Ένας ακόμα χρόνος ετοιμάζεται να μπει στο χρονοντούλαπο της Ιστορίας , έχοντας αφήσει πίσω του ένα πλούσιο ψηφιακό αποτύπωμα και ακόμα πιο πλούσια πεπραγμένα στον τομέα της Ασφάλειας των Πληροφοριών (εφεξής: ΑΠ) και των ψηφιακών υποδομών.

Double exposure mixed media. Diagrams and icons on hologram screen. Business people and modern city on background.

 


Νότης Ηλιόπουλος

MSc InfoSec, MSc MBIT, CISA, CISM, ISO27k LA

Information Security & Compliance Officer

MR HealthTech Ltd.

 

Χαρακτηριστικά των τελευταίων δύο ετών υπήρξαν, μεταξύ άλλων, ο άκρατος ψηφιακός μετασχηματισμός, η (συχνά) βεβιασμένη μετάβαση στο υπολογιστικό σύννεφο, η καθιέρωση του υβριδικού μοντέλου εργασίας, η ύπαρξη ενός διαρκώς διογκούμενου και ενίοτε αντικρουόμενου κανονιστικού πλαισίου, καθώς και ψηφιακή αυτοματοποίηση μεγάλου αριθμού επιχειρηματικών διεργασιών. Πέραν αυτών, η χρήση κάθε είδους νεωτερισμού που άπτεται της τεχνολογίας, υιοθετείται με σκοπό τη δημιουργία ανταγωνιστικού πλεονεκτήματος. Αναφορικά με την ΑΠ, είναι γεγονός ότι σε θεωρητικό επίπεδο παρατηρείται μεγάλη κινητικότητα, η οποία, ωστόσο, δεν ανταποκρίνεται στην πράξη και στην παρατηρούμενη ελάχιστη πραγματική δραστηριοποίηση, ενώ παράλληλα ανώτερα στελέχη Οργανισμών και φορέων τοποθετούνται ολοένα και περισσότερο επί των ζητημάτων της. Στο παραπάνω συνεχώς μεταλλασσόμενο και πλήρως διασυνδεδεμένο περιβάλλον, εντός του οποίου οι μελλοντικές τάσεις έχουν καταστεί σαφείς, η ανάλυση των όποιων λαθών και παραλείψεων έχουν παρατηρηθεί κατά το χρονικό διάστημα των προηγούμενων δύο ετών μπορεί να συμβάλει αποφασιστικά ώστε τα λάθη να μην επαναληφθούν και παράλληλα τα συμπεράσματα που μπορούν να εξαχθούν από αυτά να αποτελέσουν χρήσιμο υλικό για την οικοδόμηση ενός ασφαλέστερου μέλλοντος.

Εμβαθύνοντας στις στατιστικές και τις αναλύσεις

Αφετηρία αποτελούν, εν προκειμένω, οι προσεγγίσεις ηγετικών στελεχών Οργανισμών και φορέων ως προς τους ευρύτερους κινδύνους που αναγνωρίζονται ως απειλές για τη επιχειρηματική βιωσιμότητα και ανθεκτικότητα. Όπως και την προηγούμενη, αλλά πιθανότατα και την επόμενη χρονιά, την πρώτη θέση κατέχουν οι κίνδυνοι που αφορούν στον κυβερνοχώρο (49%) και έπονται οι κίνδυνοι σχετικά με την παγκόσμια κατάσταση της υγείας (48%), καθώς η πανδημία εξακολουθεί να μαστίζει την ανθρωπότητα (πηγή: PwC’s 25th Annual Global CEO Survey). Οι ηγέτες μεγάλων εταιρειών και Οργανισμών συμπεριλαμβάνουν πλέον στους εταιρικούς στόχους την ψηφιακή ασφάλεια και την προστασία των προσωπικών δεδομένων, διότι πιστεύουν ότι αποτελούν σημαντικό παράγοντα επίτευξης της επιχειρηματικής βιωσιμότητας. Ταυτόχρονα, αναφέρονται στη δημιουργία του απαραίτητου πλαισίου ενδυνάμωσης και στήριξης του ρόλου του Υπευθύνου ΑΠ, τον οποίο εφοδιάζουν με τη δυνατότητα για διατμηματικές συνεργασίες και για συμμετοχή στην λήψη επιχειρηματικών αποφάσεων, με σκοπό την ελαχιστοποίηση των σχετικών κινδύνων. Γίνεται αντιληπτό ότι οι επιχειρήσεις και οι Οργανισμοί αποδίδουν ή προσπαθούν να αποδώσουν στην ΑΠ τη δέουσα σημασία, τουλάχιστον σε θεωρητικό επίπεδο. Στην πράξη, το 2022 ο αριθμός τόσο των περιστατικών ΑΠ όσο και των επιτυχημένων επιθέσεων αυξήθηκε σημαντικά. Την ίδια αυξητική τάση είχαν και οι τεχνικές αδυναμίες ψηφιακής ασφάλειας τις οποίες εκμεταλλεύονται οι εκάστοτε κακόβουλοι προκειμένου να παραβιάσουν την ασφάλεια των δεδομένων και των ψηφιακών υποδομών. Αντίστοιχα φαινόμενα προβλέπονται και για το επόμενο έτος. Το υφιστάμενο πλήρως διασυνδεδεμένο ψηφιακό περιβάλλον γίνεται ολοένα και πιο περίπλοκο και η ψηφιακή αυτοματοποίηση των εταιρικών διεργασιών δεν επιτρέπει καθυστερήσεις στο πλαίσιο της αντιμετώπισης των περιστατικών ΑΠ, ενώ παράλληλα απαιτεί, περισσότερο από ποτέ, την αποτελεσματική λειτουργία των σχετικών δικλείδων ασφάλειας.

Ας δούμε όμως πώς διαμορφώνεται το πεδίο δράσης, ποιοι πρωταγωνιστούν και πού χρειάζεται να κατευθυνθεί η σχετική δράση, με βάση τα διδάγματα της απελθούσας χρονιάς και των επερχόμενων τάσεων, (πηγή: 2022 Data Breach Investigations Report by Verizon). Οι εξωτερικοί κακόβουλοι παράγοντες παραμένουν σταθερά η κύρια πηγή απειλών και είναι υπαίτιοι για το 80% των περιστατικών που αφορούν στην ΑΠ. Ειδικότερα, τα περιστατικά που εμπίπτουν στην κατηγορία Denial of Service (DoS) αποτελούν το 46% των κακόβουλων ενεργειών, ακολουθούμενα από περιστατικά στα οποία έγινε χρήση κακόβουλου λογισμικού, τα οποία ανέρχονται σε ποσοστό 17%. Οι Web εφαρμογές δέχονται τις περισσότερες επιθέσεις και κατ’ επέκταση συνδέονται άμεσα με τον υψηλό αριθμό επιθέσεων τύπου Denial of Service (DoS), καθώς και με επιθέσεις κατά τις οποίες χρησιμοποιήθηκαν κλεμμένοι κωδικοί πρόσβασης. Όσον αφορά τις επιτυχημένες επιθέσεις που οδήγησαν σε παραβιάσεις, στην πλειοψηφία τους επιτεύχθηκαν με τη χρήση τέτοιων κωδικών, αλλά και κακόβουλου λογισμικού τύπου Ransomware, καθώς και με τη χρήση τεχνικών κοινωνικής μηχανικής (social engineering), κυρίως Phishing. Οι Web εφαρμογές και το ηλεκτρονικό ταχυδρομείο (email) αποτελούν το κατεξοχήν αντικείμενο των επιτυχημένων παραβιάσεων, , ενώ ακολουθεί το λογισμικό που παρέχει απομακρυσμένη πρόσβαση στο υπολογιστικό σύστημα των χρηστών (Desktop Sharing Software). Από τα παραπάνω, καθίσταται επίσης σαφές ότι οι ψηφιακοί πόροι οι οποίοι δέχονται τις περισσότερες επιθέσεις, είναι οι διακομιστές εφαρμογών ιστού (56%) και οι διακομιστές αλληλογραφίας (28%). Δεδομένου ότι πρόκειται για στοιχεία γνωστά, εν πολλοίς, στους επαγγελματίες που δραστηριοποιούνται στον χώρο, οι Οργανισμοί έχουν τη δυνατότητα, αξιοποιώντας τα, να δράσουν, αλλά και να αντιδράσουν ανάλογα, είτε στο επίπεδο της πρόληψης, είτε στο επίπεδο της αξιολόγησης της αποτελεσματικότητας των υφιστάμενων μέτρων προστασίας. Πέρα από τις στατιστικού τύπου αναλύσεις και διαπιστώσεις, στη πράξη προκύπτει ότι μόνο το 40% των ερωτηθέντων δηλώνουν ότι έχουν μετριάσει πλήρως τους ανωτέρω αναφερθέντες κινδύνους, ενώ στο επίκεντρο βρίσκεται η απομακρυσμένη εργασία (38%) και η μετάβαση στο cloud (35%). Λιγότερο από το 3% των ερωτηθέντων δηλώνουν ότι έχουν διαχειριστεί πλήρως τους σημαντικότερους κινδύνους. Όπως προκύπτει από τα στατιστικά στοιχεία, τα ίδια τα επιχειρηματικά στελέχη ομολογούν ότι οι Οργανισμοί τους δεν είναι πλήρως έτοιμοι να αντιμετωπίσουν τις αυξημένες απειλές ΑΠ. Στην κορυφή της λίστας για την επόμενη χρονιά βρίσκονται η διαδικτυακή εγκληματικότητα (65%), οι κάθε είδους φορητές συσκευές (41%), το εταιρικό email (40%), οι παραβιάσεις των υποδομών που βρίσκονται στο cloud (38%), και το κακόβουλο λογισμικό τύπου ransomware (32%) (πηγή: CompTIA State of Cybersecurity 2022).

Τα εμπόδια που πρέπει να ξεπεραστούν

Επί του παρόντος, το κύριο εμπόδιο συνίσταται στη (συχνά μη ανταποκρινόμενη στην πραγματικότητα) πεποίθηση των Οργανισμών ότι διαθέτουν επαρκή μέτρα προστασίας και ταυτόχρονα ένα επαρκές πλαίσιο διακυβέρνησης της ΑΠ, που πιθανώς έχει αποκτήσει και κάποια σχετική πιστοποίηση. Το μέλλον επιτάσσει όχι μόνο την ανάγκη ύπαρξης ουσιαστικών μετρήσεων του επιπέδου ΑΠ, αλλά και τη θέσπιση συγκεκριμένων συναφών στρατηγικών στόχων, οι οποίοι θα εντάσσονται στην ευρύτερη στρατηγική του κάθε Οργανισμού.

Η αντίληψη ότι οι υπεύθυνοι ΑΠ συμμετέχουν ενεργά στη διαδικασία λήψης σημαντικών εταιρικών αποφάσεων δεν μπορεί, υπό τις παρούσες συνθήκες, να θεωρηθεί ότι είναι ρεαλιστική καθώς πληθώρα τέτοιων επαγγελματιών επισημαίνουν ότι ουσιαστικά δεν έχουν καμία τέτοια συμμετοχή, γεγονός που έχει ως αποτέλεσμα τη λήψη αποφάσεων χωρίς προηγούμενη αξιολόγηση των κινδύνων σε σχέση με την ΑΠ. Στη πραγματικότητα, παρατηρείται μια αντίφαση μεταξύ της αφενός ενδυνάμωσης του ρόλου του υπεύθυνου ΑΠ και της αφετέρου αγνόησής του στο πλαίσιο της λήψης στρατηγικών αποφάσεων. Κατ’ αυτόν τον τρόπο, οι Οργανισμοί προχωρούν στην υιοθέτηση νέων υπηρεσιών, τεχνολογιών και συνεργασιών χωρίς να έχουν προσδιορίσει επαρκώς όλους τους κινδύνους.

Στο πλαίσιο των εταιρικών συνεργασιών έχει καταστεί πλέον σαφές ότι η αξιολόγηση των κινδύνων που σχετίζονται με την ΑΠ είναι ιδιαίτερα σημαντική αναφορικά με τους συνεργάτες οι οποίοι αποτελούν μέρος της εφοδιαστικής αλυσίδας του Οργανισμού. Συνήθως, η αξιολόγηση αυτή αφορά τους συνεργάτες οι οποίοι θεωρούνται σημαντικοί/κρίσιμοι για τη λειτουργία του εκάστοτε Οργανισμού και μάλιστα διενεργείται, κατά κανόνα, εκ των υστέρων, αφού δηλ. καταρτιστεί η σχετική σύμβαση συνεργασίας μεταξύ των εμπλεκομένων μερών. Ωστόσο, πρέπει να καταστεί σαφές ότι η εν λόγω αξιολόγηση δεν πρέπει να περιορίζεται σε τέτοιου είδους συνεργάτες, αλλά στο σύνολο αυτών, ακόμη και αν δεν είναι τόσο σημαντικοί για τη λειτουργία του Οργανισμού, καθώς η εκ μέρους τους πλημμελή λήψη μέτρων ασφάλειας τους καθιστά βασική απειλή για τις αλυσίδες εφοδιασμού, με μοιραίες, ενδεχομένως, συνέπειες, για τους συνεργαζόμενους με αυτούς Οργανισμούς.

Μία ακόμη αντίληψη που αποδεικνύεται εσφαλμένη σχετίζεται με τη χρήση των δοκιμών παρείσδυσης (penetration tests) ως μοναδική πτυχή της διεργασίας της αξιολόγησης κινδύνων που διενεργείται από τη πλειοψηφία των Οργανισμών. Η εν λόγω δραστηριότητα, ωστόσο, έχει συγκεκριμένο σκοπό και χρησιμότητα και δεν μπορεί να αντικαταστήσει τα οφέλη της αξιολόγησης κινδύνων, χωρίς πάντως να παραβλέπεται ότι είναι, εν πάση περιπτώσει, σημαντική για την αξιολόγηση της αποτελεσματικότητας των μηχανισμών ασφάλειας και της ανθεκτικότητάς τους σε επιθέσεις κακόβουλων χρηστών. Οι δοκιμές παρείσδυσης χρειάζεται ν’ αποτελέσουν μέρος ενός ευρύτερου πλαισίου για τη διαχείριση των κινδύνων και να εκτελούνται βάσει προκαθορισμένων σεναρίων. Σε κάθε περίπτωση, σημαντικό και αναπόσπαστο κομμάτι της ΑΠ αποτελεί το πλαίσιο της συνολικής διαχείρισης των απειλών ασφάλειας, το οποίο αποτιμά και διαχειρίζεται τις εκάστοτε αδυναμίες ασφάλειας. Ένα αποτελεσματικό πλαίσιο διαχείρισης των απειλών ΑΠ αξιολογεί και προλαμβάνει την εκδήλωση των αδυναμιών ΑΠ οι οποίες προέρχονται από διαφορετικές πηγές και αφορούν τόσο τα όποια κενά ασφάλειας των ψηφιακών υποδομών, όσο και τα κενά των διαδικασιών αλλά και τις αδυναμίες ασφάλειας που προέρχονται από ανθρώπινο παράγοντα. Η επίτευξη του επιθυμητού αποτελέσματος απαιτεί τον προγραμματισμό συνεχών αξιολογήσεων κινδύνων/απειλών ασφάλειας μέσω της χρήσης διαφορετικών τεχνικών. Εξίσου σημαντική είναι η ταυτόχρονη και παράλληλη εκτέλεση της διεργασίας της ενεργητικής αποτύπωσης και της συνεχούς ενημέρωσης του προφίλ των απειλών, στην οποία περιλαμβάνεται η χρήση τεχνικών και λογισμικού ανίχνευσης πληροφοριών που έχουν διαρρεύσει, διακινούνται ή αποτελούν αντικείμενο συναλλαγής στο dark web, αλλά και η ανάλυση των σεναρίων επίθεσης κατά του Οργανισμού τα οποία θα μπορούσαν να απεργάζονται οι πιθανοί επιτιθέμενοι (Threat profiling and threat Intelligence). Οι εν λόγω πληροφορίες αξιοποιούνται στο πλαίσιο της δημιουργίας σεναρίων ελέγχων, μέσω τεχνικών red teaming. Τα ανωτέρω σενάρια ελέγχου επανατροφοδοτούνται με νέες πληροφορίες που συλλέγονται, αναλύονται και αξιολογούνται συνεχώς.

Μία ακόμα από τις πρόσφατες εσφαλμένες αντιλήψεις, αφορά στην Αρχιτεκτονική Μηδενικής Εμπιστοσύνης (ΑΜΕ, zero trust architecture). Η ΑΜΕ είναι μία πολυσυζητημένη έννοια η οποία έχει επικρατήσει ευρέως και χρησιμοποιείται κατά κύριο λόγο από τους κατασκευαστές λύσεων ψηφιακής ασφάλειας ως εργαλείο στο πλαίσιο της προώθησής τους. Η ΑΜΕ, ωστόσο, αποτελεί, επί της ουσίας, μια φιλοσοφία, η οποία δεν εξαντλείται σε μεμονωμένες λύσεις και σχετίζεται με τη συνεχή επαλήθευση κάθε στοιχείου πρόσβασης σε ψηφιακές υποδομές και δεδομένα απ’ οπουδήποτε και αν προέρχεται (εσωτερικό ή εξωτερικό δίκτυο ή χρήστη). Ταυτίζεται ουσιαστικά με την έλλειψη άκριτης εμπιστοσύνης προς οποιαδήποτε ροή δεδομένων από και προς οποιονδήποτε χρήστη ή ψηφιακό πόρο, χωρίς προηγούμενη επαλήθευση της ταυτότητάς του και χωρίς τήρηση των κανόνων που διέπουν την κάθε μορφή ψηφιακής επικοινωνίας. Η νέα φιλοσοφία δεν συνδέεται με συγκεκριμένη αρχιτεκτονική.

Ένα ακόμα εμπόδιο αφορά στην κατανομή των επενδύσεων στο χώρο της τεχνολογίας που κατά μία έννοια αγγίζει και τις επενδύσεις στην ΑΠ. Στη πλειοψηφία τους, οι επενδύσεις που αφορούν στην ΑΠ χρησιμοποιούνται στο πλαίσιο της προμήθειας τεχνολογικών δικλείδων ασφάλειας, οι οποίες, συνήθως, δεν αλληλοσυμπληρώνονται. Ωστόσο, το σύγχρονο εταιρικό περιβάλλον επιβάλλει την αλλαγή του τρόπου υιοθέτησης της τεχνολογίας ΑΠ. Η ευρέως αποδεκτή πεποίθηση ότι η τεχνολογία βοηθά στην επίτευξη του στόχου πρέπει να προσαρμοστεί στο πράγματι ισχύον δεδομένο ότι η τεχνολογία είναι τόσο καλή όσο και ο τρόπος με τον οποίο χρησιμοποιείται. Η παραπάνω διεργασία απαιτεί και τη στροφή προς μια προσέγγιση που θα χρησιμοποιεί την τεχνολογία, τις διαδικασίες και τους κανόνες και θα αντιμετωπίζει ολοκληρωτικά το πρόβλημα και όχι μόνο ένα μέρος αυτού. Οι εκάστοτε δικλείδες ασφάλειας (τεχνικές και διαχειριστικές) πρέπει να υλοποιούνται βάσει «τομέων / θεματικών περιοχών» (domains) που αντιμετωπίζουν ολιστικά συγκεκριμένες ενότητες αναγκών.

Μία ακόμη σημαντική διαπίστωση αφορά στη γενικότερη γνώση και κατανόηση της λειτουργίας του κυβερνοχώρου και ειδικότερα των απειλών που αφορούν στην ΑΠ και στις ψηφιακές υποδομές. Παρόλο που η συζήτηση για την ΑΠ έχει ανοίξει σε όλα τα επίπεδα και τις βαθμίδες του εταιρικού περιβάλλοντος, οι απειλές και ο τρόπος με τον οποίο μπορούν να μετατραπούν σε πραγματικό κίνδυνο δεν είναι απόλυτα κατανοητός. Οι επαγγελματίες της ΑΠ οφείλουν να ξεφύγουν από την ευρύτερη κινδυνολογία και αοριστία και να προσεγγίσουν την κάθε επιχειρηματική μονάδα και τον κάθε εργασιακό ρόλο ξεχωριστά, έτσι ώστε να γίνουν αντιληπτοί οι κίνδυνοι που αφορούν στην εργασιακή καθημερινότητα του καθενός και να δοθούν κατανοητές κατευθύνσεις σχετικά με τις αρμοδιότητές του.

Η έλλειψη στελεχών στο χώρο της ΑΠ είναι ένα ακόμα εμπόδιο που χρειάζεται να ξεπεραστεί. Μια σειρά παραγόντων, όπως η σύγχρονη μάστιγα της ευκολίας και του διεκπεραιωτικού τρόπου εργασίας και η προσπάθεια των επαγγελματιών για ταχεία ανέλιξη στη βαθμίδα της επιχειρηματικής ιεραρχίας, στους οποίους πρέπει να συνυπολογιστεί και η αλλαγή εργασιακού χώρου, δημιουργούν την αίσθηση ότι υπάρχει μεγαλύτερη έλλειψη ικανών επαγγελματιών από την πραγματικά υφιστάμενη. Ταυτόχρονα, λάθη του παρελθόντος όπως, α) η επιλογή στελεχών σε θέσης ευθύνης τα οποία δεν έχουν τα κατάλληλα προσόντα, β)η αναπαραγωγή πανομοιότυπων προτάσεων βελτίωσης, ανεξαρτήτως του περιβάλλοντος λειτουργίας και της κουλτούρας του εκάστοτε Οργανισμού, και γ) η έμφαση στη τεχνολογία και όχι στην ολοκληρωμένη κάλυψη των απαιτήσεων ασφάλειας, επιβαρύνουν την κατάσταση, με συνέπεια το πρόβλημα να μεγεθύνεται. Οι επιπτώσεις της πραγματικής αυτής έλλειψης στελεχών μπορούν πάντως να ελαχιστοποιηθούν μέσω της εξειδίκευσης και της εφαρμοσμένης εμπειρίας, οι οποίες θα οδηγήσουν στην ολοκληρωμένη, γρήγορη και αποτελεσματική υλοποίηση των διεργασιών στις οποίες συμμετέχουν οι επαγγελματίες της ΑΠ. Είναι επιτακτική η ανάγκη να δημιουργηθεί μια νέα γενιά επαγγελματιών, η οποία θα δρα απαλλαγμένη από στερεότυπα και εγωιστικές συμπεριφορές και θα επιδιώξει την ένταξη της ΑΠ στις παραγωγικές διεργασίες του Οργανισμού. Με τον τρόπο αυτό, θα καταστεί σταδιακά εφικτός ο περιορισμός της έλλειψης εξειδικευμένων επαγγελματιών.

Η ενσωμάτωση αρκετών δραστηριοτήτων της ΑΠ στις παραγωγικές διεργασίες είναι το επόμενο στοίχημα, το οποίο, εάν κερδηθεί, θα συντελέσει αποτελεσματικά στο να υπερκεραστούν πολλά από τα προαναφερθέντα εμπόδια. Ο υπεύθυνος της ΑΠ αποτελεί τον ενορχηστρωτή της εταιρικής προσπάθειας για την ΑΠ, καθώς και τον βασικό παράγοντα διαχείρισης των σχετικών με αυτήν κινδύνων. Οι επαγγελματίες του τομέα της τεχνολογίας καλούνται να ενσαρκώσουν έναν πιο ενεργό ρόλο, ο οποίος δεν θα περιορίζεται στη λειτουργία των τεχνολογικών δικλείδων ασφάλειας και στην παρακολούθηση των συστημάτων που αναγνωρίζουν πιθανές προσπάθειες παραβίασης. Οι ως άνω επαγγελματίες απαιτείται να ενεργοποιηθούν σε ό,τι αφορά τη διαχείριση τόσο των περιστατικών ασφάλειας, όσο και των τεχνικών αδυναμιών ασφάλειας. Ταυτόχρονα, οι εξελίξεις οδηγούν προς την κατάργηση των μεγάλων (πολυπληθών) δομών και τμημάτων ΑΠ, ως απόρροια της κατάργησης του συγκεντρωτισμού και της άποψης ότι η ΑΠ αποτελεί αποκλειστική αρμοδιότητα συγκεκριμένης οργανωτικής μονάδας.

Βήματα μπροστά

Είναι περισσότερο από ποτέ προφανής η ανάγκη αποτελεσματικής εφαρμογής των βασικών αρχών και δικλείδων ασφαλείας, ενώ ταυτόχρονα αναδεικνύεται έντονη η ανάγκη προσαρμογής της στρατηγικής, της αρχιτεκτονικής και της διαχείρισης των απειλών στο νέο, συνεχώς εξελισσόμενο ψηφιακό/φυσικό/εικονικό κόσμο. Η ολιστική προσέγγιση για την Ασφάλεια των Πληροφοριών, όπου και αν οι πληροφορίες αυτές βρίσκονται μέσα στο ευρύτερο εταιρικό περιβάλλον, είναι μονόδρομος. Ο διαχωρισμός και ο κατακερματισμός της διαχείρισης της ασφάλειας στο επιχειρηματικό περιβάλλον ανήκουν πλέον οριστικά και αμετάκλητα στο παρελθόν. Η αβεβαιότητα που αναδεικνύεται από τις συνθήκες καθιστά αναγκαία την αποτελεσματική αντιμετώπιση και την ολιστική προσέγγιση. Ο τρόπος με τον οποίο ο εκάστοτε Οργανισμός θα επιλέξει να δομήσει το συγκεκριμένο πλαίσιο που θα καλύπτει τις δικές του ανάγκες, εξαρτάται από το επιχειρηματικό και τεχνολογικό περιβάλλον στο οποίο λειτουργεί, αλλά και από τον βαθμό ωριμότητας, την κουλτούρα και την προσέγγιση που υιοθετεί απέναντι στην επιχειρηματική βιωσιμότητα και την ανθεκτικότητα εν γένει. Ταυτόχρονα, η υιοθέτηση της ψηφιακής πραγματικότητας και η ταχύτητα με την οποία αλλάζει η τεχνολογία που την υποστηρίζει, επιβάλλουν την πρακτική εφαρμογή μιας από τις θεμελιώδεις αρχές της ασφάλειας των πληροφοριών, η οποία συνίσταται ακριβώς στο να αποτελέσει αυτή να μέρος της εταιρικής κουλτούρας και κατ’ επέκταση μέρος των αρμοδιοτήτων κάθε εργασιακού ρόλου.