IT Professional Security - ΤΕΥΧΟΣ 30

More documents

Info

REFERENCE Του Χρήστου Σαπουνά InfoSec Consultant, PwC CyberSecurity Απλά μια νέα πρόκληση ή μία πραγματική απειλή για την επιχειρησιακή λειτουργία ενός Οργανισμού; Στην πρόσφατη ετήσια διάσκεψη του Παγκόσμιου Οικονομικού Φόρουμ που διεξήχθη στο Νταβός και στο οποίο συμμετείχε η πολιτική ελίτ και ο επιχειρηματικός κόσμος, ένα από τα θέματα που για πρώτη φορά μπήκαν στην ατζέντα ήταν το «CyberSecurity» ως ένας από τους αναδυόμενους κινδύνους που ενδέχεται να πλήξουν την παγκόσμια οικονομία. Τ ο ντόμινο της οικονομικής κρίσης ανέδειξε την ανάγκη υιοθέτησης μιας συντονισμένης προσέγγισης στην αντιμετώπιση απειλών που ενδέχεται να πλήξουν τον παγκόσμιο οικονομικό ιστό. Στη σύγχρονη «διαδικτυακή πραγματικότητα» οι κίνδυνοι που διέπουν τον κυβερνοχώρο αποτελούν απειλή για το παγκόσμιο επιχειρηματικό οικοσύστημα. Οι κυβερνοεπιθέσεις έχουν αυξηθεί σε εντυπωσιακό βαθμό, επιφέροντας πολυ-επίπεδες επιπτώσεις, πλήττοντας μεταξύ άλλων τη σταθερότητα αλλά και το προφίλ των στόχων. Αποτελεί πλέον επιτακτική ανάγκη η αναγνώριση των κυβερνοεπιθέσεων ως ενός «πραγματικού» κινδύνου που ενδέχεται να πλήξει την επιχειρησιακή λειτουργία ενός Οργανισμού, ανεξαρτήτως μεγέθους και τομέα δραστηριοποίησης. Το νέο επιχειρησιακό περιβάλλον απαιτεί μια νέα προσέγγιση στη διαχείριση των θεμάτων που αφορούν στην Ασφάλεια Πληροφοριών: 12 | security
Εύρος της ασφάλειας πληροφοριών Διαχείριση και καθοδήγηση Παρελθόν Περιοριζόταν στα όρια της επιχείρησης. Γινόταν κυρίως από το προσωπικό Πληροφορικής. Σήμερα Συμπεριλαμβάνει όλο το διασυνδεδεμένο οικοσύστημα του Οργανισμού. Αποτελεί συνολική ευθύνη της διοίκησης. Συνδέεται με τους στόχους της επιχείρησης. Τακτική προστασίας Ισοδύναμη προστασία για όλα τα συστήματα. Προτεραιότητα κρίσιμων υποδομών. Αντιμετώπιση κινδύνων Κινητοποίηση όταν η επίθεση έχει ήδη εξελιχθεί. Οργανωμένο πλάνο παρακολούθησης, άμεση απόκριση σε όλες τις επιθέσεις. Αντίστοιχη εξέλιξη παρατηρούμε και στο προφίλ των απειλών. Παλαιότερα ήταν μεμονωμένα άτομα που εκμεταλλεύονταν τα ευάλωτα σημεία μιας πληροφοριακής υποδομής, με σκοπό το προσωπικό όφελος, την πρόκληση βλάβης και την απόκτηση φήμης. Σήμερα οι επιθέσεις είναι οργανωμένες (και πιθανότατα χρηματοδοτούμενες), με συγκεκριμένους στόχους - πολλές φορές με πολιτικές σκοπιμότητες. Πίσω από αυτές τις επιθέσεις ενδέχεται να κρύβονται εκτός από το οργανωμένο έγκλημα, (χ) ακτιβιστές, κρατικές οργανώσεις, ακόμα και οι ίδιοι οι υπάλληλοι ενός Οργανισμού. Μέσα σε αυτά τα πλαίσια, το παραδοσιακό μοντέλο ασφάλειας κρίνεται ως ανεπαρκές και συνήθως επιτυγχάνει οριακά τους στόχους που τίθενται κυρίως από τα θεσμικά, νομικά ή κανονιστικά πλαίσια. Η ασφάλεια δεν πρέπει να αντιμετωπίζεται πλέον ως ένα τεχνολογικό πρόβλημα, αλλά ως ζήτημα διαχείρισης επιχειρησιακού κινδύνου. Οι διοικήσεις που θα βάλουν το θέμα της ασφάλειας πληροφοριών στην επιχειρηματική τους ατζέντα, όχι μόνο προστατεύουν την επιχείρηση, αλλά είναι σε θέση να αποκομίσουν ουσιαστικά επιχειρησιακά οφέλη. Η γνώση είναι δύναμη - και γνωρίζοντας κανείς ποιες είναι οι αδυναμίες του, αλλά και τους κινδύνους στους οποίους είναι εκτεθειμένος, έχει τη δυνατότητα να σχεδιάσει τη στρατηγική του για την αποτελεσματική αντιμετώπισή τους. Δυστυχώς, πολλές επιχειρήσεις ακόμη και σήμερα ξοδεύουν μεγάλους προϋπολογισμούς συντηρώντας ένα παραδοσιακό μοντέλο ασφάλειας, το οποίο κρίνεται ως αναποτελεσματικό και δεν παρέχει διαφάνεια ως προς τη συνεισφορά του στην εκπλήρωση των στρατηγικών επιχειρησιακών στόχων ενός Οργανισμού. Στην PwC, αναγνωρίζουμε την επιτακτική ανάγκη υιοθέτησης ενός νέου μοντέλου στην Ασφάλεια Πληροφοριών, που θα εναρμονίζεται με την επιχειρησιακή στρατηγική, θα συνδέεται με συγκεκριμένους επιχειρηματικούς στόχους και θα παρέχει απόλυτη διαφάνεια ως προς την εκπλήρωση ενός στρατηγικού πλάνου με βάση τις προτεραιότητες που θέτει ο εκάστοτε Οργανισμός. Τρεις τομείς που μπορούν να εξεταστούν κατά την αξιολόγηση της στάσης του Οργανισμού απέναντι στην Ασφάλεια Πληροφοριών είναι οι εξής: Α. Στρατηγική Ασφάλειας Πληροφοριών • Υπάρχει μια ολοκληρωμένη στρατηγική ασφάλειας στο επίκεντρο του επιχειρηματικού μοντέλου; Η στρατηγική αυτή εξετάζει σε όλο το εύρος της θέματα τεχνολογίας, φυσικές απειλές, διαδικασίες αλλά και ζητήματα ανθρωπίνου δυναμικού; • Η Διοίκηση έχει ενημέρωση για σημαντικές απειλές που ενδέχεται να συνδέονται και με την υιοθέτηση αναδυόμενων τεχνολογιών (όπως για παράδειγμα η μετάβαση στο Cloud); • Μπορούμε να τεκμηριώσουμε και να παρουσιάσουμε τη στρατηγική ασφάλειας στη Διοίκηση και να τη συνδέσουμε με τους επιχειρησιακούς στόχους του Οργανισμού; Β. Κατανόηση και προσαρμογή • Γνωρίζουμε ποια πληροφορία είναι πολύτιμη για την επιχείρηση; Έχουν ληφθεί τα κατάλληλα μέτρα για την αποτελεσματική προστασία της; Σε περίπτωση απώλειάς της, έχει ποσοστικοποιηθεί ο αντίκτυπος που θα έχει στην επιχείρηση; • Αντιλαμβανόμαστε τις σημαντικές αλλαγές στο προφίλ των απειλών που αντιμετωπίζει η επιχείρηση; Ποια είναι τα κίνητρα; Ποιες τεχνικές μπορεί να χρησιμοποιήσουν και ποιοι ενδέχεται να είναι οι στόχοι τους; • Ποια είναι τα μέτρα ασφάλειας που έχουμε λάβει και κατά πόσον κρίνονται αποτελεσματικά; Υπάρχει ένα ολοκληρωμένο πλάνο έγκαιρης αντιμετώπισης των περιστατικών ασφάλειας; Γ. Υιοθέτηση υπεύθυνης στάσης ως προς την Ασφάλεια Πληροφοριών μέσα από ένα κοινό όραμα • Αναφέρεται ο υπεύθυνος Ασφάλειας Πληροφοριών στην ανώτερη Διοίκηση του Οργανισμού; • Οι εργαζόμενοι αντιλαμβάνονται το ρόλο τους για την προστασία των πληροφοριακών υποδομών; Τους παρέχονται κατάλληλα εργαλεία και κατάρτιση; • Τι εγγυήσεις απαιτούνται από τους προμηθευτές και τους παρόχους υπηρεσιών; Οι επιχειρήσεις ακόμη και μέσα στο δύσκολο οικονομικό περιβάλλον που έχει διαμορφωθεί, δεν μπορούν να αφήνουν την Ασφάλεια των Πληροφοριών τους «στην τύχη». Οι νέοι κανόνες του παιχνιδιού απαιτούν σαφή στρατηγική και δεξιότητες ασφάλειας υψηλού επιπέδου. Μόνον έτσι οι επιχειρήσεις θα βρίσκονται σε πλεονεκτική θέση, ώστε είτε να αποφεύγουν ή να αντιμετωπίζουν αποτελεσματικά περιστατικά ασφάλειας, που σε αντίθετη περίπτωση ενδέχεται να επιφέρουν σοβαρές επιπτώσεις. iTSecurity security | 13
Page 1: Μάρτιος - Απρίλιος 2
Page 5 and 6: McAfee Security Information and Eve
Page 8 and 9: NEWS Η ESET κυκλοφόρησε
Page 10 and 11: NEWS Οι νέες λύσεις Clo
Page 12 and 13: NEWS Πραγματοποιήθηκ
Page 16 and 17: C OVER ISSUE Του Νότη Ηλι
Page 18 and 19: COVER ISSUE Ασφάλεια στο
Page 20 and 21: COVER ISSUE Ασφάλεια στο
Page 22 and 23: REPORT 3ο Infocom Security Ο κο
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Mobile Device Management Η
Page 32 and 33: I SSUE Της Παναγιώτας
Page 34 and 35: I SSUE Αναδυόμενες τε
Page 36 and 37: I SSUE Αναδυόμενες τε
Page 38 and 39: P RACTICAL Σύστημα Εντο
Page 40 and 41: P RACTICAL Σύστημα Εντο
Page 42 and 43: P RACTICAL Ethical Hacking και
Page 44 and 45: P RACTICAL Ethical Hacking και
Page 46 and 47: P RACTICAL Αλέξανδρος Σ
Page 48 and 49: P RACTICAL Οδηγός διασφ
Page 50: Διμηνιαίο περιοδικ

IT Professional Security - ΤΕΥΧΟΣ 30

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?