Η RSA, το Τμήμα Ασφαλείας της EMC, έδωσε στη δημοσιότητα την τελευταία έκθεση του SBIC (Συμβούλιο για την Προστασία της Επιχειρηματικής Καινοτομίας – Security for Business Innovation Council), στην οποία περιλαμβάνονται γενικές κατευθύνσεις για το πώς μπορεί ένας οργανισμός να αποκτήσει ανταγωνιστικό πλεονέκτημα, μετασχηματίζοντας τις παλιές, όχι ευέλικτες, διαδικασίες που εφαρμόζει αναφορικά με τη χρήση και την προστασία των πληροφοριών.   

Στην έκθεση επισημαίνονται οι κύριες δυσκολίες που εμπεριέχει ένα τέτοιο εγχείρημα, καθώς και οι σύγχρονες τεχνικές που θα πρέπει να υιοθετηθούν, ενώ παρέχονται συμβουλές που βοηθούν τους οργανισμούς να σχεδιάσουν και να υλοποιήσουν νέες διαδικασίες, οι οποίες εκτός από ανταγωνιστικό πλεονέκτημα προσφέρουν και τη δυνατότητα πιο αποτελεσματικής διαχείρισης των κινδύνων του κυβερνοχώρου.

Στην τελευταία αυτή έκθεση, με τίτλο Transforming Information Security: FutureProofingProcesses (Μετασχηματίζοντας την Ασφάλεια Πληροφορικών Συστημάτων – Διαδικασίες από το μέλλον), το Συμβούλιο παρατηρεί ότι στο εσωτερικό των οργανισμών υπάρχουν πλέον ομάδες οι οποίες αισθάνονται μεγαλύτερη ευθύνη για τη διαχείριση του κινδύνου των πληροφορικών συστημάτων, όμως οι πεπαλαιωμένες διαδικασίες ασφαλείας που ακολουθούν εμποδίζουν την καινοτομία και δυσχεραίνουν την καταπολέμηση των κακόβουλων δράσεων. Με την έκθεσή του, το Συμβούλιο περιγράφει τις βασικές κατευθύνσεις και καλεί τους υπεύθυνους ασφαλείας να συνεργαστούν πιο στενά με τις υπόλοιπες διευθύνσεις ενός οργανισμού προκειμένου να καθιερωθούν νέες διαδικασίες και συστήματα που θα βοηθήσουν στον εντοπισμό, την αξιολόγηση και την παρακολούθηση των κινδύνων του κυβερνοχώρου, με μεγαλύτερη ταχύτητα και ακρίβεια.

Στην νέα έκθεση επισημαίνονται, επίσης, περιοχές όπου οι συνθήκες είναι ώριμες για βελτιώσεις όσον αφορά τη διαχείριση κινδύνων, όπως η ανίχνευση κακόβουλων επιθέσεων, η αξιολόγηση των συστημάτων ελέγχου, η μέτρηση ενδεχόμενου ρίσκου, ο βαθμός εμπλοκής των υπολοίπων τμημάτων, καθώς και η εκτίμηση των κινδύνων που προέρχονται από εξωτερικούς συνεργάτες.  Παράλληλα, το Συμβούλιο προχωρά σε πέντε συστάσεις για το πώς μπορεί να επιταχυνθεί ο μετασχηματισμός των προγραμμάτων ασφαλείας ώστε να δημιουργηθεί ανταγωνιστικό πλεονέκτημα για τον οργανισμό που το επιχειρεί:

 

  1. Μετατόπιση του ενδιαφέροντος από τα τεχνικά θέματα στις κρίσιμες επιχειρησιακές διαδικασίες: Ξεφύγετε από μια κοντόθφαλμη, τεχνοκρατική αντίληψη προστασίας και συνεργαστείτε με τις διευθύνσεις του οργανισμού προκειμένου να κατανοήσετε πώς αξιοποιούνται οι πληροφορίες και να καταγράψετε τις κρίσιμες επιχειρησιακές διαδικασίες.
  2. Εκτίμηση των κινδύνων του κυβερνοχώρου με επιχειρηματικούς όρους: Περιγράψτε τους κινδύνους του κυβερνοχώρου χρησιμοποιώντας μετρήσιμα μεγέθη που συνδέονται με τα αποτελέσματα του οργανισμού και ενσωματώστε τις ενδεχόμενες αρνητικές επιπτώσεις στη διαδικασία εκτίμησης ρίσκου.
  3. Εκτίμηση κινδύνων με γνώμονα την επιχειρηματική δραστηριότητα του οργανισμού (BusinesscentricRiskAssessment): Χρησιμοποιείστε αυτόματα εργαλεία για τον έλεγχο των κινδύνων κάθε επιχειρησιακής μονάδας, ώστε η τελευταία να μπορεί να αναλάβει ενεργό ρόλο στον εντοπισμό και την αποτροπή των κινδύνων.
  4. Διασφάλιση από κινδύνους, με αποδείξεις. Δημιουργήστε και κωδικοποιήστε τη δυνατότητα συλλογής στοιχείων που αποδεικνύουν την αποτελεσματικότητα των μηχανισμών ελέγχου σε συνεχή βάση.
  5. Ανάπτυξη τεχνικών για τη συλλογή στοχευμένων πληροφοριών (InformedDataCollectionΔημιουργήστε τις προϋποθέσεις για μεγαλύτερη ορατότητα των δεδομένων και πιο ενδελεχή ανάλυση. Αναλογιστείτε τι είδους ερωτήσεις μπορούν να απαντηθούν μέσα από τα data analytics προκειμένου να εντοπίσετε τις κατάλληλες πηγές δεδομένων.

Σχόλια Στελεχών:

Art Coviello, Εκτελεστικός Αντιπρόεδρος στην EMC & Εκτελεστικός Πρόεδρος στην ΅RSA, The Security Division of EMCΆ

“Στο σύγχρονο ψηφιακό κόσμο, προϋπόθεση για την επιτυχημένη ενασχόληση μιας επιχείρησης με την καινοτομία είναι ο επαναπροσδιορισμός του τρόπου διαχείρισης του cyber risk, με την απομάκρυνση από παρωχημένες και μονολιθικές τεχνικές περιμετρικής προστασίας και τη στροφή σε ευέλικτες μεθόδους που περιλαμβάνουν και τη συνεργασία των υπολοίπων τμημάτων της επιχείρησης.  Η σύγχρονη φιλοσοφία την οποία περιγράφει το Συμβούλιο μπορεί να βοηθήσει τις επιχειρήσεις να εντοπίζουν ταχύτερα τους κινδύνους που είναι σε θέση να αποτρέψουν, με προφανή οφέλη σε επίπεδο επιχειρησιακής λειτουργίας.”

Dave Martin, Αντιπρόεδρος και Γενικός Διευθυντής Ασφάλειας Πληροφορικής (CISO) στην EMC Corporation

“Η κωδικοποίηση των επιχειρησιακών διαδικασιών ενός οργανισμού θα πρέπει να είναι αποτέλεσμα συντονισμένης προσπάθειας όλων των τμημάτων, ώστε να αποτυπώνονται με ακρίβεια όλοι οι ενδεχόμενοι κίνδυνοι. Κανείς δεν μπορεί να γνωρίζει καλύτερα την αξία μιας πληροφορίας από τον κάτοχο της, αλλά και αυτός δεν είναι σε θέση να κατανοήσει το ενδεχόμενο ρίσκο στον ίδιο βαθμό με τους υπεύθυνους ασφαλείας.”

Σχετικά μετο Security for Business Innovation Council

Tο συμβούλιο SBIC (Security for Business Innovation Council ) απαρτίζεται από υπεύθυνους για την ασφάλεια των πληροφορικών συστημάτων σε επιχειρήσεις του Global 1000, οι οποίοι εργάζονται με προσήλωση για την αναβάθμιση της ασφάλειας του ΙΤ σε ολόκληρο τον κόσμο, μέσα από την ανταλλαγή εμπειριών και γνώσης. Το συμβούλιο παράγει, σε τακτική βάση, εκθέσεις αναφορικά με το ρόλο που έχει η προστασία των πληροφοριών, ως βασικός μοχλός ανάπτυξης της επιχειρηματικής καινοτομίας. Αυτή η έκθεση είναι η δεύτερη της σειράς σχετικά με τη δημιουργία ενός προγράμματος επόμενης γενιάς για την ασφάλεια πληροφοριακών συστημάτων. Η πρώτη, με τίτλο Transforming Information Security: How to Build a State-of-the Art Extended Team, δημοσιεύτηκε το Σεπτέμβριο 2013. Μεταξύ των συντελεστών της τελευταίας αυτής έκθεσης περιλαμβάνονται 19 υπεύθυνοι ασφαλείας ορισμένων από τις μεγαλύτερες επιχειρήσεις του κόσμου, όπως:


ABN Amro

ADP, Inc.

Airtel

AstraZeneca

Coca-Cola

eBay

EMC Corp.

FedEx Corp.

Fidelity Investments

HDFC Bank Ltd.

HSBC Holdings plc.

Intel

Johnson & Johnson

JPMorgan Chase

Nokia

SAP AG

TELUS

T-Mobile USA

Walmart

 

Πρόσθετες Πηγές