος προϋποθέτει την αξιοποίηση τόσο της τεχνολογίας, όσο και των πολιτικών. Η σχετική πολιτική θα πρέπει να πλαισιώνεται από εκπαίδευση και ξεκάθαρη καθοδήγηση των χρηστών. Επιπλέον, οι εταιρείες θα πρέπει να είναι ιδιαίτερα συνεπείς όσον αφορά την εφαρμογή των σχετικών πολιτικών.

5. Email archiving
Οι εταιρείες υποχρεούνται να διατηρούν ένα αρχείο με αντίγραφα της ηλεκτρονικής τους αλληλογραφίας τόσο για νομικούς λόγους, όσο και για τη διατήρηση της επιχειρησιακής «σοφίας» που περιλαμβάνεται σε αυτά. Επιπλέον, οι δυσαρεστημένοι πρώην εργαζόμενοι και πελάτες μπορούν να «δημιουργήσουν» δουλειά για τον Υπεύθυνο Πληροφορικής με αιτήματα σχετικά με περιορισμό της πρόσβασης τρίτων σε κάποια θέματα προηγούμενης επικοινωνίας που τους αφορούν. Εάν η εταιρεία δεν ακολουθεί ένα σωστό σύστημα αρχειοθέτησης των emails, αιτήματα όπως τα παραπάνω μπορούν να καταναλώσουν πάρα πολύ χρόνο.

Παράλληλα, καθώς ο όγκος των emails αυξάνεται διαρκώς, η αποθήκευσή τους κοστίζει ολοένα και ακριβότερα. Χωρίς «νοικοκυρεμένα» αρχεία, οι εταιρείες διατρέχουν κίνδυνο απώλειας της εταιρικής μνήμης η οποία βρίσκεται αποθηκευμένη στα emails. Σε πιο ακραίες περιπτώσεις, το αρχείο αποτελεί και απαραίτητο στοιχείο σε περίπτωση που η εταιρεία εμπλακεί σε νομικές αντιπαραθέσεις. Τέλος, σε περίπτωση που εργαζόμενοι αλλάξουν θέση στην εταιρεία -ή αποχωρήσουν από αυτή- το αρχείο διασφαλίζει στους διαδόχους την απαραίτητη γνώση σχετικά με συμφωνίες και επικοινωνίες.

6. «Υπέρβαρα» αρχεία
Η διαχείριση του όγκου των δεδομένων αποτελεί ένα από τα τυπικά προβλήματα του Διευθυντή Πληροφορικής. Ο τυπικός υπάλληλος όχι μόνο χρησιμοποιεί το email για να στείλει μεγάλα αρχεία , αλλά και αποστέλλει το ίδιο μήνυμα σε πολλαπλούς αποδέκτες. Η δραστηριότητα αυτή «κουράζει» τους servers, την αποθήκευση και το backup.

Χωρίς αποτελεσματικό archiving και de-duplication των attachments, ο Διευθυντής Πληροφορικής βρίσκεται αντιμέτωπος με δύο εξίσου δυσάρεστες επιλογές. Είτε θα πρέπει να δαπανήσει περισσότερο χρόνο και χρήματα σε ένα διαρκές upgrading του server και του εξοπλισμού του storage και του backup ή θα πρέπει να επιβάλλουν αυστηρά όρια στον επιτρεπτό όγκο των mailboxes των χρηστών κινδυνεύοντας να τους εκνευρίσουν και να τους οδηγήσουν να δημιουργούν ανεξέλεγκτα αρχεία PST.

To θέμα αυτό αφορά κυρίως τους χρήστες εκείνους που δυσκολεύονται να κατανοήσουν γιατί δεν μπορούν να έχουν μεγαλύτερο mailbox ή γιατί πρέπει να τίθεται κάποιος σχετικός περιορισμός. Γι’ αυτό και είναι σημαντικό να προβλέπετε ρεαλιστικές πολιτικές σχετικά με τον όγκο που θα πρέπει να δικαιούται ο κάθε χρήστης. Κάποια τμήματα δικαιούνται, ενδεχομένως, περισσότερο αποθηκευτικό χώρο.

7. Διατήρηση προβαδίσματος όσον αφορά τις απειλές
Οι νέες απειλές, οι οποίες και εμφανίζονται σε διαρκή βάση αντιπροσωπεύουν μια τεράστια πρόκληση -ειδικά για τις ολιγομελείς Διευθύνσεις Πληροφορικής. Οταν ο Υπεύθυνος Πληροφορικής λειτουργεί ως «άνθρωπος-ορχήστρα,» απλά δεν του περισσεύει χρόνος να εντοπίσει έναν νέο ιό ή μια νέα μορφή spam.

Προκειμένου να προλαμβάνει επιθέσεις από malware -και τα συνεπακόλουθα κόστη και κινδύνους- o πολυάσχολος ΙΤ δεν έχει παρά να «καλύψει τα νώτα του» με το κατάλληλο και απολύτως up-to-date λογισμικό. Αν έχει τη δυνατότητα να προχωρήσει ένα βήμα παραπέρα, θα πρέπει να διαμορφώσει μια στρατηγική ασφάλειας απαραίτητα συστατικά της οποίας είναι: ο εντοπισμός τάσεων, η άμυνα γύρω από γνωστά ευαίσθητα σημεία, και η κατανόηση πρωτοεμφανιζόμενων απειλών καθώς και του συνολικού περιβάλλοντος της ασφάλειας.


8. Αναζήτηση των archived emails
Οι εταιρείες χρειάζεται συχνά να ανατρέξουν σε παλιά emails τόσο για  επιχειρησιακούς όσο και για νομικούς λόγους. Αυτό μπορεί, σε κάποιες περιπτώσεις, να αποδεικνύεται δύσκολο στην πράξη. Για παράδειγμα, η αναζήτηση emails σε ένα λογαριασμό που έχει διαγραφεί δεν είναι πάντα δυνατή με έναν live email server ενώ η ανάκτηση και αναζήτηση σε παλιό backup μπορεί να είναι απαγορευτικά κοστοβόρα.

Εξίσου δύσκολη -έως ανέφικτη- είναι η αναζήτηση παλιών emails εάν οι χρήστες τα έχουν αρχειοθετήσει από μόνοι τους σε τοπικά αρχεία  PST.  Η ανάγκη για μια τέτοια αναζήτηση μπορεί να μην προκύπτει σε καθημερινή βάση, αλλά αν αφορά κάποια ιδιαίτερα πολύτιμη ή ευαίσθητη πληροφορία (νομικής, εμπορικής ή άλλης φύσης), τότε ο χρόνος που απαιτείται για τον εντοπισμό της μπορεί να αποδειχθεί ιδιαίτερα κρίσιμος.

9. Στελέχωση με εξειδικευμένο προσωπικό
Ακόμα και σε περιόδους ύφεσης, ο εντοπισμός των ανθρώπων εκείνων που διαθέτουν τις απαιτούμενες δεξιότητες για τη διαχείριση των emails και η διατήρηση του προσωπικού αυτού σε εγρήγορση μπορεί να αποτελέσει πρόκληση. Σε μεγαλύτερες εταιρείες, το παραπάνω μεταφράζεται σε εντοπισμό ειδικών για συγκεκριμένους τομείς.

Σε μικρότερες εταιρείες, απαιτούνται ΙΤ «γενικών καθηκόντων» που διαθέτουν τις σωστές δεξιότητες email management. Και οι δύο αυτές απαιτήσεις ενέχουν τις δυσκολίες τους. Η έλλειψη εξειδίκευσης οδηγεί σε μια ελλιπή στρατηγική γύρω από το θέμα των emails γεγονός που, με τη σειρά του, δημιουργεί επιπρόσθετη εργασία για το προσωπικό του ΙΤ.

10. Εγκαιρη ενημέρωση των patches
Ιδανικά, τα patches θα πρέπει πρώτα να δοκιμάζονται και μετά να εφαρμόζονται. Ωστόσο, η πραγματικότητα συχνά ρίχνει το προσωπικό του ΙΤ σε μια τρικυμία από patches για διαφορετικά συστήματα. Η διαδικασία της δοκιμής και εφαρμογής τους στα συστήματα των end-users και στους servers μπορεί να δημιουργήσει σημαντική καθυστέρηση. Επιπλέον, υπάρχουν και τα τακτικά updates που εκδίδονται για τα signature-based συστήματα προστασίας.

Αυτά μπορεί να προκύπτουν μέχρι και αρκετές φορές τη μέρα ενώ σε πρόκληση μπορεί να αποδειχθεί ακόμα και η διασφάλιση του ότι εφαρμόζονται εγκαίρως και με συνέπεια. Η καθυστέρηση στην εγκατάσταση των patches -ιδίως αυτών που αφορούν την ασφάλεια, μπορεί να δημιουργήσει κενά σε  σημαντικούς τομείς. Από την άλλη, η βιαστική εφαρμογή των patches χωρίς να έχουν προηγηθεί οι απαραίτητες δοκιμές, μπορεί να οδηγήσει σε ακόμα μεγαλύτερα προβλήματα.

Πέρα από όλα αυτά για τα οποία πρέπει να προβλέπει και να φροντίζει ο Διευθυντής Πληροφορικής, κάποιο μέρος της ευθύνης βαραίνει και τους τελικούς χρήστες. Προσθέστε, λοιπόν, ότι κρίνετε απαραίτητο στη διπλανή λίστα και μοιράστε την στους τελικούς σας χρήστες.

Θωρακίστε το γραμματοκιβώτιο σας!
Φιλικές συμβουλές από τη Διεύθυνση Πληροφορικής

1. Βεβαιωθείτε ότι ο υπολογιστής σας έχει κατεβάσει το πιο πρόσφατο security update (αναβάθμιση λογισμικού ασφάλειας)
2. Εχετε το νου σας για περίεργο ή ασυνήθιστο περιεχόμενο στα emails
3. Μην ανοίγετε ποτέ τα ύποπτα μηνύματα – ούτε καν στο παράθυρο του preview. Διαγράψτε τα αμέσως
4. Να είστε επιφυλακτικοί όταν λαμβάνετε e-mail ή IM από γνωστούς σας που σας παροτρύνουν να επισκεφθείτε ένα συγκεκριμένο website. Ο υπολογιστής τους μπορεί να έχει μολυνθεί από ιό ο οποίος και αποστέλλει αυτά τα μηνύματα
5. Μην απαντάτε ποτέ σε spam, ακόμα και αν αυτό σας καλεί να κάνετε “unsubscribe” (αυτό απλά επιβεβαιώνει την ηλεκτρονική σας διεύθυνση στον αποστολέα του spam)
6. Μην πατάτε ποτέ σε links (συνδέσμους) που φέρει ένα ύποπτο email
7. Μην ανοίγετε ύποπτα συνημμένα αρχεία στο Instant Messaging. Μπορεί να περιέχουν ιούς και κακόβουλο λογισμικό, όπως ακριβώς και τα email
8. Να γνωρίζετε ότι καμία αληθινή τράπεζα δεν πρόκειται ποτέ να σας ζητήσει να επιβεβαιώσετε τον αριθμό του λογαριασμού σας μέσω email
9. Σεβαστείτε τους κανόνες της εταιρείας σχετικά με τη χρήση του Internet
10. ….