Οι επενδύσεις στην Ασφάλεια των Πληροφοριών είναι κρίσιμες, καθώς οι απειλές αυξάνονται ραγδαία μαζί με τις τεχνολογικές εξελίξεις. Αντιμετωπίζουν όμως οι διοικήσεις των επιχειρήσεων τον τομέα αυτό με την απαραίτητη σοβαρότητα; Είναι έτοιμες να αντιμετωπίσουν τις νέες προκλήσεις και να εντοπίσουν τις ευκαιρίες που συνδέονται με τις καινοτόμες τεχνολογικές τάσεις και λύσεις όπως το Cloud και το mobile computing; Αναγνωρίζουν τους κινδύνους εγκαίρως και επαρκώς; Αυτά είναι μερικά από τα ζητήματα που εξετάζει η μελέτη για την ελληνική αγορά, που διεξήγαγε για πρώτη φορά η PwC στο πλαίσιο της 10ης Παγκόσμιας Έρευνας για την Κατάσταση της Ασφάλειας των Πληροφοριών (Global Information Security Survey 2013®1).
«Για πολλές επιχειρήσεις η μάχη για την επίτευξη ενός ικανοποιητικού επιπέδου Ασφάλειας είναι πλέον άνιση», παρατηρεί ο κος Αστέριος Βουλανάς, Partner και επικεφαλής του τομέα Ασφάλειας των Πληροφοριών της PwC στην Ελλάδα. «Ενώ οι απειλές και η πολυπλοκότητά τους αυξάνονται ταχύτατα, οι μηχανισμοί Ασφάλειας των επιχειρήσεων αποδυναμώνονται λόγω της οικονομικής κρίσης. Και οι δαπάνες σε διάφορες δραστηριότητες για την Ασφάλεια μειώνονται – είτε πρόκειται για τεχνολογικές λύσεις και υπηρεσίες είτε για εξειδικευμένους επαγγελματίες ή ακόμα και για εκπαίδευση».
«Το Internet είναι το νέο πεδίο-μάχης», τονίζει ο κος Βουλανάς, «με πολλαπλασιαζόμενους κινδύνους από απρόβλεπτους παράγοντες – οργανωμένο έγκλημα, ανταγωνιστές, επιθέσεις σε κυβερνητικούς Οργανισμούς, οικονομικές απάτες, hacktivists2. Δυστυχώς η ψαλίδα ανάμεσα στις απειλές και τα κατάλληλα μέτρα προστασίας διευρύνεται και μάλιστα με ταχύτερους ρυθμούς απ ό,τι στο παρελθόν. Επιπλέον οι οικονομικές συνθήκες από την κρίση στην Ελλάδα επιβαρύνουν ακόμα περισσότερο την κατάσταση».
«Οι επιχειρήσεις δεν μπορούν να αφήνουν την Ασφάλεια των Πληροφοριών τους στην τύχη. Αντίθετα, πρέπει να εξετάζουν εις βάθος και να διαχειρίζονται ένα ευρύ φάσμα δραστηριοτήτων. Οι νέοι κανόνες του παιχνιδιού απαιτούν σαφή στρατηγική και δεξιότητες ασφάλειας υψηλού επιπέδου. Μόνον έτσι οι επιχειρήσεις θα βρίσκονται σε πλεονεκτική θέση, ώστε να αποφεύγουν ή να αντιμετωπίζουν αποτελεσματικά περιστατικά Ασφάλειας που θα μπορούσαν να έχουν σοβαρές επιπτώσεις», καταλήγει ο κος Βουλανάς.

Η Διοίκηση πρέπει να δίνει τη δέουσα σημασία στην Ασφάλεια των Πληροφοριών
Η PwC πιστεύει ότι η στρατηγική και οι δαπάνες για την Ασφάλεια των Πληροφοριών πρέπει να είναι εναρμονισμένες με τους επιχειρηματικούς στόχους και να αποτελούν προτεραιότητα στην ατζέντα της Διοίκησης. Οι επικεφαλής του τομέα της Ασφάλειας των Πληροφοριών (CSO, CISO) πρέπει να συμμετέχουν στη λήψη σημαντικών αποφάσεων και να έχουν άμεση πρόσβαση στη Διοίκηση. Παρ όλα αυτά, η έρευνα της PwC δείχνει ότι οι Διοικήσεις των επιχειρήσεων πρέπει να ασχοληθούν σοβαρότερα με την Ασφάλεια, καθώς, στην Ελλάδα και στην Ευρωζώνη σχεδόν ένας στους δύο CSO αναφέρονται στον επικεφαλής του τομέα τεχνολογίας, ενώ σχετικά λίγοι αναφέρονται σε Διευθύνοντες Συμβούλους.
Ακόμη, η ίδια η Διοίκηση συχνά αποτελεί ένα από τα μεγαλύτερα εμπόδια στην αποτελεσματικότητα της Ασφάλειας, σύμφωνα με το 50% περίπου των συμμετεχόντων στην έρευνα από την Ελλάδα αλλά και διεθνώς. Επιπλέον, αρκετοί δήλωσαν ότι οι επιχειρήσεις εξακολουθούν να μην κατανοούν τη χρησιμότητα της Ασφάλειας των Πληροφοριών για τις μελλοντικές τους ανάγκες (33% Ελλάδα, 24% διεθνώς).
«Οι νέες απειλές δεν αντιμετωπίζονται μόνο μέσω τεχνολογικών λύσεων, είναι ζήτημα κουλτούρας, επίγνωσης των κινδύνων και διαρκούς εγρήγορσης, την οποία μπορεί να εμφυσήσει καλύτερα απ όλους η ηγεσία της επιχείρησης», υπογραμμίζει ο κος Βουλανάς.

Οι δαπάνες μειώνονται λόγω κρίσης και δεν αξιολογούνται ικανοποιητικά
Στην Ελλάδα οι επιχειρήσεις επενδύουν στην Ασφάλεια των Πληροφοριών έχοντας προτεραιότητα να προστατεύσουν τα οικονομικά τους στοιχεία (77%), την πνευματική τους ιδιοκτησία (63%) και τα δεδομένα των πελατών τους (61%).
Η έρευνα δείχνει ότι οι οικονομικές συνθήκες και όχι οι επιχειρηματικές ανάγκες των επιχειρήσεων είναι αυτές που επηρεάζουν το μέγεθος των δαπανών για την Ασφάλεια των Πληροφοριών. Στην Ελλάδα το γεγονός αυτό είναι πολύ πιο έντονο (74% Ελλάδα, 46% διεθνώς, 40% Ευρωζώνη).
Σύμφωνα με την έρευνα, βασικό κριτήριο αξιολόγησης της αποτελεσματικότητας των δαπανών για την Ασφάλεια είναι η επαγγελματική κρίση των στελεχών (62%), χωρίς όμως να είναι μετρήσιμο. Για το λόγο αυτό οι συμμετέχοντες δεν εμφανίζονται απόλυτα σίγουροι για την αποτελεσματικότητα των δραστηριοτήτων τους ως προς την Ασφάλεια των Πληροφοριών.
«Οι υπεύθυνοι ασφαλείας θα πρέπει να συντηρούν ένα αποδεκτό επίπεδο ασφάλειας και να στοιχειοθετούν ικανοποιητικά προς τη Διοίκηση το κόστος και τα οφέλη επενδύσεων για την Ασφάλεια των Πληροφοριών. Θα πρέπει επίσης να λαμβάνουν υπόψη, εκτός από το αμιγώς οικονομικό κόστος, παραμέτρους όπως η ποιοτική μείωση κινδύνων και άλλα επιχειρηματικά οφέλη», σημειώνει ο κος Βουλανάς.

Οι συνέπειες ενός λάθους έχουν μεγαλύτερο κόστος από το κόστος πρόληψής του
Σύμφωνα με την έρευνα, στην Ελλάδα οι Οργανισμοί διστάζουν να αναγνωρίσουν ότι έχουν πληγεί από περιστατικά Ασφάλειας Πληροφοριών και εμφανίζονται ακόμα περισσότερο απρόθυμοι να τα αναφέρουν στις Αρχές (65% δεν έκαναν καταγγελία στις αρμόδιες αρχές). Κι αυτό, παρόλο που το 70% δήλωσαν σημαντικές οικονομικές ζημιές, απώλεια πελατών, εμπλοκή σε χρονοβόρες νομικές διαδικασίες, ενώ ότι παράλληλα βάλλεται το όνομά τους και η εταιρική τους φήμη. Οι επιπτώσεις αυτές μακροπρόθεσμα μπορούν να αποβούν ακόμα πιο επιζήμιες για τις επιχειρήσεις.

Cloud και Αναδυόμενες Τεχνολογίες
Η έρευνα έδειξε ότι οι Έλληνες είναι σχετικά διστακτικοί στο να επεκτείνουν τις δραστηριότητές τους στο Cloud, λόγω του επιπέδου Ασφάλειας των Πληροφοριών το οποίο σχετίζεται με τη χρήση της συγκεκριμένης τεχνολογίας. Το ενθαρρυντικό όμως συμπέρασμα της έρευνας είναι ότι ο σχεδιασμός ή η υλοποίηση συγκεκριμένης στρατηγικής για το Cloud, αποτελούν προτεραιότητα για τις επιχειρήσεις και τους Οργανισμούς στην Ελλάδα.
 
Οι κινητές συσκευές, τα μέσα κοινωνικής δικτύωσης (social media) και το Cloud αποτελούν κοινό τόπο εντός και εκτός των επιχειρήσεων και η υιοθέτηση αυτών των νέων τεχνολογιών κινείται ταχύτερα από την εφαρμογή της Ασφάλειας. Σύμφωνα με την έρευνα, ενώ το 88% των καταναλωτών χρησιμοποιούν προσωπικές τους συσκευές τόσο για την ιδιωτική τους ζωή όσο και για επαγγελματικούς λόγους, μόλις το 45% των επιχειρήσεων έχουν στρατηγική Ασφάλειας για τις προσωπικές συσκευές στο χώρο εργασίας και 37% διαθέτουν προστασία από κακόβουλο λογισμικό για κινητές συσκευές.