IT Professional Security - ΤΕΥΧΟΣ 32
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Αύγουστος - Σεπτέμβριος - Οκτώβριος 2013 • Τεύχος <strong>32</strong> • Τιμή 5€<br />
Διαχείριση<br />
Επιχειρησιακής<br />
Συνέχειας<br />
• Software Defined Networking (SDN)<br />
• Wetware και Social Engineering<br />
Συνεντεύξεις:<br />
Dragan Martinovic<br />
Managing Director<br />
Νοτιανατολικής Ευρώπης<br />
Kaspersky Lab<br />
Duncan Harvey<br />
Technology Director<br />
of Business Development<br />
Oracle EMEA<br />
PRESS LINE MAΓΕΡ 11, 104 38 ΑΘΗΝΑ<br />
ΠΛHPΩMENO<br />
TEΛOΣ<br />
Tαχ. Γραφείο<br />
(X+7)<br />
KEMΠ.KΡ.<br />
Aριθμός Άδειας<br />
116<br />
ENTYΠO KΛEIΣTO AP. A∆EIAΣ 22/2008 KEMΠ.A.ΚΡ.<br />
PRESS POST<br />
Γιώργος Καπανίρης<br />
Διευθυντής Στρατηγικής<br />
Ανάπτυξης<br />
NSS<br />
P R<br />
E S S<br />
T<br />
P O S
E D<strong>IT</strong>ORIAL<br />
Ο κρίσιμος ρόλος του ανθρώπινου παράγοντα!<br />
Όπως διαπιστώσατε στο συγκεκριμένο τεύχος του <strong>IT</strong><br />
<strong>Security</strong> <strong>Professional</strong>, το κεντρικό άρθρο αφορά στο<br />
Business Continuity Management, ενώ συνοδεύεται με μια<br />
σειρά σχετικών άρθρων που αναδεικνύουν συγκεκριμένες<br />
λύσεις, τεχνολογίες και διαδικασίες οι οποίες πρέπει να ακολουθούνται<br />
για την επίτευξη της αδιάλειπτης λειτουργίας των<br />
επιχειρήσεων, καθώς και πρακτικές που ήδη εφαρμόστηκαν.<br />
Θα πρέπει όμως να επισημάνουμε ότι πίσω από κάθε σχέδιο<br />
Business Continuity ή άλλες διαδικασίες όπως το Backup<br />
(υπάρχει σχετική συνέντευξη) ή άλλες έννοιες, τεχνολογίες<br />
και διαθέσιμες λύσεις σχετικές με την ασφάλεια, υπάρχει<br />
πρώτα από όλα μια ολόκληρη φιλοσοφία που πρέπει να<br />
αναπτυχθεί και να εδραιωθεί στην “εταιρική συνείδηση”.<br />
Για να φτάσουμε δηλαδή στο σημείο να κάνουμε έρευνα<br />
αγοράς και να αξιολογούμε τις διαθέσιμες λύσεις και εργαλεία,<br />
οφείλουμε να καλλιεργήσουμε στο εσωτερικό της επιχείρησης<br />
- από την κορυφή της διοίκησης μέχρι και τον κάθε<br />
υπάλληλο οποιασδήποτε βαθμίδας – τη νοοτροπία ότι ο<br />
ανθρώπινος παράγοντας είναι πάντα ο πιο δυνατός κρίκος<br />
σε αυτήν την προσπάθεια.<br />
Το όποιο σχέδιο διαχείρισης επιχειρησιακής συνέχειας καθώς<br />
και άλλα σχέδια σχετικά με την ασφάλεια των Οργανισμών,<br />
για να είναι αποτελεσματικά, απαιτούν αρχικά την κατανόηση<br />
της χρησιμότητάς τους από το σύνολο του ανθρώπινου<br />
δυναμικού, αλλά και την ενεργή συμμετοχή των εργαζομένων<br />
όταν αυτή απαιτείται.<br />
Επίσης, η πιστοποίηση από ειδικούς φορείς με το σχετικό<br />
για το B.C. αναγνωρισμένο πρότυπο ISO 22301 (δείτε σχετική<br />
αρθρογραφία στο παρόν τεύχος) αλλά και των υπολοίπων<br />
προτύπων για την ασφάλεια πληροφοριών, η οποία<br />
σίγουρα προσδίδει προστιθέμενη αξία, λαμβάνει σοβαρά<br />
υπόψη την ευθύνη του ανθρώπινου δυναμικού στην αποτελεσματική<br />
υλοποίηση του κάθε σχεδίου.<br />
Είναι απαραίτητο λοιπόν, οι υπεύθυνοι των Οργανισμών να<br />
προσεγγίσουν το συγκεκριμένο ζήτημα ολιστικά, αξιοποιώντας<br />
σαφώς τα τεχνολογικά μέσα που υπάρχουν και παράλληλα<br />
να διαμορφώσουν συνθήκες στο εσωτερικό της<br />
επιχείρησης, οι οποίες θα επιτρέψουν την προσήλωση του<br />
προσωπικού στις απαιτούμενες διαδικασίες αντιμετώπισης<br />
των κινδύνων.<br />
Βλάσης Αμανατίδης<br />
Iδιοκτησία<br />
Nίκος Πανδής<br />
Eκδότης<br />
Nίκος Πανδής<br />
Αρχισυντάκτης<br />
Βλάσης Αμανατίδης<br />
info@securitymanager.gr<br />
Συνεργάτες<br />
Αριστοτέλης Λυμπερόπουλος<br />
Δημήτρης Παπίτσης<br />
Αλέξανδρος Σουλαχάκης<br />
Ιωσήφ Ανδρουλιδάκης<br />
Mίνα Ζούλοβιτς<br />
Νότης Ηλιόπουλος<br />
Παναγιώτα Τσώνη<br />
Εμπορικό Τμήμα<br />
Νίκος Σαράφογλου<br />
nsarafoglou@pressline.gr<br />
Δήμητρα Αρακά<br />
daraka@pressline.gr<br />
Τμήμα Διαφήμισης - Marketing<br />
Nίκη Πανδή<br />
marketing@pressline.gr<br />
Υπεύθυνος Συνδρομών<br />
Γιώργος Τσιματσίδης<br />
support@securitymanager.gr<br />
Συνεργάτης Κύπρου<br />
Φρίξος Μόζορας<br />
Λογιστήριο<br />
Xρήστος Mακρής<br />
fin@pressline.gr<br />
Γραμματειακή Yποστήριξη<br />
Nικολέτα Πανδή<br />
Διευθυντής Παραγωγής<br />
Σάκης Γαβαλάς<br />
Kαλλιτεχνική Eπιμέλεια<br />
Mάρθα Τσάρου<br />
Hλεκτρονική Σελιδοποίηση<br />
Λευτέρης Πανδής<br />
Σχεδιασμός Mu ltimedia<br />
Φίλιππος Kαλογιάννης<br />
Aτελιέ-Διαχωρισμοί-Mοντάζ<br />
PressLine<br />
www.itsecuritypro.gr<br />
www.securitymanager.gr<br />
info@securitymanager.gr<br />
H EKΔΟΣΗ ΜΑΣ ΕΙΝΑΙ ΜΕΛΟΣ ΤΗΣ<br />
Mάγερ 11, 104 38 Αθήνα,<br />
Τηλ.: 210-52.25.479 (6 γραμμές),<br />
Fax: 210-52.43.345,<br />
web: www.pressline.gr<br />
ΚΩΔΙΚΟΣ 01-8267<br />
security | 1
CONTENTS<br />
20 26 30<br />
1|ED<strong>IT</strong>ORIAL<br />
6|NEWS<br />
COVER ISSUE<br />
10|Διαχείριση Επιχειρησιακής<br />
Συνέχειας<br />
Σύστημα & Στόχοι<br />
ISSUE<br />
17|Business Continuity:<br />
Ανακάμπτοντας από την<br />
κρίση<br />
18|Σχεδιασμός Επιχειρησιακής<br />
Συνέχειας – Τάσεις και<br />
Νέες Τεχνολογίες<br />
20|Εξασφαλίζοντας το<br />
Αδιάλειπτο, Αποτελεσματικά<br />
και Ολιστικά<br />
22|Πιστοποίηση Διαχείρισης<br />
Επιχειρησιακής Συνέχειας<br />
24|Γνωριμία με το πλαίσιο<br />
διαχειρίσεως<br />
επιχειρησιακής συνέχειας<br />
της ALPHA BANK<br />
26|Software Defined<br />
Networking (SDN)<br />
Η δικτύωση στο μέλλον<br />
30|Wetware και Social<br />
Engineering<br />
Α’ μέρος – Ο Ανθρώπινος<br />
παράγοντας στην ασφάλεια<br />
πληροφοριακών συστημάτων<br />
INTERVIEW<br />
36|Η κορυφαία ποιότητα και η<br />
τεχνική υποστήριξη,<br />
αναπόσπαστα κομμάτια μιας<br />
κερδοφόρας εταιρείας.<br />
Συνέντευξη με τον Dragan<br />
Martinovic, Managing<br />
Director για την περιοχή της<br />
Νοτιανατολικής Ευρώπης στην<br />
Kaspersky Lab<br />
38|Η Oracle Database 12c είναι<br />
βάση δεδομένων επόμενης<br />
γενιάς<br />
Συνέντευξη με τον Duncan<br />
Harvey, Technology Director<br />
of Business Development,<br />
Oracle EMEA<br />
40|Κομβικής σημασίας για το<br />
μέλλον της επιχείρησης, οι<br />
αξιόπιστες λύσεις Backup<br />
Συνέντευξη με τον κο Γιώργο<br />
Καπανίρη, Διευθυντής<br />
Στρατηγικής Ανάπτυξης της<br />
NSS<br />
REFERENCE<br />
43|Σχεδιάστε τα νέα σας δίκτυα<br />
για το παρόν και το μέλλον,<br />
με τις προτάσεις της Dell<br />
44|Ασφάλεια στο Cloud<br />
Η ευκαιρία για το κανάλι διανομής<br />
46|Email <strong>Security</strong> with<br />
Websense ® / Email <strong>Security</strong><br />
Gateway Anywhere<br />
2| security
McAfee Enterprise Mobility Management - ΕΜΜ<br />
Με λειτουργίες προστασίας συσκευών και δεδομένων, για τις πλέον δημοφιλείς φορητές συσκευές σήμερα, όπως<br />
Apple iPhone και iPad και συσκευές με Android, η McAfee προσφέρει την ολοκληρωμένη και επεκτάσιμη λύση<br />
ασφαλείας Enterprise Mobility Management - ΕΜΜ που καλύπτει το μεγαλύτερο μέρος της γκάμας των mobile συσκευών<br />
που κυκλοφορούνε στην αγορά. Οι επιχειρήσεις μπορούν να προσφέρουν στο προσωπικό, την επιλογή συσκευής<br />
που επιθυμούν, παρέχοντας παράλληλα πρόσβαση στις εταιρικές εφαρμογές με ασφάλεια και ευκολία.<br />
<strong>Security</strong> and Management for Mobile Devices, Data, and Applications<br />
Η λύση McAfee EMM προσφέρει προστασία των δεδομένων στις φορητές συσκευές καθώς και διαχείριση των φορητών συσκευών (Mobile<br />
Device Μanagement -MDM) μέσω ενός συνδυασμού εργαλείων όπως τα : McAfee Secure Container for Android, McAfee VirusScan Mobile for<br />
Android (unmanaged) και McAfee ePolicy Orchestrator (McAfee ePO) management.<br />
<strong>Security</strong><br />
Η επίτευξη της σωστής ισορροπίας μεταξύ ασφάλειας, χρηστικότητας<br />
και διαχειρισιμότητας είναι απαραίτητη. Η λύση McAfee ΕΜΜ παρέχει<br />
ακριβώς το βέλτιστο επίπεδο ασφάλειας, υποστηρίζοντας:<br />
Έλεγχο πρόσβασης από το χρήστη, τα δεδομένα και τη συσκευή<br />
Απαιτήσεις σύνδεσης δικτύου, συμπεριλαμβανομένων VPN και Wi-Fi<br />
Επιβολή αυθεντικοποιήσης και κρυπτογράφησης<br />
Κλείδωμα ή “καθαρισμό” των συσκευών που έχουν χαθεί ή κλαπεί,<br />
από απόσταση<br />
Ανεξάρτητο λογισμικό anti-malware για την προστασία Android συσκευών<br />
και των δικτύων που συνδέονται, από κακόβουλο κώδικα<br />
BYOD<br />
Παρά τα οφέλη που προκύπτουν από την φορητότητα των επιχειρησιακών<br />
υπαλλήλων όπως η αύξηση της παραγωγικότητας, οι εργαζόμενοι<br />
αρκετές φορές παραβλέπουν τους κινδύνους και τις επιπλοκές που<br />
μπορεί να φέρει στην επιχείρηση το BYOD. Για αυτό και οι επιχειρήσεις<br />
θα πρέπει να μεριμνήσουν ώστε τα εταιρικά δεδομένα που βρίσκονται<br />
αποθηκευμένα στις φορητές συσκευές των υπαλλήλων να παραμένουν<br />
προστατευμένα και αυτό μπορεί να γίνει με:<br />
Πλήρη υποστήριξη των εταιρικών και προσωπικών συσκευών<br />
Καθορισμό και εφαρμογή της κατάλληλης πολιτικής<br />
Διατήρηση της εμπειρίας iOS αλλά και εφαρμογή της επιθυμητής<br />
κρυπτογράφησης<br />
Ασφαλές πλαίσιο λειτουργίας του Android για την κρυπτογράφηση<br />
και το διαχωρισμό των e-mail, των επαφών και των δεδομένων της<br />
εργασίας από τα προσωπικά δεδομένα<br />
Μερικό “καθαρισμό” της συσκευής από απόσταση, διατηρώντας τα<br />
προσωπικά δεδομένα και προστατεύοντας τα εταιρικά δεδομένα.<br />
Υποστήριξη για τις πιο δημοφιλείς συσκευές, συμπεριλαμβανομένων<br />
αυτών με λειτουργικά Android, iOS και Windows.<br />
Mobile Management<br />
Το Mobile Device Management είναι μια διαδικασία που βοηθάει τα<br />
τμήματα <strong>IT</strong> των επιχειρήσεων να διατηρήσουν τον έλεγχο των φορητών<br />
συσκευών που έχουν στην κατοχή τους οι υπάλληλοί, υποστηρίζοντας:<br />
Πολλαπλές επιλογές καθορισμού πολιτικής ανά χρήστη, ομάδων<br />
χρηστών, συσκευών και λειτουργικού συστήματος<br />
Πίνακες απεικόνισης συσκευών με αναφορές που είναι προσαρμόσιμες<br />
και τυποποιημένες<br />
Βελτιωμένες και αυτοματοποιημένες διαδικασίες για την διαχείριση<br />
πολιτικών<br />
Analytics, παρακολούθηση συμβάντων και αναφορές<br />
Εντοπισμό και κλείδωμα επικινδύνων συσκευών<br />
Φιλοξενία και διανομή εμπορικών και εταιρικών εφαρμογών<br />
Unified, Enterprise-Wide Management<br />
Ενιαία διαχείριση που προσφέρει ολοκληρωμένη προσέγγιση για όλα<br />
τα πιθανά ρίσκα μέσα στην επιχείρηση με :<br />
Role-based διαχείριση<br />
Drag-and-drop πίνακες και ειδοποιήσεις για όλες τις φορητές<br />
συσκευές<br />
Υποστήριξη για έλεγχο αυθεντικοποίησης μέσω Active Directory<br />
απόλυτα προσαρμόσιμη στην υπάρχουσα υποδομή<br />
Διαχείριση σε όλα τα endpoints,<br />
παραδοσιακά και φορητά, καθώς και<br />
στο δίκτυο και το data center σε όλο<br />
το εύρος της επιχείρησης από την ίδια<br />
ενοποιημένη υποδομή<br />
True end-to-end ασφάλεια<br />
και συμμόρφωση<br />
Για περισσότερες πληροφορίες παρακαλώ επικοινωνήστε με την <strong>IT</strong>WAY Hellas (εξουσιοδοτημένος διανομέας):<br />
Τηλέφωνο: 210-6801013 - E-mail: mcafee@itway.gr
NEWS<br />
Συνδυασμός κορυφαίων<br />
λύσεων ασφάλειας με το<br />
πρόγραμμα<br />
«ESET Technology Alliance»<br />
Το νέο της πρόγραμμα «ESET Technology Alliance» ανακοίνωσε<br />
σήμερα η ESET, το οποίο αποτελεί μία «συμμαχία»<br />
συνεργαζόμενων τεχνολογιών. Στόχος του προγράμματος<br />
είναι η καλύτερη προστασία των επιχειρήσεων, με μία σειρά<br />
από συμπληρωματικές λύσεις ασφάλειας ΙΤ που συνεργάζονται<br />
άψογα με τις ήδη υπάρχουσες λύσεις της ESET. Όλα<br />
τα μέλη του προγράμματος «ESET Technology Alliance»<br />
αποτελούν στρατηγικά επιλεγμένες εταιρείες ασφάλειας που<br />
εξειδικεύονται σε συγκεκριμένους τομείς της ασφάλειας ΙΤ,<br />
συμπληρώνοντας έτσι τη γκάμα προιόντων της ESET. Οι συνεργάτες<br />
του προγράμματος αξιολογήθηκαν με βάση μία<br />
σειρά κριτηρίων, ώστε να επεκτείνεται η κορυφαία προστασία<br />
σε <strong>IT</strong> περιβάλλοντα επιχειρήσεων. Το πρώτο μέλος σε<br />
αυτό το πρόγραμμα είναι η εταιρεία λογισμικού κρυπτογράφησης<br />
DESlock.<br />
Όπως δήλωσε ο Ignacio Sbampato, Chief Sales and Marketing<br />
Officer της ESET: «Η προστασία των πελατών μας, των<br />
δεδομένων τους και της υποδομής τους, αποτελεί αναμφισβήτητη<br />
προτεραιότητα για την ESET. Επιλέξαμε την DESlock ως το πρώτο<br />
στρατηγικό μέλος του προγράμματος ESET Technology Alliance<br />
για την ισχυρή τεχνολογία κρυπτογράφησης που διαθέτει<br />
και είμαστε ενθουσιασμένοι που θα προσφέρουμε λύσεις κρυπτογράφησης<br />
μέσω της συνεργασίας, μαζι με επιλεγμένα προϊόντα<br />
μας».<br />
Μέσα από τη συμμαχία αυτή, η ESET προσφέρει μία εδραιωμένη<br />
λύση κρυπτογράφησης: μία εύκολη στη χρήση εφαρμογή,<br />
με μοναδική αρχιτεκτονική, που παρέχει ισχυρή κρυπτογράφηση<br />
δεδομένων σε υπάρχοντες και νέους εταιρικούς<br />
πελάτες κάθε μεγέθους. Η λύση αυτή προστατεύει από<br />
όλες τις μορφές παραβίασης δεδομένων, ενώ ταυτόχρονα<br />
εξασφαλίζει την ασφαλή συνεργασία σε πολύπλοκες ομάδες<br />
εργασίας. Η ενοποίηση των λύσεων παρέχει στους πελάτες<br />
της ESET μεγαλύτερη προστασία της επιχειρησιακής υποδομής<br />
τους, καθώς και αποτελεσματική κρυπτογράφηση στις<br />
κινητές συσκευές των υπαλλήλων τους.<br />
Σύμφωνα με την έρευνα «<strong>Security</strong> Survey» της IDC (2011)<br />
σε επιχειρήσεις με λιγότερους από 100 υπαλλήλους, η κρυπτογράφηση<br />
κατατάσσεται σαν η τέταρτη πολυτιμότερη τεχνολογία<br />
προστασίας, με μόλις το 9% να αναγνωρίζει την<br />
κρυπτογράφηση ως απαραίτητη, καθώς προηγούνται το firewall,<br />
το λογισμικό ενοποιημένης διαχείρισης απειλών (UTM<br />
- unified threat management) και τα συστήματα IPS (Intrusion<br />
Prevention Systems). Στις επιχειρήσεις που απασχολούν<br />
100–999 υπαλλήλους, το 14% αναγνωρίζει την κρυπτογράφηση<br />
ως κορυφαία τεχνολογία, κατατάσσοντας την τρίτη<br />
μετά το firewall και το UTM.<br />
Οι συνεργάτες της ESET μπορούν πλέον να προσφέρουν<br />
στους εταιρικούς πελάτες μία ευρύτερη γκάμα προϊόντων<br />
και υπηρεσιών. Σε επίπεδο client προσφέρεται πλήρης κρυπτογράφηση<br />
στο σκληρό δίσκο, στα αφαιρούμενα μέσα,<br />
στα αρχεία, στους φακέλους καθώς και στο mail. Σε επίπεδο<br />
server, η λύση παρέχει απομακρυσμένη κεντρική διαχείριση,<br />
διαχείριση των κλειδιών ασφάλειας και του διακομιστή<br />
μεσολάβησης.<br />
«Από τις συζητήσεις μας με την ESET, γρήγορα συνειδητοποιήσαμε<br />
ότι οι συνεργαζόμενες λύσεις της DESlock και της ESET<br />
ενισχύουν την ασφάλεια του εταιρικού περιβάλλοντος» σημειώνει<br />
ο David Tomlinson, Managing Director της DESlock Ltd. «Η<br />
ESET είναι γνωστή για τις βραβευμένες λύσεις ασφάλειάς της και<br />
πλέον μέσα από το πρόγραμμα Technology Alliance, μπορεί να<br />
προσφέρει πλήρη προστασία από τη διαρροή δεδομένων».<br />
Χάρη στο πρόγραμμα «ESET Technology Alliance» η ESET<br />
μπορεί να προσφέρει ολοκληρωμένη <strong>IT</strong> ασφάλεια σε ό,τι<br />
αφορά στο backup, την κρυπτογράφηση, τις συσκευές, το<br />
φιλτράρισμα του web και των emails, καθώς και το patch<br />
management. Οι διευρυμένες λύσεις βοηθούν τους εταιρικούς<br />
πελάτες και τους διαχειριστές τους να απολαμβάνουν<br />
με ασφάλεια τις διάφορες τεχνολογίες που χρησιμοποιούν.<br />
Η προηγμένη λύση ασφάλειας της DESlock+ με την υποστήριξη<br />
της ESET θα διατίθεται από το δίκτυο συνεργατών<br />
της ESET. Για περισσότερες πληροφορίες και αναλυτικότερη<br />
περιγραφή των χαρακτηριστικών και των πλεονεκτημάτων<br />
των λύσεων, παρακαλούμε επισκεφθείτε τη σελίδα<br />
ESET Technology Alliance.<br />
4| security
Hidden Lynx – Επαγγελματίες Hackers<br />
προς Ενοικίαση<br />
Τα τελευταία χρόνια οι εκθέσεις<br />
συνεχίζουν να προβάλουν λεπτομέρειες<br />
των δραστών πίσω<br />
από τις στοχευμένες επιθέσεις<br />
ή ΑΡΤ. Στο τμήμα Symantec <strong>Security</strong><br />
Response έχουν εστιάσει<br />
σε ένα γκρουπ που πιστεύουν<br />
ότι είναι το κορυφαίο αυτής της<br />
κατηγορίας και το έχουν ονομάσει<br />
Hidden Lynx – μετά από<br />
μία ακολουθία στοιχείων που<br />
βρέθηκε στα πληροφοριακά συστήματα<br />
διοίκησης και ελέγχου.<br />
Αυτή η ομάδα έχει συγκεκριμένο<br />
στόχο και μηχανισμό, με βασικά<br />
χαρακτηριστικά να είναι: Τεχνική<br />
ικανότητα – Ευελιξία – Οργάνωση<br />
- Εφευρετικότητα –<br />
Υπομονή. Αυτές οι ιδιότητες έγιναν<br />
γνωστές από τις ατέλειωτες<br />
καμπάνιες που διενεργήθηκαν<br />
ενάντια σε πολλαπλούς στόχους<br />
ταυτόχρονα, σε μία σταθερή περίοδο<br />
χρόνου. Αυτοί είναι οι<br />
πρωτοπόροι της τεχνικής “watering<br />
hole” που χρησιμοποιήθηκε<br />
για να στηθούν ενέδρες<br />
σε στόχους, έχουν πρώτοι πρόσβαση<br />
σε zero-day ευπάθειες<br />
και διαθέτουν την ανθεκτικότητα και την υπομονή ενός έξυπνου κυνηγού<br />
για να εκθέσουν σε κίνδυνο το supply chain, με απώτερο στόχο να<br />
πλήξουν μία μεγαλύτερη επιχείρηση. Αυτές οι επιθέσεις τίθενται σε<br />
εφαρμογή από μολυσμένους υπολογιστές ενός προμηθευτή του στόχου<br />
που επιδιώκουν και έπειτα αναμένουν την εγκατάσταση των υπολογιστών<br />
αυτών. Πρόκειται για καλά υπολογισμένες δράσεις, παρά για<br />
αυθόρμητες ενέργειες ερασιτεχνών. Το γκρουπ αυτό δεν περιορίζεται<br />
σε ένα μικρό αριθμό στόχων. Αντιθέτως, στοχεύει σε εκατοντάδες Οργανισμούς<br />
διαφορετικού μεγέθους, σε πολλές διαφορετικές χώρες,<br />
ακόμη και κατά την ίδια χρονική περίοδο. Υπολογίζοντας το εύρος και<br />
τον αριθμό των στόχων και τις χώρες που εμπλέκονται, συμπεραίνουμε<br />
ότι αυτό το γκρουπ πρέπει να είναι επαγγελματίες ΄΄hackers προς<br />
ενοικίαση΄΄ που λειτουργούν με συμβάσεις πελατών τους, για παροχή<br />
πληροφοριών. Υποκλέπτουν κατ’ απαίτηση ό,τι ενδιαφέρει τους πελάτες<br />
τους - και έτσι εξηγείται η μεγάλη ποικιλία και το φάσμα των στόχων<br />
τους.
NEWS<br />
Επίθεση από malware. Περισσότερες από μία στις τρεις επιθέσεις<br />
κοστίζουν ακριβά στους χρήστες<br />
Ο επιθέσεις από κακόβουλο λογισμικό συνεπάγονται οικονομικές<br />
απώλειες για το 36% περίπου των χρηστών, πολλοί από<br />
τους οποίους αναγκάζονται να πληρώσουν προκειμένου να<br />
αποκατασταθεί η λειτουργία των συσκευών που έχουν δεχθεί<br />
επίθεση. Το ποσοστό αυτό προέκυψε από την παγκόσμια έρευνα<br />
που πραγματοποιήθηκε από την B2B International και την<br />
Kaspersky Lab, το καλοκαίρι του 2013. Δυστυχώς, είναι αρκετά<br />
διαδεδομένη η αντίληψη ότι το κακόβουλο λογισμικό δεν προκαλεί<br />
προβλήματα πέραν από την επιβράδυνση του υπολογιστή<br />
- και ενδεχομένως την κατάρρευση συγκεκριμένων websites.<br />
Η αλήθεια είναι ότι οι επιθέσεις από κακόβουλο λογισμικό<br />
κοστίζουν εδώ και καιρό στους χρήστες «ζεστό χρήμα»: για<br />
παράδειγμα, ένας απατεώνας μπορεί να κλέψει όλες τις οικονομίες<br />
του θύματος, με μία και μόνο επιτυχημένη επίθεση σε<br />
λογαριασμούς e-payment ή e-banking. Ακόμα και οι χρήστες<br />
που πέφτουν θύματα κάποιου “κοινού” κακόβουλου λογισμικού,<br />
αντί των «πεινασμένων για μετρητά» malware, είναι εξαιρετικά<br />
πιθανό να έρθουν αντιμέτωποι με απρόβλεπτα έξοδα.<br />
Το 17% των ερωτηθέντων δήλωσε ότι τα έξοδα αυτά αφορούν<br />
στην πληρωμή τρίτων, που εξειδικεύονται στην αποκατάσταση<br />
της λειτουργίας της συσκευής του θύματος. Περίπου το 10%<br />
έπρεπε να πληρώσει για την ανάκτηση χαμένων στοιχείων, ενώ<br />
το 9% έπρεπε να αντικαταστήσει κατεστραμμένα εξαρτήματα<br />
και το 5% χρειάστηκε μια εντελώς καινούρια συσκευή.<br />
Περισσότερο από το 1/4 του συνόλου των ερωτηθέντων (27%)<br />
είχε υποστεί τουλάχιστον μία επίθεση κακόβουλου λογισμικού<br />
κατά τους τελευταίους 12 μήνες. Πρόκειται για ένα σημαντικό<br />
ποσοστό, που όμως δεν προκαλεί έκπληξη: Οι ειδικοί της<br />
Kaspersky Lab ανιχνεύουν περισσότερα από 200.000 δείγματα<br />
κακόβουλου λογισμικού κάθε μέρα (μόλις πριν ένα χρόνο<br />
το ποσοστό αυτό ήταν πολύ χαμηλότερο σε 125.000 δείγματα<br />
κακόβουλου λογισμικού την ημέρα).<br />
Ένας σημαντικός αριθμός χρηστών, της τάξης του 11%, επέλεξε<br />
να αγοράσει προστασία μόνο αφού ήταν πλέον πολύ αργά<br />
και είχε ήδη υποκύψει στην επίθεση. Στην καλύτερη περίπτωση<br />
αυτό διατάραξε απλά τις εργασίες που εκτελούσε η συσκευή.<br />
Στις χειρότερες περιπτώσεις, οι επιθέσεις προκάλεσαν<br />
σημαντικές οικονομικές απώλειες στους χρήστες.<br />
Τα αποτελέσματα της έρευνας υποδεικνύουν ότι είναι απαραίτητο<br />
να εξασφαλιστεί η προστασία των online συσκευών, πολύ<br />
πριν την εμφάνιση άλλων προβλημάτων. Με τόσα πολλά<br />
αποτελεσματικά προϊόντα που είναι διαθέσιμα σήμερα στην<br />
αγορά, δεν υπάρχει καμία δικαιολογία να περιμένετε μέχρι να<br />
είναι πολύ αργά.<br />
Προλαμβάνοντας τη ζημιά<br />
Εξελιγμένοι μηχανισμοί εντοπισμού και αποκλεισμού του malware<br />
αποτελούν τις βασικές τεχνολογίες που διαθέτουν τα<br />
προϊόντα της Kaspersky Lab για την προστασία απένταντι σε<br />
ηλεκτρονικές επιθέσεις. Το Kaspersky Internet <strong>Security</strong> – Multi-Device<br />
είναι μια λύση ασφάλειας που προστατεύει ταυτόχρονα<br />
πολλές συσκευές, οι οποίες λειτουργούν σε διαφορετικά<br />
λειτουργικά συστήματα. Ενσωματώνει μια σειρά εργαλείων<br />
για την αντιμετώπιση του malware το οποίο στοχεύει τις πλατφόρμες,<br />
οι οποίες αποτελούν συχνότερα θύματα επιθέσεων.<br />
Το Kaspersky Internet <strong>Security</strong> for Windows είναι μέρος του<br />
Kaspersky Internet <strong>Security</strong> – Multi-Device. Εκτός από τα βασικά<br />
χαρακτηριστικά προστασίας από ηλεκτρονικές επιθέσεις,<br />
διαθέτει και τεχνολογίες που έχουν αναπτυχθεί ειδικά για να<br />
εντοπίζουν άγνωστο λογισμικό (Automatic Exploit Prevention<br />
και ZETA Shield), εξελιγμένες τεχνολογίες anti-rootkit και ένα<br />
μηχανισμό που αυτόματα αποκλείει τους blockers οι οποίοι<br />
προσπαθούν κακόβουλα να αρνηθούν στους χρήστες την πρόσβαση<br />
σε βασικές λειτουργίες του OS (Operating System).<br />
Παρόμοια και το Kaspersky Internet <strong>Security</strong> for Mac - το οποίο<br />
είναι επίσης ενσωματωμένο στη νέα λύση της Kaspersky Lab<br />
για ταυτόχρονη προστασία σε πολλές συσκευές - διαθέτει ένα<br />
συνδυασμό ευρετικών τεχνολογιών, οι οποίες μπορούν να εντοπίσουν<br />
τις επιθέσεις ακόμα και όταν το malware είναι άγνωστο<br />
στις τεχνολογίες web antivirus. Τέλος, το Kaspersky Internet<br />
<strong>Security</strong> for Android προσφέρει προστασία υψηλού επιπέδου<br />
σε όλα τα Android-based smartphones ή tablets. Χρησιμοποιεί<br />
ειδικούς μηχανισμούς που έχουν σχεδιαστεί για να<br />
πραγματοποιούν αυστηρούς ελέγχους στους κώδικες κάθε<br />
εφαρμογής που «κατεβαίνει» στη συσκευή, καθώς και μια σειρά<br />
πρόσθετων τεχνολογιών προστασίας.<br />
Ο καλύτερος τρόπος να εμποδίσουμε τις οικονομικές απώλειες<br />
που προκαλούνται από κακόβουλες επιθέσεις είναι να αποτρέψουμε<br />
αυτές τις επιθέσεις. Το Kaspersky Internet <strong>Security</strong><br />
– Multi-Device αποτελεί την ιδανική λύση για τους χρήστες<br />
που θέλουν να επιτύχουν αυτό το σκοπό.<br />
6| security
ADAPT<strong>IT</strong> και Arbor Networks παρουσιάστηκαν στο ελληνικό κοινό<br />
Η εταιρεία ADAPT<strong>IT</strong>, η οποία δραστηριοποιείται<br />
στον τομέα των Τηλεπικοινωνιών<br />
και της Πληροφορικής, καθώς και η εταιρεία<br />
Arbor Networks, κορυφαίος κατασκευαστής<br />
λύσεων διαχείρισης και ασφάλειας<br />
δικτυακών υποδομών για επιχειρήσεις<br />
και παρόχους υπηρεσιών επικοινωνίας, συστήθηκαν στους<br />
εκπροσώπους του ελληνικού τύπου. Η εκδήλωση έλαβε χώρα<br />
την Τρίτη 24 Σεπτεμβρίου στο ξενοδοχείο Semiramis στην<br />
Κηφισιά. Διακεκριμένα στελέχη τόσο της Arbor Networks<br />
όσο και της ADAPT<strong>IT</strong> ανέλυσαν το έργο, τη στρατηγική και<br />
τα μελλοντικά σχέδια των δύο εταιρειών, ενώ έγινε εκτενής<br />
αναφορά και στη συνεργασία που έχουν συνάψει οι δύο επιχειρήσεις.<br />
Αναλυτικότερα, ο κος Eric Michonnet, Regional Director for<br />
South EMEA, Arbor Networks, παρουσίασε στους παρευρισκόμενους<br />
τους τομείς δραστηριότητας της εταιρείας. O κος<br />
Ivan Straniero, Territory Manager for Italy and SE Europe, Arbor<br />
Networks, αναφέρθηκε στο χαρτοφυλάκιο των λύσεων<br />
της εταιρείας αλλά και στη συνεργασία της<br />
Arbor Networks με την ADAPT<strong>IT</strong>. Ακολούθησε<br />
ο κος Marco Gioanola, Consulting<br />
Engineer for Italy and SE Europe, Arbor Networks,<br />
ο οποίος αναφέρθηκε στην online<br />
υπηρεσία ATLAS (Active Threat Level<br />
Analysis System) της εταιρείας. Στο βήμα της εκδήλωσης τον<br />
ακολούθησε ο κος Αθανάσιος Τζαφέρης, Πρόεδρος & CEO<br />
της ADAPT<strong>IT</strong>, ο οποίος παρουσίασε το προφίλ της εταιρείας<br />
και τις λύσεις που προσφέρει. Αναφέρθηκε στη στρατηγική<br />
συνεργασία που έχουν συνάψει οι δύο επιχειρήσεις, ενώ<br />
φτάνοντας στο τέλος της τοποθέτησής του, εξήγησε στους<br />
παρευρισκόμενους τα μελλοντικά σχέδια και το όραμα της<br />
εταιρείας. Ο κος Αθανάσιος Τζαφέρης δήλωσε σχετικά: «Είμαστε<br />
ενθουσιασμένοι που θα συνεργαστούμε με την Arbor<br />
Networks, τον κορυφαίο πάροχο λύσεων για την πρόληψη<br />
και αντιμετώπιση επιθέσεων DDoS παγκοσμίως. Η εν λόγω<br />
συνεργασία θα ενδυναμώσει τη θέση της ADAPT<strong>IT</strong> στην<br />
πάντα απαιτητική ελληνική αγορά Τηλεπικοινωνιών».
NEWS<br />
Υπεύθυνοι Ασφαλείας από ολόκληρο τον κόσμο δίνουν τη<br />
συνταγή για τη δημιουργία μιας κορυφαίας ομάδας ασφαλείας ΙΤ.<br />
Η RSA, το Τμήμα Ασφαλείας της EMC,<br />
έδωσε στη δημοσιότητα την έκθεση με τα<br />
αποτελέσματα μιας νέας έρευνας του SBIC<br />
(Συμβούλιο για την Ασφάλεια της Επιχειρηματικής<br />
Καινοτομίας - <strong>Security</strong> for Business<br />
Innovation Council), στην οποία αποκαλύπτεται<br />
το τι θα πρέπει να περιέχει ένα πρόγραμμα ασφαλείας<br />
που φιλοδοξεί να καλύψει μελλοντικές ανάγκες των<br />
σύγχρονων Οργανισμών – ξεκινώντας από το πώς μπορεί<br />
να κτιστεί μια ομάδα ασφαλείας επόμενης γενιάς, μέχρι το<br />
ποια είναι η σωστή διαχείριση ενός διαδικτυακού κινδύνου<br />
καθ’ όλη τη διάρκεια της ζωής του. Προκειμένου να μπορέσουν<br />
να ανταποκριθούν στις απαιτήσεις ενός περιβάλλοντος<br />
που αλλάζει διαρκώς, οι ομάδες ασφαλείας συστημάτων και<br />
πληροφοριών βρίσκονται σε ένα στάδιο επαναπροσδιορισμού<br />
των κύριων λειτουργιών τους και των τομέων ευθύνης<br />
τους. Σύμφωνα με την τελευταία έκθεση του SBIC με τίτλο<br />
“Transforming Information <strong>Security</strong>: Designing a State-of-the<br />
Art Extended Team,” (“Μετασχηματίζοντας την Ασφάλεια<br />
των Πληροφοριακών Συστημάτων: Σχεδιάζοντας μια σύγχρονη<br />
ομάδα πολλαπλής κρούσης”), οι ομάδες που έχουν<br />
επιφορτιστεί με την προστασία των πληροφοριακών συστημάτων<br />
θα πρέπει να εμπλουτιστούν με δεξιότητες που μέχρι<br />
τώρα δεν συναντούσαμε σε μία τυπική ομάδα ασφαλείας,<br />
όπως η διαχείριση επιχειρηματικού κινδύνου, η γνώση νομικών,<br />
το μάρκετινγκ, τα μαθηματικά και οι προμήθειες. Ο τομέας<br />
του information security θα πρέπει επίσης να υιοθετήσει<br />
ένα μοντέλο συν-υπευθυνότητας, σύμφωνα με το οποίο<br />
η ευθύνη για την προστασία των κρίσιμων πληροφοριών μιας<br />
επιχείρησης μοιράζεται μεταξύ διαφόρων ανώτερων και μεσαίων<br />
στελεχών, τα οποία αρχίζουν να αντιλαμβάνονται ότι<br />
σε τελική ανάλυση, είναι υπεύθυνοι των δικών τους διαδικτυακών<br />
κινδύνων και ότι η σωστή διαχείρισή τους αποτελεί<br />
πλέον κομμάτι της δουλειάς τους. Έτσι απαιτείται μια νέα<br />
στρατηγική όσον αφορά στη διαμόρφωση και την εκπαίδευση<br />
ταλέντων, αλλά και η αξιοποίηση εξειδικευμένων εξωτερικών<br />
συνεργατών. Το Συμβούλιο διαμόρφωσε ένα σύνολο<br />
από επτά βασικές συστάσεις, προκειμένου να βοηθήσει<br />
τους Οργανισμούς να δημιουργήσουν μια σύγχρονη και ικανή<br />
ομάδας ασφαλείας ΙΤ.<br />
1. Επικεντρωθείτε και εμβαθύνετε σε τέσσερις βασικούς τομείς<br />
– Βοηθήστε την κύρια ομάδα ασφαλείας να επικεντρωθεί<br />
σε τέσσερις βασικούς τομείς: συλλογή<br />
πληροφοριών για διαδικτυακούς κινδύνους<br />
(cyber risk intelligence) και ανάλυση<br />
δεδομένων ασφαλείας , διαχείριση δεδομένων<br />
ασφαλείας, παροχή συμβουλών<br />
για θέματα διαδικτυακών κινδύνων, σχεδιασμός<br />
ελεγκτικών μηχανισμών και δικλείδων ασφαλείας.<br />
2. Αναθέστε σε κάποιον τρίτο τις καθημερινές λειτουργίες<br />
ασφαλείας – Αναθέστε τις επαναλαμβανόμενες παραδοσιακές<br />
λειτουργίες ασφαλείας στην ομάδα λειτουργίας ΙΤ,<br />
στα διάφορα τμήματα της επιχείρησης και/ή σε εξωτερικούς<br />
παρόχους σχετικών υπηρεσιών.<br />
3. Προσλάβετε ή συνεργαστείτε με ειδικούς – Για συγκεκριμένες<br />
ειδικότητες, ενισχύστε τη βασική σας ομάδα με ειδικούς<br />
που θα βρείτε μέσα ή έξω από τον Οργανισμό.<br />
4. Μάθετε τους Risk Owners να κάνουν διαχείριση κινδύνου<br />
– Συνεργαστείτε με τα διάφορα τμήματα για θέματα<br />
διαχείρισης των διαδικτυακών κινδύνων και αναλάβετε το<br />
συντονισμό τους, ώστε να υπάρχει μια συστηματική προσέγγιση<br />
στο θέμα. Διευκολύνετε τους risk owners να ανταποκριθούν<br />
στις απαιτήσεις διαχείρισης ρίσκου και καταστήστε<br />
τους υπεύθυνους.<br />
5. Προσλάβετε ειδικούς για τη βελτιστοποίηση των διαδικασιών<br />
– Εντάξτε στην ομάδα ανθρώπους με αποδεδειγμένη<br />
εμπειρία στη διαχείριση ποιότητας, έργων και σύνθετων<br />
προγραμμάτων, τη βελτιστοποίηση διαδικασιών και<br />
την παροχή υπηρεσιών ΙΤ.<br />
6. Αναπτύξτε σχέσεις - κλειδιά – Αναπτύξτε σχέσεις αμοιβαίας<br />
εμπιστοσύνης με βασικούς παίκτες που έχουν στη<br />
δικαιοδοσία τους τα κορυφαία προϊόντα του Οργανισμού,<br />
με τα μεσαία στελέχη και με τους εξωτερικούς παρόχους<br />
υπηρεσιών.<br />
7. Μην ακολουθείτε την περπατημένη στην αναζήτηση μελλοντικών<br />
ταλέντων – Δεδομένης της απουσίας άμεσα διαθέσιμων<br />
εξειδικευμένων στελεχών, η ανάπτυξη τέτοιων ταλέντων<br />
αποτελεί τη μόνη σίγουρη μακροπρόθεσμη επιλογή<br />
για τους περισσότερους Οργανισμούς. Αναζητήστε ταλέντα<br />
με προηγούμενη εμπειρία σε τομείς όπως η ανάπτυξη<br />
λογισμικού, η ανάλυση επιχειρησιακών δεδομένων,<br />
η οικονομική διαχείριση, η συλλογή στρατιωτικών πληροφοριών,<br />
η νομική, η προστασία προσωπικών δεδομένων<br />
και η σύνθετη στατιστική ανάλυση.<br />
8| security
C OVER ISSUE<br />
Του Νότη Ηλιόπουλου<br />
Msc Infosec, ISO 27001 LA, CISA, CISM<br />
piliopou@me.com<br />
Διαχείριση Επιχειρησιακής Συνέχειας<br />
Σύστημα & Στόχοι<br />
Η Διαχείριση της Επιχειρησιακής Συνέχειας (Business Continuity Management) είναι μια<br />
διαδικασία ολιστικής διαχείρισης, η οποία προσδιορίζει τις πιθανές επιπτώσεις που απειλούν<br />
την απρόσκοπτη λειτουργία ενός Οργανισμού και παρέχει ένα πλαίσιο για την αύξηση<br />
της ανθεκτικότητας και της ικανότητας για αποτελεσματική αντίδραση σε περίπτωση<br />
κινδύνων. Σκοπός της είναι η προστασία των συμφερόντων όσων σχετίζονται με τη λειτουργία<br />
του Οργανισμού, καθώς και η προστασία της φήμης, της αξιοπιστίας και της βιωσιμότητάς<br />
του.<br />
10 | security
COVER ISSUE<br />
Διαχείριση Επιχειρησιακής Συνέχειας<br />
Η Διαχείριση της Επιχειρησιακής Συνέχειας διαφέρει από το<br />
σχέδιο αποκατάστασης της λειτουργίας μετά από καταστροφή<br />
(Disaster Recovery Plan), μιας και το δεύτερο αποτελεί υ-<br />
ποσύνολο του πρώτου. Συγκεκριμένα, το Σχέδιο Αποκατάστασης<br />
από Καταστροφή (DRP), είναι η διεργασία, οι πολιτικές<br />
και οι διαδικασίες που σχετίζονται με την αποκατάσταση<br />
και τη συνέχιση της λειτουργίας της τεχνολογικής υποδομής<br />
ενός Οργανισμού, μετά από φυσικές ή ανθρωπογενείς καταστροφές.<br />
Το σχέδιο αποκατάστασης μετά από καταστροφή,<br />
επικεντρώνεται στην τεχνολογία της πληροφορικής ή στα συστήματα<br />
που υποστηρίζουν τη λειτουργία του Οργανισμού, σε<br />
αντίθεση με τη Διαχείριση της Επιχειρησιακής Συνέχειας η ο-<br />
ποία περιλαμβάνει τον προγραμματισμό για την αποκατάσταση<br />
και συνέχιση της λειτουργίας ενός Οργανισμού σε περιπτώσεις<br />
γεγονότων που οδηγούν σε μερική ή ολική αδυναμία<br />
λειτουργίας του Οργανισμού.<br />
Η υιοθέτηση μιας αποτελεσματικής διεργασίας Διαχείρισης<br />
της Επιχειρησιακής Συνέχειας για έναν Οργανισμό, αποφέρει<br />
πλεονεκτήματα σε μια σειρά από τομείς, όπως:<br />
Προστασία της επένδυσης και των κερδών των μετόχων.<br />
Μεγαλύτερη και καλύτερη κατανόηση της επιχειρηματικής<br />
λειτουργίας του Οργανισμού, μέσω της διαδικασίας προσδιορισμού<br />
και αξιολόγησης των κινδύνων.<br />
Μεγιστοποίηση της Επιχειρησιακής ανθεκτικότητας η οποία<br />
προκύπτει από την εφαρμογή των δικλείδων ασφαλείας που<br />
αφορούν στη μείωση του κινδύνου.<br />
Μείωση του χρόνου διακοπής της επιχειρηματικής λειτουργίας,<br />
μέσω του προσδιορισμού εναλλακτικών διαδικασιών<br />
και τρόπων αντιμετώπισης.<br />
Προσδιορισμός και προστασία των ζωτικής σημασίας αρχείων.<br />
Καλύτερη θεώρηση και διαχείριση των νομικών απαιτήσεων<br />
για την υγεία και την ασφάλεια των εργαζομένων.<br />
Βελτίωση της λειτουργίας και της αποτελεσματικότητας<br />
των λειτουργικών διεργασιών, μέσω του ‘αναγκαστικού’ α-<br />
νασχεδιασμού των κρίσιμων λειτουργικών διεργασιών.<br />
Προστασία των φυσικών περιουσιακών στοιχείων, καθώς<br />
και της τεχνογνωσίας του Οργανισμού.<br />
Διατήρηση αγορών και πελατών, εξασφαλίζοντας συνεχή<br />
παροχή υπηρεσιών και προϊόντων.<br />
Αποφυγή των επιπτώσεων από περιπτώσεις αστικής ευθύνης.<br />
Κίνδυνοι και ευκαιρίες κατά την ανάπτυξη του<br />
Σχεδίου Επιχειρησιακής Συνέχειας<br />
Η συγκεκριμένη παράγραφος προσδιορίζει τις ευκαιρίες που<br />
έχει ένας Οργανισμός να βελτιωθεί στα πλαίσια ανάπτυξης ε-<br />
νός Σχεδίου Επιχειρησιακής Συνέχειας, αλλά και τους κινδύνους<br />
που πρέπει να αντιμετωπιστούν προκειμένου να αναπτυχθεί α-<br />
ποτελεσματικά το Σχέδιο Επιχειρησιακής Συνέχειας.<br />
Ένα αποτελεσματικό Σχέδιο Επιχειρησιακής Συνέχειας μπορεί<br />
να πάει πολύ πιο πέρα από ό,τι ένα σχέδιο διασφάλισης της<br />
απρόσκοπτης λειτουργίας ενός Οργανισμού. Πρόκειται για<br />
την ανάπτυξη ενός πλαισίου προστασίας της λειτουργίας του<br />
Οργανισμού, το οποίο θα του επιτρέπει να προσαρμόζεται<br />
γρήγορα στις συνεχώς μεταβαλλόμενες επιχειρηματικές απαιτήσεις<br />
και θα αποτελέσει εφαλτήριο για την επιχειρηματική και<br />
γεωγραφική του επέκταση.<br />
Τα ακόλουθα θεωρούνται ως οι κύριες ευκαιρίες κατά την α-<br />
νάπτυξη ενός Σχεδίου Επιχειρησιακής Συνέχειας, όσον αφορά<br />
στην ανθεκτικότητα του Οργανισμού σε περιστατικά διακοπής<br />
της λειτουργίας του ή μέρους αυτής, στη λειτουργική αρτιότητα<br />
και αποτελεσματικότητά του:<br />
Υλοποιεί τη δέσμευση για συνεχή παροχή υπηρεσιών, που<br />
έχει σαν απαραίτητη προϋπόθεση τη συνεχή παροχή των<br />
κρίσιμων επιχειρησιακών διεργασιών, με σκοπό την αποφυγή<br />
σοβαρής διακοπής της λειτουργίας.<br />
Αποδεδειγμένη δέσμευση για Επιχειρησιακή Συνέχεια.<br />
Μπορεί να χρησιμοποιηθεί ως ανταγωνιστικό πλεονέκτημα<br />
στο πλαίσιο διαπραγμάτευσης νέων συνεργασιών.<br />
Μπορεί να χρησιμοποιηθεί ως εργαλείο διαπραγμάτευσης<br />
με προμηθευτές, έτσι ώστε και αυτοί να ευθυγραμμιστούν<br />
με τις απαιτήσεις του εκάστοτε Οργανισμού για επιχειρησιακή<br />
συνέχεια.<br />
Αποδεδειγμένη δέσμευση για Επιχειρησιακή Συνέχεια μπορεί<br />
να μειώσει το κόστος ασφάλισης του Οργανισμού.<br />
Συνολική βελτίωση της αποτελεσματικής λειτουργίας του<br />
12 | security
Οργανισμού μέσω του προσδιορισμού των περιουσιακών<br />
του στοιχείων, των ανθρώπινων και οικονομικών πόρων που<br />
σχετίζονται με τις κρίσιμες επιχειρηματικές δραστηριότητες<br />
και διεργασίες.<br />
Ευκαιρία να τεκμηριωθούν οι κρίσιμες επιχειρηματικές διαδικασίες<br />
και οι μεταξύ τους αλληλεξαρτήσεις.<br />
Εξοικονόμηση κόστους, καθώς κατά τη διάρκεια ανάπτυξης<br />
του Σχεδίου Επιχειρησιακής Συνέχειας προσδιορίζονται<br />
όλοι οι αναγκαίοι πόροι για την υποστήριξη της επιχειρηματικής<br />
συνέχειας, συμπεριλαμβανομένων του προσωπικού,<br />
των πληροφοριών, του εξοπλισμού, των οικονομικών<br />
πόρων, νομικών απαιτήσεων και απαιτήσεων προστασίας<br />
των υποδομών. Ως αποτέλεσμα, ελαχιστοποιείται ο κίνδυνος<br />
επιπρόσθετων επενδύσεων σε τομείς που δεν επηρεάζουν<br />
τη συνέχιση των κρίσιμων επιχειρήσεων δραστηριοτήτων.<br />
Βελτίωση της συνολικής ασφάλειας, φυσικής και λογικής.<br />
Η οικοδόμηση ενός αποτελεσματικού Σχεδίου / Πλαισίου Ε-<br />
πιχειρησιακής Συνέχειας απαιτεί την αντιμετώπιση των ακόλουθων<br />
κινδύνων, κατά τη διάρκεια της ανάπτυξής του:<br />
Εξάρτιση από ένα Κέντρο Διοίκησης. Σε περίπτωση<br />
κρίσιμων περιστατικών, ακόμα και καταστροφής, ένας Οργανισμός<br />
πρέπει να μπορεί να επιβιώσει ακόμα και χωρίς<br />
τον ηγέτη του ή και τα βασικά διοικητικά του στελέχη. Ο<br />
Οργανισμός θα πρέπει να βεβαιωθεί ότι το Σχέδιο Επιχειρηματικής<br />
Συνέχειας προβλέπει διαφοροποιήσεις στη δομή<br />
διοίκησης σε περιπτώσεις έκτακτης ανάγκης.<br />
Μη πρόβλεψη για εναλλακτικές μεθόδους επικοινωνίας.<br />
Ο Οργανισμός χρειάζεται να βεβαιωθεί ότι το σχέδιο<br />
επιχειρησιακής συνέχειας παρέχει εναλλακτικές μεθόδους<br />
επικοινωνίας μεταξύ των εργαζομένων και εύκολη<br />
πρόσβαση στις λίστες με τα στοιχεία επικοινωνίας τους. Το<br />
σχέδιο θα πρέπει επίσης να περιλαμβάνει και εναλλακτικούς<br />
τρόπους επικοινωνίας με τους πελάτες, στην περίπτωση<br />
όπου το τηλεφωνικό κέντρο ή η διαδικτυακή επικοινωνία<br />
δεν είναι διαθέσιμα.<br />
Παραλείψεις στην εκπαίδευση των εργαζομένων σε<br />
διεργασίες πέραν των καθημερινών τους δραστηριοτήτων.<br />
Κατά τη διάρκεια ή μετά από ένα περιστατικό έ-<br />
κτακτης ανάγκης, υπάρχει πιθανότητα να μην είναι διαθέσιμο<br />
το προσωπικό που απαιτείται για την ανάκαμψη και ε-<br />
παναλειτουργία του Οργανισμού. Πρέπει να είμαστε σε θέση<br />
να εκτελέσουμε τόσο το σχέδιο επιχειρηματικής συνέχειας,<br />
όσο και τις παραγωγικές διεργασίες του Οργανισμού,<br />
με το διαθέσιμο προσωπικό. Αυτό απαιτεί εκπαίδευση του<br />
προσωπικού σε διαφορετικούς ρόλους του σχεδίου, αλλά
COVER ISSUE<br />
Διαχείριση Επιχειρησιακής Συνέχειας<br />
και σε καθημερινές εργασίες πέραν των καθημερινών τυπικών<br />
τους καθηκόντων, έτσι ώστε να μπορεί πραγματικά να<br />
ανακάμψει και να λειτουργήσει ο Οργανισμός.<br />
Έλλειψη κατανόησης σχετικά με το πώς συνεργάτες<br />
και προμηθευτές μπορούν να βοηθήσουν. Ένας ισχυρός<br />
εταίρος μπορεί να βοηθήσει να αντιμετωπιστούν πολλά<br />
προβλήματα, συμπεριλαμβανομένων και ορισμένων σεναρίων<br />
που μπορεί να μην έχουν συμπεριληφθεί στο αρχικό<br />
σχέδιο.<br />
Ενημέρωση & αναθεώρηση του Σχεδίου Επιχειρησιακής<br />
Συνέχειας. Είναι απαραίτητη η διαρκής αναθεώρηση<br />
και ενημέρωση του σχεδίου, καθώς οι συνθήκες αλλάζουν<br />
και υπάρχει κίνδυνος να μην ανταποκρίνεται στο υ-<br />
φιστάμενο λειτουργικό περιβάλλον και στις αλλαγές που έ-<br />
χουν επέλθει σε αυτό.<br />
Υπευθυνότητα. Αυτό περιλαμβάνει την ανάθεση αρμοδιοτήτων<br />
ελέγχου του Σχεδίου Επιχειρησιακής Συνέχειας σε<br />
ένα πρόσωπο που μπορεί σωστά και αποτελεσματικά να<br />
διαχειρισθεί κρίσιμες καταστάσεις και ταυτόχρονα να ε-<br />
λέγχει την εφαρμοσιμότητα του σχεδίου.<br />
Δοκιμές αποτελεσματικότητας του Σχεδίου Επιχειρησιακής<br />
Συνέχειας μέσω τακτικών ασκήσεων.<br />
Σχεδιασμός και ανάπτυξη του Σχεδίου Διαχείρισης<br />
Επιχειρησιακής Συνέχειας<br />
Η διαχείριση της επιχειρησιακής συνέχειας είναι η διαδικασία<br />
με την οποία ένας Οργανισμός προετοιμάζεται για μελλοντικά<br />
περιστατικά που θα μπορούσαν να θέσουν σε κίνδυνο τους<br />
στόχους, την αποστολή και τη μακροπρόθεσμη βιωσιμότητά<br />
του.<br />
Ο στόχος του Σχεδίου Επιχειρησιακής Συνέχειας είναι να δώσει<br />
τη δυνατότητα στον Οργανισμό για αποκατάσταση των<br />
κρίσιμων επιχειρηματικών διεργασιών του, μετά την εκδήλωση<br />
ενός κρίσιμου περιστατικού. Το Σχέδιο Επιχειρησιακής Συνέχειας<br />
αφορά στη διαχείριση του κινδύνου και στη διαμόρφωση<br />
ενός πλαισίου επιχειρηματικής συνέχειας, αναλόγως των<br />
πιθανών κινδύνων αλλά και της επιχειρηματικής αξίας του Οργανισμού.<br />
Για την ανάπτυξη ενός αποτελεσματικού Σχεδίου Επιχειρησιακής<br />
Συνέχειας χρειάζεται να ακολουθηθεί μια εξίσου αποτελεσματική<br />
προσέγγιση, οι βασικές φάσεις ανάπτυξης της ο-<br />
ποίας περιγράφονται στη συνέχεια:<br />
Φάση 1: Προσδιορισμός των λεπτομερών απαιτήσεων<br />
Έχοντας ορίσει το πεδίο εφαρμογής του Σχεδίου Επιχειρησιακής<br />
Συνέχειας, χρειάζεται μια λεπτομερής ανάλυση των ε-<br />
ξειδικευμένων απαιτήσεων της Επιχειρησιακής Συνέχειας για<br />
τον κάθε Οργανισμό. Αυτό γίνεται για να κατανοήσουμε τη<br />
ροή των εργασιών που αφορούν στις κρίσιμες επιχειρηματικές<br />
διεργασίες της κάθε επιχειρηματικής μονάδας. Ταυτόχρονα<br />
προσδιορίζεται ο στόχος χρονικής αποκατάστασης των κρίσιμων<br />
πόρων και διεργασιών της κάθε επιχειρησιακής μονάδας.<br />
Φάση 2: Ανάπτυξη της στρατηγικής αποκατάστασης<br />
Ο στόχος της συγκεκριμένης φάσης είναι ο σχεδιασμός των<br />
απαραίτητων λύσεων (διαχειριστικές, τεχνολογικές) προκειμένου<br />
να διασφαλισθεί το απαραίτητο επίπεδο διαθεσιμότητας<br />
και δυνατότητας ανάκτησης των επιχειρηματικών διαδικασιών.<br />
Η διαδικασία επιλογής στρατηγικής ασχολείται με θέματα ό-<br />
πως ο προσδιορισμός των κρίσιμων πόρων για τους οποίους<br />
δεν υπάρχει πρόβλεψη αυξημένης διαθεσιμότητας (π.χ. ένα<br />
κτίριο παραγωγής, εξάρτηση από έναν και μοναδικό προμηθευτή,<br />
ένα τηλεφωνικό κέντρο κ.λπ.). Εξετάζονται επίσης οι κίνδυνοι<br />
που αφορούν σε ευρύτερες περιβαλλοντικές απειλές (π.χ.<br />
πολιτική αστάθεια, φυσικά φαινόμενα). Στο πλαίσιο της στρατηγικής<br />
προσδιορίζονται οι επιχειρηματικές ανάγκες συναρτήσει<br />
της ανάλυσης των επιχειρηματικών επιπτώσεων, όπως η<br />
προστασία της αξιοπιστίας του Οργανισμού και η πρόληψη ή<br />
η μείωση του χρόνου διακοπής της επιχειρηματικής δραστηριότητας.<br />
Φάση 3: Ανάπτυξη των σχεδίων αντιμετώπισης<br />
Ένα σχέδιο επιχειρησιακής συνέχειας αποτελείται από ένα σύνολο<br />
επιμέρους σχεδίων αντιμετώπισης κρίσιμων περιστατικών<br />
(διαδικασίες και πληροφορίες για τους σχετικούς πόρους), τα<br />
οποία χρησιμοποιούνται για την ανάκτηση των επιχειρηματικών<br />
διεργασιών από ένα γεγονός το οποίο έχει προκαλέσει μερική<br />
ή ολική διακοπή σε μία ή περισσότερες επιχειρηματικές<br />
δραστηριότητες. Το σχέδιο αντιμετώπισης απαντά στα βασικά<br />
ερωτήματα ενός σχεδίου, όπως: ποιος (ποιος εκτελεί την<br />
ανάκτηση), Τι (τι θα γίνει), πότε (η σειρά των διαδικασιών α-<br />
νάκτησης), πού (πού θα λάβει χώρα η ανάκαμψη) και πώς (η<br />
ενσωμάτωση και ο συντονισμός εταιρικών πόρων, συνεργατών<br />
και πελατών).<br />
Φάση 4: Ενσωμάτωση του Σχεδίου Επιχειρηματικής Συνέχειας<br />
στην κουλτούρα και το περιβάλλον του Οργανισμού<br />
Αυτή είναι μία από τις πιο σημαντικές πτυχές του Σχεδίου Ε-<br />
πιχειρηματικής Συνέχειας. Η αποτελεσματικότητά της εξαρτάται<br />
σε μεγάλο βαθμό από την ενσωμάτωση και το βαθμό επικοινωνίας<br />
του Σχεδίου Επιχειρηματικής Συνέχειας σε όλο τον<br />
Οργανισμό.<br />
Για το λόγο αυτό είναι απαραίτητη η ανάπτυξη:<br />
Προγραμμάτων και υλικού εκπαίδευσης.<br />
14 | security
Εκπαίδευσης της Ομάδας Διαχείρισης Κρίσεων.<br />
Εκπαίδευσης της βασικής ομάδας υλοποίησης του Σχεδίου<br />
Επιχειρηματικής Συνέχειας.<br />
Δημιουργίας & προγραμματισμού συνεχούς εκπαίδευσης<br />
και ευαισθητοποίησης.<br />
Φάση 5: Δοκιμές & Συντήρηση του Σχεδίου Επιχειρηματικής<br />
Συνέχειας<br />
Οι δοκιμές καταδεικνύουν εάν τα τεκμηριωμένα σχέδια και η<br />
στρατηγική αποκατάστασης είναι επαρκή και μπορούν αποτελεσματικά<br />
να ανακτήσουν τις κρίσιμες επιχειρηματικές λειτουργίες<br />
εντός των προβλεπόμενων χρονικών στόχων. Οι δοκιμές<br />
επικυρώνουν το σχεδιασμό του Σχεδίου Επιχειρηματικής<br />
Συνέχειας και προσδιορίζουν τις τυχόν αδυναμίες του.<br />
Αυτοματοποίηση της διαχείρισης της Επιχειρησιακής<br />
Συνέχειας<br />
Η αυτοματοποίηση της διαδικασίας διαχείρισης ενός Σχεδίου<br />
Επιχειρησιακής Συνέχειας, αφορά στη χρήση τεχνικών εργαλείων<br />
τα οποία δίνουν τη δυνατότητα κεντρικής διαχείρισης<br />
και αναθεώρησης των επιμέρους σχεδίων αντιμετώπισης.<br />
Οι περισσότερες από τις διαθέσιμες λύσεις αφορούν στη χρήση<br />
web-based λογισμικού το οποίο συνδυάζει την επιχειρηματική<br />
συνέχεια, το σχέδιο αποκατάστασης καταστροφών που<br />
προσφέρει βοήθεια κατά τον αρχικό σχεδιασμό και αποτελεί<br />
κεντρικό σημείο αποθήκευσης για τα σχέδια και τις σχετικές<br />
διαδικασίες. Κάποιες πιο προηγμένες λύσεις συνδυάζουν και τη<br />
διαχείριση κρίσεων σε μια ενιαία πλατφόρμα διακυβέρνησης,<br />
διαχείρισης κινδύνου και διαχείρισης των απαιτήσεων συμμόρφωσης<br />
(GRC, Governance, Risk, Compliance).<br />
Το ιδανικό αυτοματοποιημένο εργαλείο διαχείρισης της Επιχειρηματικής<br />
Συνέχειας θα πρέπει να διαθέτει τα ακόλουθα:<br />
Αυτοματοποίηση της διαδικασίας προσδιορισμού των ε-<br />
πιχειρηματικών επιπτώσεων (business impact assessment) και<br />
της κρισιμότητας των επιχειρηματικών διεργασιών και της<br />
τεχνολογικής υποδομής που τις υποστηρίζει.<br />
Δημιουργία του σχεδίου επιχειρηματικής συνέχειας και των<br />
επιμέρους σχεδίων αντιμετώπισης, παρέχοντας τη δυνατότητα<br />
αυτοματοποίησης της ροής εργασιών που αφορούν<br />
στις εγκρίσεις και στις δοκιμές των επιμέρους σχεδίων α-<br />
ντιμετώπισης.<br />
Διαχείριση και εκτέλεση του σχεδίου και παροχή των καναλιών<br />
επικοινωνίας που χρειάζονται κατά την ενεργοποίηση<br />
του σχεδίου.<br />
Τα παραπάνω χαρακτηριστικά περιγράφουν το ιδανικό σενάριο,<br />
το οποίο δεν υλοποιείται από τις υφιστάμενες εμπορικά διαθέσιμες<br />
λύσεις.<br />
Υπάρχουν επί του παρόντος πολλές αυτοματοποιημένες ε-<br />
φαρμογές Διαχείρισης Επιχειρησιακής Συνέχειας και αρκετά εργαλεία<br />
που είναι διαθέσιμα στην αγορά, που καλύπτουν μέρος<br />
του παραπάνω ιδανικού σεναρίου.<br />
Η χρήση ενός λογισμικού Διαχείρισης της Επιχειρηματικής Συνέχειας,<br />
καθιστά τη δημιουργία και τη συντήρηση των σχεδίων<br />
αντιμετώπισης εύκολη και αποτελεσματική, εξοικονομώντας<br />
χρόνο στους εργαζομένους για να ασχοληθούν με τις παραγωγικές<br />
διεργασίες του Οργανισμού.<br />
Στα πλεονεκτήματα των εν λόγω λύσεων συγκαταλέγεται η καθοδήγηση<br />
κατά το σχεδιασμό των διαδικασιών αντιμετώπισης.<br />
Τα σχέδια τεκμηριώνονται με ομοιόμορφο τρόπο για όλες τις<br />
επιχειρηματικές μονάδες, απλοποιείται η συντήρηση των σχεδίων<br />
αντιμετώπισης και οι όποιες αλλαγές γίνονται σε κεντρικά<br />
διαχειριζόμενο μέρος.<br />
Η εμπειρία συμβουλεύει τη συνετή επιλογή του όποιου τεχνολογικού<br />
βοηθήματος, μιας και θα δαπανηθεί αρκετός χρόνος<br />
για την εισαγωγή των δεδομένων. Χρόνος που μπορεί να είναι<br />
δυσανάλογος της βοήθειας που μπορεί να προσφέρει το<br />
κάθε εργαλείο. Στο link που ακολουθεί μπορείτε να βρείτε αρκετά<br />
στοιχεία για τα εμπορικά διαθέσιμα εργαλεία και τις δυνατότητές<br />
τους. (http://www.continuitycentral.com/bcs.htm).<br />
Πιστοποίηση του Σχεδίου Επιχειρηματικής συνέχειας<br />
Ο κάθε Οργανισμός έχει τη δυνατότητα όχι μόνο να αναπτύξει<br />
αλλά και να πιστοποιήσει το πλαίσιο Διαχείρισης της Επιχειρηματικής<br />
του Συνέχειας, κατά το διεθνώς αναγνωρισμένο<br />
πρότυπο ISO 22301.<br />
Το ISO 22301 προσδιορίζει μια σειρά από απαιτήσεις που α-<br />
φορούν στη Διαχείριση ενός Σχεδίου Επιχειρηματικής Συνέχειας.<br />
Η πιστοποίηση, παρόλο προαιρετική, παρέχει προστιθέμενη<br />
αξία και αποτελεί σημείο διαφοροποίησης, καθώς α-<br />
ποτελεί επικύρωση της ύπαρξης, λειτουργίας και συντήρησης<br />
ενός σχεδίου Επιχειρηματικής Συνέχειας, από τρίτο ανεξάρτητο<br />
φορέα.<br />
Πλεονεκτήματα πιστοποίησης<br />
Η πιστοποίηση δίνει ένα ισχυρό μήνυμα προς τους πελάτες<br />
και τους επιχειρηματικούς εταίρους ότι ο Οργανισμός<br />
είναι σε θέση να συνεχίσει την επιχειρηματική του δραστηριότητα<br />
αδιάκοπα, καθώς διαθέτει ένα πλαίσιο διαχείρισης<br />
κρίσιμων περιστατικών.<br />
Η πιστοποίηση μπορεί να χρησιμοποιηθεί και σαν εργαλείο<br />
marketing.<br />
Με τη διαδικασία πιστοποίησης επαληθεύεται από μια α-<br />
νεξάρτητη οντότητα ότι υπάρχει και λειτουργεί πλαίσιο Διαχείρισης<br />
Επιχειρηματικής Συνέχειας.<br />
Ο κάθε Οργανισμός πρέπει να δείξει υλοποίηση των διαδικασιών<br />
/ σχεδίων αντιμετώπισης, προκειμένου να πιστοποιηθεί.<br />
Αυτό βοηθά στην ανανέωση, αναθεώρηση και ε-<br />
ξορθολογισμό των υφιστάμενων επιχειρηματικών διεργασιών.<br />
Πιστοποίηση σημαίνει ότι όχι μόνο εφαρμόζονται κανόνες<br />
και διαδικασίες σχετικά με την Επιχειρηματική Συνέχεια,<br />
security | 15
COVER ISSUE<br />
Διαχείριση Επιχειρησιακής Συνέχειας<br />
αλλά υπάρχει και το σχετικό πλαίσιο συνεχούς ελέγχου α-<br />
ποτελεσματικότητας, συνεχούς βελτίωσης και αναθεώρησης<br />
όταν οι επιχειρηματικές αλλαγές το απαιτούν.<br />
Το πεδίο εφαρμογής της πιστοποίησης μπορεί να επιλεγεί<br />
από τον εκάστοτε Οργανισμό, με τον τρόπο που αυτό<br />
θα ελέγξει την κατανομή πόρων κατά την υλοποίησή του.<br />
Μειονεκτήματα Πιστοποίησης<br />
Η πιστοποίηση ίσως και να κοστίσει περισσότερα χρήματα<br />
(ίσως 10% - 15% του συνολικού κόστους του έργου) στο<br />
πλαίσιο της προετοιμασίας, μιας και χρειάζεται να καλυφθούν<br />
όλες οι απαιτήσεις του προτύπου.<br />
Ένα πιστοποιημένο πλαίσιο Διαχείρισης Επιχειρηματικής<br />
Συνέχειας, απαιτεί αυστηρή κατανομή ρόλων και πόρων<br />
Διαδρομή πιστοποίησης<br />
Η συνήθης διαδρομή για έναν Οργανισμό που επιθυμεί να πιστοποιηθεί<br />
κατά ISO22301 είναι η ακόλουθη:<br />
1. Εφαρμογή του συστήματος διαχείρισης. Συνήθως, ο ε-<br />
λάχιστος χρόνος που απαιτείται από τους Οργανισμούς πιστοποίησης<br />
είναι 3 μήνες.<br />
2. Εσωτερικός έλεγχος και επανεξέταση από τη διοίκηση.<br />
Πριν από την πιστοποίηση, ένα σύστημα διαχείρισης θα πρέπει<br />
να είχε τουλάχιστον μία έκθεση εσωτερικού ελέγχου και<br />
μία επανεξέταση από τη Διοίκηση.<br />
3. Επιλογή του φορέα πιστοποίησης.<br />
4. Στάδιο 1, έλεγχος από φορέα πιστοποίησης: Μια επισκόπηση<br />
της συμμόρφωσης του σχεδιασμού του συστήματος<br />
διαχείρισης. Ο κύριος στόχος είναι να βεβαιωθεί ότι το<br />
σύστημα διαχείρισης έχει σχεδιαστεί έτσι ώστε να πληροί τις<br />
απαιτήσεις του προτύπου και τους στόχους της Οργανισμού.<br />
5. Στάδιο 2 ελέγχου από τον φορέα πιστοποίησης (επιτόπου<br />
επίσκεψη). Στόχος του ελέγχου είναι να αξιολογηθεί ε-<br />
άν το σύστημα διαχείρισης συμμορφώνεται με όλες τις α-<br />
παιτήσεις του προτύπου. Εάν στην πραγματικότητα έχει υ-<br />
λοποιηθεί και να υποστηρίζει τους στόχους και τις απαιτήσεις<br />
του Οργανισμού.<br />
6. Επιβεβαίωση εγγραφής. Εάν ο Οργανισμός συμμορφώνεται<br />
με τις απαιτήσεις του προτύπου, η ανεξάρτητη οντότητα<br />
επιβεβαιώνει τη συμμόρφωση και εκδίδει το πιστοποιητικό.<br />
7. Συνεχής βελτίωση και έλεγχοι επιτήρησης. Όταν ένας<br />
Οργανισμός είναι πιστοποιημένος, υπόκειται σε ελέγχους ε-<br />
πιτήρησης από το Φορέα Πιστοποίησης προκειμένου να ε-<br />
ξασφαλιστεί ότι το σύστημα διαχείρισης εξακολουθεί να<br />
συμμορφώνεται με το πρότυπο. Οι έλεγχοι επιτήρησης περιλαμβάνουν<br />
επιτόπου επισκέψεις (τουλάχιστον 1/έτος) που<br />
επιτρέπουν την επαλήθευση της συμμόρφωσης του συστήματος<br />
διαχείρισης.<br />
Log off...<br />
Η βιωσιμότητα και η απρόσκοπτη λειτουργία ενός Οργανισμού,<br />
δεν απαιτούν μόνο την κάλυψη των απαιτήσεων των πελατών<br />
και την επέκταση των επιχειρηματικών δραστηριοτήτων.<br />
Απαιτούν τη λήψη μέτρων πρόληψης για την προστασία κατά<br />
των συνεπειών μιας φυσικής καταστροφής, μιας ηλεκτρονικής<br />
επίθεσης, προστασία από πράξεις τρομοκρατίας και άλλα γεγονότα<br />
που θα έχουν αρνητική επίπτωση στην ομαλή και α-<br />
πρόσκοπτη λειτουργία μιας επιχείρησης. Οι περισσότεροι Οργανισμοί<br />
παρόλο που αναγνωρίζουν την παραπάνω ανάγκη,<br />
ακόμα και σήμερα ολιγωρούν σε θέματα που άπτονται της διαχείρισης<br />
της Επιχειρηματικής Συνέχειας. Η μεγιστοποίηση της<br />
τεχνολογικής διαθεσιμότητας από μόνη της, δεν αποτελεί α-<br />
ποτελεσματική δικλείδα προστασίας της συνεχούς λειτουργίας<br />
ενός Οργανισμού. Χρειάζεται συγκεκριμένη προσέγγιση, σχεδιασμός<br />
και συνεχής βελτίωση. Καμία τεχνολογία δεν είναι ι-<br />
κανή να προβλέψει και να διαχειρισθεί από μόνη της περιστατικά,<br />
που μπορεί να οδηγήσουν σε μερική ή ολική διακοπή της<br />
επιχειρηματικής δραστηριότητας. Η τεχνολογία παρέχει ενδείξεις<br />
και ο ανθρώπινος παράγοντας κρίνει εάν και πότε θα<br />
ενεργοποιηθούν οι διαδικασίες αντιμετώπισης και ανάκαμψης<br />
από μερική ή ολική διακοπή της επιχειρηματικής δραστηριότητας.<br />
Το ζητούμενο είναι να υπάρχουν οι εν λόγω διαδικασίες,<br />
αλλά και ο κατάλληλος ανθρώπινος παράγοντας που θα τις<br />
διαμορφώσει και θα τις διαχειρισθεί.<br />
Παραπομπές<br />
Common Business Continuity Planning Mistakes, Franklin<br />
Fletcher, CBCP CISSP<br />
Business Continuity Planning Presentation and Direction,<br />
Thomas Bronack<br />
Business Continuity Planning (BCP) & Disaster Recovery<br />
Planning (DRP), by Jeff Smith, CISSP<br />
Global Technology Audit Guide (GTAG), Business Continuity<br />
Management, David Everest, Key Bank, Roy E. Garber,<br />
Safe Auto Insurance Co., Michael Keating, Navigant<br />
Consulting, Brian Peterson, Chevron Corp.<br />
Continuity Central http://www.continuitycentral.com/index.htm<br />
The business continuity institute http://www.thebci.org<br />
Business Continuity Management Institute http://www.bcminstitute.org/bcmi10/<br />
Disaster Recovery Journal http://www.drj.com iT<strong>Security</strong><br />
16 | security
I SSUE<br />
Business Continuity<br />
Ανακάμπτοντας από την κρίση<br />
Πάρης Κάσκας<br />
Principal Presales Consultant, Symantec<br />
Για πολλές επιχειρήσεις, η ασχολία με τις τεχνολογικές ε-<br />
πενδύσεις είναι κάτι τόσο δυσάρεστο όσο η επίσκεψη στο<br />
γιατρό. Είναι προτιμότερο να προπορευόμαστε τυχόν θεμάτων<br />
που ανακύπτουν στην υποδομή μας πριν αυτά γίνουν<br />
σοβαρά, καθώς η μικρής διάρκειας αναστάτωση μπορεί να<br />
αποβεί δύσκολη στην αντιμετώπισή της. Πάντα στο πίσω μέρος<br />
του μυαλού μας, έχουμε μία επίμονη ανησυχία ότι μπορεί<br />
να μετανιώσουμε που δεν κλείσαμε αυτή τη συνάντηση<br />
με τους υπεύθυνους ΙΤ.<br />
Ένα πράγμα κρατά τις επιχειρήσεις ξάγρυπνες τη νύχτα, ιδιαίτερα<br />
το τμήμα του ΙΤ - και αυτό είναι ο φόβος ότι ένας server<br />
θα σταματήσει τη λειτουργία του λόγω μίας κυβερνοεπίθεσης<br />
ή μίας καταιγίδας που θα σταματήσει την παροχή ρεύματος<br />
στο data center. Ακόμη και τα μικρά προβλήματα α-<br />
ποτελούν απειλή για το business continuity και μπορεί να σημαίνουν<br />
την απώλεια υπηρεσιών, οι οποίες έχουν ως αποτέλεσμα<br />
απώλεια εισοδήματος. Σύμφωνα με τη μελέτη της<br />
Symantec «2012 State of the Data Center» κατά μέσο όρο<br />
οι Οργανισμοί υφίστανται 16 διακοπές λειτουργίας των data<br />
center τους σε διάστημα 12 μηνών, γεγονός που τους κοστίζει<br />
5,1 εκατομμύρια δολάρια. Οι επιχειρήσεις βρίσκονται ανάμεσα<br />
σε ένα κυκεώνα με το να επενδύουν σημαντικό χρόνο<br />
και χρήμα στην προετοιμασία τους για κάτι που μπορεί να<br />
μη συμβεί ποτέ και στο να αδυνατούν να ξαναστήσουν γρήγορα<br />
την επιχείρηση σε περίπτωση όπου συμβεί μία διακοπή<br />
λειτουργίας.<br />
Αλλά δυστυχώς, μπορεί να συμβεί και το πιο απροσδόκητο.<br />
Είτε αυτό είναι απλά μία αστοχία στην παροχή ρεύματος του<br />
server ή πλημμυρισμένα γραφεία στα κεντρικά της εταιρείας.<br />
Πώς μπορείτε να διασφαλίσετε ότι θα δουλεύετε ξανά το<br />
συντομότερο δυνατό;<br />
Η ανάγκη για διαθεσιμότητα κρίσιμων εφαρμογών<br />
Είτε το πιστεύετε ακράδαντα είτε όχι, κάποιο επίπεδο προετοιμασίας<br />
χρειάζεται για να κρατήσουμε το χρόνο μη λειτουργίας<br />
στο μίνιμουμ, σε περίπτωση μίας καταστροφής. Και<br />
ενώ χρειάζεται να υπάρχουν αυτοματοποιημένες δυνατότητες<br />
ανάκτησης σε περίπτωση αστοχίας του συστήματος, πρέπει<br />
να αφιερώσετε πόρους στη διατήρηση της διαθεσιμότητας<br />
των εφαρμογών, για να διαφυλάξετε το εταιρικό business<br />
continuity. Τελικώς, εάν έχετε φροντίσει να μη γίνει ποτέ μία<br />
διακοπή λειτουργίας, είναι ιδανικότερο σε σχέση με μία ταχεία<br />
ανάκτηση.<br />
Για να επιτύχετε διαθεσιμότητα εφαρμογών, πρέπει να χρησιμοποιείτε<br />
την πιο αποτελεσματική τεχνολογία και επίσης να<br />
μπορείτε να κάνετε βέλτιστη χρήση της. Οι λύσεις που θα<br />
χρησιμοποιήσετε είναι θεμιτό να ανταποκρίνονται σε ορισμένα<br />
βασικά χαρακτηριστικά:<br />
Η πιο σημαντική δυνατότητα μίας λύσης διαθεσιμότητας<br />
μίας εφαρμογής είναι το άμεσο, αυτοματοποιημένο<br />
failover όλων των κρίσιμων πόρων, συμπεριλαμβανομένου<br />
και του full data replication. Αυτό δεν περιορίζεται<br />
στην υποδομή ή στις εφαρμογές, αλλά περιλαμβάνει ε-<br />
πίσης τις βάσεις δεδομένων, διασφαλίζοντας αδιάλειπτη<br />
επιχειρηματική λειτουργία.<br />
Λόγω του γεγονότος ότι πολλές επιχειρήσεις κατέχουν<br />
μία ποικιλία εξοπλισμού και λογισμικού από διαφορετικές<br />
εταιρείες, η λειτουργικότητα ανεξάρτητα από εταιρείες<br />
είναι σημαντική, έτσι ώστε να αποτραπεί το lockin.<br />
Επιπρόσθετα, χρειάζεται να έχετε κεντρικό έλεγχο ό-<br />
λων των δραστηριοτήτων διαθεσιμότητας και ανάκτησης<br />
της υποδομής σας.<br />
Με ολοένα και περισσότερες εταιρείες να ενστερνίζονται<br />
security | 17
I SSUE<br />
το virtualization, οι λύσεις business continuity πρέπει να<br />
μπορούν να υποστηρίζουν και φυσικά και virtual περιβάλλοντα.<br />
Ενώ το virtualization βοηθά τα virtual συστήματα<br />
να είναι διαθέσιμα, απαιτείται ενισχυμένη λειτουργικότητα<br />
που θα διασφαλίσει ότι οι εφαρμογές οι ίδιες<br />
παραμένουν σε λειτουργία.<br />
Ενώ το cloud computing εμπεριέχει τα δικά του ρίσκα,<br />
σκεφτείτε τις λύσεις με βάση το cloud να αλλάζουν όσο<br />
εσείς εκσυγχρονίζετε εφαρμογές και στοιχεία της υποδομής<br />
σας. Μπορεί να είναι ταχύτερο και λιγότερο κοστοβόρο<br />
να επαναπρομηθεύετε πόρους στο cloud από<br />
ένα φυσικό data center.<br />
Είναι επίσης κρίσιμη όχι μόνο η ανάπτυξη της τεχνολογίας,<br />
αλλά και η διατήρησή της σε μία συνεχή βάση. Α-<br />
κόμη και η καλύτερη λύση να έχει ενσωματωθεί στην υ-<br />
ποδομή σας, γρήγορα γίνεται απαρχαιωμένη εάν δεν ε-<br />
νημερώνεται συχνά για να αντιμετωπίζει τις συνεχώς ε-<br />
ξελισσόμενες ανάγκες και ειδικά τις απειλές που μπορούν<br />
να θέσουν σε κίνδυνο τους επιχειρηματικούς πόρους.<br />
Η κατάλληλη νοοτροπία πρέπει να εφαρμοστεί όταν ξεκινά<br />
μία νέα ΙΤ διαδικασία. Οποιαδήποτε τεχνολογία α-<br />
ναπτυχθεί στην υποδομή σας, οι απαιτήσεις διαθεσιμότητας<br />
των εφαρμογών πρέπει να συνυπολογίζονται. Ειδικά<br />
στο θέμα τι χρειάζεται για να διατηρηθεί η λειτουργία<br />
των κρίσιμων υπηρεσιών χωρίς downtime. Ο<br />
πελάτης πρέπει να είναι πάντα στο επίκεντρο, διατηρώντας<br />
σε υψηλό επίπεδο την εμπειρία χρήσης ό,τι και αν<br />
συμβεί.<br />
Η διενέργεια τακτικών ελέγχων της ικανότητας disaster<br />
recovery της υποδομής σας. Αυτό αποτελεί ένα ζωτικό<br />
βήμα για τη διασφάλιση της αδιάλειπτης λειτουργίας και<br />
της αποφυγής εκπλήξεων, επιτρέποντας παράλληλα τον<br />
προσδιορισμό και την επίλυση κενών στην ετοιμότητά<br />
σας.<br />
Ένα από τα βασικότερα κριτήρια για κάθε επιχείρηση, φυσικά<br />
είναι το κόστος. Μπορεί να είναι δύσκολο να δικαιολογήσεις<br />
μία τεχνολογική αγορά στη διοίκηση, την οποία μπορεί<br />
να την ενδιαφέρουν μόνο τα βραχυπρόθεσμα οικονομικά<br />
στοιχεία. Πρέπει να αξιολογήσετε προσεκτικά τις λύσεις<br />
business continuity πριν την επένδυση αυτή, προκειμένου να<br />
εξασφαλίσετε ότι όχι μόνο ανταποκρίνονται στις σημερινές<br />
σας ανάγκες, αλλά μπορούν να προσαρμοστούν στην επιχειρηματική<br />
σας ανάπτυξη.<br />
Σχεδιασμός Επιχειρησιακής Συνέχειας<br />
Τάσεις και Νέες Τεχνολογίες<br />
Ανέστης Δημόπουλος<br />
CISA, CRISC, CGE<strong>IT</strong><br />
Αντιπρόεδρος Δ.Σ.<br />
ISACA Athens Chapter<br />
Πρόσφατα γεγονότα και καταστροφές που οδήγησαν σε<br />
σημαντικά προβλήματα στη λειτουργία επιχειρήσεων σε ό-<br />
λο τον κόσμο, καταδεικνύουν τη σημασία που έχει ένα ι-<br />
σχυρό και ώριμο πλαίσιο Σχεδιασμού Επιχειρησιακής Συνέχειας<br />
(ΣΕΣ) (Business Continuity Management, BCM)<br />
ως μέρος του ευρύτερου επιχειρησιακού σχεδιασμού. Η Ε-<br />
πιχειρησιακή Συνέχεια είναι πλέον μια καθιερωμένη συνιστώσα<br />
των πλαισίων διαχείρισης κινδύνων σε πολλές ώριμες<br />
επιχειρήσεις, με βασική δραστηριότητα την ανάλυση<br />
των επιχειρησιακών επιπτώσεων (Business Impact Analysis,<br />
BIA), η οποία πραγματοποιείται περιοδικά ή μετά από σημαντικές<br />
αλλαγές (π.χ. εφαρμογή νέων συστημάτων, μετάβαση<br />
σε τρίτους παρόχους, systems virtualization, υιοθέτηση<br />
του cloud computing, νέες επιχειρησιακές διαδικασίες<br />
και οργανωτική δομή). Ιδιαίτερα οι αλλαγές σε τεχνολογικό<br />
επίπεδο μπορεί να αποτελούν ευκαιρίες για τη βελτίω-<br />
18 | security
ση των σχεδίων ΣΕΣ, μείωση των χρόνων ανάκαμψης και<br />
βελτιστοποίησης του κόστους.<br />
Οι σύγχρονες τάσεις και επιδράσεις στον τρόπο σχεδιασμού<br />
προγραμμάτων ΣΕΣ περιλαμβάνουν:<br />
Ταχέως μεταβαλλόμενο επιχειρηματικό περιβάλλον,το<br />
οποίο ασκεί πιέσεις για τη συνεχή προσαρμογή των υ-<br />
ποστηρικτικών δομών και την ελαχιστοποίηση προγραμματισμένων<br />
ή μη διακοπών λειτουργίας.<br />
Διεθνοποιημένες δραστηριότητες και μεταφορά λειτουργιών<br />
σε εξωτερικούς συνεργάτες / τρίτα μέρη που<br />
λειτουργούν σε παγκόσμια κλίμακα.<br />
Κανονιστικές απαιτήσεις που συνδέονται και με συμβατικές<br />
υποχρεώσεις κατά τη συνεργασία με παρόχους<br />
υπηρεσιών για τον πλήρη καθορισμό ρόλων και<br />
αρμοδιοτήτων, τοποθεσία δεδομένων και υποχρεώσεις<br />
των εμπλεκομένων.<br />
Νέες τεχνολογίες όπως virtualization, cloud computing<br />
και βελτιωμένες λύσεις αποθήκευσης δεδομένων,<br />
δίνουν τη δυνατότητα για την υλοποίηση πιο ευέλικτων<br />
λύσεων και αυξημένων δυνατοτήτων ταχύτερης ανάκαμψης,<br />
ενώ τα κοινωνικά δίκτυα και οι φορητές συσκευές<br />
αυξάνουν τις δυνατότητες επικοινωνίας, ακόμη<br />
και κατά την ενεργοποίηση των ΣΕΣ.<br />
Ειδικότερα, οι νέες τεχνολογίες μπορούν να επηρεάσουν<br />
θετικά τις ακόλουθες διαστάσεις των ΣΕΣ:<br />
Χρόνοι ανάκαμψης λειτουργιών και δεδομένων (RTOs<br />
and RPOs).<br />
Αυξημένη ανθεκτικότητα των υφιστάμενων υποδομών<br />
και μεγαλύτερη ευελιξία κατά την επιλογή λύσεων α-<br />
νάκαμψης [π.χ. cloud computing με μοντέλα Disaster<br />
Recovery or Replication as a Service (DRaaS), Backup<br />
as a Service (BaaS), Storage as a Service (STaaS) and<br />
Software as a Service (SaaS)].<br />
Βελτιστοποίηση του κόστους για τον εξοπλισμό που α-<br />
παιτείται για ενεργοποίηση ΣΕΣ (π.χ. μέσω virtualization).<br />
Νέα μέσα και βελτιστοποίηση επικοινωνίας τόσο μεταξύ<br />
των ομάδων ανάκαμψης (π.χ. mobile devices με<br />
αντίγραφα του ΣΕΣ) όσο και με πελάτες/συνεργάτες/ευρύτερο<br />
κοινό (π.χ. χρήση social media).<br />
Ως προς τη διαχείριση κινδύνων, η απώλεια εσόδων, οι<br />
οικονομικές κυρώσεις, η απώλεια ανταγωνιστικού πλεονεκτήματος<br />
και οι επιπτώσεις στη φήμη είναι μερικοί από<br />
τους σημαντικούς κινδύνους που καλείται να αντιμετωπίσει<br />
ένας Οργανισμός, εφαρμόζοντας ένα αποτελεσματικό<br />
και δοκιμασμένο στην πράξη ΣΕΣ. Η ανάλυση των κινδύνων<br />
θα πρέπει να λαμβάνει σημαντικές οργανωτικές αλλαγές<br />
(π.χ. εξαγορές ή αναδιαρθρώσεις), αλλαγές στην<br />
τεχνολογία, αλλά και γεωγραφικές αλλαγές (π.χ. μετεγκατάσταση).<br />
Η Ανάλυση Επιχειρησιακών Επιπτώσεων (ΒΙΑ)<br />
χρησιμοποιείται για τον προσδιορισμό της βέλτιστης στρατηγικής<br />
ανάκαμψης και των επιχειρηματικών διαδικασιών<br />
που πρέπει να αποκατασταθούν και ποτέ μετά από ένα<br />
καταστροφικό γεγονός. Το επίπεδο της πολυπλοκότητας<br />
κατά την ανάλυση επιχειρησιακών διαδικασιών και των πόρων<br />
πληροφορικής που χρησιμοποιούν, αποτελεί μια πρόκληση<br />
για πολλές επιχειρήσεις, ειδικά για εκείνες που υιοθετούν<br />
νέες τεχνολογίες. Ως εκ τούτου, ιδιαίτερη προσοχή<br />
θα πρέπει να δοθεί στη μελέτη BIA και ειδικά στη συχνότητα<br />
και το βάθος αυτής. Επίσης η υποστήριξη της Διοίκησης<br />
είναι θεμελιώδους σημασίας για την επιτυχία ε-<br />
νός αποτελεσματικού προγράμματος ΣΕΣ, καθώς και η ε-<br />
φαρμογή επαρκών πολιτικών και διαδικασιών για τον επιτυχή<br />
σχεδιασμό, υλοποίηση και συντήρηση του ΣΕΣ.<br />
Η ελεγκτική προσέγγιση σε θέματα ΣΕΣ στοχεύει στο να<br />
διασφαλίσει την ύπαρξη μιας ώριμης διαδικασίας για την<br />
αξιολόγηση των κινδύνων και το σχεδιασμό, υλοποίηση<br />
και δοκιμή ΣΕΣ, λαμβάνοντας υπόψη και τα σχετικά πρότυπα/βέλτιστες<br />
πρακτικές (π.χ. ISO, COB<strong>IT</strong>5). Το COB<strong>IT</strong>®<br />
5: Enabling Processes και το <strong>IT</strong> Continuity Planning Audit/<br />
Assurance Program του ISACA παρέχουν έναν πλήρη ο-<br />
δηγό για τον ελεγκτή, ώστε να σχεδιάσει και να εκτελέσει<br />
μια αξιολόγηση της επιχειρησιακής συνέχειας.<br />
Συνοψίζοντας, τα προγράμματα ΣΕΣ θα πρέπει να συνεχίσουν<br />
να εξελίσσονται ως επιχειρηματικές πρακτικές μέσω<br />
και των αναδυόμενων τεχνολογιών και να υποστηρίζουν<br />
το διαρκώς μεταβαλλόμενο τοπίο των επιχειρήσεων.<br />
Οι αυξημένες προσδοκίες των πελατών αλλά και οι υψηλές<br />
κανονιστικές απαιτήσεις, καταδεικνύουν ότι τα προγράμματα<br />
ΣΕΣ θα πρέπει να ευθυγραμμιστούν με την ε-<br />
πιχειρηματική στρατηγική, ταυτόχρονα με περιοδικές δοκιμές,<br />
ενημερώσεις και βελτιώσεις, έτσι ώστε να ελαχιστοποιούνται<br />
οι σχετικοί κίνδυνοι και να αυξάνονται τα<br />
οφέλη.<br />
Αναφορά:<br />
Από το ISACA White Paper “Business Continuity Management:<br />
Emerging Trends”, 12/2012<br />
http://www.isaca.org/Knowledge-Center/Research/Re-<br />
searchDeliverables/Pages/Business-Continuity-Management-<br />
Emerging-Trends.aspx<br />
security | 19
I SSUE<br />
Εξασφαλίζοντας το Αδιάλειπτο<br />
Αποτελεσματικά και Ολιστικά<br />
Συχνά γίνεται λόγος για την αναγκαιότητα ύπαρξης ενός Business Continuity<br />
Plan (BCP) μιας επιχείρησης. Δύο βασικά χαρακτηριστικά ενός ολοκληρωμένου<br />
BCP είναι το <strong>IT</strong> Disaster Recovery που περιλαμβάνει κατάλληλες<br />
συνθήκες υποδομών, τεχνολογίας και τηλεπικοινωνιακών διασυνδέσεων,<br />
καθώς επίσης και το Workplace Recovery που προϋποθέτει την άμεση πρόσβαση<br />
σε χώρο και θέσεις εργασίας, κατάλληλες υποδομές και πρόσβαση<br />
στο οικοσύστημα της επιχείρησης που χρησιμοποιεί το πλάνο επιχειρηματικής<br />
συνέχειας.<br />
Αλέξανδρος Μπεχράκης<br />
Εμπορικός Διευθυντής<br />
LAMDA Hellix<br />
Οι λόγοι που οδηγούν μια επιχείρηση στη δημιουργία ενός<br />
Business Continuity Plan είναι η πρόληψη για συνθήκες που<br />
μπορούν να προκαλέσουν την ανάσχεση μέρους ή και του<br />
συνόλου των κρίσιμων εφαρμογών της, λόγω διάφορων κινδύνων<br />
ή καταστροφών που ενδέχεται να απειλήσουν την εύρυθμη<br />
λειτουργία της. Στις μέρες μας τα παραδοσιακά ενδεχόμενα<br />
καταστροφών, σεισμοί, πλημμύρες, φωτιές, έντονη<br />
κακοκαιρία, διακοπές τηλεπικοινωνιακών κυκλωμάτων λόγω<br />
εκσκαφών κ.λπ. έχουν εμπλουτιστεί με κοινωνικά φαινόμενα<br />
όπως οι απεργίες, οι καταλήψεις κτιρίων, οι αποκλεισμοί<br />
δρόμων που δυσχεραίνουν το επιχειρείν των εταιρειών και<br />
τα οποία όλο και επιδεινώνονται το τελευταίο διάστημα.<br />
Προκειμένου λοιπόν μία επιχείρηση να είναι σε ετοιμότητα<br />
να αντιμετωπίσει με επιτυχία μία τέτοια εξέλιξη, περιορίζοντας<br />
σημαντικά το ρίσκο μιας ενδεχόμενης παύσης λειτουργίας<br />
των συστημάτων της, δεν αρκούν εμπειρικοί σχεδιασμοί<br />
και άτακτες κινήσεις. Αντίθετα, είναι επιβεβλημένη η<br />
λεπτομερής ανάλυση των επιχειρησιακών αναγκών, ο σχεδιασμός<br />
δράσης, η εφαρμογή, καθώς και η επικύρωση του<br />
επιχειρησιακού σχεδίου (Analysis – Design – Implementation<br />
– Validation of the BC plan), καθώς και οι τακτικές δοκιμές<br />
του σε όσο το δυνατόν πιο ρεαλιστικές συνθήκες.<br />
Η ύπαρξη ενός Business Continuity Plan εξασφαλίζει την ο-<br />
μαλή λειτουργία αλλά και τη σταθερότητα μιας επιχείρησης,<br />
ενώ ταυτόχρονα περιορίζει σημαντικά τον κίνδυνο οικονομικής<br />
ζημίας και εμπορικού πλήγματος της επωνυμίας της. Ο<br />
ανταγωνισμός κάθε επιχειρηματικού κλάδου επιτάσσει οι ε-<br />
πιχειρήσεις να έχουν λάβει ειδική μέριμνα για την υποστήριξη<br />
των συστημάτων τους - και κατ’ επέκταση του πελατολογίου<br />
που εξυπηρετούν, ανεξάρτητα από κινδύνους ή αλλαγές<br />
στο χώρο λειτουργίας τους.<br />
To Business Continuity Plan πρέπει να μπορεί να υποστηρίξει<br />
τη συνέχιση των δραστηριοτήτων της επιχείρησης εξασφαλίζοντας<br />
το αδιάλειπτο - ενδεικτικά στα παρακάτω τμήματα:<br />
1. Της διοίκησης και της ομάδας διαχείρισης κρίσεων<br />
2. Των Πωλήσεων (Sales)<br />
3. Της Υποστήριξης των Πελατών (Customer Support)<br />
4. Tης Τιμολόγησης (Billing)<br />
5. Tων εργασιών του προσωπικού (Employee Operations)<br />
Για το λόγο αυτό θα πρέπει να υπάρχουν και οι ανάλογες<br />
συνθήκες υποδομής, που να εξασφαλίζουν τη λειτουργία ό-<br />
λων των κρίσιμων τμημάτων μιας επιχείρησης. Αυτό προϋποθέτει<br />
ότι το Data Center που θα φιλοξενεί το πλάνο επιχειρησιακής<br />
συνέχειας μιας επιχείρησης θα πρέπει να είναι<br />
20 | security
εξοπλισμένο με έτοιμες θέσεις εργασίας, εξοπλισμένες με<br />
γραφείο, καρέκλα, καλωδίωση για data και voice και παροχών<br />
ενέργειας προστατευμένων από UPS. Επιπλέον, πρέπει<br />
να λαμβάνεται μέριμνα για τους συνοδευτικούς χώρους που<br />
απαιτούν οι πολλαπλές θέσεις εργασίας, όπως αποδυτήρια,<br />
κουζίνα, μηχανήματα αυτόματης πώλησης – τροφοδοσίας α-<br />
ναψυκτικών, νερών, σνακ κ.ά. Θα πρέπει ακόμη να παρέχεται<br />
η δυνατότητα η υποδομή των θέσεων να μπορεί να ε-<br />
μπλουτιστεί με υπηρεσίες όπως PBX, Thin Clients/Workstations,<br />
Photocopy – Printing, catering, για την καθημερινή σίτιση<br />
των υπαλλήλων που λειτουργούν το BC plan ή και μεταφοράς<br />
από και προς το Data Center από τους κοντινούς<br />
σταθμούς συγκοινωνίας. Επιπλέον θα πρέπει να υπάρχει η δυνατότητα<br />
αναδρομολόγησης των εισερχόμενων τηλεφωνικών<br />
κλήσεων της εταιρείας προς το επιχειρησιακό της Κέντρο, ώ-<br />
στε να μη χάνεται η επικοινωνία με το πελατολόγιό της.<br />
Σκοπός όλων αυτών των παροχών είναι να μην αλλάξει κατά<br />
το δυνατόν η καθημερινή λειτουργία των υπηρεσιών που<br />
προσφέρει μια επιχείρηση, τόσο στο πελατολόγιό της όσο<br />
και στο ανθρώπινο δυναμικό της.<br />
Βάσει των αναγκών και του risk assessment κάθε επιχείρησης,<br />
υπάρχουν θέσεις αποκλειστικής χρήσης (dedicated) ή<br />
και μοιραζόμενης αλλά εγγυημένης χρήσης (shared/guaranteed).<br />
Η πρόσβαση στις θέσεις εργασίας θα πρέπει να είναι<br />
ελεγχόμενη με σύστημα Access Control, που να διασφαλίζει<br />
ότι μόνο εξουσιοδοτημένο προσωπικό μπορεί να εισέλθει<br />
στο χώρο. Επίσης, εξίσου σημαντική είναι η φυσική α-<br />
σφάλεια τόσο του Data Center που στεγάζει τις υποδομές<br />
αυτές, όσο και των ίδιων των θέσεων εργασίας. Πιο συγκεκριμένα,<br />
η υποδομή των θέσεων θα πρέπει να είναι εξοπλισμένη<br />
με σύστημα ασφαλείας, πυρασφαλείας – πυροπροστασίας,<br />
κατάλληλων συνθηκών εξαερισμού, ειδικών τεχνολογικών<br />
συνθηκών που να μπορούν να εξυπηρετούν ταυτόχρονα<br />
αυξημένο αριθμό ατόμων καθώς επίσης και προηγμένες<br />
ηλεκτρομηχανολογικές υποδομές.<br />
Η LAMDA Hellix διαθέτοντας το μεγαλύτερο Κέντρο Business<br />
Continuity (BC) στη Νοτιοανατολική Ευρώπη, με πλέον<br />
των 500 πλήρως εξοπλισμένων θέσεων εργασίας, προσφέρει<br />
ολιστικές λύσεις σε επιχειρήσεις που σχεδιάζουν να<br />
υλοποιήσουν ένα BC plan. Το πολλαπλώς βραβευμένο Neutral<br />
World - Class Data Center της, βρίσκεται στρατηγικά τοποθετημένο<br />
στη Νοτιοανατολική Αττική, μια περιοχή με μηδενικό<br />
ιστορικό φυσικών καταστροφών. Επιπλέον, για την α-<br />
σφάλεια του πελατολογίου της, το κτίριο της εταιρείας δεν φέρει<br />
διακριτικά, οπότε η αναγνώρισή του από τον οποιονδήποτε<br />
μη πελάτη είναι δύσκολη. Σε συνδυασμό με περιμετρική<br />
και πλήρη εσωτερική 24ωρη παρακολούθηση του χώρου,<br />
λαμβάνονται και όλα τα απαραίτητα μέτρα προστασίας για την<br />
ελεγχόμενη είσοδο στις εγκαταστάσεις της LAMDA Hellix.<br />
Σε επίπεδο υλοποίησης, στο Data Center της LAMDA Hellix<br />
διατηρούν Point of Presence όλοι οι εγχώριοι και οι σημαντικότεροι<br />
ξένοι τηλεπικοινωνιακοί πάροχοι, με αποτέλεσμα<br />
η δυνατότητα διασύνδεσης των επιχειρήσεων με τις θέσεις<br />
BC που διατηρούν, να είναι εξαιρετικά εύκολη και ιδιαίτερα<br />
οικονομική. Επιπρόσθετα, στους χώρους Data Center<br />
της LAMDΑ Hellix η ίδια επιχείρηση μπορεί να διατηρεί και<br />
το Disaster Recovery site της, βελτιστοποιώντας τη λειτουργικότητά<br />
της εύκολα και οικονομικά, λόγω των οικονομιών<br />
κλίμακας που εφαρμόζονται από τη LAMDA Hellix.<br />
Τέλος, σε επίπεδο εφαρμογής και επικύρωσης του σχεδίου,<br />
η LAMDA Hellix προσφέρει τις υπηρεσίες της με συνεχή<br />
παρουσία εξειδικευμένου προσωπικού (24x7x365), γεγονός<br />
που παρέχει στην επιχείρηση απόλυτη διαθεσιμότητα των υ-<br />
ποδομών καθώς και αυτονομία στον τρόπο διαχείρισης του<br />
πλάνου επιχειρηματικής συνέχειας, όποτε κι αν αυτό απαιτηθεί<br />
να υλοποιηθεί. iT<strong>Security</strong><br />
LAMDA Hellix Α.Ε.<br />
Κηφισίας 37A - Golden Hall,<br />
Μαρούσι, 15123, Ελλάδα<br />
Τηλ.: 210-74 50 770<br />
info@lamdahellix.com<br />
www.lamdahellix.com<br />
security | 21
I SSUE<br />
Πιστοποίηση Διαχείρισης<br />
Επιχειρησιακής Συνέχειας<br />
Αργυρώ Χατζοπούλου<br />
Επικεφαλής Επιθεωρήτρια - ISO 22301,<br />
ISO 27001, ISO 20000, ISO 9001, CISA,<br />
HISP, CCSK, ISEB BCMP, PRINCE (P)<br />
Υπεύθυνη Τμήματος Ασφάλειας Πληροφοριών<br />
& Επιχειρησιακής Συνέχειας<br />
TÜV AUSTRIA HELLAS<br />
Τι είναι το Business Continuity και πώς επιτυγχάνεται;<br />
Επιχειρησιακή συνέχεια είναι η δυνατότητα συνέχισης των ε-<br />
πιχειρησιακών δραστηριοτήτων ενός Οργανισμού σε προδιαγεγραμμένο<br />
χρόνο και επίπεδο, ακόμα και αν υπάρχει περιστατικό<br />
διαταραχής. Με απλά λόγια, ακόμα και στην περίπτωση<br />
όπου ένας Οργανισμός που παρέχει πανελλαδικά υπηρεσίες<br />
από τα κεντρικά του γραφεία στην Αθήνα, χάσει τη δυνατότητα<br />
πρόσβασης στο κεντρικό του κτήριο, να συνεχίσει να<br />
δίνει τις υπηρεσίες αυτές μέσα σε αποδεκτό χρόνο και επίπεδο<br />
(π.χ. μόνο την υπηρεσία τεχνικής υποστήριξης μέσω τηλεφώνου,<br />
εντός 2 ωρών από το περιστατικό).<br />
Πώς μπορεί να επιτευχθεί αυτό;<br />
Εφαρμόζοντας ένα σύστημα διαχείρισης επιχειρησιακής συνέχειας,<br />
ο Οργανισμός θα αναλύσει τις δραστηριότητές του,<br />
θα αποτιμήσει τις επιπτώσεις διαφόρων κινδύνων στη δραστηριότητά<br />
του, θα αξιολογήσει τις επιλογές του, θα δημιουργήσει<br />
σχέδια, θα ενεργοποιήσει μηχανισμούς και θα ελέγχει, θα<br />
βελτιώνει και θα εξασκεί τα σχέδιά του, ώστε σε περίπτωση<br />
που χρειαστεί, να μπορεί να ενεργήσει άμεσα και στοχευμένα.<br />
Οι βασικοί στόχοι ενός συστήματος επιχειρησιακής συνέχειας<br />
είναι:<br />
Η προστασία του ανθρώπου<br />
Η μείωση των συνεπειών, όταν το περιστατικό λάβει χώρα<br />
και<br />
Η συνέχεια των επιχειρησιακών δραστηριοτήτων σε αποδεκτό<br />
χρόνο και επίπεδο.<br />
Η ορθή λειτουργία αλλά και αποτελεσματικότητα ενός συστήματος<br />
διαχείρισης επιχειρησιακής συνέχειας, ελέγχεται και α-<br />
ξιολογείται από ένα διαπιστευμένο φορέα πιστοποίησης. Το ε-<br />
πιστέγασμα της προσπάθειας αυτής είναι η απονομή του πιστοποιητικού.<br />
Το πιστοποιημένο σύστημα διαχείρισης έχει τα<br />
εξής επιπλέον πλεονεκτήματα:<br />
Ο Οργανισμός λαμβάνει μια ανεξάρτητη, έγκυρη και έ-<br />
μπειρη γνώμη, σε σχέση με την ορθότητα και αποτελεσματικότητα<br />
του συστήματος και των προβλέψεων για την<br />
επιχειρησιακή συνέχεια.<br />
Ο έλεγχος γίνεται σε τακτά χρονικά διαστήματα, επιβεβαιώνοντας<br />
όχι μόνο ότι το σύστημα δημιουργήθηκε, αλλά<br />
εξακολουθεί να υπάρχει, να δοκιμάζεται και να είναι<br />
γνωστό και κατανοητό στο εμπλεκόμενο προσωπικό.<br />
Το πιστοποιητικό, από τη στιγμή που απονέμεται από ένα<br />
διαπιστευμένο Οργανισμό, έχει διεθνή αναγνώριση και υ-<br />
ψηλή αξία.<br />
Επίσης, το πιστοποιητικό αποτελεί έμπρακτη απόδειξη προς<br />
οποιονδήποτε τρίτο, σχετικά με τη δέσμευση του Οργανισμού<br />
για την επιχειρησιακή συνέχεια.<br />
Ποια είναι η διαδικασία της πιστοποίησης<br />
Ο Οργανισμός που επιθυμεί να επιθεωρηθεί για τη συμμόρφωσή<br />
του με τις απαιτήσεις του προτύπου ISO 22301:2012,<br />
πρέπει να ακολουθήσει την ακόλουθη διαδικασία, αφού έχει δημιουργήσει<br />
το σύστημα:<br />
1. Συμπλήρωση και αποστολή της σχετικής αίτησης προκειμένου<br />
να λάβει οικονομική και τεχνική προσφορά.<br />
2. Αποδοχή της προσφοράς.<br />
3. Διενέργεια του 1 ου σταδίου της επιθεώρησης: Το πρώτο στάδιο<br />
της επιθεώρησης περιλαμβάνει τον έλεγχο της βασικής<br />
τεκμηρίωσης του συστήματος και έχει ως βασικούς σκοπούς<br />
την εξακρίβωση ότι το σύστημα στο βασικό του σκελετό υ-<br />
πάρχει και ότι ο Οργανισμός είναι έτοιμος να προχωρήσει<br />
στο επόμενο στάδιο της επιθεώρησης. Με την επιτυχή ο-<br />
λοκλήρωση του σταδίου αυτού, ο Οργανισμός μπορεί να<br />
προχωρήσει στο επόμενο βήμα.<br />
4. Διενέργεια του 2 ου σταδίου της επιθεώρησης: Το δεύτερο<br />
στάδιο της επιθεώρησης περιλαμβάνει τον επιτόπιο έλεγχο<br />
στις εγκαταστάσεις του Οργανισμού και έχει ως βασικούς<br />
22 | security
σκοπούς την εξακρίβωση ότι το σύστημα υπάρχει, λειτουργεί<br />
και είναι αποτελεσματικό. Με την επιτυχή ολοκλήρωση του<br />
σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο<br />
επόμενο βήμα.<br />
5. Έκδοση του Πιστοποιητικού. Το πιστοποιητικό έχει τριετή<br />
διάρκεια ισχύος, με την προϋπόθεση ότι θα διεξάγεται με ε-<br />
πιτυχία μια επιτόπια επιθεώρηση ανά έτος.<br />
6. Διενέργεια της 1 ης επιθεώρησης επιτήρησης: Η επιθεώρηση<br />
αυτή διεξάγεται το αργότερο 1 χρόνο μετά από το 2 ο στάδιο<br />
της επιθεώρησης πιστοποίησης και έχει σκοπό τον έ-<br />
λεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση<br />
του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου<br />
αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του.<br />
7. Διενέργεια της 2 ης επιθεώρησης επιτήρησης: Η επιθεώρηση<br />
αυτή διεξάγεται το αργότερο 2 χρόνια μετά από το 2 ο<br />
στάδιο της επιθεώρησης πιστοποίησης και έχει ως σκοπό<br />
τον έλεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση<br />
του συστήματος. Με την επιτυχή ολοκλήρωση του<br />
σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό<br />
του.<br />
Τι γίνεται στην επιθεώρηση<br />
Ένα από τα σημεία στα οποία πολλοί έχουν απορίες, είναι το<br />
τι ακριβώς γίνεται στην επιθεώρηση. Κατά τη διάρκεια της επιθεώρησης,<br />
ο επιθεωρητής προσπαθεί να συλλέξει τεκμήρια ό-<br />
τι πράγματι το σύστημα που έχει δημιουργήσει ο Οργανισμός<br />
λειτουργεί, εφαρμόζεται και βελτιώνεται σύμφωνα με τις απαιτήσεις<br />
του προτύπου.<br />
Η συλλογή των αντικειμενικών αυτών αποδείξεων μπορεί να γίνει<br />
με διάφορους τρόπους:<br />
1. Με παρατήρηση από την πλευρά του επιθεωρητή: Π.χ., ας υ-<br />
ποθέσουμε ότι μέρος του σχεδίου επιχειρησιακής συνέχειας<br />
ενός Οργανισμού είναι η τήρηση ενός δευτερεύοντος<br />
site, το οποίο είναι σε κατάσταση “hot”. Ο επιθεωρητής θα<br />
πρέπει να δει τόσο τις προβλέψεις για το συγχρονισμό από<br />
την πλευρά του αρχικού / παραγωγικού site, αλλά και να επισκεφθεί<br />
το δευτερεύον site προκειμένου να λάβει και από ε-<br />
κεί τεκμήρια ότι υπάρχει και βρίσκεται σε ετοιμότητα.<br />
2. Με συζητήσεις με το προσωπικό: Για ένα σύστημα επιχειρησιακής<br />
συνέχειας, ο άνθρωπος έχει ιδιαίτερη σημασία και<br />
παίζει καθοριστικό ρόλο στην ορθή λειτουργία και αποτελεσματικότητά<br />
του. Σε αυτήν την περίπτωση, ο επιθεωρητής<br />
θα πρέπει με σωστές ερωτήσεις που θα διευκολύνουν τη<br />
συζήτηση και θα παραβλέπουν το άγχος, να λάβει πληροφορίες<br />
σχετικά με το αν το άτομο αυτό γνωρίζει το ρόλο<br />
του στο σύστημα και έχει εξασκηθεί στη διενέργεια των καθηκόντων<br />
αυτών.<br />
3. Με ανασκόπηση εγγράφων και έλεγχο αρχείων: Π.χ., ακρογωνιαίος<br />
λίθος ενός συστήματος επιχειρησιακής συνέχειας<br />
είναι η ανάλυση επιχειρησιακών επιπτώσεων. Ο επιθεωρητής<br />
θα πρέπει να ελέγξει τον τρόπο με τον οποίο δημιουργήθηκε<br />
η ανάλυση αυτή, αλλά και να κρίνει την ορθότητα και πληρότητά<br />
του.<br />
Πότε προκύπτουν προβλήματα και τι γίνεται σε<br />
αυτήν την περίπτωση<br />
Ένα από τα πιο συνηθισμένα προβλήματα που προκύπτουν<br />
στην επιθεώρηση, αφορά στην ύπαρξη διαφοράς ανάμεσα σε<br />
αυτό που θα ήθελε ο Οργανισμός να γίνεται και σε αυτό που<br />
τελικά αποδεικνύεται μέσω της επιθεώρησης ότι γίνεται.<br />
Υπάρχουν δηλαδή περιπτώσεις όπου στη διάρκεια της επιθεώρησης<br />
αποκαλύπτεται ότι, ενώ μια διαδικασία είναι αποτυπωμένη<br />
με έναν τρόπο, υλοποιείται διαφορετικά ή ότι κάτι που θα<br />
έπρεπε να γνωρίζει κάποιος, στην πραγματικότητα δεν το γνωρίζει.<br />
Ειδικά το τελευταίο, όταν αφορά σε εργασίες που πρέπει<br />
- σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο - να<br />
υλοποιηθούν και μπορεί να επηρεάζουν και την υγεία και α-<br />
σφάλεια του ατόμου, η επίπτωση λανθασμένης ή καθυστερημένης<br />
ενέργειας μεγιστοποιείται. Σε περίπτωση όπου κατά τη<br />
διάρκεια της επιθεώρησης παρατηρηθούν αποκλίσεις οι οποίες<br />
κριθούν σημαντικές και ότι επηρεάζουν την αποτελεσματικότητα<br />
του συστήματος, εκφράζονται Μη Συμμορφώσεις. Τις<br />
Μη Συμμορφώσεις ο Οργανισμός πρέπει να τις αντιμετωπίσει<br />
άμεσα και με επιτυχία, για να μπορεί το πιστοποιητικό του να<br />
εκδοθεί (στην περίπτωση της επιθεώρησης πιστοποίησης) ή να<br />
διατηρηθεί η ισχύς του (στην περίπτωση επιθεώρησης επιτήρησης).<br />
Εκπαίδευση<br />
Η ΤÜV AUSTRIA HELLAS αποτελεί το μοναδικό Οργανισμό<br />
στην Ελλάδα που προσφέρει εκπαίδευση στις πρακτικές οι ο-<br />
ποίες σχετίζονται με την επιχειρησιακή συνέχεια και που οδηγούν<br />
στην πιστοποίηση ως Business Continuity Practitioner του<br />
ISEB Αγγλίας, καθώς και στην πιστοποίηση Certificate of the<br />
BCI του διεθνούς Business Continuity Institute. Επιπλέον, η<br />
ΤÜV AUSTRIA HELLAS προσφέρει εκπαίδευση και σε όλα τα<br />
αντικείμενα που πλαισιώνουν και υποστηρίζουν την επιχειρησιακή<br />
συνέχεια, όπως είναι η ετοιμότητα για περιστατικά, το<br />
ICT continuity, η ανάλυση κινδύνου, η αποτίμηση επιχειρησιακών<br />
επιπτώσεων, η ασφάλεια κ.ά. Όλα τα παραπάνω σεμινάρια<br />
είναι αναγνωρισμένα από τον ISACA και προσφέρουν CPEs.<br />
Περισσότερες πληροφορίες μπορούν να αντληθούν και από<br />
τον εκπαιδευτικό οδηγό στο: http://www.tuvaustriahellas.gr/gr/educational-2013.htm.<br />
Λίγα λόγια για την TÜV AUSTRIA HELLAS<br />
Η ΤÜV AUSTRIA HELLAS, 100% θυγατρική εταιρεία του Αυστριακού Οργανισμού ΤÜV AUSTRIA GROUP, προσφέρει τις υπηρεσίες της από το<br />
1994, αξιοποιώντας την τεχνογνωσία και την επιστημονική υποστήριξη του ΤÜV AUSTRIA GROUP και κατέχει σήμερα μία από τις πρώτες θέσεις<br />
στον τομέα της επιθεώρησης, της πιστοποίησης και των τεχνικών ελέγχων στη χώρα μας. Διαθέτει στην Ελλάδα παραρτήματα στη Θεσσαλονίκη<br />
και στο Ηράκλειο της Κρήτης, ενώ στο εξωτερικό δραστηριοποιείται με αποκλειστικούς αντιπροσώπους σε Κύπρο, Ιορδανία, Τουρκία, Αλβανία,<br />
Ισραήλ, Αίγυπτο, Υεμένη, Κατάρ, Πακιστάν και Κορέα. Ειδικά στο χώρο της επιχειρησιακής συνέχειας και της πληροφορικής, κατέχει την<br />
ηγετική θέση στην Ελλάδα, έχοντας αποδώσει περισσότερο από το 70% των πιστοποιητικών στην αγορά.Η ΤÜV AUSTRIA HELLAS είναι διαπιστευμένος<br />
φορέας για τα παραπάνω αντικείμενα, από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) και κατέχει τη διαπίστευση για την επιχειρησιακή<br />
συνέχεια, αρχικά με την έκδοση του BSI, BS 25999 και εν συνεχεία με την έκδοση του προτύπου από τον ISO, στο ISO 22301.<br />
security | 23
I SSUE<br />
Γνωριμία με το πλαίσιο διαχειρίσεως<br />
επιχειρησιακής συνέχειας της ALPHA BANK<br />
Γεώργιος Στρατόπουλος<br />
Διευθυντής<br />
της Διευθύνσεως Οργανώσεως<br />
Η έννοια της Επιχειρησιακής Συνέχειας έχει γίνει ευρέως γνωστή<br />
τα τελευταία έτη και όλο και περισσότερες εταιρίες αναγνωρίζουν<br />
τη σημασία της και προχωρούν στην ανάπτυξη Σχεδίων<br />
Επιχειρησιακής Συνέχειας και στη δημιουργία υποδομών<br />
ανακάμψεως.<br />
Η Alpha Bank, εντόπισε εγκαίρως τη σημασία που έχει η διασφάλιση<br />
της συνέχειας των εργασιών και για τον λόγο αυτόν<br />
ανέπτυξε, αρκετά χρόνια πριν το 2000, υποδομές ανακάμψεως<br />
(disaster systems) και στη συνέχεια, το 2002, προχώρησε<br />
στην ανάπτυξη Σχεδίου Επιχειρησιακής Συνέχειας (Business<br />
Continuity Plan), το οποίο περιελάμβανε αναλυτικές διαδικασίες<br />
για την ανάκαμψη κρισίμων εργασιών, σε περίπτωση διακοπής<br />
τους.<br />
Η εξέλιξη του Κανονιστικού Πλαισίου (Π.Δ.Τ.Ε. 2577/2006) ή-<br />
ταν όμως εκείνη που ουσιαστικά σηματοδότησε την εξέλιξη της<br />
Επιχειρησιακής Συνέχειας στον τραπεζικό χώρο, στην Ελλάδα.<br />
Σύντομη Ιστορική Αναδρομή:<br />
Η Alpha Bank το 2008, ακολουθώντας τα διεθνή πρότυπα και<br />
τις βέλτιστες πρακτικές, προχώρησε με τη βοήθεια εξωτερικού<br />
συμβούλου, σε πλήρη αναθεώρηση του υφισταμένου Σχεδίου<br />
Επιχειρησιακής Συνέχειας, ώστε αυτό να είναι σύμφωνο<br />
με το νέο κανονιστικό πλαίσιο. Το έργο για την κατάρτιση Σχεδίων<br />
περιελάμβανε την Τράπεζα και όλες τις Εταιρίες του Ο-<br />
μίλου στην Ελλάδα.<br />
Το 2009 το έργο επεκτάθηκε στις Εταιρίες του Ομίλου στο ε-<br />
ξωτερικό, ήτοι, Αλβανία, Βουλγαρία, Κύπρος, Ουκρανία, Ρουμανία,<br />
Σερβία, Π.Γ.Δ.Μ. και Ηνωμένο Βασίλειο.<br />
Αποτέλεσμα των ανωτέρω συντονισμένων ενεργειών ήταν η<br />
δημιουργία ενός ενιαίου Πλαισίου Διαχειρίσεως Επιχειρησιακής<br />
Συνέχειας σε επίπεδο Ομίλου, σύμφωνα με το οποίο α-<br />
ναπτύσσεται και επικαιροποιείται το Σχέδιο Επιχειρησιακής Συνέχειας<br />
για την Τράπεζα και τις Εταιρίες του Ομίλου, το οποίο<br />
ήταν και ο στόχος, σύμφωνα με τον αρχικό σχεδιασμό.<br />
Για την ανάπτυξη, συντήρηση, συνεχή βελτίωση του Πλαισίου<br />
Διαχειρίσεως Επιχειρησιακής Συνέχειας της Τραπέζης και του<br />
Ομίλου έχει συσταθεί από το 2008, Γραφείο Επιχειρησιακής<br />
Συνέχειας Ομίλου που υπάγεται στη Διεύθυνση Οργανώσεως<br />
της Τραπέζης. Το εν λόγω Γραφείο λειτουργεί ως κέντρο συντονισμού<br />
των απαιτούμενων ενεργειών και θεματοφύλακας για<br />
τα θέματα επιχειρησιακής συνέχειας του Ομίλου. Ως εκ τούτου,<br />
συνεργάζεται με όλες τις Επιχειρησιακές Μονάδες της Τραπέζης<br />
και των Εταιριών του Ομίλου και ειδικότερα, με τις Μονάδες<br />
Διαχειρίσεως Κινδύνων, Περιουσίας, Πληροφορικής, Α-<br />
σφαλείας Πληροφοριών και Εταιρικής Επικοινωνίας για τα θέματα<br />
αρμοδιότητάς τους, ως προς την επιχειρησιακή συνέχεια.<br />
Πιστοποίηση Σχεδίου Επιχειρησιακής Συνέχειας<br />
με τα διεθνή πρότυπα BS25999-2:2007 και<br />
ISO22301:2012<br />
Μετά από πέντε έτη εφαρμογής, συνεχούς βελτιώσεως της μεθοδολογίας,<br />
τυποποιήσεως των σχετικών διαδικασιών και δημιουργία<br />
νοοτροπίας Επιχειρησιακής Συνέχειας σταδιακά στο<br />
μεγαλύτερο μέρος του ανθρωπίνου δυναμικού, η Τράπεζα προχωρά<br />
στο επόμενο βήμα, που αφορά στην Πιστοποίηση του<br />
Πλαισίου Διαχειρίσεως Επιχειρησιακής Συνέχειας.<br />
Ειδικότερα, το έτος 2012, το Σύστημα Διαχειρίσεως Επιχειρησιακής<br />
Συνέχειας της Διευθύνσεως Πληροφορικής της Τραπέζης,<br />
πιστοποιείται από τον φορέα αξιολογήσεως TÜV Austria<br />
Hellas με βάση το πρότυπο BS25999-2:2007 και εντός του<br />
τρέχοντος έτους (2013), πραγματοποιείται η μετάβαση στο<br />
πρότυπο ISO22301:2012, το οποίο αντικατέστησε το BS25999.<br />
Παράλληλα, επεκτείνεται το εύρος πιστοποιήσεως και σε άλλους<br />
κρίσιμους τομείς εργασιών της Τραπέζης, με τον συνολικό<br />
αριθμό Προσωπικού στις Μονάδες που πιστοποιήθηκαν<br />
να υπερβαίνει τα 1000 άτομα. Οι Τομείς της Τραπέζης με πιστοποίηση<br />
ISO22301:2012 είναι:<br />
Πληροφορικής (Information Technology),<br />
Χρηματοοικονομικών Εργασιών (Financial Markets-Treasury),<br />
Υποστηρικτικών Λειτουργιών (Back Office Operations),<br />
καθώς και η Εταιρία Παροχής Υπηρεσιών Πληροφορικής του<br />
Ομίλου, Alpha Supporting Services.<br />
Η Alpha Bank είναι η μοναδική Τράπεζα στην Ελλάδα και από<br />
τους λίγους Οργανισμούς Διεθνώς με πιστοποίηση της Επιχειρησιακής<br />
Συνέχειας, σύμφωνα με τα πρότυπα BS25999 και<br />
ISO22301.<br />
24 | security
Η υλοποίηση των ανωτέρω, έδωσε τη δυνατότητα στην Τράπεζα<br />
να επιτύχει μία σημαντική διάκριση, καθώς βραβεύεται στα<br />
Business <strong>IT</strong> Excellence Awards (B<strong>IT</strong>E AWARDS) για δύο συνεχόμενα<br />
έτη (2012 και 2013), στην κατηγορία “Business Continuity”.<br />
Διαδικασίες Διαχειρίσεως Επιχειρησιακής Συνέχειας<br />
Η Διαχείριση της Επιχειρησιακής Συνέχειας αποτελεί μία δυναμική<br />
διαδικασία, η οποία απαιτεί συστηματική και μεθοδική<br />
προσέγγιση.<br />
Η μεθοδολογία για την ανάπτυξη και εφαρμογή Σχεδίου Επιχειρησιακής<br />
Συνέχειας, με βάση το πρότυπο ISO22301 και τις<br />
βέλτιστες πρακτικές, προϋποθέτει τη διενέργεια των ακόλουθων<br />
εργασιών:<br />
Ανάλυση Επιχειρησιακών Επιπτώσεων (Business Impact<br />
Analysis)<br />
Εκτίμηση Απειλών και Κινδύνων (Threat and Risk Assessment)<br />
Καθορισμό Στρατηγικής Επιχειρησιακής Συνέχειας<br />
Ανάπτυξη Σχεδίου Επιχειρησιακής Συνέχειας<br />
Δοκιμαστική Εφαρμογή Σχεδίου / Εκπαιδεύσεις<br />
Συντήρηση Σχεδίου<br />
Προκειμένου ένας Οργανισμός να είναι σε θέση να αναπτύξει<br />
ένα ολοκληρωμένο και αποτελεσματικό Σχέδιο Επιχειρησιακής<br />
Συνέχειας, πρέπει να καταγράφει και να παρακολουθεί<br />
συστηματικά τις εργασίες των Μονάδων, να αξιολογεί την κρισιμότητά<br />
τους, καθώς και τις επιπτώσεις που πιθανόν να προκύψουν,<br />
σε περίπτωση διακοπής των υπηρεσιών που παρέχουν<br />
οι Μονάδες αυτές. Οι υπηρεσίες μπορεί να αφορούν Πελάτες<br />
ή άλλες Μονάδες της Τραπέζης / Ομίλου, αλλά και τρίτα<br />
ενδιαφερόμενα μέρη όπως, εποπτικές αρχές, εξωτερικoύς συνεργάτες<br />
(παρόχους υπηρεσιών, προμηθευτές, συνεργαζόμενες<br />
εταιρίες / οργανισμούς, π.χ. Visa, Amex, κ.ά.).<br />
Επιπροσθέτως, πρέπει να εξετάζονται και οι τυχόν αλληλεξαρτήσεις<br />
των Μονάδων, είτε μεταξύ τους, είτε με κρισίμους<br />
τρίτους συνεργάτες (παρόχους υπηρεσιών, προμηθευτές, λοιπούς<br />
οργανισμούς) και να λαμβάνεται μέριμνα για τη διασφάλιση<br />
της επιχειρησιακής συνέχειας, σε περίπτωση που οι τελευταίοι<br />
παρουσιάσουν διακοπή στις εργασίες τους.<br />
Για τη διασφάλιση της αποτελεσματικότητας του Σχεδίου Επιχειρησιακής<br />
Συνέχειας και για την εξοικείωση των Λειτουργών<br />
της Τραπέζης με όλη τη διαδικασία, κάθε έτος, καταρτίζεται και<br />
υλοποιείται Πρόγραμμα δοκιμών με προτεραιότητα στις Μονάδες<br />
αμέσου ανακάμψεως. Η αποτελεσματικότητά του μάλιστα,<br />
επιβεβαιώθηκε και σε πραγματικές συνθήκες, όταν τον<br />
Φεβρουάριο του 2012, το Σχέδιο ενεργοποιήθηκε με επιτυχία,<br />
μετά από εκτεταμένες ζημίες που προκλήθηκαν από πυρκαϊάεμπρησμό<br />
σε τρία κτήρια της Τραπέζης.<br />
Συμπεράσματα / Οφέλη από την πιστοποίηση<br />
ISO22301<br />
Η ανάπτυξη και εφαρμογή ενός Πλαισίου Διαχειρίσεως Επιχειρησιακής<br />
Συνέχειας κατά ISO22301, αποτελεί μία επένδυση<br />
χαμηλού κόστους με σημαντική προστιθέμενη αξία.<br />
Τα οφέλη από την Πιστοποίηση είναι πολλαπλά και συνοψίζονται<br />
στα κάτωθι:<br />
Διασφαλίζεται ότι η μεθοδολογία και οι διαδικασίες που ε-<br />
φαρμόζονται είναι σύμφωνα με τα διεθνή πρότυπα και τις<br />
βέλτιστες πρακτικές.<br />
Αναγνωρίζεται από Πελάτες και κρίσιμους συνεργάτες ως<br />
εχέγγυο της δυνατότητας της Τραπέζης για συνεχή παροχή<br />
υπηρεσιών.<br />
Διασφαλίζεται εμμέσως η συμμόρφωση με το κανονιστικό<br />
πλαίσιο, καθώς οι οδηγίες των εποπτικών αρχών λαμβάνουν<br />
υπ’ όψιν τις βέλτιστες πρακτικές και τα διεθνή πρότυπα.<br />
Δημιουργείται νοοτροπία Επιχειρησιακής Συνέχειας στο<br />
ανθρώπινο δυναμικό της Τραπέζης.<br />
Για την επιτυχή ανάπτυξη και εφαρμογή του σχετικού Πλαισίου<br />
απαιτείται:<br />
Αποδοχή-δέσμευση της Διοικήσεως.<br />
Σχεδιασμός και προγραμματισμός των απαιτούμενων ε-<br />
νεργειών.<br />
Συμμετοχή / συνεργασία όλων των Μονάδων, κεντρικός<br />
συντονισμός και συνεχής επικοινωνία μεταξύ των υπευθύνων<br />
Μονάδων/Στελεχών.<br />
Πιστή τήρηση και εφαρμογή του Πλαισίου και των σχετικών<br />
διαδικασιών.<br />
Διαρκής εκπαίδευση και ενημέρωση των αρμόδιων Στελεχών<br />
σε θέματα Επιχειρησιακής Συνέχειας.<br />
security | 25
I SSUE<br />
Της Παναγιώτας Τσώνη<br />
Software Defined Networking (SDN)<br />
Η δικτύωση στο μέλλον<br />
Το SDN συνιστά μια νέα δικτυακή αρχιτεκτονική που προσδίδει ευελιξία, εξοικονόμηση<br />
πόρων και δυναμική υποστήριξη των εφαρμογών και των νέων απαιτήσεων στο <strong>IT</strong> business<br />
περιβάλλον.<br />
H<br />
που<br />
βελτίωση των δυνατοτήτων ενός δικτύου αποτελεί ένα από τα σημαντικότερα πεδία έρευνας. Για χρόνια οι ερευνητές<br />
προσπαθούν να αυξήσουν την ταχύτητα μετάδοσης και την αξιοπιστία, να καταστήσουν τα δίκτυα ενεργειακά<br />
αποδοτικότερα και να ενισχύσουν την άμυνά τους. Όμως όλες οι μελέτες συνήθως κατέληγαν εκεί από ό-<br />
ξεκίνησαν, στο εργαστήριο. Κι αυτό, γιατί το πεδίο δοκιμής, δηλαδή ένα πραγματικό δίκτυο όπου υπάρχει ο<br />
26 | security
απαιτούμενος όγκος πληροφοριών ώστε να εξαχθούν ακριβή<br />
συμπεράσματα, αποτελείται στον πυρήνα του από συσκευές<br />
δρομολόγησης και μεταγωγής (router – switches). Οι συσκευές<br />
αυτές φέρουν λογισμικό που ανήκει στις κατασκευάστριες ε-<br />
ταιρείες και προστατεύεται από πνευματικά δικαιώματα - και<br />
άρα είναι κλειδωμένο απέναντι σε οποιαδήποτε μη εγκεκριμένη<br />
χρήση. Τελικά, τα ανωτέρω στον κόσμο των επιστημόνων<br />
δεν ήταν αποδεκτά και έτσι μια ομάδα του Πανεπιστημίου S-<br />
tanford ανέπτυξε ένα πρότυπο επικοινωνίας που ονόμασε<br />
OpenFlow, το οποίο ουσιαστικά επιτρέπει την ελεύθερη χρήση<br />
του Internet από τους ερευνητές.<br />
Το πρότυπο βοηθά στον καθορισμό της ροής των δεδομένων<br />
με τη χρήση λογισμικού, κάτι δηλαδή σαν «προγραμματιζόμενη<br />
δικτύωση» που καθιερώθηκε με τον όρο Software Defined<br />
Networking - SDN.<br />
Πρότυπο OpenFlow<br />
Με την εγκατάσταση του OpenFlow μέσω συσκευής στην οποία<br />
βρίσκεται ενσωματωμένο, οι μηχανικοί αποκτούν πρόσβαση<br />
στους πίνακες ροής των δεδομένων και στους κανόνες που υ-<br />
παγορεύουν αυτήν τη ροή και μπορούν να καθορίσουν τον τρόπο<br />
που οι routers θα κατευθύνουν τη δικτυακή κίνηση. Παρόλα<br />
αυτά, προστατεύει τους κανόνες δρομολόγησης που θεωρούνται<br />
ιδιοκτησία και διαφοροποιούνται ανά Οργανισμό, α-<br />
νάλογα με τις συσκευές που φέρουν στο δίκτυό τους. Η εγκατάσταση<br />
του OpenFlow σε routers και switches, ουσιαστικά ε-<br />
πιτρέπει τον καθορισμό της διάταξης του δικτύου και της ροής<br />
των δεδομένων του, με το πάτημα μόνο ενός κουμπιού. Με αυτόν<br />
τον τρόπο οι ερευνητές μπορούν εύκολα και οικονομικά να<br />
εξετάσουν νέα πρωτόκολλα δρομολόγησης και μεταγωγής.<br />
Σε μία τυπική διάταξη δικτύου, όταν ένα πακέτο φτάσει στο<br />
switch, ελέγχεται ο προορισμός του βάσει προκαθορισμένων<br />
κανόνων και προωθείται. Τους κανόνες αυτούς δεν τους ε-<br />
λέγχουν οι διαχειριστές του δικτύου άμεσα - και κυρίως όλα τα<br />
πακέτα που έχουν τον ίδιο προορισμό διαχειρίζονται με τον ί-<br />
διο ακριβώς τρόπο, ακολουθώντας τους ίδιους κανόνες και<br />
την ίδια πορεία, ανεξαρτήτως του περιεχομένου τους.<br />
Σε ένα δίκτυο που υποστηρίζεται από το OpenFlow, οι διαχειριστές<br />
μπορούν να προσθέσουν ή να αφαιρέσουν κανόνες<br />
δρομολόγησης, δίνοντας για παράδειγμα προτεραιότητα σε<br />
ένα αρχείο βίντεο που λαμβάνεται, από ό,τι σε ένα email, ώστε<br />
να μην υπάρχουν εμφανή προβλήματα (παύσεις) κατά την προβολή<br />
του. Επίσης είναι εφικτός ο στοχευμένος έλεγχος της εισερχόμενης<br />
και εξερχόμενης ροής από έναν προορισμό ο ο-<br />
ποίος είναι ύποπτος “μολύνσεως” από ιούς και πρέπει να τεθεί<br />
σε καραντίνα.<br />
Χαρακτηριστικά του SDN<br />
Το πρωτόκολλο OpenFlow αποτελεί το θεμελιακό εκείνο στοιχείο<br />
πάνω στο οποίο δημιουργούνται όλες οι SDN λύσεις. Το<br />
SDN αποτελεί με τη σειρά του μια νέα δικτυακή αρχιτεκτονική,<br />
που είναι δυναμική, οικονομική, εύκολη στην ενσωμάτωση<br />
και ικανή να υποστηρίξει την πληθώρα των νέων εφαρμογών<br />
που έχουν απαιτήσεις υψηλού εύρους. Η νέα δομή είναι:<br />
Απευθείας προγραμματιζόμενη: η διαχείριση και ο έλεγχος<br />
του δικτύου είναι απευθείας προγραμματιζόμενα, μιας<br />
και έχουν αποσυνδεθεί από τις λειτουργίες μεταγωγής και<br />
δρομολόγησης.<br />
Ευέλικτη: ο διαχωρισμός ελέγχου και δρομολόγησης συνεπάγεται<br />
για τους διαχειριστές μεγαλύτερη ευχέρεια καθορισμού<br />
της ροής των δεδομένων, ανάλογα με τις ανάγκες<br />
τους συστήματος σε πραγματικό χρόνο.<br />
Κεντρικώς διαχειριζόμενη: όλα τα σημεία που απαρτίζουν<br />
την SDN δομή (ελεγκτές) ελέγχονται κεντρικά από μία<br />
πλατφόρμα και έτσι παρέχουν μια καθολική εικόνα για την<br />
κατάσταση του δικτύου, ενώ εμφανίζονται ως μία ενιαία ο-<br />
ντότητα μεταγωγής στις εφαρμογές και στις υπεύθυνες μηχανές<br />
για την εφαρμογή της πολιτικής ασφάλειας της εταιρείας.<br />
Διαμορφούμενη μέσω προγραμματισμού: το SDN επιτρέπει<br />
στους διαχειριστές του δικτύου να διαμορφώσουν, ε-<br />
λέγξουν, προστατεύσουν και βελτιώσουν τον τρόπο χρήσης<br />
των δικτυακών πόρων, γρήγορα και δυναμικά, μέσω<br />
αυτοματοποιημένων SDN προγραμμάτων. Τα προγράμματα<br />
αυτά μπορεί να δημιουργήσει μόνος του κάθε διαχειριστής,<br />
μιας και δεν βασίζονται σε λογισμικό που είναι<br />
κλειδωμένο.<br />
Ελεύθερη προς χρήση: οι λειτουργίες και ο σχεδιασμός<br />
του δικτύου απλοποιούνται με τη χρήση του SDN, μιας και<br />
χρησιμοποιεί ανοιχτά πρωτόκολλα και εντολές που παρέχονται<br />
ελεύθερα στους διαχειριστές, αντί να υπάρχει η δέσμευση<br />
χρήσης πρωτοκόλλων και συσκευών από συγκεκριμένους<br />
κατασκευαστές.<br />
security | 27
I SSUE<br />
Software Defined Networking (SDN)<br />
Κανόνες χρήσης της SDN δομής<br />
Όπως σε κάθε νέα τεχνολογία έτσι και με την SDN αρχιτεκτονική<br />
ελλοχεύουν κίνδυνοι που απορρέουν κυρίως από το<br />
μέγεθος της πολυπλοκότητας η οποία εισάγεται κατά την υ-<br />
λοποίηση των λειτουργιών του. Παραδοσιακά, οι αποφάσεις<br />
δρομολόγησης εντός του δικτύου λαμβάνονται από συγκεκριμένες<br />
συσκευές που ειδικεύονται σε αυτές τις λειτουργίες.<br />
Η άρση του ελέγχου από τις ήδη δοκιμασμένες και έμπιστες<br />
συσκευές και η παράδοσή του στους διαχειριστές, μπορεί να<br />
οδηγήσει σε ολοκληρωτική καταστροφή – εκτός και αν όλα<br />
τελεστούν ακριβώς όπως πρέπει, δίχως να υπάρχουν πολλά<br />
περιθώρια για σφάλματα. Η κακή εφαρμογή της SDN αρχιτεκτονικής,<br />
ουσιαστικά συνεπάγεται χάος εντός του δικτύου<br />
και γι’ αυτό αν και σε θεωρητική βάση είναι πολύ ελκυστική,<br />
δεν έχει ακόμα μεγάλο μερίδιο στην αγορά.<br />
Η τρέχουσα δραστηριότητα του πρωτόκολλου OpenFlow<br />
(Networking Foundation's) και του νέου OpenDaylight (Linux<br />
Foundation's) είναι ο ορισμός μιας βάσης κανόνων διαμόρφωσης<br />
ροής δεδομένων, την οποία θα χρησιμοποιούν οι<br />
εφαρμογές και έτσι θα μπορεί να αποφευχθεί μια επικείμενη<br />
καταστροφή. Αν οι κανόνες αυτοί οριστικοποιηθούν, συνεπάγεται<br />
ότι θα απλοποιηθεί και η δημιουργία των εφαρμογών,<br />
χωρίς να χρειάζεται οι δημιουργοί τους να μάθουν τα πάντα<br />
γύρω από τον έλεγχο των δικτύων. Στην πράξη, θα ενσωματώνουν<br />
ένα εργαλείο που θα αναλαμβάνει το σχεδιασμό του<br />
σωστού μονοπατιού μέσω του δικτύου, ανάλογα με τις ανάγκες<br />
τις εφαρμογής και τον προορισμό των δεδομένων της.<br />
Γιατί κατευθυνόμαστε προς μια SDN δικτύωση<br />
Οι εξελίξεις στο χώρο των υπολογιστών επιτάσσουν τη βελτίωση<br />
και της δικτυακής δομής - κυρίως από άποψη λειτουργικότητας.<br />
Η δυναμικότητα των σημερινών εφαρμογών και οι<br />
ανάγκες αποθήκευσης που ολοένα αυξάνουν και γίνονται α-<br />
παιτητικότερες σε λειτουργικά χαρακτηριστικά, ουσιαστικά υ-<br />
ποδεικνύουν ότι τα δίκτυα με τον τρόπο που υλοποιούνται έ-<br />
ως τώρα, αποτελούν τροχοπέδη στην πλήρη εκμετάλλευση<br />
των εξαιρετικών δυνατοτήτων των προαναφερομένων.<br />
Cloud υπηρεσίες, που απαιτούν άμεση πρόσβαση σε εφαρμογές,<br />
στη δικτυακή δομή και τους <strong>IT</strong> πόρους του δικτύου. Ε-<br />
φαρμογές που έχουν πρόσβαση σε βάσεις δεδομένων και<br />
servers σε διαφορετικά γεωγραφικά σημεία, μέσω δημοσίων<br />
και ιδιωτικών cloud δομών, οι οποίες απαιτούν εξαιρετικά ευέλικτη<br />
διαχείριση της κίνησης των δεδομένων, καθώς και ά-<br />
μεση πρόσβαση στο εκάστοτε δίκτυο όταν ζητηθεί. Προσωπικές<br />
φορητές συσκευές των χρηστών που επιθυμούν να συνδεθούν<br />
στο εταιρικό δίκτυο. Όλα τα προαναφερόμενα, απαιτούν<br />
η ροή να μπορεί να αλλάξει και να δοθεί άμεση προτεραιότητα<br />
όπου κρίνεται αναγκαίο, σε πραγματικό χρόνο, καθώς<br />
και να εξασφαλίζεται ένα υψηλό επίπεδο προστασίας.<br />
Πριν μερικά χρόνια η εγκατάσταση ενός νέου server χρονικά<br />
μπορεί να κάλυπτε έως και 2 μήνες (παραγγελία, παραλαβή,<br />
διαμόρφωση, εγκατάσταση), αλλά δεν έκανε εντύπωση σε<br />
κανένα. Στις μέρες μας, ένας virtual server μπορεί να είναι λειτουργικός<br />
μέσα σε λίγες ώρες, αλλά η ομάδα δικτύου πάλι<br />
χρειάζεται 2 εβδομάδες για να τον εγκαταστήσει σε φυσικό<br />
επίπεδο, κάτι που πλέον είναι σημαντικό και αποτελεί ενόχληση.<br />
Το πραγματικό δίκτυο αντιμετωπίζεται ως δυσλειτουργικό<br />
και αργοκίνητο μέσα στην επιχειρησιακή δομή - και<br />
φυσικά εξαιρετικά δαπανηρό.<br />
Τέλος, με τη μετανάστευση του ελέγχου και της λειτουργικότητας<br />
από τους routers και switches σε ένα πιο αφηρημένο<br />
προγραμματιζόμενο επίπεδο, αναμένονται εξαιρετικά οικονομικά<br />
οφέλη για τους Οργανισμούς, οι οποίοι πλέον δεν θα<br />
είναι δεσμευμένοι με μία κατασκευάστρια εταιρεία και με τους<br />
ειδικευμένους μηχανικούς της που αναλαμβάνουν την υλοποίηση<br />
της δικτυακής δομής.<br />
SDN και Cloud<br />
Δεν θα μπορούσαμε παρά να αναφερθούμε και στις cloud<br />
δομές που υποστηρίζει το SDN και τον τρόπο που εισάγει πλεονεκτήματα.<br />
Υπάρχουν δύο διαφορετικά SDN μοντέλα και<br />
δύο διαφορετικές SDN αποστολές όσον αφορά στο Cloud<br />
computing. Μιας και τα επιμέρους δίκτυα είναι αυτά που δημιουργούν<br />
αυτό που ονομάζουμε cloud, η διαχείριση του τρόπου<br />
συνεργασίας των δύο αυτών μερών θα μπορούσε να αυξήσει<br />
την αποδοτικότητα και φυσικά την επιτυχία των cloud δομών.<br />
Στο Cloud computing οι χρήστες συνδέονται σε μία κοινότητα<br />
που έχει δημιουργήσει το cloud περιβάλλον. Οι πάροχοι της<br />
δομής αντιμετωπίζουν το πρόβλημα της πολλαπλής χρήσης,<br />
τόσο σε επίπεδο δικτύου όσο και σε επίπεδο servers και βάσεων<br />
δεδομένων. Όλοι λοιπόν οι κοινοί πόροι πρέπει να διαμοιράζονται<br />
με τέτοιον τρόπο ώστε η μία εφαρμογή να μην<br />
επηρεάζει τη λειτουργία της άλλης - και όλο αυτό σε ένα περιβάλλον<br />
ασφαλές και εχέμυθο. Παρόλο που οι δικτυακές τεχνολογίες<br />
όπως το IP και Ethernet, έχουν virtual δικτυακές<br />
δυνατότητες, δεν είναι απεριόριστες σχετικά με το πόσους<br />
χρήστες μπορούν να υποστηρίξουν και πώς θα απομονώσουν<br />
τους χρήστες μεταξύ τους. Αυτή η ανάγκη υποστήριξης πολλαπλών<br />
ταυτόχρονων χρηστών και διατήρησης του ελέγχου,<br />
οδηγεί στην SDN οπτική.<br />
28 | security
Δημιουργήθηκαν λοιπόν δύο μοντέλα SDN, το "overlay model"<br />
(μοντέλο επικάλυψης) και το "network model" (μοντέλο<br />
δικτύου). Στο "overlay model" χρησιμοποιείται λογισμικό το ο-<br />
ποίο δημιουργεί ένα virtual δίκτυο, ενώ στο "network model"<br />
χρησιμοποιούνται συσκευές για να δημιουργηθεί αυτό το virtual<br />
δίκτυο.<br />
Αναλυτικότερα, στο overlay SDN, ένα λογισμικό διαμοιράζει<br />
τις IP και Ethernet διευθύνσεις σε πολλαπλά virtual υποδίκτυα,<br />
παρόμοια με τον τρόπο που το TCP χρησιμοποιεί τις θύρες<br />
του. Το καινούριο αυτό σύνολο των APIs επιτρέπει στις ε-<br />
φαρμογές να έχουν πρόσβαση σε αυτά τα υποδίκτυα, με α-<br />
σφάλεια. Οι υπόλοιπες δικτυακές συσκευές δεν έχουν αντίληψη<br />
ότι αυτά τα virtual υποδίκτυα υπάρχουν και έτσι δεν αλλάζει<br />
ο τρόπος με τον οποίο χειρίζονται την κίνηση των δεδομένων.<br />
Τα Network-hosted SDNs δημιουργούνται από δικτυακές<br />
συσκευές και έτσι διαχειρίζονται την SDN κίνηση απευθείας.<br />
Στην περίπτωση του overlay SDN, μιας και όλα στηρίζονται<br />
στην ύπαρξη συγκεκριμένου λογισμικού, δεν μπορεί να διασφαλιστεί<br />
ότι ο χρήστης θα έχει το απαιτούμενο πρόγραμμα<br />
για να συνδεθεί. Στην περίπτωση του network-hosted SDN οι<br />
συσκευές δύσκολα μπορούν να αναβαθμιστούν και δεν χρησιμοποιείται<br />
καθόλου η verlay virtualization. Τέλος, σχετικά με<br />
την WAN QoS (quality of service) διαπιστώνεται ότι δεν μπορεί<br />
να διασφαλιστεί με το overlay μοντέλο, μιας και δεν γίνεται<br />
καμία προσπάθεια ελέγχου της ροής των δεδομένων - σε<br />
αντίθεση με το network μοντέλο που την ικανοποιεί. Επίσης<br />
το network μοντέλο προσφέρει ακριβώς τις ίδιες διασυνδέσεις<br />
και υπηρεσίες στους χρήστες, όπως πριν, χωρίς να α-<br />
παιτούνται αλλαγές σε επίπεδο λογισμικού ή συσκευών.<br />
Η τάση στην αγορά<br />
Αν και το SDN βρίσκεται ακόμα σε πρώιμη κατάσταση, οι δυνατότητές<br />
του οδήγησαν σε προβλέψεις σχετικά με τη δυναμική<br />
του στην αγορά. Υπολογίστηκε λοιπόν ότι από τα 360εκ.<br />
που έχει στο μερίδιο της αγοράς το 2013, θα εκτιναχθεί στα<br />
3,7 δις το 2016. Πιθανολογείται ότι η δικτυακή βιομηχανία που<br />
εμπορευόταν routers, switches, controllers κ.ά. θα υποστεί<br />
πτώση από το 60% του μεριδίου της αγοράς που κατείχε έ-<br />
ως σήμερα, στο 10%-20% και ουσιαστικά θα μετατραπεί σε<br />
βιομηχανία των servers.<br />
Οι επικρατούσες έως τώρα εταιρείες στη δικτυακή υλοποίηση,<br />
όπως η Cisco και η Juniper, δηλώνουν ότι δεν ανησυχούν<br />
με τις επικείμενες αλλαγές και παρουσιάζουν λύσεις ενσωμάτωσης<br />
του ήδη υπάρχοντος υλικού στη νέα δικτυακή πραγματικότητα.<br />
Πρότειναν να προσθέσουν έλεγχο σε επίπεδο<br />
λογισμικού στις ήδη υπάρχουσες συσκευές, ώστε να συμμορφώνονται<br />
με τις SDN αρχές λειτουργίας. Η Cisco δημιούργησε<br />
την Open Network Environment (ONE) πλατφόρμα,<br />
για να επιτρέψει τη χρήση του εξοπλισμού της στα υπάρχοντα<br />
δίκτυα, με τα πλεονεκτήματα όμως της SDN αρχιτεκτονικής.<br />
Στην πραγματικότητα, λίγοι Οργανισμοί έχουν υιοθετήσει τη<br />
νέα τεχνολογία - ανάμεσά τους και η Google, η οποία συνέδεσε<br />
όλα τα κέντρα δεδομένων της, μεταξύ τους. Ο αντιπρόεδρος<br />
του τεχνικού τμήματος της Google δήλωσε ότι η<br />
εφαρμογή του SDN βελτίωσε τον τρόπο που τα δεδομένα κινούνται<br />
μέσω του εσωτερικού δικτύου της εταιρείας. Επίσης,<br />
με αυτόν τον τρόπο η εταιρεία μπορεί να δίνει προτεραιότητα<br />
σε συγκεκριμένη κίνηση δεδομένων, όπως π.χ. τα Gmail α-<br />
ντίγραφα ασφαλείας, ώστε να διασφαλίζεται ότι υλοποιούνται<br />
σε ένα λογικό χρονικά περιθώριο.<br />
Λόγω της πολυπλοκότητάς του, το SDN δεν είναι έτοιμο να<br />
υλοποιηθεί άμεσα σε ευρεία κλίμακα. Απαιτείται ειδικευμένο<br />
προσωπικό με εξαιρετικές προγραμματιστικές ικανότητες καθώς<br />
και πολλές εργατοώρες για τη μετάβαση από τη μία δομή<br />
στην άλλη, ώστε να αποφευχθούν μοιραία για τη λειτουργία<br />
του δικτύου σφάλματα. Αλλά μόλις ενσωματωθεί σε μία δικτυακή<br />
δομή, τα πλεονεκτήματά του θα γίνουν αμέσως αντιληπτά.<br />
Τα περιβάλλοντα Cloud computing που θα ελέγχονται<br />
από το SDN θα αυξήσουν σημαντικά την ταχύτητα απόκρισής<br />
τους και την αποδοτικότητά τους, μιας και τα δίκτυα θα<br />
βελτιστοποιηθούν με γνώμονα τις εφαρμογές που υλοποιούνται<br />
σε αυτές τις δομές. Τα εταιρικά δίκτυα καθώς και τα δίκτυα<br />
κινητής τηλεφωνίας επίσης θα ωφεληθούν, ενώ το κόστος<br />
των νέων δικτύων θα περιοριστεί σημαντικά. iT<strong>Security</strong><br />
security | 29
I SSUE<br />
Xαράλαμπος Γκιώνης<br />
ΜSc Electrical Engineering - Computer Networks<br />
Wetware και Social Engineering<br />
Α' μέρος – Ο Ανθρώπινος παράγοντας<br />
στην ασφάλεια πληροφοριακών συστημάτων<br />
Τι γίνεται όταν ο άνθρωπος και απλός χρήστης του εσωτερικού δικτύου μπορεί να αποδειχθεί<br />
ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας της πληροφορικής;<br />
H<br />
ασφάλεια του εσωτερικού δικτύου οργανισμού σήμερα μπορεί εύκολα να προστατευθεί από ένα καλά προγραμματισμένο<br />
και συχνά ανανεωμένο σύστημα προστασίας που μπορεί να περιλαμβάνει φυσική (physical) και λογική<br />
(logical) ασφάλεια. Η υψηλή ασφάλεια σε λογισμικό (software) και υλικό (hardware), όπως συνεχώς αναλύεται σε<br />
αντίστοιχα άρθρα, μπορεί να περιλαμβάνει υψηλές προδιαγραφές, που θα εξασφαλίζουν ένα αδιαπέραστο εσωτερικό<br />
δίκτυο. Μερικά από τα χαρακτηριστικά του μπορεί να είναι οι κάρτες εισόδου και τα βιομετρικά δεδομένα (CAD-biometric data),<br />
30 | security
η αυστηρή πολιτική χρήσης κωδικών εισόδου (password), το τοίχος<br />
προστασίας (firewall) και η προστασία απέναντι σε ιούς<br />
(antivirus), η ζωντανή παρακολούθηση δεδομένων (live data<br />
and protocol monitoring) και η άψογα σχεδιασμένη πολιτική α-<br />
σφαλείας (security policy). Ταυτόχρονα, μπορεί να περιλαμβάνει<br />
πιστοποιημένα συστήματα hardware / software κατά ISO<br />
15408 (Common Criteria) και κατατεταγμένα συστήματα στο υ-<br />
ψηλότερο επίπεδο ασφαλείας EAL (Evaluation Assurance Level).<br />
Η μεγαλύτερη αυτή δυνατή προστασία γίνεται σε οργανισμούς,<br />
επιχειρήσεις, κρατικές ή στρατιωτικές υπηρεσίες, που κατέχουν<br />
υψηλής σημασίας πληροφορίες είτε για τον εμπορικό ανταγωνιστή<br />
/ συναγωνιστή τους είτε για τον κρατικό μη σύμμαχό τους.<br />
Ταυτόχρονα όλα αυτά εφαρμόζονται από κατάλληλα εκπαιδευόμενο<br />
προσωπικό, που κατέχει την απαραίτητη γνώση / ε-<br />
μπειρία και έχει προσληφθεί ειδικά για το σκοπό αυτό.<br />
Τι γίνεται όμως όταν κάποιος κακόβουλος προσποιούμενος<br />
τον διαχειριστή ασφαλείας του δικτύου της εταιρείας τηλεφωνήσει<br />
στην ευγενική μορφωμένη γραμματέα (απόφοιτο υψηλών<br />
θεωρητικών επιστημών) του διευθυντή της εταιρείας, που απλά<br />
διεκπεραιώνει την αλληλογραφία στους τελικούς αποδέκτες και<br />
την πείσει ότι «ο υπολογιστής της έχει πρόβλημα και χρειάζεται<br />
τον κωδικό της, για να ρυθμίσει τον λογαριασμό της»? Στην<br />
περίπτωση αυτή έχει πιθανότατα αποσπάσει το κωδικό πρόσβασης<br />
στο εσωτερικό δίκτυο υπολογιστών με τις ανυπολόγιστες<br />
συνέπειες, που όλοι γνωρίζουμε. Ακόμα και αν μόνο μέσα<br />
σε λίγες ώρες διαπιστωθεί η παραβίαση ασφαλείας (πχ η α-<br />
πώλεια του κωδικού), η εσωτερική ασφάλεια του δικτύου έχει<br />
ήδη “σπάσει”. Στην περίπτωση αυτή όλα τα πανάκριβα λογισμικά<br />
και υπολογιστικά συστήματα που περιγράφηκαν στην<br />
πρώτη παράγραφο καθίστανται ανίκανα να αντιμετωπίσουν τον<br />
εισβολέα.<br />
Αυτό το παράδειγμα αποδεικνύει την σημασία που έχει πλέον η<br />
κοινωνική μηχανική στην ασφάλεια υπολογιστών. Πριν από μερικά<br />
χρόνια η αναζήτηση του όρου κοινωνική μηχανική στο διαδίκτυο<br />
ως “social engineering” θα παρουσίαζε μερικές μόνο πηγές<br />
όπως πώς να ξεγελάσουμε και να παραγγείλουμε δωρεάν πίτσα<br />
ή πως να έξυπνα να προσεγγίσει κάποιος μια γυναίκα! Σήμερα,<br />
παγκοσμίως η κοινωνική μηχανική περιλαμβάνεται στις πολιτικές<br />
ασφαλείας μεγάλων οργανισμών, ενώ τα τελευταία 3 συνεχή<br />
έτη έχει συμπεριληφθεί ο διαγωνισμός Capture the Flag<br />
(CTF) Social Engineering στο μεγαλύτερο διαγωνισμό hackers<br />
παγκοσμίως, την Defcon στο Las Vegas, NV, με τη συμμετοχή<br />
μεγάλων επιχειρήσεων - στόχων που ανήκουν στο Fortune 500<br />
όπως Cisco, AT&T, Verizon, HP κ.α. Η συμμετοχή των επιχειρήσεων<br />
γίνεται φυσικά χωρίς οι ίδιες και το τεράστιο δίκτυο των<br />
υπαλλήλων - χρηστών του εσωτερικού δικτύου να γνωρίζουν ό-<br />
τι αποτελούν στόχους. Στον γνωστό αυτό διαγωνισμό ανακαλύπτονται<br />
όλα τα ταλέντα στο hacking ενώ συχνή είναι και η συμμετοχή<br />
αμερικάνικων κρατικών οργανισμών (FBI, DoD, NSA κ.α.).<br />
Ο ίδιος ο άνθρωπος και απλός χρήστης του εσωτερικού δικτύου<br />
αντιμετωπίζεται στο παρόν άρθρο ως ο πιο αδύναμος κρίκος<br />
στην αλυσίδα ασφαλείας της πληροφορικής. Αυτός ο υπάλληλος<br />
και απλός χρήστης του εσωτερικού δικτύου του οργανισμού,<br />
μετά το hardware και το software που καλούμαστε να προστατεύσουμε<br />
έναντι των κακόβουλων κοινωνικών μηχανικών, α-<br />
ποτελεί το τρίτο βασικό χαρακτηριστικό της ασφάλειας υπολογιστών,<br />
το wetware (προέρχεται από το υγρό/νερό που υ-<br />
πάρχει στους βιολογικούς οργανισμούς, όπως το μυαλό του<br />
ανθρώπου-συχνά συναντάται και ως brainware). Στο παραπάνω<br />
αρχικό παράδειγμα οι ακριβοπληρωμένοι διαχειριστές α-<br />
σφαλείας του δικτύου εύκολα νικήθηκαν από έναν απλό συνάδελφό<br />
τους, που πολύ απλά χειρίζεται επεξεργαστές κειμένου,<br />
αφού ο τελευταίος κατάφερε να δημιουργήσει ένα τεράστιο κενό<br />
ασφαλείας απλά και μόνο με την κοινωνική του ευγένεια και<br />
επικοινωνία εμπιστευόμενος πλήρως τις εντολές του (υποτιθέμενου)<br />
προϊστάμενού του.<br />
Στην κοινωνική μηχανική, τα ηλεκτρονική ίχνη και οι πληροφορίες<br />
που παρουσιάζονται χωρίς καμία διαβάθμιση (πχ στα κοινωνικά<br />
μέσα ή στην συμμετοχική διαδικασία του WEB 2.0 ό-<br />
ταν γράφουμε διάφορα σχόλια σε ιστολόγια) ή πετάμε στα<br />
σκουπίδια (ως εξοφλημένους λογαριασμούς ή παλιές λίστες<br />
προσωπικού) ως απλοί δικτυακοί χρήστες, είτε εντός είτε εκτός<br />
επαγγελματικού περιβάλλοντος μπορεί να αποδειχτούν καταστροφικά.<br />
Η συλλογή αυτών από έναν κακόβουλο χρήστη συνθέτει<br />
μια συνολικά περαιτέρω αξιοποιήσιμη πληροφορία θέτοντας<br />
σε κίνδυνο την ασφάλεια του επαγγελματικού μας οργανισμού.<br />
Η βασική αρχή του διαχωρισμού της επαγγελματικής ι-<br />
διότητας με τις απλές κοινωνικές σχέσεις στα ψηφιακά μέσα ε-<br />
security | 31
I SSUE<br />
Wetware και Social Engineering<br />
φαρμόζεται περισσότερο μόνο σε κοινωνίες με υψηλή πληροφοριακή<br />
κουλτούρα. Στις κοινωνίες αυτές, προσωπικές ερωτήσεις<br />
(προφορικές ή δικτυακές) του τύπου «Με τι ακριβώς α-<br />
σχολείσαι στην εταιρεία σου?» είναι λιγότερο πιθανές να συμβούν.<br />
Αντίθετα, μάλιστα στις κοινωνίες αυτές, με υψηλή κοινωνική/πληροφοριακή<br />
κουλτούρα, είναι ακόμα πιο απίθανο να δοθεί<br />
η απάντηση σ’ αυτήν την ερώτηση.<br />
Στο παρόν άρθρο εξετάζεται η έννοια της κοινωνικής μηχανικής,<br />
με βάση την οδηγία US CERT 2009 ST04-014, μια έννοια<br />
που στην ελληνική πληροφοριακή κουλτούρα εκτιμάται ότι συμβαδίζει<br />
με τη γενικότερη διείσδυση του πληθυσμού στην πληροφορική<br />
και στο διαδίκτυο και συνεπώς εκτιμάται ως ιδιαίτερα<br />
χαμηλή. Στο πρώτο μέρος του άρθρου επεξηγούνται οι πληροφορίες<br />
ανοικτών (ψηφιακών) πηγών σε συνδυασμό με την ε-<br />
θνική μας πληροφοριακή κουλτούρα και διασαφηνίζεται η βασική<br />
έννοια της κοινωνικής μηχανικής με παραδείγματα παραπλάνησης<br />
του προσωπικού και παραβίασης της εσωτερικής δικτυακής<br />
ασφάλειας ενός οργανισμού, μιας επιχείρησης ή κρατικών<br />
δικτυακών συστημάτων. Στο δεύτερο μέρος του άρθρου<br />
κατηγοριοποιούνται οι περιπτώσεις της κοινωνικής μηχανικής και<br />
περιγράφονται όλα τα ευάλωτα ανθρώπινα χαρακτηριστικά, με<br />
τα οποία οι κοινωνικοί μηχανικοί παρακάμπτουν, με υψηλό ταλέντο<br />
και μηδαμινό κόστος, όλα τα πανάκριβα συστήματα α-<br />
σφαλείας δικτύων υπολογιστών. Τέλος, παρουσιάζονται όλοι οι<br />
παράγοντες που επιδρούν στην κοινωνική μηχανική, η αξιοπιστία<br />
της ως τεχνική παραπλάνησης, οι τρόποι άμυνας καθώς και<br />
οι ανάγκες περαιτέρω εκπαίδευσης του απλού υπαλληλικού προσωπικού.<br />
Ανοικτές Πηγές Πληροφοριών (Open<br />
Sources Intelligence)<br />
Το αντικείμενο και η εξέταση της πληροφορίας είναι ιδιαίτερα<br />
ογκώδες και πολύπλευρο ανάλογα την κατηγορία που αφορά.<br />
Οι βασικές αρχές όμως σε οποιοδήποτε τομέα είναι ίδιες όπως<br />
ότι η πληροφορία διακρίνεται σε αδιαβάθμητη ή διαβαθμισμένη<br />
σε κάθε επίπεδο (βιομηχανικό, εμπορικό, κρατικό, στρατιωτικό).<br />
Κατά βάση κάθε αδιαβάθμητη πληροφορία συλλέγεται ε-<br />
λεύθερα από ανοικτές (ψηφιακές) πηγές, ενώ η διαβαθμισμένη<br />
πληροφορία φυλάσσεται στα εσωτερικά δίκτυα ενός οργανισμού.<br />
Η έννοια της προστασίας της πληροφορίας αφορά στις<br />
διαβαθμισμένες πληροφορίες.<br />
Στην επιστήμη της πληροφορίας, όμως, οι διάφορες φάσεις,<br />
που υφίστανται αυτή, όπως η συλλογή, η επεξεργασία, η σύνθεση<br />
και η ανάλυση καθιστούν ολόκληρη την πληροφοριακή α-<br />
λυσίδα ευάλωτη σε κακόβουλη χρήση και συνιστούν κυρίαρχο<br />
αντικείμενο την προστασία της. Πιο απλά, ενώ, μια απλή πληροφορία<br />
είναι καθόλα αδιαβάθμητη, όπως πχ ένας απλός α-<br />
ριθμός τηλεφώνου, η σύνθεση αυτής με ακόμα μια ή περισσότερες<br />
επίσης αδιαβάθμητη/τες πχ με το αντίστοιχο όνομα ενός<br />
πρέσβη γειτονικής χώρας, καθιστούν το τελικό αποτέλεσμα διαβαθμισμένο<br />
ή αλλιώς απόρρητο. Ακόμα πιο απλά η σύνθεση<br />
πολλών εντελώς αδιαβάθμητων πληροφοριών ανοικτών πηγών<br />
πολλές φορές οδηγούν σε πληροφορίες άκρως διαβαθμισμένες,<br />
η αποκάλυψη των οποίων θέτει σε κίνδυνο την ασφάλεια<br />
ενός οργανισμού, μιας βιομηχανίας ακόμα και ενός κράτους.<br />
Οι μέθοδοι και η χρήση τεχνικών που αφορούν συλλογή και<br />
σύνθεση αδιαβάθμητων πληροφοριών από ανοικτές πηγές σε<br />
συνδυασμό με τεχνικές ανθρώπινης εξαπάτησης και απόσπασης<br />
διαβαθμισμένων πληροφοριών αποτελούν το βασικό κορμό<br />
της έννοιας κοινωνικής μηχανικής στην επιστήμη της πληροφορικής.<br />
Οι παλαιότερα λεγόμενες μυστικές υπηρεσίες, εκτός<br />
από τις γνωστές επιχειρησιακές αποστολές που αναλαμβάνουν<br />
στο φυσικό χώρο ανά τον κόσμο (γνωστές κυρίως από ταινίες<br />
του James Bond με μια όμορφη γυναίκα που αποσπά πληροφορίες<br />
σε αναπτυσσόμενες χώρες!) στην εποχή μας επικεντρώνονται<br />
ακριβώς στον τομέα συλλογής και σύνθεσης αδιαβάθμητων<br />
πληροφοριών μέσω (ψηφιακών) ανοικτών πηγών<br />
(Internet, συνέδρια, συνεντεύξεις, περιοδικά, εφημερίδες κλπ) σε<br />
συνδυασμό με άλλες μεθόδους που δεν είμαστε σε θέση να<br />
γνωρίζουμε αλλά απλά φανταζόμαστε. Σε κάθε περίπτωση ό-<br />
<strong>32</strong> | security
μως σήμερα η ψηφιακή πληροφορία στα πλαίσια του βιομηχανικού<br />
απορρήτου είναι πλέον η πρώτη προτεραιότητα όσον α-<br />
φορά στη φύλαξή της, στη συλλογή της, στη σύνθεσή της και<br />
την αξιοποίησή της.<br />
Η σύνθεση πληροφοριών ανοικτών πηγών στην έννοια της κοινωνικής<br />
μηχανικής αποτελεί το πρώτο ή το αρχικό παράλληλο<br />
στάδιο. Εκτελείται με ιδιαίτερη ευκολία και αποτελεί μια ιδιαίτερα<br />
επιτυχημένη μέθοδο. Ως στόχος χρησιμοποιείται κάποιο<br />
στέλεχος της εταιρείας ή ένας απλός υπάλληλος σε αμέριμνες<br />
στιγμές του ή σε επιλεγμένες ψυχικές καταστάσεις ή ακόμα και<br />
από τις ψηφιακές πληροφοριές που αυτός αφήνει στο διαδίκτυο.<br />
Μερικά από αυτά τα ηλεκτρονικά ίχνη (πληροφορίες) που αυτός<br />
ο ίδιος αφήνει να αιωρούνται στον κυβερνοχώρο μπορούν<br />
να κατασταστούν ιδιαίτερα επιζήμια για τον ίδιο προσωπικά ή<br />
για τον οργανισμό του. Γενικά χρησιμοποιούνται ανοικτές πηγές<br />
με αναζητήσεις στον κυβερνοχώρο (Internet, φωτογραφίες,<br />
βίντεο, δημοσιεύσεις, βάσεις δεδομένων, κοινωνικά μέσα<br />
κ.α.) αλλά και στον φυσικό κόσμο με τηλεφωνικές λίστες, πεταμένα<br />
προσωπικά δεδομένα με ταχυδρομικές διευθύνσεις ή<br />
γραμμένους κωδικούς στα καλάθια σκουπιδιών! Η τελευταία είναι<br />
μια ιδιαίτερα πετυχημένη μέθοδος (ονομάζεται Dumpster<br />
Diving) που αποτελεί την παλαιότερη τακτική στην κοινωνική<br />
μηχανική και θα εξετασθεί στην συνέχεια.<br />
Ορισμός κοινωνικής μηχανική (Social<br />
Engineering)<br />
Λόγω της φύσης της η έννοια της κοινωνικής μηχανικής είναι<br />
σχετικά δύσκολο να καθοριστεί και ακόμα πιο πολύπλοκη στο<br />
να περιγραφεί και να οριστεί. Οι μέθοδοι, τεχνικές και η αποτελεσματικότητα<br />
της είναι συνεχώς εξελίξιμες και δυναμικές και<br />
όπως όλες οι επιθέσεις, προσαρμόζεται στον στόχο και στον<br />
αμυνόμενο. Η προσπάθεια να διευκρινιστεί μέσω ορισμού επιφέρει<br />
μεγαλύτερη δυσκολία σε κάθε απλό πληροφοριακό χρήστη,<br />
ενώ, μέσω της εξέτασης των παραδειγμάτων και των αποτελεσμάτων<br />
που επιφέρει σε περίπτωση επιτυχίας, η κατανόηση<br />
και απορρόφηση της έννοιας καθίσταται ιδιαίτερα εύκολη.<br />
Σε κοινωνικά, καθαρά επίπεδο, η κοινωνική μηχανική είναι απάτη<br />
(περιλαμβάνει εξαπάτηση), και ορίζεται ως η καθοδήγηση/χειρισμός<br />
ανθρώπων στη συμπεριφορά και στην αποκάλυψη πληροφοριών.<br />
Σε καθαρά πληροφοριακό επίπεδο, ορίζεται αντίστοιχα<br />
ως πληροφοριακή απάτη με σκοπό το hacking σε διαφορετικά<br />
επίπεδα.<br />
Σήμερα εφαρμόζονται πολλές τεχνικές (σε υλικό και εφαρμογές)<br />
που σκοπό έχουν να αποτρέψουν την επιτυχία μια προαποφασισμένης<br />
επίθεσης στο εσωτερικό μας δίκτυο. Στον αντίποδα,<br />
η κοινωνική μηχανική έχει ως σκοπό να παρακάμψει ό-<br />
λες αυτές τις τεχνικές και συστήματα και επικεντρώνεται στους<br />
απλούς ανθρώπινους χρήστες, στην ψυχολογία τους, στους<br />
τρόπους συμπεριφοράς τους, στο μυαλό τους, στα συναισθήματά<br />
τους, στο wetware. Η ανθεκτικότητα της κοινωνικής μηχανικής<br />
σε προσπάθειες παράκαμψης των μέτρων ασφαλείας<br />
έγκειται κυρίως στην έλλειψη του παράγοντα εκπαίδευσης προσωπικού<br />
στις πολιτικές ασφαλείας των δικτύων μας. Η επέκταση<br />
της απειλής θα συμβαίνει όσο η επιχειρηματική κοινότητα ή<br />
οι κρατικοί οργανισμοί με σημαντική αξία εσωτερικού δικτύου<br />
(πλήθος χρηστών) δεν αντιλαμβάνονται το πόσο ευάλωτοι καθίστανται<br />
σε αυτού του είδους τις επιθέσεις.<br />
Μια απλή αναδρομή στην κατασκευή και δομή των υπολογιστικών<br />
συστημάτων είναι ότι αυτά είναι κατασκευασμένα να παρέχουν<br />
προγραμματισμένες αντιδράσεις (unconditional response)<br />
σε καθορισμένες εντολές (instructions). Οι περισσότερες τεχνικές/πολιτικές<br />
ασφαλείας επικεντρώνονται σ’ αυτό ακριβώς το<br />
επίπεδο, παρέχοντας προστασία των υπολογιστικών συστημάτων<br />
επιτρέποντας ή απαγορεύοντας την πρόσβαση σ’ αυτά. Η<br />
κοινωνική μηχανική, όμως, επιχειρεί να εξετάσει και να εισχωρήσει<br />
στην πληροφορική ασφάλεια αδιαφορώντας για την αρχιτεκτονική<br />
των ψηφιακών μηχανών ή δικτύων αλλά στοχοποιώντας<br />
την ανθρώπινη φύση, τα συναισθήματα και τις τάσεις της.<br />
Όπως, ακριβώς, γνωρίζουμε το hardware (υλικό) και το software<br />
(λογισμικό) καθώς και την συνεργασία μεταξύ τους για την παροχή<br />
πληροφοριακής ασφάλειας μια νέα έννοια ορίζεται ως ε-<br />
πίσης καθοριστικός παράγοντας στην ασφάλεια: το WETWARE.<br />
Το wetware αποτελεί αναπόσπαστο εργαλείο “εγκατεστημένο”<br />
στον υπολογιστή και απλά περιγράφει τις ανθρώπινες αντιδράσεις<br />
σε συνεργασία με το υπόλοιπο υπολογιστικό υλικό και<br />
εφαρμογές και κατ’ επέκταση με ολόκληρο το εσωτερικό δί-<br />
security | 33
I SSUE<br />
Wetware και Social Engineering<br />
κτυο του οργανισμού. Περιγράφει απλά τον άνθρωπο που χειρίζεται<br />
τον υπολογιστή ενός εσωτερικού δικτύου ο οποίος α-<br />
ποτελεί τη (νοητή) διασύνδεση με όλα τα υπόλοιπα δίκτυα (διαδίκτυο,<br />
σταθερή τηλεφωνία, κινητή τηλεφωνία, κοινωνικά μέσα,<br />
φυσικές κοινωνικές επαφές, κλπ). Το Wetware είναι αντίστοιχα<br />
κρίσιμο για την ασφάλεια του δικτύου όπως ακριβώς είναι το<br />
hardware και το software, αφού όλο το υλικό, λογισμικό, servers,<br />
συσκευές εισόδου/εξόδου, γραμμές σύνδεσης, συνδέονται α-<br />
ποκλειστικά με τους χειρισμούς και το μυαλό του χρήστη με το<br />
αντίστοιχο Username στο εσωτερικό δίκτυο. Σε γενικότερο ε-<br />
πίπεδο, το Wetware ως πληροφοριακός όρος έχει περιγραφεί<br />
«ως το management των ανθρώπων σε συσχετισμό με την θέση<br />
τους και τη λειτουργία τους στην κοινωνία».<br />
Οι πιθανότεροι στόχοι στην κοινωνική μηχανική είναι οι υπάλληλοι<br />
και τα στελέχη που βρίσκονται σε θέσεις στις οποίες διαχειρίζονται<br />
ευαίσθητες πληροφορίες. Ενώ οι ίδιοι αντιλαμβάνονται<br />
πλήρως τη συναίσθηση του καθήκοντός τους, αυτό δε<br />
σημαίνει απαραίτητα ότι κατανοούν και τους ψηφιακούς κινδύνους,<br />
αφού οι ίδιοι δεν είναι επαγγελματίες <strong>IT</strong>. Γνωρίζουν τη βάση<br />
εφαρμογής της πολιτικής ασφαλείας αλλά δεν είναι πάντα<br />
ενήμεροι για τη συνεχώς εξελίξιμη επιτυχημένη έννοια της ψηφιακής<br />
εξαπάτησης.<br />
Σημαντικός είναι επίσης ο κίνδυνος που μπορεί να προκύψει “από<br />
μέσα” από τους ίδιους τους υπαλλήλους μιας εταιρείας είτε<br />
εκούσια είτε ακούσια. Ο παράγοντας αυτός μας είναι γνωστό<br />
και από το φυσικό κόσμο, αφού μεγάλο ποσοστό κάθε ε-<br />
γκλήματος προέρχεται από τον ίδιο το γνωστό κύκλο του θύματος.<br />
Σε μελέτες που έχουν γίνει αποδεικνύεται ότι το 30% των<br />
παραβιάσεων ασφαλείας γίνεται από εξωγενείς παράγοντες.<br />
Αυτό σημαίνει ότι το υπόλοιπο 70% των παραβιάσεων ασφαλείας<br />
γίνεται από μέσα, δηλαδή τους υπαλλήλους που χειρίζονται<br />
το δίκτυο υπολογιστών της εταιρείας ή του οργανισμού ή<br />
ήταν πρώην (απογοητευμένοι και εκδικητικοί) υπάλληλοι της ε-<br />
ταιρείας στο άμεσο προηγούμενο χρονικό διάστημα.<br />
Πληροφοριακή Κουλτούρα (Απλών Χρηστών<br />
και Διαχειριστών Δικτύου)<br />
Η πληροφοριακή κουλτούρα, ένας σημαντικός παράγοντας της<br />
κοινωνικής μηχανικής, ως ένα βαθμό αντανακλά το επίπεδο εκπαίδευσης<br />
που έχει το σύνολο ενός λαού, συνόλου ή ομάδας<br />
υπαλλήλων. Αντανακλά το επίπεδο επιμόρφωσης του προσωπικού<br />
/υπαλλήλων στην φιλοσοφία της ασφάλειας του εσωτερικού<br />
δικτύου του οργανισμού καθώς και στην έννοιας της πληροφορίας<br />
για τον οργανισμό. Ο υπάλληλος ως τελικός απλός<br />
χρήστης του εσωτερικού δικτύου μεταμορφώνεται σε βασικό<br />
(δια)χειριστή της ασφάλειας του δικτύου του οργανισμού, όσον<br />
αφορά τη διαθεσιμότητα αυτής της πολύτιμης, για τον οργανισμό<br />
εγκατάστασης, χωρίς όμως, πολλές φορές να διαθέτει το<br />
απαραίτητο υπόβαθρο για την υποστήριξή της. Σε τοπικό επίπεδο<br />
χρήστη ο ανθρώπινος παράγοντας περνάει στις περισσότερες<br />
περιπτώσεις σε δεύτερη μοίρα όσον αφορά την εκπαίδευση<br />
περί ασφάλειας υπολογιστικών συστημάτων.<br />
Οι νεαρότερες ηλικίες, ακόμα και αυτοί που είναι περισσότερο<br />
εξοικειωμένοι με καθημερινές ηλεκτρονικές συναλλαγές καθώς<br />
και ηλεκτρονικά gadgets, διατηρούν στην αίσθηση τους ότι είναι<br />
ασφαλείς μόνο με ένα firewall και ένα antivirus. Ακόμα και<br />
σ’ αυτές τις ηλικίες, όπου το κινητό τους τηλέφωνο ξεπερνά τις<br />
δυνατότητες ενός διπήρυνου home pc, δεν παραλείπονται τα<br />
κενά ασφαλείας. Η ελεύθερη επικοινωνία με φίλους, γνωστούς<br />
και αγνώστους σε κοινωνικά μέσα όταν οι ίδιοι εργάζονται σε<br />
ευαίσθητους τομείς οργανισμών, ή, ακόμα και η αδυναμία τους<br />
να καλύψουν τα κενά ασφαλείας καταδεικνύουν τη χαμηλή α-<br />
ντίληψη των αρχών της πληροφοριακής ασφάλειας.<br />
Ο διαχειριστής ασφαλείας (administrator) ενός δικτύου μιας ε-<br />
πιχείρησης/οργανισμού, δεν είναι πάντα ο μόνος υπεύθυνος<br />
για την απώλεια ευαίσθητων πληροφοριών. Πιθανότατα, όμως,<br />
συγκαταλέγεται πάντα στους συνυπεύθυνους, αφού στις αρμοδιότητες<br />
του συγκαταλέγεται και η εκπαίδευση του προσωπικού<br />
και η αναβάθμιση της πληροφοριακής τους κουλτούρας που πολύ<br />
συχνά παραλείπεται. Η νοοτροπία της ομάδας διαχείρισης<br />
ασφαλείας στην συμπεριφορά ως “computers geeks υψηλού<br />
προγραμματισμού” απέναντι όλων των απλών υπαλλήλων και<br />
χρηστών είναι ασφαλώς παρωχημένη. Όπου αυτή εφαρμόζεται<br />
πιθανόν καταδεικνύει τη χαμηλή πληροφοριακή επιμόρφωση<br />
της ίδιας της ομάδας. Η ομάδα οφείλει να προστατεύει τον<br />
οργανισμό μέσω του hardware, software αλλά και του malware.<br />
Σε καμία περίπτωση δεν δρα μεμονωμένα, γιατί με τον τρόπο<br />
αυτό το προσωπικό και ο κάθε υπάλληλος μεμονωμένα καθίσταται<br />
ο πιο αδύναμος κρίκος στην ασφάλεια των υπολογιστικών<br />
συστημάτων.<br />
Για την εξέταση της πληροφοριακής κουλτούρας του ελληνικού<br />
κοινού αποτελεί ιδιαίτερη πρόκληση η μικρή ανάλυση της σημερινή<br />
τεχνολογικής διείσδυσης του ελληνικού πληθυσμού στις<br />
τεχνολογικές εφαρμογές. Η πληροφοριακή κουλτούρα με την<br />
34 | security
Διάγραμμα 1<br />
τεχνολογική διείσδυση είναι άρρηκτα συνδεδεμένες μεταξύ τους<br />
αφού καθορίζουν την ενσωμάτωση στην καθημερινότητά μας,<br />
στην επαγγελματική μας ζωή καθώς και στην εθνική νομοθεσία<br />
μας, πληροφοριακών όρων όπως cyber defense, phishing attack,<br />
Internet, κυβερνοάμυνα, κα. Ταυτόχρονα, καθορίζει τον τρόπο<br />
χρήσης της υπολογιστικής επιστήμης είτε ως πολύπλευρο ε-<br />
παγγελματικό ή προσωπικό εργαλείο για τη διευκόλυνση της<br />
καθημερινότητάς μας και την δημιουργικότητα μας, είτε ως έ-<br />
να καινούριο gadget για surfing σε νέα και κουτσομπολιά μεταξύ<br />
φίλων ή στην ίδια απλή χρήση ως παιχνιδομηχανή όπως το<br />
1985 με τον Commodore 64. Στο χειρότερο βαθμό η πληροφοριακή<br />
κουλτούρα μπορεί να εμφανίζεται σε κάποιους μηδενική,<br />
αφού ακόμα και αν λειτουργούν καθημερινά ως χρήστες<br />
σε κάποιον οργανισμό πιθανόν να το αισθάνονται ως ένα “καταναγκαστικό”<br />
εργαλείο που είναι απαραίτητο γιατί απλά καθίσταται<br />
υποχρεωτικό από την διεύθυνση του οργανισμού.<br />
Η κοινωνική μηχανική διακρίνεται γενικά σε τέσσερις συνδυαστικές<br />
φάσεις που είναι: η συγκέντρωση πληροφοριών, η ανάπτυξη<br />
σχέσεων, η εκτέλεση και η εκμετάλλευση/αξιοποίηση των<br />
αποτελεσμάτων. Έχοντας ήδη αναλύσει τις μεθόδους συγκέντρωσης<br />
πληροφοριών και την στοχοποίηση χρηστών στο διάγραμμα<br />
1 παρουσιάζονται όλες οι φάσεις. Στο επόμενο μέρος<br />
εξετάζονται τα ανθρώπινα χαρακτηριστικά που συνδράμουν<br />
την ανάπτυξη επιθέσεων κοινωνικής μηχανικής στις προσωπικές<br />
ή επαγγελματικές ψηφιακές πληροφορίες στο αντίστοιχο δίκτυο<br />
υπολογιστών. iT<strong>Security</strong><br />
ΒΙΒΛΙΟΓΡΑΦΙΑ<br />
1. Thomas R. Peltier CISSP, CISM (2006): Social Engineering: Concepts and Solutions, Information Systems <strong>Security</strong>, 15:5, 13-21,<br />
http://dx.doi.org/10.1201/1086.1065898X/46353.15.4.20060901/95427.3<br />
2. Kurt Manske (2000): An Introduction to Social Engineering, Information Systems <strong>Security</strong>, 9:5, 1-7,<br />
http://dx.doi.org/10.1201/1086/43312.9.5.20001112/31378.10<br />
3. Infosecurity Magazine, “Social engineering: Re-defining the human factor”, 24 May 2010, http://www.infosecurity-magazine.com/view/9697/socialengineering-redefining-the-human-factor/<br />
4. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information <strong>Security</strong> Journal: A Global Perspective, 18:1, 40-46,<br />
http://dx.doi.org/10.1080/1939355080262<strong>32</strong>14<br />
5. Alistair S. Duff (2005): Social Engineering in the Information Age, The Information Society: An International Journal, 21:1, 67-71,<br />
http://dx.doi.org/10.1080/01972240590895937<br />
6. Cadet Derek Kvedar, 2nd Lieutenant Michael Nettis and Dr. Steven P Fulton, USAF Academy, “The Use of Formal Social Engineering<br />
Techniques to Identify Weaknesses during a Computer Vulnerability Competition”<br />
7. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information <strong>Security</strong> Journal:A Global Perspective, 18:1, 40-46,<br />
http://dx.doi.org/10.1080/1939355080262<strong>32</strong>14<br />
8. Lena Laribee, Captain, USAF, “Development of Methodical Social Engineering Taxonomy Project”, Naval Postgraduate School, June 2006,<br />
http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm<br />
9. <strong>Security</strong> Tip (ST04-014), US CERT, http://www.us-cert.gov/ncas/tips/st04-014<br />
10. Christopher J. Hadnagy & Eric Maxwerll, Social Engineering Capture the Flag Results, Defcon 20, http://www.Social-Engineering.org<br />
security | 35
I ΝΤERVIEW<br />
Η κορυφαία ποιότητα και<br />
η τεχνική υποστήριξη,<br />
αναπόσπαστα κομμάτια<br />
μιας κερδοφόρας εταιρείας<br />
Συνέντευξη με τον Dragan Martinovic<br />
Managing Director για την περιοχή της Νοτιανατολικής Ευρώπης στην Kaspersky Lab<br />
Το ανανεωμένο πρόγραμμα για τους συνεργάτες καναλιού που<br />
ανακοίνωσε η Kaspersky Lab για την περιοχή της Ανατολικής<br />
Ευρώπης και φυσικά την Ελλάδα, τις βασικές αλλαγές που περιλαμβάνει<br />
και τα οφέλη που προκύπτουν μας ανέλυσε ο κος<br />
Dragan Martinovic, Managing Director για την περιοχή της<br />
Νοτιανατολικής Ευρώπης στην Kaspersky Lab σε συνέντευξη<br />
που μας παραχώρησε.<br />
Πρόσφατα παρουσιάσατε το ανανεωμένο Πρόγραμμα<br />
Συνεργατών σας. Ποιός είναι ο βασικός στόχος του<br />
προγράμματος αυτού;<br />
Η Kaspersky Lab δεν πωλεί τα προϊόντα της απευθείας σε<br />
πελάτες αλλά δουλεύουμε αποκλειστικά μέσω συνεργατών που<br />
γνωρίζουν καλά την αγορά και μπορούν να χρησιμοποιήσουν<br />
τα οφέλη της συνεργασίας μας, καθώς είμαστε ένα παγκοσμίου<br />
φήμης brand. Αυτό τους δίνει τη δυνατότητα να επεκτείνουν<br />
τις δραστηριότητές τους και να κάνουν τα προϊόντα μας πιο<br />
προσιτά στους πελάτες μας ανά τον κόσμο. Με το Πρόγραμμα<br />
Συνεργατών, η σχέση μας μαζί τους γίνεται περισσότερο<br />
εύκολη, διαφανής και αποδοτική και για τις δύο πλευρές. Τους<br />
προσφέρουμε τεχνική υποστήριξη, υποστήριξη σε θέματα marketing,<br />
την πλούσια τεχνογνωσία μας καθώς και μεγάλες<br />
επιχειρηματικές ευκαιρίες, όπως τα απολογιστικά που<br />
προσθέσαμε πρόσφατα στο Πρόγραμμα.<br />
Ποιά είναι τα πλεονεκτήματα που προσφέρει το<br />
ανανεωμένο πρόγραμμα στους συνεργάτες και στους<br />
πελάτες τους;<br />
Η Kaspersky Lab παρουσίασε ένα ανανεωμένο πρόγραμμα για<br />
το Κανάλι Συνεργατών της, με στόχο να αξιοποιήσει τις<br />
βέλτιστες πρακτικές από διάφορες χώρες και να δημιουργήσει<br />
με τον τρόπο αυτό μια μοναδική και ενιαία προσέγγιση για την<br />
ανάπτυξη στις αναδυόμενες αγορές. Προσθέσαμε<br />
περισσότερα πλεονεκτήματα για να διασφαλιστεί η σταθερή<br />
ανάπτυξη, η αποτελεσματικότητα και η επιτυχία των συνεργατών<br />
μας. Για τους πελάτες, η πρόσβαση στα προϊόντα μας γίνεται<br />
ακόμα καλύτερη ενώ η επιλογή συνεργάτη γίνεται πιο εύκολη.<br />
Με την εισαγωγή των απολογιστικών για τα B2B προϊόντα<br />
(εκτός από το marge), η Kaspersky Lab στοχεύει να συντονίσει<br />
τις στρατηγικές της για την ανάπτυξη με τους επιχειρηματικούς<br />
στόχους των συνεργατών της, ενθαρρύνοντάς τους να<br />
διατηρήσουν τις επιδόσεις τους και να αυξήσουν την<br />
κερδοφορία. Στόχος του ανανεωμένου προγράμματος είναι<br />
να παρέχει στους συνεργάτες πλούσια και εστιασμένα<br />
εκπαιδευτικά σεμινάρια presale, sales και τεχνικής κατάρτισης<br />
για να τους βοηθήσουν να εντοπίζουν και να κατανοούν<br />
καλύτερα τις ανάγκες των πελατών τους, έτσι ώστε να<br />
ενισχυθούν ουσιαστικά τα conversion rates και να προωθήσουν<br />
36 | security
αποτελεσματικά τα προϊόντα της Kaspersky Lab σε πελάτες σε<br />
όλη την ευρύτερη περιοχή. Επιπλέον, επαναπροσαρμόζουμε τις<br />
επενδύσεις marketing της εταιρείας μας προς δραστηριότητες<br />
παραγωγής μετρήσιμης ζήτησης, για την περαιτέρω ενίσχυση<br />
ευκαιριών των Συνεργατών μας. Μαζί με την τεχνική υποστήριξη<br />
και την υποστήριξη σε θέματα marketing, σε ορισμένες<br />
περιπτώσεις, θα παρέχεται, επιπλέον, στους Συνεργάτες και<br />
υποστήριξη για τη διοργάνωση εκδηλώσεων.<br />
Θα είναι πιο εύκολο για τους πελάτες να επιλέξουν τους<br />
κατάλληλους συνεργάτες σύμφωνα με τις λύσεις και τις<br />
υπηρεσίες που ταιριάζουν στις ανάγκες τους, καθώς η Kaspersky<br />
Lab εισάγει νέα επίπεδα συνεργασίας τόσο στο B2B όσο<br />
και στο B2C. Οι συνεργάτες θα κατηγοριοποιούνται βάσει της<br />
εμπειρίας, των προσόντων, της δυνατότητας παροχής<br />
υπηρεσιών, καθώς και βάσει των<br />
σχέσεων που έχουν διαμορφώσει με<br />
τους πελάτες και τη θέση τους στην<br />
αγορά.<br />
Έχετε ήδη παρουσιάσει κάποιες αλλαγές. Μπορείτε να<br />
μας δώσετε περισσότερες πληροφορίες για αυτές;<br />
Οι πιο σημαντικές βελτιώσεις που πραγματοποιήθηκαν στο<br />
πρόγραμμα περιλαμβάνουν τις νέες κατηγορίες για τους<br />
συνεργάτες, την εξειδίκευση σε κάποιο τομέα της ασφάλειας<br />
για τους B2B συνεργάτες, τα απολογιστικά για τα B2B προϊόντα,<br />
προσθήκες στα υπάρχοντα προγράμματα υψηλής κατάρτισης<br />
και υποστήριξης marketing – που προσφέρονται δωρεάν σε<br />
όλους τους συνεργάτες online, με επιπλέον πλεονεκτήματα,<br />
συμπεριλαμβανομένης της τεχνικής υποστήριξης και της<br />
υποστήριξης marketing για τις υψηλότερες κατηγορίες.<br />
Η Kaspersky Lab κάνει την επιλογή του σωστού συνεργάτη πιο<br />
εύκολη για τους πελάτες, σύμφωνα με τις ανάγκες τους,<br />
παρουσιάζοντας τις νέες κατηγορίες B2B και B2C. Οι<br />
συνεργάτες B2B που ανήκουν στο δεύτερο επίπεδο θα<br />
χωρίζονται σε αρκετές κατηγορίες: Registered, Silver, Gold και<br />
Platinum. Αυτές οι κατηγορίες αντανακλούν την εμπειρία και την<br />
ποιότητα υπηρεσιών ενός συνεργάτη που διανέμει και αξιοποιεί<br />
τα προϊόντα της Kaspersky Lab. Από τη σκοπιά του B2C, οι<br />
συνεργάτες θα κυμαίνονται μεταξύ των κατηγοριών Registered<br />
Retailer και Premier Retailer.<br />
Για τους Β2Β συνεργάτες, εισάγουμε τα απολογιστικά και το<br />
ποσοστό marge, ενθαρρύνοντας έτσι τους συνεργάτες μας να<br />
επιτύχουν καλύτερα αποτελέσματα και να κερδίσουν νέους<br />
πελάτες.<br />
Οι συνεργάτες που ανήκουν στις κατηγορίες Gold και Platinum<br />
έχουν πλέον τη δυνατότητα να επιλέξουν τον τομέα στον<br />
οποίο θα εξειδικευτούν (System Management, Virtualization ή<br />
Mobile Device Management και <strong>Security</strong>). Αυτό βοηθά τους<br />
συνεργάτες να αναδείξουν την τεχνογνωσία τους και να<br />
βοηθήσουν τους πελάτες να επιλέξουν το σωστό συνεργάτη.<br />
Προσθέσαμε το “Strategic partner” badge για τους Β2Β<br />
συνεργάτες που συνάπτουν συμφωνίες με σημαντικούς πελάτες,<br />
όπως για παράδειγμα κυβερνητικούς οργανισμούς. Οι<br />
κατηγορίες “Distributor” και “Sub-Distributor” παραμένουν<br />
και στο ανανεωμένο πρόγραμμα. Πέρα από τα βασικά<br />
πλεονεκτήματα, για τους συνεργάτες της κατηγορίας “Distributor”,<br />
η Kaspersky Lab προσφέρει πρόσβαση στο MDF (Marketing<br />
Development Fund).<br />
Για τους συνεργάτες που βρίσκονται στις κορυφαίες κατηγορίες,<br />
η Kaspersky Lab προσθέτει roadmap webinars στα οποία<br />
αναλύει τη στρατηγική της πορεία και τα νέα κίνητρα, τους<br />
ενημερώνει για τη γενικότερη πορεία της αγοράς του security<br />
καθώς και για το τί κάνει η εταιρεία προκειμένου να προβλέψει<br />
τις αλλαγές και να αντιδράσει σε αυτές έγκαιρα. Αυτές οι<br />
πληροφορίες είναι σημαντικές για<br />
τους κορυφαίους συνεργάτες που<br />
επεκτείνουν τις επιχειρηματικές τους<br />
δραστηριότητες μαζί με την Kaspersky<br />
Lab – τους διευκολύνει να<br />
κατανοήσουν καλύτερα την αγορά και τις ανάγκες των πελατών<br />
τους συνεισφέροντας στη βελτίωση των πωλήσεων.<br />
Η Kaspersky Lab κατανοεί ότι η κορυφαία ποιότητα και η<br />
τεχνική υποστήριξη με γρήγορη ανταπόκριση είναι<br />
αναπόσπαστα κομμάτια μιας υγιούς και κερδοφόρας εταιρείας.<br />
Αυτό ακριβώς προσφέρει σε όλους τους συνεργάτες της καθώς<br />
οι Gold, Platinum & Strategic συνεργάτες μας μπορούν πλέον<br />
να αξιοποιήσουν την τεχνική υποστήριξη και την ιδιαίτερη<br />
τεχνογνωσία, στο πλαίσιο της συνεργασίας τους με μεγάλους<br />
πελάτες.<br />
Πώς επηρεάζουν οι αλλαγές αυτές το τρόπο με τον οποίο<br />
οι συνεργάτες καναλιού πωλούν τις λύσεις της Kaspersky<br />
Lab;<br />
Οι βελτιώσεις που κάναμε στο πρόγραμμα σκοπεύουν να<br />
βοηθήσουν τους συνεργάτες να αναπτύξουν νέα προσόντα<br />
και δυνατότητες για να απευθυνθούν και να εξυπηρετήσουν<br />
ένα ευρύτερο πελατολόγιο. Το νέο πρόγραμμα καναλιού βοηθά<br />
τους πελάτες να τοποθετήσουν καλύτερα τις λύσεις της Kaspersky<br />
Lab με βάση τις ανάγκες και τις απαιτήσεις των πελατών,<br />
δημιουργώντας μεγαλύτερο περιθώριο για ευκαιρίες cross sell<br />
και up sell.<br />
Επιπλέον, οι συνεργάτες που εξυπηρετούν πελάτες από το<br />
χώρο του enterprise μπορούν, επίσης, να αξιοποιήσουν την<br />
τεχνική υποστήριξη που τους προσφέρουμε για να<br />
υποστηρίξουν μεγάλα και πολύπλοκα έργα. Η υποστήριξη<br />
καλύπτει τις δυνατότητες pre και post sales και σε συνδυασμό<br />
με την επιτυχημένη υλοποίηση των έργων και την καθοδήγηση<br />
που προσφέρουμε, οι πελάτες απολαμβάνουν τη σιγουριά ότι<br />
συνεργάζονται με έναν παγκόσμια αναγνωρισμένο πάροχο<br />
λύσεων ασφαλείας για το ΙΤ. iT<strong>Security</strong><br />
security | 37
I ΝΤERVIEW<br />
Η Oracle Database 12c είναι βάση<br />
δεδομένων επόμενης γενιάς<br />
Συνέντευξη του κ. Duncan Harvey<br />
Technology Director of Business Development<br />
Oracle EMEA<br />
Με αφορμή την παρουσία του Duncan Harvey,Technology Director of Business Development<br />
Oracle EMEA, ως Keynote Speaker στο φετινό Oracle Technology Day, είχαμε<br />
την ευκαιρία να συνομιλήσουμε μαζί του και να μας αναπτύξει σε μια συνέντευξη τα χαρακτηριστικά<br />
και τα πλεονεκτήματα της νέας Oracle Database 12c.<br />
Ποιες ήταν οι απαιτήσεις στο σύγχρονο επιχειρηματικό<br />
περιβάλλον ΙΤ που ώθησαν την Oracle να αναπτύξει την<br />
Database 12c;<br />
Όλοι οι Οργανισμοί, ανεξαρτήτως κλάδου και περιοχής δραστηριοποίησης,<br />
αναζητούν τεχνολογίες που θα τους βοηθήσουν<br />
να μεταμορφωθούν, βελτιώνοντας τη λειτουργική ευελιξία<br />
και αποτελεσματικότητά τους. Η ευρεία υιοθέτηση των Cloud<br />
based αρχιτεκτονικών και λύσεων γίνεται όλο και περισσότερο<br />
μέρος αυτών των αναγκών, επηρεάζοντας ένα κρίσιμο<br />
κομμάτι της διαδικασίας σχεδιασμού και ανάπτυξης της Oracle<br />
Database 12c. Μπαίνοντας στο cloud με την Oracle Database<br />
12c, οι Οργανισμοί μπορούν να βελτιώσουν την ποιότητα<br />
και την απόδοση των εφαρμογών τους, να εξοικονομήσουν<br />
χρόνο λόγω της αρχιτεκτονικής μέγιστης διαθεσιμότητας και<br />
της διαχείρισης storage και να απλοποιήσουν την ενοποίηση<br />
βάσεων δεδομένων μέσω της διαχείρισης εκατοντάδων βάσεων<br />
δεδομένων ως μία.<br />
Τι καινοτομίες εισάγει λοιπόν η βάση δεδομένων Database<br />
12c της Oracle;<br />
Η Oracle Database 12c είναι βάση δεδομένων επόμενης γενιάς,<br />
η οποία παρέχει μια νέα multitenant αρχιτεκτονική επιπλέον της<br />
38 | security
γρήγορης, επεκτάσιμης, αξιόπιστης και ασφαλούς πλατφόρμας<br />
που διαθέτει. Καθώς υπάρχουν περισσότερα από 500 νέα<br />
χαρακτηριστικά και βελτιώσεις σε αυτήν την έκδοση, μπορώ μόνο<br />
να σας αναφέρω κάποια από τα πιο σημαντικά, όπως:<br />
Μία νέα multitenant αρχιτεκτονική.<br />
Το Automatic Data Optimization, το οποίο διαχειρίζεται<br />
αποτελεσματικά τους αυξανόμενους όγκους δεδομένων,<br />
μπορεί να μειώσει τα κόστη του storage, βελτιώνοντας<br />
ταυτόχρονα την απόδοση της βάσης δεδομένων. Με<br />
τη χρήση ενός “Heat Map” που παρακολουθεί τη read/write<br />
δραστηριότητα της βάσης, οι διαχειριστές μπορούν<br />
εύκολα να εντοπίσουν δεδομένα αποθηκευμένα σε<br />
πίνακες ή partitions που είναι πολύ active, read-only ή rarely<br />
read και να εφαρμόσουν smart compression και storage<br />
tiering για τη βελτιστοποίηση του data location και<br />
compression, βάσει της δραστηριότητας και της ηλικίας<br />
των δεδομένων.<br />
Οι βελτιώσεις στην αρχιτεκτονική μέγιστης διαθεσιμότητας<br />
που περιλαμβάνουν το Data Guard Far<br />
Sync, για την απεριόριστη επέκταση της<br />
standby προστασίας zero-data-loss – η<br />
οποία δεν περιορίζεται από τις καθυστερήσεις<br />
– και το Application Continuity,<br />
μια λύση που συμπληρώνει τα<br />
Oracle Real Application Clusters και καλύπτει<br />
προβλήματα της εφαρμογής από<br />
τους τελικούς χρήστες, μέσω του αυτόματου<br />
replaying των αποτυχημένων συναλλαγών.<br />
Το Simplified Analysis of Big Data, όπου<br />
έχουμε ενισχύσει τις in-Database MapReduce<br />
δυνατότητες μέσω SQL Pattern Matching, για την<br />
άμεση και επεκτάσιμη ανακάλυψη επαναλαμβανόμενων συμβάντων,<br />
όπως οι οικονομικές συναλλαγές, τα network logs<br />
και τα clickstream logs.<br />
Ποια είναι τα ιδιαίτερα χαρακτηριστικά που έχουν ενσωματωθεί<br />
στη νέα αρχιτεκτονική Multitenant για ενοποίηση<br />
βάσεων δεδομένων στο Cloud;<br />
Το νέο Oracle Multitenant χαρακτηριστικό απαντά σε πολυάριθμες<br />
προκλήσεις που αντιμετωπίζουν οι πελάτες οι οποίοι<br />
ενοποιούν τις βάσεις τους σε μοντέλο ιδιωτικού cloud, παρέχοντας<br />
σημαντικά βελτιωμένη αποτελεσματικότητα και χαμηλότερο<br />
κόστος διαχείρισης, ενώ διατηρούν την αυτονομία των<br />
ξεχωριστών βάσεων. Κάθε βάση που «κουμπώνει» στη νέα<br />
multitenant αρχιτεκτονική, δείχνει και λειτουργεί ως προς τις<br />
εφαρμογές, σαν μία κλασική Oracle Database – οπότε οι υπάρχουσες<br />
εφαρμογές μπορούν να συνεχίσουν ανεπηρέαστες –<br />
αλλά το multitenant χαρακτηριστικό επιτρέπει τη διαχείριση<br />
πολλών βάσεων ως μία, μειώνοντας το χρόνο και την προσπάθεια<br />
που απαιτούνται για εργασίες όπως η αναβάθμιση της<br />
βάσης, το backup και το recovery. Επιπλέον υπάρχει σημαντική<br />
βελτίωση στη χρήση των Server πόρων, μείωση της πολυπλοκότητας<br />
του εξοπλισμού και σχεδόν στιγμιαίο provisioning<br />
και cloning των βάσεων, στοιχείο που την καθιστά ιδανική πλατφόρμα<br />
για database test και ανάπτυξη cloud περιβαλλόντων.<br />
Είναι ένα πραγματικά απίστευτο χαρακτηριστικό.<br />
Μπορείτε να μας περιγράψετε το πώς η Database 12c αντιμετωπίζει<br />
τις προκλήσεις για την προστασία των δεδομένων;<br />
Η ασφάλεια και η συμμόρφωση απαιτούν ένα πολυεπίπεδο<br />
μοντέλο ασφαλείας που περιλαμβάνει προληπτικούς, διαγνωστικούς<br />
και διαχειριστικούς ελέγχους, σε συντονισμό με<br />
την ευαισθησία των δεδομένων, την τοποθεσία τους, το περιβάλλον<br />
τους, τους σχετικούς κανονισμούς και τον αντίκτυπο<br />
που θα είχε στην επιχείρηση η πιθανή απώλεια, κλοπή ή<br />
μη εγκεκριμένη χρήση τους. Το βασικότερο<br />
αξίωμα σε αυτήν την προσέγγιση είναι<br />
η λήψη ξεχωριστών μέτρων, ούτως ώστε<br />
ακόμα και εάν ένα τμήμα της αρχιτεκτονικής<br />
καταστεί ευάλωτο, να μην επιφέρει την<br />
κατάρρευση του συνόλου του πληροφοριακού<br />
συστήματος και την απώλεια των<br />
δεδομένων. Η Oracle Database 12c αυξάνει<br />
την ασφάλεια τόσο για τις υπάρχουσες<br />
όσο και για τις νέες βάσεις, επιτρέποντας<br />
ελέγχους πιο κοντινούς στα ίδια τα δεδομένα<br />
και παρέχοντας λύσεις για την ενίσχυση<br />
της ασφάλειας των υπαρχουσών<br />
εφαρμογών. Η λεπτομερειακή ανάλυση της δραστηριότητας<br />
των προνομιούχων χρηστών, το στοχευμένο auditing, το real<br />
application security, το data reduction, ο διαχωρισμός καθηκόντων<br />
και η ενοποίηση με το Oracle Multitenant, είναι<br />
μόνο μερικές από τις διαθέσιμες νέες δυνατότητες ασφαλείας.<br />
Η ασφάλεια με την Oracle Database 12c γίνεται ακόμα πιο<br />
εύκολη μέσω του απλοποιημένου setup και configuration, σε<br />
συνδυασμό με τις βελτιώσεις του Oracle Enterprise Manager<br />
Grid Control. Οι βελτιστοποιήσεις απόδοσης σε όλες τις περιοχές,<br />
συμπεριλαμβανομένης της κρυπτογράφησης, του auditing<br />
και του ελέγχου πρόσβασης, επιτρέπουν την υλοποίηση<br />
ασφαλείας, χωρίς να επηρεάζονται οι επιχειρηματικές λειτουργίες<br />
ή τα service level agreements. Η Oracle Database<br />
12c <strong>Security</strong>, σε συνδυασμό με τη νέα έκδοση του Oracle Audit<br />
Vault και του Database Firewall, παρέχει άνευ προηγουμένου<br />
δυνατότητες για την προστασία των δεδομένων, με τη<br />
χρήση ενός συνδυασμού προληπτικών, διαγνωστικών και διαχειριστικών<br />
ελέγχων. iT<strong>Security</strong><br />
security | 39
I ΝΤERVIEW<br />
Κομβικής σημασίας για το<br />
μέλλον της επιχείρησης,<br />
οι αξιόπιστες λύσεις Backup<br />
Συνέντευξη με τον κ. Γιώργο Καπανίρη<br />
Διευθυντής Στρατηγικής Ανάπτυξης της NSS<br />
Η σπουδαιότητα του backup, της λήψης δηλαδή αντιγράφων<br />
ασφαλείας, είναι ένας τομέας που πολλές επιχειρήσεις αγνοούν<br />
στη χώρα μας. Θα τολμούσαμε να πούμε ότι το backup<br />
πραγματοποιείται από αρκετές επιχειρήσεις στη χώρα μας, με<br />
απαρχαιωμένα εργαλεία, με αμφιβόλου ποιότητας λογισμικό ή<br />
hardware και με μη ενδεδειγμένες και εγκεκριμένες μεθόδους,<br />
από μη καταρτισμένο προσωπικό πολλές φορές, που στην<br />
πλειονότητα των περιπτώσεων δεν εξασφαλίζει πλήρως τα<br />
ευαίσθητα δεδομένα της επιχείρησης. Ο κος Καπανίρης, Διευθυντής<br />
Στρατηγικής Ανάπτυξης της εταιρείας NSS, μας μιλάει για τη σπουδαιότητα των<br />
αντιγράφων ασφαλείας σε μία σύγχρονη επιχείρηση, αλλά και για τις σύγχρονες μεθόδους<br />
backup και deduplication που διανέμει σήμερα η NSS, για να αντιμετωπίσει τη σημερινή,<br />
γεμάτη προκλήσεις και απειλές πραγματικότητα.<br />
Πριν εισέλθουμε σε λεπτομέρειες που αφορούν στις<br />
μεθόδους και στις λύσεις backup που διανέμει και υποστηρίζει<br />
η NSS, θα θέλατε να μας πείτε δύο λόγια για<br />
τη σπουδαιότητα του backup στις σύγχρονες επιχειρήσεις;<br />
Πολλές επιχειρήσεις - και δεν έχει σημασία αν πρόκειται για<br />
μικρές, μεσαίες ή μεγάλες - αγνοούν το μεγάλο αντίκτυπο που<br />
μπορεί να έχει για παράδειγμα η καταστροφή ή η κλοπή των<br />
ευαίσθητων δεδομένων τους. Αρκετές - και ειδικά στη χώρα<br />
μας, πιστεύουν ότι δεν πρόκειται να συμβεί κάτι κακό σε<br />
αυτές. Η πραγματική εικόνα όμως είναι ότι καταστροφές κάθε<br />
είδους (μπορεί να είναι μία πυρκαγιά, κάποιο ατύχημα,<br />
μπορεί να είναι πλημμύρα, μπορεί να είναι κλοπή ή κυβερνοεπίθεση<br />
κ.ά.) συμβαίνουν σε καθημερινό επίπεδο, οπότε<br />
δεν πιστεύω ότι η αγνόηση ή παράβλεψη κάτι τέτοιου, αποτελεί<br />
προϊόν ώριμης σκέψης από κάποιες εταιρείες και ειδικά<br />
από αυτές που θέλουν να πρωταγωνιστήσουν στην αγορά<br />
του σήμερα. Η ασφάλεια των δεδομένων μίας επιχείρησης,<br />
όπως μία αποτελεσματική, αξιόπιστη λύση αντιγράφων<br />
ασφαλείας είναι ιδιαίτερα σημαντική για το μέλλον της επιχείρησης,<br />
αλλά και της καλλιέργειας μίας σχέσης εμπιστοσύνης<br />
με τους πελάτες της.<br />
Ποια είναι η εικόνα που έχετε για την αγορά σήμερα;<br />
Οι ελληνικές επιχειρήσεις, ανεξάρτητα του μεγέθους τους,<br />
έχουν αρχίσει να καταλαβαίνουν ότι η προστασία των επιχειρησιακών<br />
δεδομένων τους είναι ένα πολύ κρίσιμο ζήτημα,<br />
αφού αποτελεί τον πυρήνα της λειτουργίας τους και της<br />
σχέσης που έχουν με τους πελάτες τους. Χωρίς τα δεδομένα,<br />
η επιχείρηση είναι καταδικασμένη. Το κακό της υπόθεσης είναι<br />
ότι παρά τις σημερινές προειδοποιήσεις, ότι οι εποχές<br />
που διανύουμε είναι επικίνδυνες λόγω αν-ασφάλειας, πολ-<br />
40 | security
λές επιχειρήσεις δεν είναι προετοιμασμένες κατάλληλα. Με<br />
λίγα λόγια, δεν έχουν κατανοήσει τη σπουδαιότητα του να<br />
είναι έτοιμοι για παν ενδεχόμενο. Δεν έχουν καταρτίσει ένα<br />
σχέδιο αποκατάστασης από καταστροφή (disaster preparedness<br />
& recovery), που θα εξασφαλίσει την αδιάλειπτη λειτουργία<br />
των συστημάτων τους και την ακεραιότητα των δεδομένων<br />
τους σε περίπτωση κυβερνοεπίθεσης, φυσικής καταστροφής,<br />
διακοπής ηλεκτρικού ρεύματος κ.ά. Δυστυχώς,<br />
πολλές επιχειρήσεις παίρνουν τα μέτρα τους αφότου έχει<br />
συμβεί ήδη το κακό. Και αυτό, μόνο εφόσον πια έχουν τη δυνατότητα<br />
να επανέλθουν σε κανονική λειτουργία, μετά από<br />
κάποια μεγάλη καταστροφή. Λύσεις υπάρχουν - και η NSS<br />
ειδικεύεται ακριβώς σε αυτό.<br />
Ανάμεσα στις λύσεις που προτείνετε σήμερα<br />
στις επιχειρήσεις, είναι αναμφισβήτητα<br />
και οι λύσεις της WD Arkeia, η οποία<br />
έγινε περισσότερο γνωστή στο ευρύ κοινό<br />
εξαιτίας της εξαγοράς της από την πασίγνωστη<br />
Western Digital. Μπορείτε να<br />
μας πείτε δύο λόγια για την Arkeia;<br />
Στο ευρύ κοινό και κυρίως στην καταναλωτική<br />
αγορά, ενδεχομένως η Arkeia να μην είναι γνωστή, αλλά<br />
πάνω από 7000 επιχειρήσεις κάθε μεγέθους σε 70 χώρες,<br />
την έχουν επιλέξει ως την καλύτερη λύση για τη δημιουργία<br />
αντιγράφων ασφαλείας backup. Οι πελάτες κατά κύριο<br />
λόγο επιλέγουν την WD Arkeia για την ευρεία υποστήριξη<br />
του ανοιχτού λογισμικού, του λειτουργικού συστήματος<br />
Linux σε πάρα πολλές διαφορετικές αρχιτεκτονικές, την ευελιξία,<br />
την αποδεδειγμένη αξιοπιστία και βεβαίως την ασυναγώνιστη<br />
τεχνική υποστήριξη από εξειδικευμένους συνεργάτες<br />
του καναλιού διανομής που η NSS συντονίζει. Η WD Arkeia,<br />
όπως η εταιρεία μετονομάστηκε μετά την εξαγορά, είναι<br />
σήμερα ακόμα πιο δυνατή, αφού η Western Digital είναι<br />
μία από τις μεγαλύτερες εταιρείες κατασκευής hardware στο<br />
κόσμο, οπότε οι λύσεις της εταιρείας - συμπεριλαμβανομένων<br />
και των λύσεων αποθήκευσης δεδομένων Sentinel, τυγχάνουν<br />
πολύ μεγαλύτερης αναγνώρισης από την αγορά.<br />
Για ποιους λόγους να επιλέξει κάποιος τις λύσεις της<br />
WD Arkeia;<br />
Κατά την άποψή μου, οι τρεις βασικοί λόγοι για να επιλέξει<br />
κανείς τις λύσεις της WD Arkeia διακρίνονται σε τρεις πυλώνες<br />
υπεροχής:<br />
1. Γρήγορο Backup και Restore. Η αρχιτεκτονική της WD<br />
Arkeia επιτρέπει εκτεταμένη χρήση πολλαπλών παράλληλων<br />
διεργασιών(multiple flows), ελαχιστοποιώντας εξαιρετικά το<br />
χρόνο λήψης αντιγράφων ασφαλείας backup. Επιπλέον, η<br />
ευρεία υποστήριξη λήψης αντιγράφων ασφαλείας σε συστοιχίες<br />
σκληρών δίσκων, επιτρέπει στους πελάτες μας να<br />
έχουν τα οφέλη της ταχύτητας όσον αφορά στην τυχαία<br />
προσπέλαση δεδομένων, ενώ πάντα προσφέρουμε τη δυνατότητα<br />
επιλογής κασετών tapes και φυσικά του σύννεφου<br />
(cloud), όσον αφορά στην ασφαλή αρχειοθέτηση (data replication)<br />
των δεδομένων. Η αρχιτεκτονική της WD Arkeia<br />
και τα εξελιγμένα χαρακτηριστικά της για την ενίσχυση της<br />
απόδοσης, είναι σε θέση να προσφέρουν στους πελάτες μας<br />
5 φορές μεγαλύτερη ταχύτητα κατά το Backup και το Restore!<br />
Φυσικά, όσον αφορά στην τεχνική hybrid-cloud backup χρησιμοποιείται<br />
η τεχνική Dedupe (deduplication<br />
technology), η οποία θεωρείται στοιχειώδης<br />
για τη διαδικασία και στην οποία<br />
υπερέχουμε τεχνολογικά σε σχέση με τον<br />
ανταγωνισμό. Φαντάζομαι ότι η τεχνική deduplication<br />
θα αποτελεί το κεντρικό θέμα<br />
επόμενης ερώτησής σας, οπότε δεν επεκτείνομαι<br />
για την ώρα.<br />
2. Ευκολία στη χρήση. Τα προϊόντα της<br />
WD Arkeia έχουν σχεδιαστεί για να είναι<br />
απλά στην εγκατάσταση, τη διαχείριση και φυσικά τη συντήρησή<br />
τους. Προσφέρεται ένα πολύ φιλικό και ταυτόχρονα<br />
δυναμικό Web User Interface με ενσωματωμένους Online<br />
Wizards, που διευκολύνουν ιδιαίτερα την εγκατάσταση, τη<br />
διαχείριση καθώς και την τεχνική υποστήριξη, εφόσον αυτό<br />
χρειαστεί. Ειδικότερα, το WD Arkeia μπορεί να εγκατασταθεί<br />
και να παραμετροποιηθεί μέσα σε λίγα λεπτά και είναι θα<br />
έλεγα σχεδιασμένo για επιχειρήσεις με λίγο προσωπικό στον<br />
τομέα <strong>IT</strong> ή με συμβόλαια <strong>IT</strong> Outsourcing.<br />
3. Προσιτότητα. Λαμβάνοντας υπόψη τις δυσκολίες και<br />
τον ανταγωνισμό των καιρών, τα προϊόντα προσφέρονται<br />
σε προσιτές τιμές. Αυτό είναι ιδιαίτερα σπουδαίο, αν λάβει<br />
κάποιος υπόψη του ότι έχουμε να κάνουμε με μία λύση Backup<br />
υψηλού επιπέδου, με ιδιαίτερα εξελιγμένα χαρακτηριστικά<br />
και υψηλή απόδοση.<br />
Σωστά μαντέψατε πριν ότι θα σας ρωτούσαμε, μπορείτε<br />
να μας μιλήσετε λίγο περισσότερο για την τεχνολογία<br />
Dedupe;<br />
Το Dedupe, η τεχνολογία deduplication που χρησιμοποιείται<br />
από την WD Arkeia, μπορεί να μειώσει έως και 95% τον<br />
όγκο των αντιγράφων ασφαλείας για επιχειρήσεις που παίρνουν<br />
σε καθημερινή βάση backup των δεδομένων τους. Αυτό<br />
σημαίνει αυτόματα μείωση των σκληρών δίσκων που μπορούν<br />
να χρησιμοποιηθούν, ενώ ταυτόχρονα οι χρόνοι ολοsecurity<br />
| 41
I ΝΤERVIEW<br />
Κομβικής σημασίας για το μέλλον της επιχείρησης, οι αξιόπιστες λύσεις Backup<br />
κλήρωσης της διαδικασίας backup ενδέχεται να μειωθούν<br />
σημαντικά. Η τελευταία έκδοση του λογισμικού της Arkeia<br />
10.1, καθιστά ευκολότερη από ποτέ την υιοθέτηση της λύσης<br />
hybrid-cloud backup με τη χρήση της τεχνικής dedupe. Έτσι<br />
μπορούμε να εξάγουμε τα σετ των αντιγράφων ασφαλείας<br />
(backup sets) σε κάποιο εξωτερικό μέσο, όπως ένα εξωτερικό<br />
σκληρό δίσκο ή μία συστοιχία σκληρών δίσκων, και στη<br />
συνέχεια αυτά να μεταφερθούν στο σύννεφο και στον πάροχο<br />
υπηρεσιών Cloud που προτιμά η επιχείρηση. Τέλος, καλό<br />
είναι να σημειωθεί ότι όσον αφορά στην ασφάλεια των<br />
δεδομένων, η λύση της WD Arkeia υποστηρίζει “tunneling”,<br />
δηλαδή την κρυπτογράφηση των δεδομένων που μεταφέρονται<br />
προς και από τον Backup Server.<br />
Τα προϊόντα της Western Digital προσφέρονται από<br />
πολλές εταιρείες ή αλυσίδες καταστημάτων. Σε τι διαφέρουν<br />
αυτά τα καταστήματα από την NSS;<br />
Εδώ έχουμε να κάνουμε με ένα εντελώς<br />
διαφορετικό πεδίο δράσης ανάμεσα<br />
στις εταιρείες (π.χ. Retailers) που<br />
αναφέρεται και στην NSS. Εμείς είμαστε<br />
Διανομείς Προστιθέμενης Αξίας<br />
(Value Added Distributors) των συστημάτων<br />
αντιγράφων ασφαλείας WD<br />
Arkeia και αποθήκευσης δεδομένων<br />
WD Sentinel, που είναι λύσεις που δεν<br />
απευθύνονται στον τελικό καταναλωτή αλλά καθαρά στα περιβάλλοντα<br />
των επιχειρήσεων. Η οικογένεια προϊόντων WD<br />
Sentinel περιλαμβάνει λύσεις ασφαλούς κεντρικής αποθήκευσης,<br />
πρόσβασης αλλά και προστασίας δεδομένων για εργαζόμενους,<br />
πελάτες ή και τους προμηθευτές μίας επιχείρησης<br />
που εργάζονται τοπικά ή εξ αποστάσεως από οπουδήποτε.<br />
Εχουν σχεδιαστεί για να παρέχουν αξιόπιστες, οικονομικά<br />
αποδοτικές και εύκολες στη διαχείριση υπηρεσίες<br />
αποθήκευσης για επιχειρήσεις.<br />
Σε τι μορφές είναι διαθέσιμα τα προϊόντα της WD Arkeia;<br />
Ο πρώτος τρόπος είναι ο παραδοσιακός τρόπος διάθεσης<br />
λογισμικού (software application). O δεύτερος τρόπος έρχεται<br />
με τη μορφή εικονικής συσκευής (virtual applicance) για<br />
όλες τις γνωστές πλατφόρμες εικονικοποίησης, ενώ ο τρίτος<br />
ο οποίος είναι και ο πλέον ενδεδειγμένος για μικρομεσαίες<br />
επιχειρήσεις, είναι με τη μορφή φυσικών συσκευών (Arkeia<br />
Physical appliance). Οι φυσικές συσκευές WD Arkeia διατίθενται<br />
σε πολλούς τύπους, για να καλύψουν τις ανάγκες επιχειρήσεων<br />
διαφορετικών μεγεθών από 4 έως 48 Tb και βασίζονται<br />
σε τεχνολογίες αιχμής που διατίθενται ταυτόχρονα<br />
σε προσιτές τιμές.<br />
Κύριε Καπανίρη, παρακαλώ πείτε μας μερικά λόγια για<br />
την εταιρεία NSS.<br />
Η NSS είναι ένας διεθνής διανομέας Value Added Distributor<br />
(VAD), εξειδικευμένος σε λύσεις αιχμής στον τομέα<br />
της πληροφορικής, που καλύπτουν τους τεχνολογικούς τομείς<br />
της ασφάλειας των πληροφοριών, της δικτύωσης, των<br />
ενοποιημένων επικοινωνιών, της αποθήκευσης δεδομένων,<br />
της εικονικοποίησης (virtualization), καθώς και σε συστήματα<br />
υποδομής υπολογιστικών κέντρων δεδομένων (datacenters).<br />
Μέσω της υψηλής τεχνολογίας και της βαθιάς γνώσης<br />
της αγοράς, η NSS με πολύ μεγάλη προσοχή έχει συνάψει<br />
στρατηγικές συνεργασίες με κατασκευάστριες<br />
εταιρείες που ηγούνται<br />
στο χώρο τους. Ορισμένες από τις<br />
εταιρείες που αντιπροσωπεύονται από<br />
την NSS στη χώρα μας, είναι οι SO-<br />
PHOS, (Συνολική Ασφάλεια Πληροφοριακών<br />
Συστημάτων), LOGPOINT<br />
(Συστήματα Επιχειρησιακής Νοημοσύνης),<br />
WD ARKEIA & SENTINEL<br />
(Συστήματα Αντιγράφων Ασφαλείας, Αποθήκευσης και Αποκατάστασης<br />
από Καταστροφή), COMMUNIGATE SYSTEMS<br />
(Συστήματα Ενοποιημένων Επικοινωνιών), PEPLINK (Συστήματα<br />
Κατανομής Διαδικτυακού Φορτίου), ARRAY NET-<br />
WORKS (Συστήματα Κατανομής Φορτίου Διακομιστών, Διάθεσης<br />
και Επιτάχυνσης Εφαρμογών), GLOBALSIGN (Ψηφιακά<br />
Πιστοποιητικά SSL για όλες τις χρήσεις), JACARTA<br />
(Συστήματα Περιβαλλοντικού Ελέγχου και Παρακολούθησης<br />
Κατανάλωσης για Υπολογιστικά Κέντρα Δεδομένων),<br />
IPOQUE (Συστήματα Διαχείρισης Εύρους Ζώνης και Ελέγχου<br />
Δικτυακής Κίνησης). Μέσα από την ανάπτυξη συνεργασιών<br />
με επιλεγμένες επιχειρήσεις πληροφορικής, η NSS έχει<br />
δημιουργήσει ένα διευρυμένο δίκτυο εξουσιοδοτημένων μεταπωλητών<br />
στην Ελλάδα, στην Κύπρο, στη Μάλτα και στις<br />
Βαλκανικές χώρες. Τα προϊόντα της NSS ήδη αξιοποιούν<br />
πλήθος μικρών, μεσαίων και μεγάλων επιχειρήσεων και Οργανισμών<br />
του Δημόσιου και του Ιδιωτικού τομέα, σε όλες τις<br />
παραπάνω χώρες. iT<strong>Security</strong><br />
42 | security
Πάνος Μητρόπουλος ,<br />
Γενικός Διευθυντής <strong>IT</strong> Open Solutions Α.Ε.<br />
www.itoss.gr<br />
REFERENCE<br />
Σχεδιάστε τα νέα σας δίκτυα για το παρόν<br />
και το μέλλον, με τις προτάσεις της Dell<br />
A<br />
λλαγές σε επίπεδο οργάνωσης datacenter<br />
και εφαρμογών αλλά και η υποστήριξη<br />
προηγμένων χαρακτηριστικών<br />
mobility, επιβάλλουν την αναθεώρηση<br />
του τρόπου που αντιμετωπίζουμε τα<br />
εταιρικά δίκτυα.<br />
Τα τελευταία χρόνια συντελούνται σημαντικές αλλαγές στο<br />
χώρο της εταιρικής δικτύωσης. Οι αλλαγές αφορούν τόσο<br />
στο περιβάλλον του datacenter, όσο και στην υποστήριξη της<br />
δικτύωσης τελικών χρηστών και δικτυακών συσκευών.<br />
Στο χώρο του datacenter, η ευρεία εφαρμογή τεχνολογιών<br />
Virtualization σε επίπεδο server και storage<br />
καθώς και η ανάγκη οργάνωσης για την<br />
υποστήριξη ιδιωτικών υποδομών cloud, δημιουργούν<br />
νέες απαιτήσεις για την αρχιτεκτονική,<br />
την ευελιξία και την αποδοτικότητα της δικτύωσης.<br />
Εν τω μεταξύ, η κινητικότητα των τελικών χρηστών<br />
και η ανάγκη για υποστήριξη σύγχρονων λύσεων<br />
φορητότητας και εφαρμογών,<br />
όπως τηλεφωνία VoIP και VDI, επιβάλλουν<br />
μια αναθεώρηση στην πρόσβαση<br />
από το περιβάλλον εντός αλλά<br />
και εκτός της εταιρείας.<br />
Οι λύσεις Networking της Dell καλύπτουν<br />
το σύνολο των αναγκών εταιρικής δικτύωσης, ενώ υποστηρίζουν<br />
σήμερα τα datacenter μερικών από τους μεγαλύτερους<br />
cloud providers, τηλεπικοινωνιακών Οργανισμών και<br />
εταιρειών κάθε μεγέθους, σε παγκόσμιο επίπεδο.<br />
Η εκτεταμένη εμπειρία της Dell τόσο στο επίπεδο των συσκευών<br />
client με φορητούς και επιτραπέζιους υπολογιστές,<br />
όσο και σε tablet σχεδιασμένα για εταιρικό περιβάλλον, καθώς<br />
επίσης και στο χώρο των enterprise λύσεων (με τη σειρά<br />
των Dell PowerEdge servers και των συστημάτων Dell<br />
storage), καθιστά την επιλογή της Dell στον τομέα του εξοπλισμού<br />
Networking ως μία από τις πλέον αποτελεσματικές<br />
λύσεις.<br />
Οι οικογένειες προϊόντων Networking της Dell είναι οι σειρές<br />
Dell PowerConnect και Dell Force10.<br />
Dell PowerConnect<br />
Η οικογένεια Dell PowerConnect περιλαμβάνει ένα ευρύ<br />
φάσμα λύσεων, ξεκινώντας από εισαγωγικού επιπέδου switches<br />
έως υψηλών επιδόσεων πλατφόρμες Networking για<br />
το datacenter. Τα εισαγωγικά μοντέλα της σειράς μπορούν<br />
να καλύψουν με ιδιαίτερη άνεση τις ανάγκες κάθε μικρής και<br />
μεσαίας επιχείρησης για αποτελεσματική πρόσβαση των χρηστών<br />
και υποστήριξη διαχειρίσιμων και ασφαλών ασύρματων<br />
συνδέσεων. Επίσης μπορούν να υποστηρίξουν τεχνολογίες<br />
όπως PoE, για επιχειρήσεις που επιθυμούν να χρησιμοποιήσουν<br />
- για παράδειγμα - συσκευές τηλεφωνίας VoIP.<br />
Dell Force10 Networking<br />
Η οικογένεια προϊόντων Dell Force10 περιλαμβάνει τις<br />
κορυφαίες λύσεις για datacenter Networking, οι<br />
οποίες εντάσσονται στο portfolio των enterprise<br />
προϊόντων της Dell. Με τις λύσεις αυτές, η<br />
Dell δεν ανταποκρίνεται μόνο σε τυποποιημένες<br />
ή περισσότερο εξειδικευμένες ανάγκες μεγάλων<br />
datacenter, αλλά προσφέρει ανώτερα<br />
επίπεδα ευελιξίας, αυτοματοποίησης και ενεργειακής<br />
αποδοτικότητας, στο πλαίσιο του ευρύτερου<br />
οράματος της Virtual Network<br />
Architecture (VNA). Με την VNA η<br />
Dell οραματίζεται μια ολοκληρωμένη<br />
και απλοποιημένη προσέγγιση, για<br />
αποδοτικές υποδομές ΙΤ και έξυπνη<br />
υποστήριξη των εταιρικών εφαρμογών.<br />
Η προστιθέμενη αξία της Dell: υποστήριξη και<br />
συμβατότητα με ανοιχτά πρότυπα<br />
Με την παγκόσμια εμπειρία της, η Dell γνωρίζει ότι σε αρκετές<br />
υλοποιήσεις εταιρικών δικτύων, ο εγκλωβισμός των<br />
πελατών σε αποκλειστικές και μη ευέλικτες τεχνολογίες<br />
ενός προμηθευτή, δημιουργεί εμπόδια στην ανάπτυξη των<br />
επιχειρήσεων και στην υιοθέτηση νέων τεχνολογιών ή<br />
εφαρμογών. Αντίθετα, οι προτάσεις Networking της Dell<br />
σχεδιάζονται με βάση ανοιχτά πρότυπα, είναι συμβατές με<br />
τις λύσεις τρίτων κατασκευαστών και δεν απαιτούν από<br />
τους πελάτες ολική αντικατάσταση παλαιότερου εξοπλισμού.<br />
Η <strong>IT</strong> Open Solutions, με την εκτεταμένη της τεχνογνωσία<br />
και τη συμμετοχή της στο πρόγραμμα συνεργατών Dell<br />
PartnerDirect, μπορεί να σχεδιάσει και να υποστηρίξει κάθε<br />
ανάγκη εταιρικής δικτύωσης, αλλά και enterprise λύσεων<br />
της Dell. iT<strong>Security</strong><br />
security | 43
REFERENCE<br />
Ivan Straniero,<br />
Territory Manager, Italy & South Eastern Europe,<br />
Arbor Networks<br />
Ασφάλεια στο<br />
Cloud:<br />
Η ευκαιρία για<br />
το κανάλι διανομής<br />
Το Cloud αποτελεί μια τεράστια ευκαιρία για το κανάλι διανομής. Παρόλα αυτά, οι resellers<br />
διατρέχουν τον κίνδυνο να χάσουν μέρος του τζίρου τους, εάν δεν βοηθήσουν να αντιμετωπιστεί<br />
ένας από τους πιο ισχυρούς ανασταλτικούς παράγοντες για την υιοθέτηση της<br />
συγκεκριμένης τεχνολογίας: η ασφάλεια στο cloud.<br />
T<br />
ο θέμα της ασφάλειας του cloud εξακολουθεί να<br />
προβληματίζει – και δικαίως - κάθε πελάτη, ανεξαρτήτως<br />
μεγέθους. Μια σειρά πρόσφατων επιθέσεων<br />
σε βάρος μεγάλων παγκόσμιων χρηματοπιστωτικών<br />
Οργανισμών εικάζεται ότι πραγματοποιήθηκαν<br />
μέσω υπηρεσιών cloud, που είχαν εσκεμμένα μολυνθεί με<br />
κακόβουλο λογισμικό (malware). Το συγκεκριμένο θέμα δημιουργεί<br />
ανησυχία στους κύκλους των CIO, σχετικά με τα<br />
προβλήματα ασφαλείας που ενδεχομένως να αντιμετωπίσουν<br />
λόγω της εξάρτησής τους σε υπηρεσίες cloud storage<br />
και στα συσχετιζόμενα data centers.<br />
Πράγματι, στην όγδοη Ετήσια Έκθεση της Arbor Networks<br />
που δημοσιεύτηκε πριν ένα μήνα, φαίνεται ότι οι μισοί σχεδόν<br />
από τους ερωτηθέντες είχαν υποστεί κάποια επίθεση<br />
στα διασυνδεμένα στο Internet data center τους, κατά την<br />
περίοδο της έρευνας. Επιπλέον, το 94% εξ αυτών επιβεβαιώνει<br />
ότι δέχεται επιθέσεις DDoS σε τακτική βάση.<br />
Καθώς οι διαδικτυακές απειλές εξελίσσονται, διαμορφώνεται<br />
ένα συνεχώς μεταβαλλόμενο σκηνικό δικτυακών απειλών,<br />
που είναι πολύ δύσκολο να χαρτογραφηθεί. Το γεγονός αυτό,<br />
σε συνδυασμό με την τάση των hackers να εξαπολύουν<br />
τις επιθέσεις μέσα από το cloud – ένα περιβάλλον δηλαδή,<br />
που δεν περιορίζεται στους τέσσερις τοίχους της επιχείρησης<br />
– κάνει τους CIO να αισθάνονται πως χάνουν τον έλεγχο<br />
της ασφάλειας των υποδομών τους.<br />
Δεν θα συμβεί σ’ εμάς<br />
Καθώς όμως οι πρόσφατες προηγμένες επιθέσεις είχαν στόχο<br />
τράπεζες, είναι εύκολο για έναν Οργανισμό να εθελοτυφλεί,<br />
πιστεύοντας ότι ΄΄Δεν θα συμβεί σ’ εμάς, σωστά΄΄; Λάθος!<br />
Κίνδυνο δεν διατρέχουν μόνον οι Οργανισμοί υψηλού προφίλ<br />
με πολιτικές διασυνδέσεις. Στην πραγματικότητα, κίνητρα<br />
για επιθέσεις DDoS υπάρχουν πολλά, πολιτική ιδεολογία,<br />
αθέμιτος ανταγωνισμός, εκβιασμός. Αυτό πρακτικά σημαίνει<br />
ότι κάθε είδους Οργανισμός μπορεί να προσβληθεί.<br />
Οποιαδήποτε επιχείρηση λειτουργεί online – δηλαδή σχεδόν<br />
κάθε επιχείρηση, ανεξαρτήτως κλάδου και μεγέθους -<br />
ενδέχεται να αποτελέσει στόχο εξαιτίας της ταυτότητάς της,<br />
των δραστηριοτήτων της, των συνεργατών της ή οποιουδήποτε<br />
άλλου λόγου, πραγματικού ή φανταστικού.<br />
Πιο συγκεκριμένα, οι hackers χρησιμοποιούν τις υποδομές<br />
cloud, επειδή στην περίπτωση αυτή ένας μικρός αριθμός παρόχων<br />
έχει την ευθύνη να φιλοξενεί και να προσφέρει ένα<br />
μεγάλο όγκο περιεχομένου. Το γεγονός αυτό επιτρέπει στις<br />
επιθέσεις τους να προκαλούν σημαντικές παράπλευρες ζημιές.<br />
Με μια επίθεση σε κάποιον πάροχο υπηρεσιών ή υποδομών,<br />
οι hackers έχουν τη δυνατότητα να πλήξουν πολλαπλάσιο<br />
αριθμό Οργανισμών που μοιράζονται τις ίδιες φυσικές<br />
υποδομές. Αν γίνει επίθεση σε ένα domain, υπάρχουν<br />
44 | security
εκατοντάδες ή χιλιάδες άλλα domains τα οποία μπορεί να<br />
βγουν εκτός λειτουργίας ή να έχουν προβλήματα σύνδεσης.<br />
Η ζημιά δεν απομονώνεται και δεν περιορίζεται σε μια συγκεκριμένη<br />
περιοχή. Η επίθεση σε έναν και μόνο στόχο ενδέχεται<br />
να επηρεάσει εκατομμύρια domains. Οι συνέπειες μπορεί<br />
να πολλαπλασιαστούν σαν κύμα.<br />
Με ποιον μοιράζομαι υποδομές;<br />
Η πιθανότητα δημιουργίας ενός τέτοιου κύματος παράπλευρων<br />
ζημιών οδηγεί στο εύλογο ερώτημα: ΄΄Ποιος άλλος μοιράζεται<br />
τις ίδιες υποδομές με εμένα΄΄; Δεδομένου ότι τα sites ηλεκτρονικού<br />
εμπορίου και online gaming αποτελούν τους πιο συνηθισμένους<br />
στόχους - σύμφωνα με τα στοιχεία της φετινής<br />
έρευνας - το να χρησιμοποιεί μια επιχείρηση για το μηχανογραφικό<br />
της κέντρο τις ίδιες υποδομές με τέτοιους Οργανισμούς,<br />
ενέχει κάποιον κίνδυνο. Υπάρχει το ενδεχόμενο ακούσιας<br />
επίθεσης, γεγονός που σημαίνει ότι ο CIO διατρέχει μεγαλύτερο<br />
κίνδυνο όσον αφορά στον έλεγχο του επίπεδου προστασίας<br />
της πνευματικής ιδιοκτησίας της εταιρείας του.<br />
Αυτό σημαίνει ότι είναι απολύτως απαραίτητο να υπάρχουν<br />
όσο το δυνατόν περισσότερες δυνατότητες παρακολούθησης<br />
αυτού του εχθρικά μεταβαλλόμενου σκηνικού . Η πρόσφατη<br />
έκθεση της Arbor δείχνει ότι από πλευράς μεγέθους οι επιθέσεις<br />
έχουν σταθεροποιηθεί, όμως ταυτόχρονα έχει γίνει πολύ<br />
πιο σύνθετος ο μηχανισμός που χρησιμοποιούν για το καμουφλάρισμά<br />
τους. Το 46% των ερωτηθέντων ανέφεραν ότι<br />
δέχτηκαν επιθέσεις multi-vector. Οι hackers έχουν στραφεί<br />
σε προηγμένους και πιο σύνθετους τύπους επιθέσεων με μεγαλύτερη<br />
διάρκεια ζωής, ώστε να δημιουργούν εκτεταμένες<br />
ζημιές, χρησιμοποιώντας συνδυασμούς μηχανισμών (attack<br />
vectors) οι οποίοι έχουν σχεδιαστεί με στόχο να παρακάμπτουν<br />
τη γραμμή άμυνας του Οργανισμού-στόχου. Αυτές οι<br />
σύνθετες (multi-vector) επιθέσεις είναι οι πιο δύσκολες να αντιμετωπιστούν,<br />
καθώς για την επιτυχημένη εξουδετέρωσή τους<br />
απαιτείται ένας πολυεπίπεδος αμυντικός μηχανισμός. Οι πρόσφατες<br />
επιθέσεις εναντίον χρηματοπιστωτικών Οργανισμών<br />
αποτελούν κορυφαίο παράδειγμα αυτού.<br />
Αποτελεσματικότητα εναντίον Ασφάλειας<br />
Η ζήτηση για υπηρεσίες cloud θα συνεχίσει να αυξάνεται, καθώς<br />
η αγορά εκπαιδεύεται καλύτερα – και οι Οργανισμοί που<br />
τις υιοθετούν, αναγνωρίζουν τα εγγενή πλεονεκτήματα που<br />
προσφέρει η υλοποίηση μιας λύσης βασισμένης στο cloud,<br />
τόσο από πλευράς ευελιξίας όσο και από πλευράς κόστους.<br />
Καθώς όμως οι υπηρεσίες cloud και τα data centers γίνονται<br />
όλο και πιο συχνά στόχος των hackers – και παράλληλα οι<br />
επιθέσεις γίνονται όλο και πιο σύνθετες – η προστασία τέτοιων<br />
υποδομών παραμένει μια δύσκολη μάχη. Οι Οργανισμοί<br />
βρίσκονται αντιμέτωποι με το δίλημμα ΄΄αποτελεσματικότητα<br />
ή ασφάλεια΄΄. Αυτό που ζητείται πλέον είναι συνεργάτες οι<br />
οποίοι να είναι σε θέση να προσφέρουν απαντήσεις.<br />
Και η απάντηση είναι η εξής: μία πολυεπίπεδη λύση προστασίας<br />
δεδομένων (multi-layered security solution), η οποία μπορεί<br />
να προστατεύει τις δικτυακές υποδομές και ταυτόχρονα τις<br />
υπηρεσίες και δεδομένα, αφού όλα τα παραπάνω είναι τρωτά<br />
και μπορούν να προσβληθούν από κάποια επίθεση. Με τις επιθέσεις<br />
DDoS να αλλάζουν και να γίνονται ολοένα και πιο προηγμένες<br />
και ανθεκτικές στο χρόνο - multi-vector επιθέσειςμία<br />
λύση προστασίας πολλαπλών επιπέδων αποτελεί τη μοναδική<br />
δικλείδα ασφαλείας για κάθε στοιχείο που βρίσκεται πίσω<br />
από τη δραστηριότητα, το brand και τα έσοδα μιας επιχείρησης.<br />
Η συνεργασία με προμηθευτές που είναι σε θέση να βάζουν<br />
το σωστό κομμάτι στη σωστή θέση ενός παζλ, δίνει τη δυνατότητα<br />
στους συνεργάτες του καναλιού διανομής να προσφέρουν<br />
στους πελάτες τους μεγαλύτερη αξιοποίηση των πλεονεκτημάτων<br />
του cloud και παράλληλα να έχουν το μεγαλύτερο<br />
δυνατό βαθμό προστασίας από επιθέσεις DDoS.<br />
Σχετικά με την Arbor Networks<br />
Η Arbor Networks, Inc. είναι ένας από τους κορυφαίους προμηθευτές<br />
λύσεων διαχείρισης και ασφάλειας δικτυακών υποδομών<br />
για επιχειρήσεις και παρόχους υπηρεσιών επικοινωνίας.<br />
Μεταξύ των πελατών της περιλαμβάνεται η πλειοψηφία των<br />
παρόχων διαδικτυακών υπηρεσιών (ISPs) και πολλοί από τους<br />
μεγαλύτερους επιχειρηματικούς Ομίλους σε ολόκληρο τον κόσμο.<br />
Η αποδεδειγμένη αποτελεσματικότητα των λύσεων που<br />
προσφέρει η Arbor για την προστασία και τη διαχείριση δικτυακών<br />
υποδομών, βοηθά τους πελάτες της να προστατεύουν<br />
τα δίκτυά τους, τις επιχειρηματικές τους δραστηριότητες, τα<br />
προϊόντα και τις υπηρεσίες τους. Ένα σημαντικό μέρος της λύσης<br />
της Arbor αποτελεί η online υπηρεσία ATLAS© (Active<br />
Threat Level Analysis System), η οποία ενημερώνεται και κατηγοριοποιεί<br />
νέους τύπους επιθέσεων DDoS σε πραγματικό<br />
χρόνο. Περισσότεροι από 270 πάροχοι σε ολόκληρο τον κόσμο<br />
τροφοδοτούν με δεδομένα την υπηρεσία αυτή. Με βάση<br />
την ανάλυση αυτών των δεδομένων, η υπηρεσία ATLAS ενημερώνει<br />
ανά τακτά χρονικά διαστήματα τις συσκευές της AR-<br />
BOR σε ολόκληρο τον κόσμο, με αποτελεσματικούς τρόπους<br />
αντιμετώπισης νέων επιθέσεων DDoS.<br />
Για περισσότερες τεχνικές πληροφορίες σχετικά με τις τελευταίες<br />
απειλές και τις τάσεις όσον αφορά στη διαμόρφωση της<br />
κίνησης στο Ίντερνετ, παρακαλούμε επισκεφθείτε τη διεύθυνση:<br />
http://www.arbornetworks.com και το blog: http://ddos.arbornetworks.com.<br />
iT<strong>Security</strong><br />
Αποκλειστικός αντιπρόσωπος<br />
της ARBOR NETWORKS<br />
στην Ελλάδα ΑDAPT<strong>IT</strong> A.E.<br />
(www.adaptit.gr)<br />
security | 45
REFERENCE<br />
Λία Αργύρη,<br />
Corporate Marketing & Communications,<br />
AlfaVAD A.E.<br />
Email <strong>Security</strong> with Websense®<br />
Email <strong>Security</strong> Gateway Anywhere<br />
Το οργανωμένο έγκλημα στον κυβερνοχώρο χρησιμοποιεί το spam ως ένα «μέσο» παράδοσης<br />
κακόβουλου λογισμικού, που θα προκαλέσει ζημιές σε ένα εταιρικό περιβάλλον ή<br />
θα οδηγήσει στην απώλεια εμπιστευτικών και προσωπικών δεδομένων. To γεγονός αυτό<br />
καθιστά τις λύσεις Email <strong>Security</strong> εκ των ων ουκ άνευ για τις επιχειρήσεις.<br />
O<br />
όρος «spam» ή ανεπιθύμητη αλληλογραφία, είναι<br />
ευρέως διαδεδομένος και οικείος από τον απλό<br />
χρήστη έως το πιο καταρτισμένο μηχανικό ασφαλείας<br />
και πηγάζει από το 1970 με την ονομασία<br />
«Monty Python Spam». Θεωρείται το πλέον σύνηθες<br />
χαρακτηριστικό της επικοινωνίας μέσω ηλεκτρονικού ταχυδρομείου<br />
και μπορεί να γίνει «ενοχλητικό» λόγω των διαφημίσεων,<br />
«επιθετικό» αφού χρησιμοποιείται ως αναμειγνυόμενη<br />
απειλή σε συνεργασία με άλλες τεχνικές και «χρονοβόρο»<br />
μιας και οι εταιρείες ή οι Οργανισμοί καταναλώνουν το χρόνο<br />
τους προκειμένου να το αντιμετωπίσουν.<br />
Με τη πάροδο των χρόνων ο όγκος της ανεπιθύμητης<br />
αλληλογραφίας αυξήθηκε δραματικά και σήμερα,<br />
το 70-90% της ηλεκτρονικής αλληλογραφίας ενός<br />
οργανισμού ή μιας εταιρείας είναι «spam», όπως μας<br />
αναφέρει η Websense®. Ο στόχος του «spam» δεν<br />
αποσκοπεί πλέον στο να διαφημίσει ένα προιόν ή<br />
απλά να ενοχλήσει. Το οργανωμένο έγκλημα στον<br />
κυβερνοχώρο χρησιμοποιεί το spam σαν ένα «μέσο»<br />
παράδοσης κακόβουλου λογισμικού, που θα<br />
προκαλέσει ζημιές σε ένα εταιρικό περιβάλλον ή θα<br />
οδηγήσει στην απώλεια εμπιστευτικών και προσωπικών<br />
δεδομένων. Το «στοίχημα» για την ασφάλεια<br />
ενός οργανισμού είναι σαφώς μεγαλύτερο από ότι<br />
ήταν πριν από κάποια χρόνια και το σίγουρο είναι<br />
πως οι απλές πολιτικές και το βασικό spam filtering<br />
δεν παρέχουν πλέον την ολοκληρωμένη προστασία<br />
που ένα οργανισμός αναζητά.<br />
Σύμφωνα με τα <strong>Security</strong> Labs της Websense® πάνω<br />
από το 89% της ανεπιθύμητης ηλεκτρονικής αλληλογραφίας<br />
εμπειριέχει συνδέσμους (URLs’) που οδηγούν<br />
σε ιστοσελίδες με νόμιμο και θεμιτό περιεχόμενο, οι οποίες<br />
όμως έχουν προσβληθεί με κακόβουλο λογισμικό. Τεχνικές<br />
αντιμετώπισης του «spam» που βασίζονται στην συμπεριφορά<br />
(reputation) ή στην ταυτότητα (authentication) του αποστολέα<br />
όπως DNSRBL’s, Reverse DNS look-ups, Country Based<br />
Filtering, SPF/sender ID, DKIM πολλές φορές δεν καλύπτουν<br />
τουν οργανισμούς. Τεχνικές όπως challenge/response<br />
(C/R Systems), checksum based filtering, rule-based filtering,<br />
statistic content-based filtering, attachment parsing, greeting<br />
delay, grey-listing, honeypots/Spam Traps, optical character re-<br />
46 | security
cognition, SMTP Call-Backs και Allow/Block lists πρέπει να συνδυαστούν<br />
με το πιο αποδοτικό και αποτελεσματικό τρόπο για<br />
να προσφέρουν την μέγιστη προστασία του καναλιού επικοινωνίας<br />
ηλεκτρονικής αλληλογραφίας (email-channel).<br />
‘Οσο οι απειλές για τους οργανισμούς ή τις εταιρείες γίνονται πιο<br />
σύνθετες και πολυπλοκότερες, άλλο τόσο πρέπει να εξελίσσονται<br />
και τα «εργαλεία» που χρησιμοποιούνται για την αντιμετώπισή<br />
τους. Στις περοσσότερες περιπτώσεις το κακόβουλο λογισμικό<br />
στοχεύει το κανάλι επικοινωνίας ηλεκτρονικής αλληλογραφίας<br />
και παρόλο που οι λύσεις spam-filtering είναι πρώτου επιπέδου,<br />
δεν αποτελούν τη χρυσή τομή για την πρόληψη εναντίον<br />
του «spam». Τί γίνεται όταν έχουμε μία στοχευμένη επίθεση; Η<br />
εμφάνιση των Advanced Persistence Threats (APTs’) με σκοπό<br />
το οικονομικό ή προσωπικό όφελος εναντίον των Οργανισμών<br />
ή εταιρειών είναι επίκαιρο φαινόμενο και η αντιμετώπιση τους<br />
αποτελεί αντικείμενο ύψιστης σημασίας.<br />
Η επιλογή μίας λύσης για την προστασία ενός οργανισμού δεν<br />
είναι εύκολη υπόθεση. Κατά την επιλογή αυτή, πρέπει να καθοριστούν<br />
κάποιοι στόχοι από τους υπεύθυνους<br />
ασφάλειας που προκύπτουν από τη<br />
θεώρηση ότι το email-channel είναι άρρηκτα<br />
συνδεδεμένο με το κανάλι επικοινωνίας<br />
πρόσβασης στο διαδίκτυο (web-channel)<br />
καθώς και με τα δεδομένα που τα χρησιμοποιούν<br />
για την μετάδοση τους. Ο συνδυασμός<br />
τεχνικών της Websense® για<br />
Web, Email και Data <strong>Security</strong> αποτελεί την πιο ολοκληρωμένη<br />
λύση της αγοράς για την αντιμετώπιση τέτοιων απειλών. Η επίγνωση<br />
της Websense® για την δυναμική φύση του διαδικτύου<br />
και η ικανότητά της να κατηγοριοποιεί δυναμικά τις απειλές μέσω<br />
εκμάθησης πραγματικού χρόνου(real-time scanning/learning)<br />
συντελεί καθοριστικά στην αποτελεσματική αντιμετώπιση τέτοιων<br />
απειλών μέσω web/email-channel.<br />
H Websense® αναφέρει την αύξηση των ιστοσελίδων που<br />
περιέχουν κακόβουλο λογισμικό κατά 600% και από τα ηλεκτρονικά<br />
μηνύματα που αποστέλλονται, ένα στα πέντε δεν είναι<br />
«spam». Η πηγή όλων αυτών των αναφορών είναι το Websense®<br />
ThreatSeeker® IntelligenceCloud (Big-Data Clusters)<br />
που συλλέγει και αναλύει δεδομένα 5 δισεκατομμύρια hits από<br />
900 εκατομμύρια τερματικά καθημερινώς. Το μεγαλύτερο παγκοσμίως<br />
δίκτυο ανίχνευσης απειλών παρέχει ορατότητα και<br />
ενημέρωση για τις δραστηριότητες των απειλών που αφορούν<br />
τα ευρέως διαδεδομένα μέσα κοινωνικής δικτύωσης καθώς<br />
και ασφαλή δίκτυα που είναι κρυπτογραφημένα σε πραγματικό<br />
χρόνο. Αξίζει να αναφερθεί η συνεργασία της Websense®<br />
με το Facebook® με σκοπό την προστασία του χρήστη από<br />
συνδέσμους που κρύβουν κακόβουλο χαρακτήρα και περιεχόμενο.<br />
Τα δεδομένα συλλογής, αναλύονται σε πραγματικό χρόνο από<br />
τη μηχανή Websense® ACE® (Advanded Classification Engine)<br />
όπου και αποτελεί και το κύριο άξονα όλων των προϊόντων Websense®<br />
Triton Solutions. Με πάνω από 10.000 αναλυτές, το αποτέλεσμα<br />
χρόνων έρευνας και ανάπτυξης είναι η μηχανή ACE<br />
εφαρμόζει σύνθετη βαθμολόγηση κινδύνου (risk scoring) συνδυάζοντας<br />
τα αποτελέσματα που προκύπτουν από ασφάλεια<br />
πραγματικού χρόνου, ανάλυση δεδομένων και περιεχομένου,<br />
αναγνώριση βασικών γνωρισμάτων απειλών και αδιαβάθμητων<br />
zero-day exploits από το παρελθόν. Επίσης, οι ερευνητές των<br />
Websense® <strong>Security</strong> Labs χρησιμοποιούν το Websense® ThreatScope<br />
που αποτελεί ένα online malware sandboxing (powered<br />
by ACE®) με σκοπό την ενεργοποίηση κακόβουλου λογισμικού<br />
σε ασφαλές περιβάλλον και τη σύνταξη αναφορών παρατηρώντας<br />
τις συμπεριφορές τους. Το προϊόν αυτό διατίθεται<br />
και στους πελάτες Websense για την πραγματοποίηση δικών<br />
του ερευνών (forensics).<br />
Πέρα λοιπόν από τις «παραδοσιακές» τεχνικές αντιμετώπισης<br />
απειλών μέσω του email-channel όπως Anti-Spam, Anti-Virus και<br />
URL-filtering, η Websense® με το Email <strong>Security</strong> Gateway Anywhere<br />
(ΕSGA) επιτυγχάνει αξιόπιστη δρομολόγηση των μηνυμάτων<br />
(Reliable Message Routing/fully-functional ΜΤΑ), δυνατότητες<br />
Antivirus/Antispam καθώς και ενσωμάτωση λύσης εταιρικού<br />
επιπέδου για την πρόληψη απώλειας δεδομένων<br />
(DLP via integration with DSS). Το<br />
ESGA παρέχει δυνατότητα υβρυδικής λύσης<br />
για την εξάλειψη απειλών και «spam»<br />
στο Websense® Cloud, πολύ πριν αυτά<br />
φθάσουν στην εγκατάσταση του οργανισμού.<br />
H ενοποιημένη προστασία της Websense®<br />
αφορά όχι μόνο απειλές μέσω του<br />
email-channel αλλά και μέσω Web-channel για τα δεδομένα ενός<br />
Οργανισμού ή μιας εταιρείας. Σημαντικό χαρακτηριστικό της<br />
Websense® είναι η ενοποιημένη και κεντρική διαχείριση καθώς<br />
και η εύκολη εξαγωγή συνολικών και εξειδικευμένων αναφορών<br />
για την ανάλυση και την αντιμετώπιση περιστατικών. Xρήση τεχνικών<br />
όπως Sender Reputation, Adaptive Learning, Digital Fingerprints,<br />
URL Analysis, Optical Recognition (OCR) για την αναγνώριση<br />
χαρακτήρων, heuristics, αρχειοθέτηση ηλεκτρονικών μηνυμάτων<br />
(Email Archiving) για να διαπιστωθούν οι «τάσεις» της<br />
χρήσης του ηλεκτρονικού ταχυδρομείου και προχωρημένη κρυπτογράφηση<br />
αποτελούν πολύ σημαντικά εργαλεία που χρησιμοποιεί<br />
η Websense®.<br />
Το αποτέλεσμα από την εφαρμογή όλων των παραπάνω μέσων<br />
και τεχνικών είναι πως η Websense® κατόρθωσε να παρέχει<br />
προστασία της τάξης του 99.5% εναντίον του «spam» και να περιορίζει<br />
τις ψευδείς προειδοποιήσεις (false positives) κοντά στο<br />
μηδέν. Αποτελεί τη κορυφαία λύση της αγοράς σε Email, Web<br />
και Data <strong>Security</strong> (DLP) και ο συνδυασμός τους με την ονομασία<br />
TR<strong>IT</strong>ON Enterprise προσδίδει ενοποιημένη αρχιτεκτονική,<br />
ενοποιημένη ασφάλεια πληροφοριών και ενοποιημένη σύνταξη<br />
αναφορών και πολιτικών.<br />
Τα προϊόντα και λύσεις της Websense διατίθενται στην Ελληνική<br />
αγορά από την εταιρία ΑlfaVAD, επίσημο διανομέα λύσεων<br />
ασφάλειας λογισμικού για επιχειρήσεις και οργανισμούς κάθε<br />
μεγέθους, καθώς και για μεμονωμένους χρήστες.<br />
Για περισσότερες πληροφορίες επισκεφτείτε το επίσημο site της<br />
εταιρίας www.alfavad.com iT<strong>Security</strong><br />
security | 47