«Οι επιχειρήσεις πρέπει να εφαρμόζουν ένα δομημένο μοντέλο ολιστικής προσέγγισης απέναντι στην κυβερνοασφάλεια, με βάση τις ανάγκες, τις υποχρεώσεις και το επίπεδο αποδεκτού κινδύνου» επισημαίνει, μεταξύ άλλων, στη συνέντευξη που ακολουθεί, η κ. Παναγιώτα Λαγού, Senior Manager, Cyber Security Consulting, Adacom SA.
Πώς αντιμετωπίζουν οι επιχειρήσεις και οι οργανισμοί, γενικότερα, τον τομέα της κυβερνοασφάλειας; Υπάρχει κουλτούρα κυβερνοασφάλειας ή είναι ένα στοιχείο στο οποίο υστερούν;
Η αντιμετώπιση των οργανισμών, δημόσιου και ιδιωτικού τομέα, προς την κυβερνοασφάλεια έχει αλλάξει πολύ τα τελευταία χρόνια. Οι οργανισμοί αναγνωρίζουν πλέον σε επίπεδο διοικητικό (C-Suite) την παραβίαση κυβερνοασφάλειας ως στρατηγικό κίνδυνο, δίνοντας περισσότερη προσοχή και προτεραιότητα στην αντιμετώπισή του. Ως εκ τούτου, υπάρχει ευαισθητοποίηση και ενημέρωση σε θέματα κυβερνοασφάλειας. Παρ’ όλα αυτά, η κουλτούρα είναι το πιο δύσκολο να αλλάξει και απαιτείται χρόνος για να φτάσουν οι οργανισμοί σε ένα πολύ καλό επίπεδο.
Οι επιχειρήσεις εντάσσουν την ασφάλεια των δεδομένων τους στα βασικά επενδυτικά τους σχέδια;
Τόσο το συνεχώς μεταλλασσόμενο περιβάλλον απειλών και κυβερνοεπιθέσεων όσο και το κανονιστικό πλαίσιο, που περιλαμβάνει πλέον υποχρεώσεις για υψηλό επίπεδο κυβερνοασφάλειας, ωθεί τις επιχειρήσεις να επενδύουν σε μέτρα προστασίας, αλλά και ανθρώπινο δυναμικό που μπορεί να υποστηρίξει τις υποχρεώσεις αυτές. Είναι πλέον ξεκάθαρο από τις στατιστικές μελέτες των τελευταίων χρόνων ότι οι μεγάλες επιπτώσεις από μια κυβερνοεπίθεση, που μπορεί να είναι οικονομικές, εμπορικές αλλά και κανονιστικές, δύναται να πλήξουν το όνομα και τη φήμη του οργανισμού σε κρίσιμο επίπεδο. Θεωρούμε ότι ειδικά η κανονιστική και νομική συμμόρφωση αποτελεί ισχυρή κατευθυντήρια γραμμή και κίνητρο για την εφαρμογή κατάλληλων μέτρων κυβερνοασφάλειας. Γι’ αυτό και παρατηρούμε ότι κυρίως οργανισμοί που έχουν κανονιστικές υποχρεώσεις (όπως Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, NIS2, Digital Operational Resilience Act κτλ.) αυξάνουν τις επενδύσεις τους προς τη βελτίωση της κυβερνοασφάλειας. Λιγότερο ώριμοι είναι οργανισμοί που δεν έχουν άμεσες αντίστοιχες απαιτήσεις.
Τι πρέπει να κάνουν οι επιχειρήσεις για να είναι ασφαλείς; Ποια είναι τα βήματα που πρέπει να ακολουθήσουν, από τον σχεδιασμό μέχρι την υλοποίηση, για να θωρακιστούν απέναντι στους ψηφιακούς κινδύνους;
Τονίζεται ότι η εφαρμογή μόνο ενός εργαλείου ή λύσης δεν επαρκεί. Οι επιχειρήσεις θα πρέπει να εφαρμόσουν ένα δομημένο μοντέλο ολιστικής προσέγγισης απέναντι στην κυβερνοασφάλεια, με βάση τις ανάγκες, τις υποχρεώσεις και το επίπεδο αποδεκτού κινδύνου.
Απαραίτητα βήματα:
- Αναγνώριση αναγκών και υποχρεώσεων
- Αξιολόγηση και αποδοχή κινδύνων από τη μη ικανοποίηση αναγκών και υποχρεώσεων
- Αποτύπωση μοντέλου διακυβέρνησης που να καθορίζει τη δέσμευση της Διοίκησης προς την κυβερνοασφάλεια, αλλά και να παρέχει σαφή καθοδήγηση προς τους χρήστες του οργανισμού
- Εφαρμογή τεχνικών και οργανωτικών μέτρων που να καλύπτουν επαρκώς τους κινδύνους που έχουν αναγνωριστεί και αξιολογηθεί ως μη αποδεκτοί
- Συνεχής παρακολούθηση, έλεγχος και βελτίωση του επιπέδου κυβερνοασφάλειας
Τι προσφέρουν οι εταιρείες cyber security σε επιχειρήσεις και οργανισμούς για να αντιμετωπίσουν απειλές και προβλήματα κυβερνοασφάλειας; Ποιους μηχανισμούς άμυνας;
Ο εταιρείες cyber security, χρησιμοποιώντας την εξειδικευμένη γνώση και εμπειρία τους, μπορούν να υποστηρίξουν τους οργανισμούς σε όλες τις φάσεις και τα βήματα που απαιτούνται για την επίτευξη αποδεκτού επιπέδου κυβερνοασφάλειας:
- Καθοδήγηση στην εφαρμογή μοντέλου κυβερνοασφάλειας που να διασφαλίζει την ικανοποίηση όλων των στόχων του οργανισμού.
- Ενημέρωση και ανάδειξη των κινδύνων και απειλών που υπάρχουν με βάση τις πιο πρόσφατες τάσεις και κυβερνοεπιθέσεις.
- Συνεχή επικοινωνία με τη Διοίκηση/τους υπευθύνους λήψης αποφάσεων, για άμεση ενημέρωση και παρακολούθηση της προστασίας του οργανισμού.
- Εφαρμογή τεχνικών μέτρων προστασίας σε όλα τα επίπεδα (δικτύου, εφαρμογών, βάσεων δεδομένων, κατά την αποθήκευση ή και μεταφορά), εφαρμόζοντας προηγμένες τεχνολογίες.
- Ανάδειξη της ανάγκης και υλοποίηση οργανωτικών μέτρων κυβερνοασφάλειας, διεργασιών αξιολόγησης, παρακολούθησης και δοκιμών.
- Άμεση και έγκαιρη αντιμετώπιση προβλημάτων και κυβερνοεπιθέσεων.
Aπό το περιοδικό ΧΡΗΜΑ
