Παγκόσμια Έρευνα για την Ασφάλεια των Πληροφοριών 2013

Transcript

1 Παγκόσμια Έρευνα για την Ασφάλεια των Πληροφοριών 2013 Πρώτη μελέτη για την Ελλάδα Πόσο δυσμενείς είναι οι συνέπειες της οικονομικής κρίσης στον τομέα της Ασφάλειας Πληροφοριών; Είναι έτοιμες οι ελληνικές επιχειρήσεις για την υιοθέτηση αναδυόμενων τεχνολογιών και τάσεων όπως το Cloud και το BYOD;

2 r

3 Ενότητες 1. Εισαγωγή 2. Ασφάλεια των Πληροφοριών και Επιχειρηματική Στρατηγική Οι συνέπειες της κρίσης Τα μεγαλύτερα εμπόδια Επιχειρηματική στρατηγική και μεγάλα έργα Επενδύσεις στην τεχνολογία Προτεραιότητες Πώς αξιολογείται η αποτελεσματικότητα των επενδύσεων στην Ασφάλεια των Πληροφοριών 3. Οι συνέπειες Η αναγνώριση των περιστατικών Ασφάλειας είναι ακόμα θέμα «ταμπού»; Ποιοι είναι οι υπαίτιοι; Ευαισθητοποίηση και εκπαίδευση Το μη-οικονομικό κόστος μπορεί να είναι και το πιο επιζήμιο 4. Αναδυόμενες Τεχνολογίες Cloud Computing Η υιοθέτηση νέων τεχνολογιών κινείται ταχύτερα από την εφαρμογή της Ασφάλειας Social Media 5. Μεθοδολογία 6. Άλλες έρευνες της PwC για την Ελλάδα 7. Σχετικά με την PwC 8. Στοιχεία επικοινωνίας

4

5 Εισαγωγή Για τις περισσότερες επιχειρήσεις η Ασφάλεια των Πληροφοριών αποτελεί μια άνιση μάχη, όπου οι κανόνες συνεχώς αλλάζουν. Οι επιθέσεις γίνονται από άτομα με εξειδικευμένες γνώσεις που έχουν στα χέρια τους προηγμένα τεχνολογικά μέσα και συνήθως δρουν μέσα σε οργανωμένες ομάδες. Πρόκειται για μία σοβαρή απειλή που καμιά επιχείρηση και κανένας οργανισμός δεν έχει τα περιθώρια να αγνοήσει. Τα τελευταία πέντε χρόνια, σε ένα κλίμα οικονομικής αστάθειας όπου οι απειλές εξελίσσονται με ταχύτατους ρυθμούς, η Ασφάλεια των Πληροφοριών μοιάζει με έναν αγώνα που γίνεται όλο και πιο δύσκολος. Και το αποτέλεσμά του μπορεί να έχει κρίσιμες επιπτώσεις στο σύνολο μιας επιχείρησης από τα οικονομικά και τη λειτουργία της, μέχρι τη φήμη, το προφίλ αλλά και την ανταγωνιστικότητά της. Ποια είναι η κατάσταση στην Ελλάδα; Η Παγκόσμια Έρευνα της PwC για την Ασφάλεια των Πληροφοριών 2013 δείχνει ότι δυστυχώς οι ελληνικές επιχειρήσεις μένουν πίσω. Οι αμυντικοί μηχανισμοί τους έχουν εξασθενίσει και οι πρακτικές ασφάλειας παραλύουν λόγω μίας παρατεταμένης περιόδου δυσκολιών σε πολλά επίπεδα. Τα budgets συρρικνώνονται, τα έργα αναβάλλονται, οι ομάδες δεν στελεχώνονται κατάλληλα, οι Διοικήσεις δεν έχουν την απαιτούμενη δέσμευση και οι τελικοί χρήστες δεν έχουν επίγνωση των κινδύνων, ενώ διαφανής απόδοση δεν υπάρχει. Και μέσα σε αυτό το κλίμα, οι επιχειρήσεις αγωνίζονται να ακολουθήσουν τις εξελίξεις στις νέες τάσεις και τεχνολογίες, όπως το Cloud και το mobile computing. Οι επικεφαλής Ασφάλειας των Πληροφοριών ή έστω εκείνοι που έχουν την ευθύνη γι αυτόν τον τομέα, πρέπει να είναι σε θέση να επισημαίνουν τους κινδύνους και τον πιθανό αντίκτυπό τους στα ανώτερα στελέχη της Διοίκησης. Την ίδια στιγμή, οι Διοικήσεις πρέπει να κατανοήσουν ότι δραστηριοποιούνται σε έναν όλο και περισσότερο ψηφιακό κόσμο και χρειάζεται να ασχοληθούν σοβαρά με τα θέματα ασφάλειας και προστασίας τόσο της επιχείρησής τους όσο και των πελατών τους. Μέσα από μία θετική οπτική, το να είναι μία επιχείρηση ασφαλής βελτιώνει την εικόνα και την αξιοπιστία της. Κερδίζει την εμπιστοσύνη όλων των ενδιαφερομένων, των επενδυτών και των καταναλωτών, γεγονός που αποτελεί ένα αξιοποιήσιμο μακροπρόθεσμα ανταγωνιστικό πλεονέκτημα. Αστέριος Βουλανάς PwC Partner, IT Risk Assurance 5

6 Ασφάλεια των Πληροφοριών και Επιχειρηματική Στρατηγική 6

7 Πόση προσοχή δίνει η Διοίκηση ενός οργανισμού στον τομέα της Ασφάλειας των Πληροφοριών; Η Ασφάλεια των Πληροφοριών αποτελεί νευραλγικό σημείο για τη λειτουργία ενός οργανισμού και έχει κρίσιμη σημασία να συμπεριλαμβάνεται στις προτεραιότητες της Διοίκησης. Δίνουν όμως οι Διοικήσεις των ελληνικών επιχειρήσεων τη δέουσα προσοχή στην Ασφάλεια των Πληροφοριών; Θέτουν την Ασφάλεια ως προτεραιότητα; Αναγνωρίζουν τους πραγματικούς κινδύνους και τις επιπτώσεις των περιστατικών Ασφάλειας; Αναγνωρίζουν συγκεκριμένες απαιτήσεις ασφάλειας σε επίπεδο σχεδιασμού; Εναρμονίζουν τη στρατηγική και τα μεγάλα έργα με την πολιτική Ασφάλειας των Πληροφοριών του οργανισμού τους; Εξακολουθούν, παρά την κρίση, να κάνουν τις απαραίτητες επενδύσεις; Και το σημαντικότερο: Είναι σε θέση να αξιολογήσουν την απόδοση αυτών των επενδύσεων; Αυτά είναι μερικά από τα θέματα που εξετάζει η μελέτη για την ελληνική αγορά που διεξήγαγε η PwC, στο πλαίσιο της παγκόσμιας έρευνάς της για τον τομέα της Ασφάλειας των Πληροφοριών (Global Information Security Survey). Η PwC πιστεύει ότι σήμερα οι επικεφαλής του τομέα της Ασφάλειας των Πληροφοριών (Chief Security Officers - CSO) θα έπρεπε να έχουν στρατηγικό ρόλο στη λήψη σημαντικών αποφάσεων καθώς αυτές επηρεάζουν σημαντικά τη λειτουργία και την πορεία μιας επιχείρησης. Γι αυτό και ο ρόλος τους θα πρέπει να είναι αναβαθμισμένος και να έχουν πρόσβαση στη Διοίκηση. Στην Ελλάδα και στην Ευρωζώνη, σχεδόν ένας στους δύο CSO αναφέρονται στον επικεφαλής του τομέα της τεχνολογίας. Σύμφωνα με την έρευνα, ο αριθμός των Chief Security Officers (CSO) που αναφέρονται σε Διευθύνοντες Συμβούλους είναι σχετικά χαμηλός. Στην Ελλάδα αλλά και στην Ευρωζώνη, σχεδόν ένας στους δύο αναφέρονται στον επικεφαλής του τομέα της τεχνολογίας και οι υπόλοιποι διαμοιράζονται σε διάφορες αρμοδιότητες. 7

8 Ιωάννης Τζάνος Group Corporate Security Officer, Eurobank «Η Ασφάλεια των Πληροφοριών, ειδικά για τα χρηματοπιστωτικά ιδρύματα, είναι ιδιαίτερα σημαντική προκειμένου να ενισχύεται το αίσθημα εμπιστοσύνης των πελατών, μετόχων και προσωπικού, καθώς και για να προστατεύεται η εταιρική φήμη και να τηρούνται τα εκάστοτε νομικά και κανονιστικά πλαίσια. Χωρίς την άμεση εμπλοκή της Διοίκησης στο στρατηγικό σχεδιασμό της Ασφάλειας, υπάρχει ο κίνδυνος να μην επιτευχθούν όλα αυτά και να εκτεθεί ο οργανισμός σε ποικίλους κινδύνους, με σοβαρές συνέπειες. Η Eurobank έχει θεσπίσει την κατάλληλη οργανωτική δομή, συγκεντρώνοντας τις συγγενείς δραστηριότητες Ασφάλειας υπό τον επικεφαλής της Εταιρικής Ασφάλειας Ομίλου που αναφέρεται στο Γενικό Δ/ντή Εργασιών, Τεχνολογίας & Οργάνωσης Ομίλου (Group COO/ CIO) και Μέλος της Εκτελεστικής Επιτροπής. Έτσι, επιτυγχάνεται η άμεση πρόσβαση της Ασφάλειας στην Διοίκηση και η ευθυγράμμιση της στρατηγικής της Ασφάλειας με τους επιχειρηματικούς στόχους, έχοντας την υποστήριξη της Διοίκησης στο σχεδιασμό και υλοποίησή της.» Χριστάκης Τόπακας Senior Manager, Group IT Security & Control, Τράπεζα Πειραιώς «Οι κίνδυνοι εντείνονται από την εξάρτηση των οργανισμών από τις πληροφορίες και τα Ολοκληρωμένα Πληροφοριακά Συστήματα που τις επεξεργάζονται, καθώς και από τις διασυνδέσεις των συστημάτων με πελάτες και τρίτους. Επιπλέον, οι συνεχείς τεχνολογικές μεταβολές που επιβάλλονται από τις επιχειρηματικές ανάγκες και τις νέες τεχνολογίες επηρεάζουν αρνητικά τα επίπεδα Ασφάλειας. Αν σε όλα αυτά προστεθούν οι ασύμμετρες απειλές στο Internet από οργανωμένο έγκλημα, μεμονωμένους εγκληματίες, hacktivists, η επίτευξη ενός ικανοποιητικού επιπέδου Ασφάλειας είναι πολύ δύσκολη. Οι οργανισμοί πρέπει να διαμορφώνουν στρατηγική αλλά και ένα πλαίσιο Ασφάλειας με στόχο την προστασία των πληροφοριών τους και την αύξηση της εμπιστοσύνης των πελατών στα προϊόντα και τις υπηρεσίες τους. Ένα ολοκληρωμένο Πλαίσιο Ασφάλειας Πληροφοριών περιλαμβάνει πολιτικές, ρόλους και αρμοδιότητες, διαδικασίες, πρότυπα, οδηγίες, βέλτιστες πρακτικές και επεξηγήσεις. Αρωγός σε αυτήν την προσπάθεια πρέπει να είναι η ηγεσία του οργανισμού. Χωρίς αυτήν είναι δύσκολη η επίτευξη του στόχου. Το πλαίσιο Ασφάλειας πρέπει να εστιάζει όχι μόνο σε τεχνολογικές λύσεις, αλλά και σε θέματα κουλτούρας και διαρκούς εκπαίδευσης του προσωπικού. Οι κίνδυνοι είναι αρκετοί, δύσκολα αντιμετωπίσιμοι και απαιτείται κοινή αντίληψη, εγρήγορση και όχι εφησυχασμός.» 8

9 Γεράσιμος Μ. Μοσχονάς Group Information Security Officer, Alpha Bank «Οι συγκυρίες των τελευταίων χρόνων (τεχνολογική πρόοδος, αύξηση των επιθέσεων και περιστατικών ασφάλειας, οικονομική κρίση) καθιστούν αναγκαία σε κάθε επιχείρηση τη δημιουργία τομέα Ασφάλειας Πληροφοριών. Ο παλαιός όρος «Ασφάλεια Πληροφοριακών Συστημάτων» έχει πλέον αντικατασταθεί με τον όρο «Ασφάλεια Πληροφοριών» που καλύπτει την προστασία της πληροφορίας τόσο στην ηλεκτρονική, όσο και στην γραπτή και προφορική της μορφή. Ως αποτέλεσμα, ο τομέας αυτός είναι ανεξάρτητος από την πληροφορική και πρέπει να υπάγεται απευθείας στη Διοίκηση. Άλλωστε η Διοίκηση είναι αυτή που πρώτη απ όλους μέσα στην επιχείρηση πρέπει να κατανοήσει τη σημασία της Ασφάλειας Πληροφοριών. Ο Υπεύθυνος Ασφάλειας Πληροφοριών έχει ένα πολύ σημαντικό ρόλο, καθότι βοηθά τη Διοίκηση να αντιληφθεί, να κατανοήσει και να διαχειριστεί αποτελεσματικά τους σχετικούς κινδύνους, υιοθετώντας, όπου κριθεί απαραίτητο, τα κατάλληλα μέτρα για την προστασία των δεδομένων και των υποδομών. Συμβάλλει έτσι στην επίτευξη των επιχειρηματικών της στόχων, διασφαλίζοντας το αποδεκτό από τη Διοίκηση επίπεδο ασφάλειας και τη συμμόρφωση με το κανονιστικό πλαίσιο.» Οι συνέπειες της κρίσης Όπως είναι αναμενόμενο, σε περίοδο οικονομικής κρίσης περιορίζονται οι δαπάνες και οι επενδύσεις σε όλους σχεδόν τους τομείς ενός οργανισμού. Όσον αφορά στην Ελλάδα, η έρευνα δείχνει ότι τα κονδύλια για την Ασφάλεια των Πληροφοριών θα μειωθούν σε σχέση με το 2011 και μάλιστα αρκετά περισσότερο από όσο στο σύνολο των χωρών της Ευρωζώνης. Επιπλέον, σχεδόν ένας στους δύο συμμετέχοντες στην έρευνα από την Ελλάδα δηλώνει ότι στον οργανισμό που εργάζεται έχουν αναβληθεί ή μετατεθεί χρονικά εγκεκριμένα έργα στον τομέα της Ασφάλειας των Πληροφοριών, κυρίως για οικονομικούς λόγους. Παρόλα αυτά, το ενθαρρυντικό είναι ότι ένα ικανό ποσοστό συμμετεχόντων από την Ελλάδα (35%) εκτιμούν ότι τα κονδύλια που διαθέτουν για την Ασφάλεια των Πληροφοριών θα αυξηθούν. 9

10 Ο προϋπολογισμός για επενδύσεις στον τομέα της Ασφάλειας των Πληροφοριών τους επόμενους 12 μήνες θα είναι αυξημένος ή μειωμένος σε σχέση με το 2011; 72% 45% 46% 35% 36% Θα αυξηθεί Θα παραμείνει ίδιος 28% 24% Θα μειωθεί 9% 14% 12% 19% 4% Διεθνώς Ευρωζώνη Ελλάδα Κίνα Αξίζει επίσης να παρατηρήσουμε τη διαφοροποίηση ανάμεσα στις απαντήσεις των συμμετεχόντων στην έρευνα το 2010 συγκριτικά με τη φετινή χρονιά. Ο προϋπολογισμός για επενδύσεις στον τομέα της Ασφάλειας των Πληροφοριών τους επόμενους 12 μήνες θα είναι αυξημένος ή μειωμένος σε σχέση με το 2011; 45% 46% 40% 35% 36% 34% 28% 26% Θα αυξηθεί Θα παραμείνει ο ίδιος Θα μειωθεί 9% 12% 9% 8% Διεθνώς Ελλάδα Διεθνώς Ελλάδα

11 Ξενοφών Λιαπάκης Γενικός Διευθυντής Πληροφορικής, Όμιλος Interamerican «Οι επενδύσεις κεφαλαίων με την προοπτική βραχυπρόθεσμων, βεβιασμένων και εύκολων αποτελεσμάτων, παραμερίζοντας ή υποβαθμίζοντας θέματα Ασφάλειας αποτελεί λανθασμένη πρακτική στην ελληνική αγορά η οποία, εκτός άλλων, βρίσκεται υπό καθεστώς βαθιάς ύφεσης και παρατεταμένης λιτότητας. Οι περισσότερες εταιρείες επενδύουν σε τομείς που είναι απαραίτητοι για την επιβίωσή τους, παραμερίζοντας ή αναβάλλοντας επενδύσεις που θα τις θωράκιζαν και θα δημιουργούσαν ένα ασφαλές πλαίσιο λειτουργίας για τους συνεργάτες και τους πελάτες τους. Στην INTERAMERICAN θεωρούμε ότι η προστασία, η διαβάθμιση, η διαθεσιμότητα, η εγκυρότητα και η ασφαλής πρόσβαση στα δεδομένα, η αδιάλειπτη λειτουργία των συστημάτων, τα εναλλακτικά σχεδία επαναλειτουργίας/ επιχειρησιακής συνέχειας, οι αυστηρές πολιτικές και διαδικασίες, καθώς και η εναρμόνιση με το κανονιστικό πλαίσιο της SOLVENCY II, αποτελούν μέρος της κουλτούρας μας και αναπόσπαστο κομμάτι της καθημερινής μας εργασίας.» Τα μεγαλύτερα εμπόδια Τα μεγαλύτερα εμπόδια στην αποτελεσματικότητα της πολιτικής για την Ασφάλεια των Πληροφοριών στην ελληνική αγορά είναι όχι μόνο οικονομικά αλλά και έλλειψη κατανόησης της ανάγκης και των επιπτώσεων και κατά συνέπεια έλλειψη στρατηγικής. Επίσης, σύμφωνα με τη μελέτη, περισσότεροι από τους μισούς συμμετέχοντες στην Ευρωζώνη (56%) δήλωσαν ότι το μεγαλύτερο εμπόδιο είναι η ίδια η ηγεσία του οργανισμού ή της επιχείρησης, ποσοστό που και στην Ελλάδα ήταν αντίστοιχο (41%). Ποια είναι τα μεγαλύτερα εμπόδια στη βελτίωση της αποτελεσματικότητας της λειτουργίας της Ασφάλειας των Πληροφοριών στον οργανισμό σας; (δυνατότητα πολλών επιλογών) Διεθνώς Ευρωζώνη Ελλάδα Ανεπάρκεια κεφαλαιακών δαπανών 26% 24% 44% Η ηγεσία 50% 56% 41% Έλλειψη ενός πραγματοποιήσιμου οράματος ή/και κατανόησης για το πώς οι μελλοντικές ανάγκες της επιχείρησης επηρεάζουν την Ασφάλεια των Πληροφοριών 24% 20% 33% Έλλειψη ή ανεπάρκεια τεχνογνωσίας εντός του οργανισμού 22% 14% 26% Συστήματα πληροφορικής μη-ολοκληρωμένα ή πολύπλοκα 17% 15% 26% Ανεπάρκεια λειτουργικών δαπανών 21% 17% 23% Έλλειψη μιας αποτελεσματικής στρατηγικής για την Ασφάλεια των Πληροφοριών 22% 22% 18% 11

12 «Στη χειμαζόμενη από την ύφεση οικονομία, με τα γνωστά προβλήματα αποτελεσματικότητας των επιχειρήσεων, την έλλειψη οικονομικής ρευστότητας και τις συνεχείς αλλαγές στο επιχειρηματικό τοπίο, οι επιχειρήσεις καλούνται να αντιμετωπίσουν πρωτόγνωρες προκλήσεις. Παράλληλα, πρέπει να διασφαλίζουν το αγαθό των Πληροφοριών που κατέχουν και διαχειρίζονται και των Πληροφοριακών Συστημάτων που συνδέονται μ αυτές. Η περιστολή των δαπανών σε όλους τους τομείς της επιχειρηματικής δραστηριότητας, μοιραία, επηρεάζει δυσμενώς και τις επενδύσεις στην Ασφάλεια των Πληροφοριακών Συστημάτων. Οι επιχειρήσεις οφείλουν να προχωρήσουν στον εξορθολογισμό των επενδύσεων, τυποποιώντας τα συστήματα Ασφάλειας - όπου είναι δυνατόν -, με σκοπό τον περιορισμό του λειτουργικού κόστους και τη βελτίωση της αποδοτικότητας των διαδικασιών και του προσωπικού. Η υιοθέτηση βέλτιστων πρακτικών και διεθνών προτύπων καθώς και η συστηματική μεθοδολογία αξιολόγησης των κινδύνων επιτρέπουν την αξιοποίηση των επενδύσεων σε συστήματα Ασφάλειας σε μέγιστο βαθμό. Οι Όμιλοι επιχειρήσεων μπορούν να εκμεταλλευτούν το μέγεθός τους συγκεντρώνοντας τις υποδομές τους και προχωρώντας σε συμφωνίες επιπέδου Ομίλου (Group Agreements), προκειμένου να συμπιέσουν περαιτέρω τις δαπάνες τους. Η τρέχουσα οικονομική και πολιτική ρευστότητα έχει επηρεάσει τον τρόπο με τον οποίο λαμβάνονται οι επιχειρηματικές αποφάσεις. Ωστόσο, είναι σημαντικό, οι διοικήσεις να αναγνωρίζουν την αξία της συσσωρευμένης στην επιχείρηση πληροφορίας, η οποία αποτελεί επιχειρηματικό κεφάλαιο που πρέπει να προστατεύεται. Δεδομένης της συνεχούς αύξησης των κινδύνων που συνδέονται με την Πληροφορία και τα Πληροφοριακά Συστήματα, οι επιχειρήσεις πρέπει να ενισχύσουν την Ασφάλειά τους θεσμοθετώντας ανάλογες πολιτικές και διαδικασίες, επενδύοντας σε αντίστοιχα προϊόντα και υπηρεσίες, αλλά και προωθώντας την σχετική διαρκή εκπαίδευση του προσωπικού.» Μιχαήλ Μαυροφοράκης Επικεφαλής Τομέα Διακυβέρνησης Πληροφορικής Ομίλου ΕΤΕ, Εθνική Τράπεζα της Ελλάδος Επιχειρηματική στρατηγική και μεγάλα έργα Τα αποτελέσματα της έρευνας δείχνουν ότι οι οργανισμοί στην Ελλάδα χρειάζεται να κατανοήσουν περισσότερο την αξία της εναρμόνισης της Ασφάλειας των Πληροφοριών με την επιχειρηματική στρατηγική τους. Συγκεκριμένα, μόλις οι μισοί από τους συμμετέχοντες από την Ελλάδα δήλωσαν ότι η στρατηγική της Ασφάλειας των Πληροφοριών είναι εναρμονισμένη με τα στρατηγικά πλάνα των οργανισμών τους. Επιπλέον, τα στοιχεία της έρευνας για την Ελλάδα δείχνουν ότι οι δαπάνες για την Ασφάλεια των Πληροφοριών δεν είναι συνήθως εναρμονισμένες με τους επιχειρηματικούς στόχους. Ένας στους τέσσερεις συμμετέχοντες από την Ευρωζώνη δήλωσε ότι είναι πλήρως εναρμονισμένες. 12

13 Πόσο, κατά τη γνώμη σας, είναι εναρμονισμένες οι δαπάνες για την Ασφάλεια των Πληροφοριών με τους στόχους της επιχείρησής σας; Ελλάδα 32% 51% 17% Εντελώς Σχετικά εναρμονισμένες Διεθνώς 30% 46% 14% 10% Ανεπαρκώς εναρμονισμένες Μη εναρμονισμένες Η PwC πιστεύει ότι η Ασφάλεια των Πληροφοριών παίζει σημαντικό ρόλο στα μεγάλα έργα ενός οργανισμού, γι αυτό και πρέπει να λαμβάνεται υπόψη από την αρχή κατά τη δημιουργία στρατηγικής για την υλοποίησή τους. Ακόμη, έχει ενδιαφέρον να παρατηρήσουμε τη διαφορετική στάση των συμμετεχόντων από διάφορες χώρες ως προς την ένταξη της πολιτικής ασφάλειας σε διάφορα στάδια των μεγάλων έργων. Στην Κίνα, στη Γερμανία, στην Ιταλία και στο σύνολο των χωρών της Ευρωζώνης, σχεδόν το 30% από τους συμμετέχοντες δήλωσαν ότι η ασφάλεια πληροφοριών λαμβάνεται υπόψη αμέσως κατά την αρχή των μεγάλων έργων, αλλά και κατά τη φάση της ανάλυσης και του σχεδιασμού. Αντίθετα, το ποσοστό αυτό ήταν σχεδόν το μισό στην Ελλάδα, όπου ένας στους τέσσερεις συμμετέχοντες δήλωσαν ότι η ασφάλεια πληροφοριών εμπλέκεται μόνον όταν προκύψει ανάγκη. «H Ασφάλεια των Πληροφοριών αποκτά σταδιακά σημαντικότερη βαρύτητα στην υλοποίηση μεγάλων έργων πληροφορικής στην Ελλάδα και στο εξωτερικό, αν και σε αρκετές περιπτώσεις δεν αντιμετωπίζεται εγκαίρως και με συστηματικό τρόπο. H ολοκληρωμένη αντιμετώπιση των θεμάτων Ασφάλειας είναι σημαντικό να ξεκινά ήδη από τη φάση του σχεδιασμού των έργων, μέσω μίας ρεαλιστικής μελέτης ανάλυσης κινδύνων και να καλύπτει όλες τις πτυχές τεχνικά ζητήματα, πολιτικές, προστασία ευαίσθητων δεδομένων και διαθεσιμότητα υπηρεσιών υπό ένα συνολικό πρίσμα. Αντίθετα, μία αποσπασματική και εν πολλοίς «πυροσβεστική» προσέγγιση οδηγεί τελικά σε σημαντικά υψηλότερο κόστος, στο οποίο προστίθενται τυχόν κίνδυνοι από τη διακύβευση της φήμης του Οργανισμού, αλλά και δαπάνες ρητρών και αποζημιώσεων προς πελάτες. Η κατανόηση της πολύπλευρης έννοιας της ασφάλειας των πληροφοριών, αλλά και του έμμεσου κόστους που συνεπάγεται η μη αποτελεσματική διαχείριση του σχετικού ρίσκου, αποτελούν απαραίτητες προϋποθέσεις για την επιτυχή αντιμετώπιση σύνθετων έργων πληροφορικής. Αθανάσιος Κωτσής Διευθύνων Σύμβουλος, INTRASOFT INTERNATIONAL S.A. Η INTRASOFT INTERNATIONAL, προκειμένου να ανταποκριθεί αποτελεσματικά στις παραπάνω προκλήσεις, έχει αναπτύξει ένα σύστημα διαχείρισης ασφάλειας το οποίο αποτελεί αναπόσπαστο στοιχείο της μεθοδολογίας σχεδιασμού και ανάπτυξης πληροφοριακών συστημάτων και είναι πιστοποιημένο κατά ISO27001 και ISO » 13

14 Γιώργος Γερογιάννης ICT Management Solutions Manager, IT Infrastructure Solutions Division, Unisystems «Στη γενική αντίληψη που επικρατεί ως προς την Ασφάλεια Πληροφοριών και τη μεταγενέστερη των συμβάντων ανάληψης δράσεων, αντί για την πρόληψή τους, προστίθεται η οικονομική κρίση ως αντικειμενικό πρόβλημα για την έγκριση των σχετικών κονδυλίων. Υπό αυτό το πρίσμα, τα αποτελέσματα της έρευνας είναι αναμενόμενα και κατανοητά. Η οικονομική κρίση όμως έχει και μια άλλη διάσταση, καθώς σε αυτό το κλίμα οι πιθανότητες εκδήλωσης ενός σοβαρού περιστατικού Ασφάλειας αυξάνονται. Οι συνέπειες ενός τέτοιου περιστατικού που υπό κανονικές συνθήκες θα ήταν πιθανά διαχειρίσιμες- σε συνθήκες κρίσης είναι πιθανό να οδηγήσουν ένα οργανισμό σε καταστροφή. Με αυτό το δεδομένο, παρατηρούμε τελευταία μια αλλαγή της σχετικής πολιτικής και μια εν δυνάμει ανοδική τάση όπου επιχειρηματίες και υψηλόβαθμα στελέχη ενσωματώνουν παραμέτρους Ασφάλειας στην επιχειρηματική στρατηγική. Εμείς στη UniSystems, γνωρίζοντας τις πραγματικές ανάγκες της αγοράς, έχουμε ενσωματώσει την Ασφάλεια στο σχεδιασμό του συνόλου των λύσεών μας, Cloud ή On Premises, προσπαθώντας να συνδυάσουμε ευελιξία ανάλογα με τις επιχειρηματικές ανάγκες, χαμηλό κόστος, μέγιστη προστασία και έλεγχο στην πρόσβαση των δεδομένων.» Επενδύσεις στην τεχνολογία Οι προϋπολογισμοί επηρεάζονται από την Οικονομία και όχι από τις ανάγκες για Ασφάλεια Όπως ήταν αναμενόμενο, η έρευνα δείχνει ότι στην Ελλάδα αλλά και διεθνώς οι οικονομικές συνθήκες και όχι οι επιχειρηματικές ανάγκες των επιχειρήσεων είναι αυτές που επηρεάζουν το μέγεθος των δαπανών για την Ασφάλεια των Πληροφοριών. Άλλοι παράγοντες είναι η επιχειρησιακή συνέχεια και η ανάκαμψη από καταστροφή, η κανονιστική συμμόρφωση καθώς και η εταιρική φήμη. Στην Ευρωζώνη ισχύουν οι ίδιες περίπου συνθήκες, όμως το ποσοστό της επιρροής των οικονομικών συνθηκών είναι χαμηλότερο (40%). Επίσης, στην Ιταλία και στην Αγγλία σημαντικό ρόλο παίζει η αλλαγή και ο επαναπροσδιορισμός των επιχειρηματικών δραστηριοτήτων. Βλέπουμε λοιπόν ότι η κρίση επηρεάζει τις δαπάνες για την ασφάλεια με διαφορετικό τρόπο σε κάθε χώρα. 14

15 Οι τρεις κορυφαίοι παράγοντες που επηρεάζουν τις δαπάνες για την Ασφάλεια των Πληροφοριών Διεθνώς Οικονομικές συνθήκες 46% Διαχείριση της επιχειρησιακής συνέχειας / Ανάκαμψη από φυσικές καταστροφές 31% Εταιρική φήμη 30% Κίνα Οικονομικές συνθήκες 53% Εταιρική φήμη 49% Διαχείριση της επιχειρησιακής συνέχειας / Ανάκαμψη από φυσικές καταστροφές 46% Ευρωζώνη Οικονομικές συνθήκες 40% Εταιρική φήμη 28% Συμμόρφωση με κανονιστικές ρυθμίσεις 27% Ελλάδα Οικονομικές συνθήκες 74% Διαχείριση της επιχειρησιακής συνέχειας / Ανάκαμψη από φυσικές καταστροφές 59% Συμμόρφωση με κανονιστικές ρυθμίσεις 59% Γερμανία Οικονομικές συνθήκες 36% Συμμόρφωση με κανονιστικές ρυθμίσεις 28% Ανάθεση λειτουργιών/διαδικασιών σε τρίτους (outsourcing) 26% Ιταλία Οικονομικές συνθήκες 39% Επαναπροσδιορισμός επιχειρηματικών δραστηριοτήτων 27% Εταιρική φήμη 25% Ισπανία Οικονομικές συνθήκες 38% Εταιρική φήμη 30% Συμμόρφωση με την εσωτερική πολιτική 30% Αγγλία Οικονομικές συνθήκες 44% Επαναπροσδιορισμός επιχειρηματικών δραστηριοτήτων 29% Εταιρική φήμη 29% Κατά πόσο επηρεάζουν οι οικονομικές συνθήκες τις δαπάνες για την Ασφάλεια των Πληροφοριών; 46% 53% 40% 74% 36% 39% 38% 44% Διεθνώς Κίνα Ευρωζώνη Ελλάδα Γερμανία Ιταλία Ισπανία Αγγλία ΕΛΛΑΔΑ % %

16 Προτεραιότητες Σύμφωνα με την έρευνα, οι επιχειρήσεις στην Ελλάδα δίνουν προτεραιότητα στην προστασία των οικονομικών τους στοιχείων (72%), της πνευματικής ιδιοκτησίας και των trade secrets / εμπορικών μυστικών (63%), των στοιχείων για τους πελάτες τους / (προσωπικά) δεδομένα των πελατών τους / (61%) και των προσωπικών δεδομένων των εργαζομένων τους (51%). Αντίστοιχα στην Ευρωζώνη, οι τρεις βασικές προτεραιότητες είναι η προστασία των στοιχείων για τους πελάτες (62%), των οικονομικών στοιχείων (50%) καθώς και της πνευματικής ιδιοκτησίας (45%) και των προσωπικών δεδομένων των εργαζομένων τους (46%). Πόσο σημαντική είναι η προστασία των παρακάτω ευαίσθητων δεδομένων για την επιχείρησή σας; Ελλάδα Ευρωζώνη Οικονομικά στοιχεία 72% Προσωπικά δεδομένα πελατών 62% Πνευματική ιδιοκτησία και εμπορικά μυστικά 63% Οικονομικά στοιχεία 50% Προσωπικά δεδομένα πελατών 61% Προσωπικά δεδομένα εργαζομένων 46% Πώς αξιολογείται η αποτελεσματικότητα των επενδύσεων στην Ασφάλεια των Πληροφοριών Το 62% των συμμετεχόντων από την Ελλάδα δήλωσαν ότι οι επιχειρήσεις τους συνυπολογίζουν την αποτελεσματικότητα των επενδύσεών τους στην Ασφάλεια Πληροφοριών βάσει της επαγγελματικής τους κρίσης (professional judgment), ενώ το 56% βάσει του συνολικού κόστους ιδιοκτησίας και το 49% βάσει του μειωμένου αριθμού περιστατικών. Πώς μετρά η επιχείρησή σας την αποτελεσματικότητα των δαπανών στην Ασφάλεια Πληροφοριών; 62% 56% 49% 44% 32% 22% 22% 19% Ευρωζώνη Ελλάδα Επαγγελματική κρίση Συνολικό κόστος ιδιοκτησίας Μειωμένα περιστατικά Ασφάλειας Βελτίωση στους δείκτες αποτελεσματικότητας Ασφαλείας 16

17 Στην Ευρωζώνη συνυπολογίζονται το συνολικό κόστος ιδιοκτησίας και η παρούσα καθαρή αξία (net present value), ενώ παράλληλα λαμβάνεται υπόψη και η απόσβεση της επένδυσης. Αξίζει να σημειώσουμε ότι στην Ελλάδα το ποσοστό των συμμετεχόντων που δήλωσαν ότι βασίζονται κυρίως στην επαγγελματική τους κρίση ήταν πολύ υψηλότερο από τις άλλες χώρες της Ευρωζώνης. Το γεγονός αυτό ενισχύει την απάντηση ότι δεν είναι και πολύ σίγουροι για την αποτελεσματικότητα των δραστηριοτήτων τους ως προς την ασφάλεια των πληροφοριών. Τα αποτελέσματα της έρευνας έχουν ιδιαίτερο ενδιαφέρον καθώς ενισχύουν την άποψη ότι οι ελληνικές επιχειρήσεις έχουν αυξημένες ανάγκες υιοθέτησης καινοτόμων πλαισίων διακυβέρνησης ασφάλειας πληροφοριών. Η αξιολόγηση της αποτελεσματικότητας της ασφάλειας πληροφοριών αποτελεί ιδιαίτερα δύσκολο εγχείρημα. Η ποσοτικοποίηση των αποτελεσμάτων πολλές φορές είναι αδύνατη και για τον λόγο αυτό οι υπεύθυνοι πληροφοριών επικαλούνται την επαγγελματική τους κρίση, εισάγοντας αβεβαιότητα στο τελικό αποτέλεσμα. Ταυτόχρονα, η υπάρχουσα αντίληψη ότι η ασφάλεια αποτελεί αμιγώς εργαλείο διαχείρισης ρίσκου, αφαιρεί σημαντικές παραμέτρους κατά την διαδικασία αξιολόγησης. «Η αξιολόγηση της αποτελεσματικότητας της Aσφάλειας έχει ως προαπαιτούμενο τον ορισμό ξεκάθαρων στόχων οι οποίοι συνδέονται άμεσα με τους στρατηγικούς στόχους ενός οργανισμού. Δρ. Χρήστος Δημητριάδης CISM, CISA, CRISC, Head of Information Security, Intralot SA Οι στόχοι αυτοί, για παράδειγμα, μπορεί να αφορούν στη δημιουργία εμπιστοσύνης στους μετόχους μιας εταιρείας μέσα από την επίτευξη συμμόρφωσης με το νομικό πλαίσιο ή μέσα από την κάλυψη συμβατικών υποχρεώσεων, την ικανοποίηση των πελατών μέσα από την παροχή ασφαλών, άρα και πιο ανταγωνιστικών προϊόντων και υπηρεσιών ή την συμβολή στην δημιουργία ενός διαφοροποιημένου εταιρικού ονόματος το οποίο προβάλει την Ασφάλεια και την προστασία του ιδιωτικού απορρήτου. Στόχοι σαφώς ορισμένοι και συνδεδεμένοι με την στρατηγική ενός οργανισμού διευκολύνουν την αξιολόγηση της αποτελεσματικότητας της Ασφάλειας.» 17

18 Οι συνέπειες 18

19 Η αναγνώριση των περιστατικών Ασφάλειας είναι ακόμα θέμα «ταμπού»; Σύμφωνα με την έρευνα, στην Ελλάδα οι οργανισμοί διστάζουν να αναφέρουν ότι έχουν πληγεί από περιστατικά Ασφάλειας των Πληροφοριών. Το θέμα αυτό αποτελεί ακόμη «ταμπού» για την Ελλάδα, ενώ αντίθετα σε άλλες χώρες, όπως για παράδειγμα η Ισπανία, ο αριθμός των περιστατικών Ασφάλειας των Πληροφοριών που ανέφεραν οι συμμετέχοντες είναι σαφώς μεγαλύτερος. Αναφέρετε τον αριθμό περιστατικών Ασφάλειας των Πληροφοριών που είχατε στον οργανισμό σας τους τελευταίους 12 μήνες. 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% Κανένα 1 έως 2 πάνω από 3 Δ/Α Ευρωζώνη 26% 20% 43% 11% Κίνα 42% 35% 20% 3% Γερμανία 17% 18% 43% 12% Ελλάδα 61% 27% 11% 0% Ιταλία 32% 20% 39% 9% Ισπανία 27% 22% 41% 10% Αγγλία 35% 15% 34% 16% Ακόμα περισσότερο απρόθυμοι εμφανίζονται οι συμμετέχοντες στην έρευνα από την Ελλάδα, όταν πρόκειται για τη δημόσια αναγνώριση των περιστατικών Ασφάλειας των Πληροφοριών καθώς και την αναφορά τους στις Αρχές. Όταν ερωτήθηκαν αν κατήγγειλαν δημοσίως τα περιστατικά, είτε επειδή το απαιτούσε ο νόμος είτε όχι, το 65% των απαντήσεων από την Ελλάδα ήταν αρνητικές. Αντίθετα ποσοστά εμφανίζονται σε άλλες χώρες της Δυτικής Ευρώπης, στην Ευρωζώνη, ενώ στην Κίνα το ποσοστό των περιστατικών που καταγγέλθηκαν στις Αρχές φθάνει το 72%. 19

20 Μάνος Σφακιανάκης Αστυνομικος Διευθυντης, Διευθυντης Δίωξης Ηλεκτρονικού Εγκληματος «Στην χώρα μας καθημερινά καταγράφονται περιστατικά Ασφάλειας που έχουν να κάνουν με διεισδύσεις από τις κρίσιμες υποδομές μας (όπως Ασφάλεια Επικοινωνιών, Τραπεζικά συστήματα, Υπουργεία) μέχρι και μιας απλής ιστοσελίδας μέσω της οποίας γίνονται διαδικτυακές πωλήσεις. Οι καταγγελίες που έρχονται τελικά στη Δίωξη Ηλεκτρονικού εγκλήματος για να διερευνηθούν και να εντοπισθούν οι δράστες των κακόβουλων εισβολών, οι οποίοι σκοπό έχουν τον ψηφιακό βανδαλισμό ή την κλοπή προσωπικών δεδομένων, ευαίσθητων στοιχείων εταιρειών, τραπεζικών λογαριασμών κ.α., με στόχο το οικονομικό όφελος, σύμφωνα με εκτιμήσεις είναι περίπου στο 10%. Τα στατιστικά που κατά καιρούς παρουσιάζονται μπορούν να χαρακτηρισθούν μη ανταποκρινόμενα στην πραγματικότητα («παγόβουνο»). Βλέπουμε μόνο την κορφή αυτού του παγόβουνου και δεν μπορούμε να υπολογίσουμε τις καταστροφικές συνέπειες που βρίσκονται πέρα από το πεδίο της όρασής μας. Ο βασικός λόγος που στην χώρα μας δεν καταγγέλλουν οι περισσότερες εταιρείες τα διάφορα περιστατικά ασφάλειας στις διωκτικές Αρχές, είναι το Νομοθετικό πλαίσιο. Σύμφωνα με το αυτό, όλο το Διαδίκτυο είναι απόρρητο (Π.Δ 47/2005). Για να γίνει Άρση απορρήτου και να βρεθούν οι δράστες μιας κακόβουλης επίθεσης, πρέπει να προβλέπεται η κακόβουλη πράξη στο Νόμο που ορίζει σε ποιές περιπτώσεις γίνεται Άρση απορρήτου Ν.2225/94. Στις περιπτώσεις περιστατικών Ασφάλειας, πλην των οργανωμένων μορφών, δεν προβλέπεται η Άρση απορρήτου επικοινωνιών, με αποτέλεσμα να μην καταγγέλλουν αυτές, καθόσον η καταγγελία δεν θα έχει καμία τύχη. Διαπιστώνω, ως Διευθυντής της Δίωξης Ηλεκτρονικού Εγκλήματος με εμπειρία 18 ετών στο ίδιο αντικείμενο, αλλά και μετά από συνεργασίες με τα στελέχη των εταιρειών που έχουν επιφορτισθεί την Ασφάλεια, ότι δεν αποτελεί «ταμπού» η αναγνώριση των περιστατικών ασφάλειας στην χώρα μας - αλλά τροχοπέδη στην μη-καταγραφή των περιστατικών αυτών είναι το Νομοθετικό πλαίσιο και όχι η αρνητική δημοσιότητα μέσα από την τυχόν εξιχνίαση αυτών.» Σύμφωνα με την έρευνα, τα περιστατικά που σημειώθηκαν την περασμένη χρονιά στην Ελλάδα στόχευαν και εκμεταλλεύθηκαν αδυναμίες: Απώλεια κρίσιμων δεδομένων Κινητές Συσκευές Κρίσιμες εφαρμογές Πληροφοριακό σύστημα Δίκτυο Ανθρώπινος παράγοντας 0% 13% 25% 38% 19% 19% 20

21 Ποιοι είναι οι υπαίτιοι; Στην Ελλάδα και στην Ευρωζώνη, οι πιθανοί υπαίτιοι των περιστατικών ήταν εργαζόμενοι, πρώην εργαζόμενοι αλλά και οι λεγόμενοι hacktivists. Με τον όρο hacktivism εννοούμε τη χρήση των ηλεκτρονικών υπολογιστών και δικτύων ως μέσο διαμαρτυρίας για την προώθηση πολιτικών στόχων. Οι περισσότεροι οργανισμοί ειδοποιήθηκαν για τα περιστατικά από τους εργαζομένους τους, από πελάτες και από ανάλυση των στοιχείων καταγραφής (log files) ή των αρχείων καταγραφής των δικτυακών συστημάτων ασφαλείας (firewall/ids). Ευαισθητοποίηση και εκπαίδευση Η ασφάλεια, για να είναι αποτελεσματική, πρέπει να είναι συνυφασμένη με τον τρόπο που οι άνθρωποι σκέφτονται και λειτουργούν και όχι να αποτελεί ακόμη μία γραμμή στη λίστα των αρμοδιοτήτων ή/και υποχρεώσεών τους. Ο ανθρώπινος παράγοντας στα περιστατικά Ασφάλειας των Πληροφοριών, είτε ηθελημένα είτε ακούσια, είναι κρίσιμος στην περισσότερες περιπτώσεις. Γι αυτό και είναι σημαντικό να υπάρχει η απαραίτητη ευαισθητοποίηση και εκπαίδευση, σε όλα τα επίπεδα των εργαζομένων έτσι ώστε να δημιουργείται μία εταιρική κουλτούρα εγρήγορσης και υπεύθυνης στάσης απέναντι σε περιστατικά Ασφάλειας. Όσον αφορά στην εκπαίδευση, οι περισσότεροι συμμετέχοντες στην έρευνα δήλωσαν ότι οι οργανισμοί τους στερούνται ενός ετήσιου πλάνου εκπαίδευσης και επιμόρφωσης αλλά κινούνται βάσει ενός δυναμικού μοντέλου που προκύπτει από τις λειτουργικές τους ανάγκες. Παρόλα αυτά μόνον το 30% των συμμετεχόντων από την Ελλάδα δήλωσαν ότι είναι υποχρεωτικό για τους εργαζομένους στην εταιρεία τους να παρακολουθούν εκπαιδευτικό πρόγραμμα για την Ασφάλεια των Πληροφοριών. Επίσης, μόλις το 10% του συνόλου των συμμετεχόντων δήλωσαν ότι μέσα στους επόμενους 12 μήνες προτεραιότητά τους είναι να έχουν στελέχη αρμόδια για προγράμματα ενημέρωσης των υπαλλήλων τους σε θέματα εσωτερικής πολιτικής, διαδικασιών και τεχνικών προτύπων. 21

22 Το μη-οικονομικό κόστος μπορεί να είναι και το πιο επιζήμιο Οι συνέπειες του λάθους έχουν μεγαλύτερο κόστος από το κόστος της επένδυσης στην πρόληψη. Περίπου το 70% των συμμετεχόντων από την Ελλάδα και την Ευρωζώνη δήλωσαν σημαντικές οικονομικές απώλειες. Στους παράγοντες που συμπεριλαμβάνονται στους υπολογισμούς των οικονομικών απωλειών είναι το κόστος απώλειας πελατών, νομικών υπηρεσιών, δικαστικών διαμαχών, ερευνών (στις οποίες συμπεριλαμβάνονται και εγκληματολογικές), ελεγκτικών και συμβουλευτικών υπηρεσιών, ανάπτυξης συστημάτων και πολιτικών ανίχνευσης περιστατικών Ασφάλειας, καθώς και οι αρνητικές επιπτώσεις στο brand και στην εταιρική φήμη. Όμως τα αποτελέσματα της έρευνας δείχνουν ότι οι συνέπειες των περιστατικών Ασφάλειας των Πληροφοριών δεν είναι μόνο οικονομικές αλλά οι επιπτώσεις τους λειτουργούν πολλαπλασιαστικά. Σύμφωνα με τους συμμετέχοντες, οι στόχοι και οι επιπτώσεις από τις συνέπειες των περιστατικών Ασφάλειας στους οργανισμούς τους αφορούσαν: Εφαρμογές λογισμικού Εμπιστευτικά αρχεία Αρχεία πελατών Προγράμματα λειτουργικών συστημάτων Παραβίαση απορρήτου Καθυστερήσεις ή/και παύση λειτουργίας ηλεκτρονικού ταχυδρομείου, υπηρεσιών και δικτύου Κλοπή πνευματικής ιδιοκτησίας Σημαντικές συνέπειες έχουν τα περιστατικά Ασφάλειας των Πληροφοριών και στην παραγωγικότητα, καθώς, σύμφωνα με την έρευνα, ο χρόνος που χάθηκε εξαιτίας τους υπολογίζεται από τρείς έως και 24 ώρες. 22

23 «Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) θεωρεί καίριας σημασίας την επίτευξη αυτού του στόχου της Ασφάλειας των Επικοινωνιών και μεριμνά να το καθιστά σαφές σε κάθε επαφή της με τους παρόχους. Επισημαίνει δε ότι στον τομέα αυτόν έχει σημειωθεί πρόοδος σε επίπεδο παρόχων, ωστόσο συνεχίζονται οι προσπάθειες, μέχρις ότου καταστεί κοινή συνείδηση η ανάγκη της θωράκισης των δικτύων και των υπηρεσιών επικοινωνιών απέναντι στους κινδύνους που τα απειλούν. Το ισχύον κανονιστικό πλαίσιο υποχρεώνει επίσης τους παρόχους να αναφέρουν τα περιστατικά ασφάλειας στην ΑΔΑΕ, δηλαδή περιστατικά τα οποία είτε υπήρξαν αφορμή παραβίασης της Ασφάλειας των επικοινωνιών - και ειδικότερα του απορρήτου των επικοινωνιών - είτε θα ήταν δυνατόν να επιφέρουν παραβιάσεις, αλλά αυτό απεφεύχθη για διάφορους λόγους. Αξίζει να σημειωθεί ότι η ανάπτυξη μιας κουλτούρας Ασφάλειας είναι ένας ευρύτερος στόχος της Ευρώπης, όπως φαίνεται και από την ανακοίνωση δημόσιας διαβούλευσης που εξέδωσε η ΕΕ, στις 23/7/2012. Μεταξύ άλλων, εξετάζεται η επέκταση και σε άλλους νευραλγικούς για την οικονομία και την κοινωνία τομείς του ισχύοντος στις τηλεπικοινωνίες νομοθετικού πλαισίου ασφάλειας, το οποίο προβλέπει και την αναφορά περιστατικών ασφάλειας.» Ανδρέας Λαμπρινόπουλος Πρόεδρος, Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) Η ΑΔΑΕ δημιουργήθηκε από την Πολιτεία με σκοπό να συμβάλει στην αποτελεσματική προστασία του απορρήτου της επικοινωνίας, το οποίο αποτελεί ατομικό δικαίωμα κατοχυρωμένο συνταγματικά (άρθρο 19 του Συντάγματος). Μεταξύ των αρμοδιοτήτων της συγκαταλέγεται η έκδοση κανονιστικών πράξεων. Οι κανονισμοί ασφάλειας της ΑΔΑΕ υποχρεώνουν τους παρόχους δικτύων και υπηρεσιών επικοινωνιών να συντάξουν και να υποβάλουν στην Αρχή εξειδικευμένες πολιτικές ασφάλειας για τη διασφάλιση του απορρήτου των επικοινωνιών. Η σωστή και απαρέγκλιτη υλοποίηση των κανονισμών και των πολιτικών ασφάλειας των παρόχων ελέγχεται συστηματικά από την ΑΔΑΕ. Επιπλέον, στην περίπτωση που η ΑΔΑΕ έχει ενδείξεις ότι υπάρχει ζήτημα παραβίασης του απορρήτου των επικοινωνιών, π.χ. ύστερα από καταγγελία ή αναφορά στον Τύπο, διενεργεί και έκτακτους ελέγχους στις εγκαταστάσεις και τα αρχεία των παρόχων. Η ΑΔΑΕ, στο πλαίσιο της διασφάλισης του απορρήτου των επικοινωνιών, έχει αναπτύξει σειρά ενεργειών και δράσεων όπως εκπόνηση κανονισμών, έγκριση πολιτικών ασφάλειας, έλεγχο τήρησης μέτρων ασφάλειας και επιβολή κυρώσεων με στόχο να εμπεδωθεί στους παρόχους δικτύων και υπηρεσιών επικοινωνιών και όλους τους εμπλεκομένους φορείς μια κουλτούρα ασφάλειας και διασφάλισης του απορρήτου. 23

24 Αναδυόμενες Τεχνολογίες 24

25 Cloud Computing Είμαστε έτοιμοι για το Cloud Computing; «Η έρευνα έδειξε ότι οι Έλληνες είναι δύσπιστοι ως προς την ασφάλεια των επιχειρηματικών λειτουργιών τους στο Cloud. Γι αυτό και ακόμα διστάζουν να επεκτείνουν τις υπηρεσίες τους στον τομέα αυτό. Η μεγαλύτερη ανησυχία τους είναι το κατά πόσον οι πάροχοι είναι σε θέση να εφαρμόζουν τις πολιτικές ασφαλείας τους, καθώς και να ικανοποιούν τις απαιτήσεις του εκάστοτε ισχύοντος κανονιστικού πλαισίου στο οποίο αυτοί (οι πάροχοι) υπόκεινται. Το ενθαρρυντικό όμως συμπέρασμα της έρευνας είναι ότι ο σχεδιασμός ή η υλοποίηση συγκεκριμένης στρατηγικής για το Cloud αποτελεί προτεραιότητα για τις επιχειρήσεις και τους οργανισμούς στην Ελλάδα. Αρχίζει δηλαδή να διακρίνεται μια τάση παραδοχής της αναγκαιότητας του Cloud στο νέο επιχειρηματικό τοπίο.» Αστέριος Βουλανάς PwC Partner, IT Risk Assurance Στην παρούσα φάση, χρησιμοποιεί ο οργανισμός σας υπηρεσίες Cloud Computing όπως το Software-as-a-Service, Platform-as-a- Service, Infrastructure-as-a-Service; 57% 63% Ναι Όχι Δεν γνωρίζω 41% 38% 21% 33% 37% 36% 27% 27% 33% 41% 26% 39% 39% 40% 38% 38% 31% 30% 23% 22% 10% 10% Διεθνώς Κίνα Ευρωζώνη Ελλάδα Γερμανία Ιταλία Ισπανία Αγγλία Στην Ελλάδα παρατηρείται το μικρότερο ποσοστό διείσδυσης στο Cloud σε σχέση με τις χώρες της Ευρωζώνης και ένα χάσμα σε σχέση με αναδυόμενες οικονομίες. Επικρατεί μία έλλειψη εμπιστοσύνης απέναντι στους παρόχους σχετικά με το επίπεδο ασφαλείας των Cloud Computing υπηρεσιών που παρέχονται στην Ελλάδα, καθώς το 37% των συμμετεχόντων δεν είναι πεπεισμένοι για το επίπεδο ασφαλείας. Αντίθετα, στην Ευρωζώνη το 30% δηλώνει σχεδόν βέβαιο. 25

26 Είστε πεπεισμένοι για το επίπεδο ασφαλείας που παρέχει ο πάροχος υπηρεσιών για την προστασία των ευαίσθητων δεδομένων σας; 49% 36% 30% 32% Ελλάδα Ευρωζώνη 12% 15% 14% 5% 5% 2% Πολύ Σχετικά Όχι πολύ Καθόλου Δεν γνωρίζω / Δεν απαντώ Μαρίκα Λάμπρου Chief Executive Officer, Singular Logic «Το Cloud διευκολύνει αλλά και φοβίζει, ανοίγει νέους ορίζοντες αλλά δημιουργεί ανασφάλειες. Ως κάτι καινούργιο είναι γοητευτικό και ταυτόχρονα τρομάζει. Ο φόβος του άγνωστου. Να το ακολουθήσουμε ή όχι; Ο μόνος τρόπος να λυθεί το δίλημμα είναι η γνώση, η ακριβής κατανόηση των δυνατοτήτων, η υιοθέτηση των συγκεκριμένων κανόνων. Απαραίτητες προϋποθέσεις για να συμβεί αυτό: η τόλμη για το επόμενο βήμα, το πάθος για το καλύτερο. Το Cloud δεν θα έρθει, είναι ήδη εδώ! Προκλητικά ωραίο για τους εντρυφήσαντες, μαγνητικά επίφοβο για τους αδαείς. Στο (όχι μακρινό) μέλλον, οι πρωτοπόροι θα απολαύσουν σημαντικά επιχειρηματικά οφέλη που θα τους καταστήσουν εμφανώς ανταγωνιστικότερους. Οι υπόλοιποι θα χρειαστεί να «τρέξουν» για να προφτάσουν τις εξελίξεις. Ο φόβος της ασφάλειας δεδομένων δεν πρέπει να αποτελεί ανασταλτικό παράδειγμα. Η τεχνολογία έχει ήδη λύσει χιλιάδες προβλήματα. Μπορεί να λύσει και αυτό. Αρκεί να εμπιστευθούμε την πυξίδα των διεθνών εξελίξεων και να απαιτήσουμε τη στιβαρότητα της επιστήμης σε κάθε βήμα μας στο «Σύννεφο» της προόδου.» 26

27 «Πιστεύω ότι σε κάποιο βαθμό, οι ανησυχίες για την ασφάλεια και την προστασία των δεδομένων στο Cloud, αποτελούν θέμα εδραιωμένων αντιλήψεων και στηρίζονται στην ίδια μας την ψυχολογία - όχι σε έμπρακτα στοιχεία. Με δεδομένο όμως ότι αρκετές μεγάλες επιχειρήσεις έχουν ήδη προβεί σε αυτή τη μετάβαση, είμαι αισιόδοξη ότι πολλές ελληνικές επιχειρήσεις θα αξιοποιήσουν σταδιακά την ευκαιρία να στραφούν με εμπιστοσύνη, προς τις τεχνολογίες Cloud και τα πολλαπλά οφέλη τους. Πέγκυ Αντωνάκου Διευθύνουσα Σύμβουλος, Microsoft Eλλάς Το Cloud computing μπορεί να συμβάλει άμεσα στην ανάκαμψη της οικονομίας. Σύμφωνα με τη μελέτη που εκπονήσαμε σε συνεργασία με το ΙΟΒΕ, το Cloud εξαλείφει αρκετά από πάγια κόστη, μειώνει τα λειτουργικά έξοδα κατά περίπου 30%, επιτρέποντας έτσι στους οργανισμούς να επενδύουν κεφάλαια και δυναμικό σε πιο στρατηγικές πρωτοβουλίες. Με την προϋπόθεση ότι το Cloud θα υιοθετηθεί με γοργούς ρυθμούς από την ελληνική αγορά, η μελέτη προβλέπει ότι μέσα στα επόμενα τρία χρόνια θα επιτραπεί σε κάθε εταιρεία να μειώσει το αποτύπωμα διοξειδίου του άνθρακα κατά περίπου 25%, ενώ επίσης θα συμβάλει στη δημιουργία έως και νέων θέσεων εργασίας, ως το 2015.» Όσον αφορά στους κινδύνους που αναγνωρίζουν οι συμμετέχοντες στην έρευνα από την Ελλάδα για την υλοποίηση της στρατηγικής τους σχετικά με το Cloud Computing: Το 37% θεωρούν ως τον μεγαλύτερο κίνδυνο την αδυναμία των παρόχων να εφαρμόσουν την πολιτική ασφαλείας τους στο data center (των παρόχων) και να συμμορφωθούν με τα ισχύοντα νομικά, θεσμικά και κανονιστικά πλαίσια. To 27% θεωρούν υψηλό τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης στα ευαίσθητα δεδομένα τους, λόγω ελλιπών μηχανισμών ελέγχου πρόσβασης. Το 18% θεωρεί ως τον πλέον ανασταλτικό παράγοντα θέματα διακυβέρνησης πληροφορικής καθώς και τη δυσκολία διενέργειας ελέγχων και παρακολούθησης του επιπέδου ασφαλείας της πληροφοριακής υποδομής και των παρεχόμενων υπηρεσιών του παρόχου. Ως προς την Ασφάλεια των Πληροφοριών, παρατηρούμε ότι ενώ η πλειοψηφία των συμμετεχόντων στην έρευνα από την Ελλάδα θεωρεί ότι η μετάβαση στο Cloud θα βελτιώσει το επίπεδο της Ασφαλείας (36%), το ποσοστό αυτό είναι σαφώς μικρότερο από το 47% της Ευρωζώνης και το 51% διεθνώς. Επίσης διαπιστώνουμε ότι παρόλο που το Cloud Computing και ειδικότερα η Ασφάλεια των Πληροφοριών σχετικά με την μετάβαση στο Cloud είναι από τα πλέον «καυτά θέματα» τον τελευταίο χρόνο στην Ελλάδα, εντούτοις, όπως προκύπτει από την έρευνα, υπάρχει έλλειψη ενημέρωσης και επιφυλακτικότητα απέναντι στους παρόχους υπηρεσιών Cloud (Cloud Service Providers). Το 27% των συμμετεχόντων από την Ελλάδα δήλωσαν ότι δεν γνωρίζουν αν και σε ποιο βαθμό θα επηρεάσει το Cloud Computing την Ασφάλεια των Πληροφοριών, ποσοστό πολύ υψηλότερο από το 6% που εμφανίζεται στην Ευρωζώνη αλλά και διεθνώς. 27

28 Η υιοθέτηση νέων τεχνολογιών κινείται ταχύτερα από την εφαρμογή της Ασφάλειας Σε όλους τους κλάδους, οι οργανισμοί προσπαθούν να μην μείνουν πίσω από τις εξελίξεις και να υιοθετήσουν το Cloud Computing, την κοινωνική δικτύωση (Social Media) και την ασφάλεια χρήσης φορητών συσκευών (είτε εταιρικών είτε ατομικών) από τους εργαζομένους. Όμως αυτές οι νέες τεχνολογίες, παρόλο που είναι ευρέως χρησιμοποιούμενες, συχνά δεν περιλαμβάνονται στα συνολικά πλάνα για την Ασφάλεια των Πληροφοριών. Για παράδειγμα η πρόσφατη έρευνα της PwC για τους καταναλωτές Consumer Privacy (Ιούλιος 2012), έδειξε ότι το 88% των καταναλωτών χρησιμοποιούν δικές τους κινητές συσκευές τόσο για προσωπικούς όσο και για επαγγελματικούς λόγους. Ποιες διαδικασίες για τη διασφάλιση της Ασφάλειας των Πληροφοριών διαθέτει ο οργανισμός σας; (Δεν περιλαμβάνονται όλοι οι παράγοντες, γι αυτό και το σύνολο δεν είναι 100%). Διεθνώς Ευρωζώνη Ελλάδα 51% 44% 45% 30% 26% 37% 38% 31% 32% 31% 36% 13% Στρατηγική για Cloud Computing Στρατηγική για την ασφάλεια των συσκευών Στρατηγική για την ασφάλεια στα Social Media Στρατηγική για την ασφάλεια κατά τη χρήση προσωπικών συσκευών από τους εργαζόμενους μέσα στην εταιρεία Σύμφωνα με τις απαντήσεις των συμμετεχόντων στην έρευνα, η μετάβαση στο Cloud βρίσκεται ακόμη σε αρχικό στάδιο και οι οργανισμοί δεν είναι κατάλληλα προετοιμασμένοι να διαχειρισθούν την προστασία ευαίσθητων δεδομένων στο Cloud. Το 50% δήλωσαν ότι είτε δεν είναι έτοιμοι είτε δεν το γνωρίζουν, ενώ οι υπόλοιποι ότι είναι «σχετικά» προετοιμασμένοι. Στην Ευρωζώνη αντίθετα το 25% δηλώνουν πολύ προετοιμασμένοι και ένα 28% ότι δεν είναι έτοιμοι ή δεν γνωρίζουν. Παρατηρώντας όμως τις διακυμάνσεις των ποσοστών και στις ευρωπαϊκές χώρες του Βορρά και του Νότου, και λαμβάνοντας υπόψη ότι οι τάσεις στην ελληνική αγορά ακολουθούν, έστω και με αργούς ρυθμούς την Ευρώπη, είναι θέμα χρόνου να προσαρμοσθούν ανάλογα και οι ελληνικές επιχειρήσεις. 28

29 Πόσο προετοιμασμένος είναι ο οργανισμός σας για να διαχειρισθεί την προστασία ευαίσθητων δεδομένων στο Cloud; Ισπανία Ιταλία Γερμανία Ελλάδα Ευρωζώνη Πολύ προετοιμασμένος Σχετικά προετοιμασμένος Απροετοίμαστος Δεν γνωρίζω Δεν μπορεί να εφαρμοστεί «Η ελληνική αγορά βιώνει σήμερα μια πρωτοφανή οικονομική ύφεση που οδηγεί τις επιχειρήσεις να αναζητούν τη βέλτιστη οικονομική διαχείριση, μειώνοντας τόσο τα πάγια λειτουργικά κόστη (OPEX) όσο και τις μελλοντικές επενδύσεις (CAPEX). Σε αυτή τη δύσκολη συγκυρία, η hellas online μπορεί να δώσει διέξοδο στις επιχειρήσεις, επενδύοντας εκείνη για λογαριασμό τους σε ΙΤ υποδομές, παρέχοντας υπηρεσίες public Cloud και συγκεκριμένα Infrastructure as a Service (IaaS). Η ανταπόκριση από την αγορά για τις ολοκληρωμένες υπηρεσίες cloud (endto-end SLA) είναι πολύ ενθαρρυντική χωρίς όμως αυτό να σημαίνει ότι δεν υπάρχει προβληματισμός για την μετάβαση στο cloud, τα οφέλη του, αλλά κυρίως για την Ασφάλεια και τα μέτρα που παίρνουμε για την διασφαλίσουμε. Εμείς σχεδιάσαμε τις υπηρεσίες μας μπαίνοντας πρώτα στη θέση αυτών που σχεδιάζουν τη στρατηγική της επόμενης μέρας στα θέματα πληροφορικής. Έτσι δώσαμε έμφαση στην Ασφάλεια, με υποδομή βάσει των κανονισμών της ΑΔΑΕ και της ΑΠΔΠΧ (για τη συμμόρφωση στο Ελληνικό Δίκαιο) και εφαρμογή όλων των διαδικαστικών και τεχνικών δικλείδων Ασφαλείας που προτείνονται από την ENISA και το CSA. Δυστυχώς η Ελλάδα βρίσκεται ακόμη χαμηλά στη διείσδυση λύσεων cloud, αλλά πιστεύουμε ότι, όπως με όλες τις καινούργιες τεχνολογίες, έτσι και με το cloud, η αγορά χρειάζεται το χρόνο της για να αφομοιώσει τα οφέλη του και να το υιοθετήσει ως στρατηγική λύση για το IT.» Φώτης Κωνσταντέλλος Chief Commercial Officer, hellas online 29

30 Διαθέτει ο οργανισμός σας ένα πλάνο που θα δίνει τη δυνατότητα στους εργαζομένους να χρησιμοποιούν τις προσωπικές τους ηλεκτρονικές συσκευές για να έχουν πρόσβαση σε εταιρικά δεδομένα και εφαρμογές; 28% 29% 29% 30% 29% 23% 20% 13% Διεθνώς Ευρωζώνη Ναι Ήδη χρησιμοποιούν τις δικές τους συσκευές Όχι Δεν γνωρίζω Νίκος Γιαννακάκος Managing Director, GLOBO Mobile «H φιλοσοφία Bring Your Own Device αποτελεί μια σύγχρονη εταιρική πρακτική που δίνει τη δυνατότητα στους εργαζόμενους μιας επιχείρησης να έχουν πρόσβαση στο εταιρικό τους περιβάλλον, συστήματα, διαδικασίες και λειτουργίες, μέσα από την προσωπική και οικεία σε αυτούς συσκευή (π.χ. tablet, smartphone). Πρόκειται για μια παγκόσμια τάση στο χώρο των επιχειρήσεων με πολλαπλά οφέλη, τόσο για την ίδια την επιχείρηση (μείωση κόστους απόκτησης εταιρικών συσκευών συντήρησης, διαχείρισης τους κτλ.), όσο και για τον υπάλληλο, καθώς χρησιμοποιεί τη δική του συσκευή με την οποία είναι πλήρως εξοικειωμένος. Έτσι, επιτυγχάνεται αμέσως ένα υψηλό επίπεδο παραγωγικότητας, αλλά και αυτοπεποίθησης στη χρήση της τεχνολογίας αποτελώντας ιδανική λύση στην περιστολή των εξόδων της επιχείρησης, αφού μειώνεται σημαντικά το κόστος κτήσης συσκευών. Η GLOBO μέσα από το δικό της καινοτόμο προϊόν GO!Enterprise Server, παρέχει στις επιχειρήσεις τη δυνατότητα υλοποίησης και εφαρμογής της φιλοσοφίας BYOD, μέσα από μία ολοκληρωμένη προσέγγιση που καλύπτει τις ανάγκες ενός Γραφείου (Office Mobility), με δυνατότητα διασύνδεσης οποιουδήποτε back-end εταιρικού συστήματος (όπως CRM, ERP, κ.α), με πρόσβαση από οποιαδήποτε συσκευή και με στόχο το χαμηλό κόστος υλοποίησης και λειτουργίας του.» 30

31 Έχει ο οργανισμός σας ασφαλή εικονικά τερματικά πραγματοποίησης συναλλαγών για φορητές συσκευές; (mobile Point of Sales) 46% 35% 34% 37% 30% 19% Ναι Όχι Δεν γνωρίζω Διεθνώς Ευρωζώνη Social Media Στην ερώτηση ποιες διαδικασίες διασφάλισης της Ασφάλειας των Πληροφοριών διαθέτει σήμερα ο οργανισμός σας, το 18% των συμμετεχόντων από την Ελλάδα απάντησαν ότι έχουν στρατηγική για τα μέσα κοινωνικής δικτύωσης. Το αντίστοιχο ποσοστό στην Ευρωζώνη και διεθνώς ήταν περίπου 35%. Όσον αφορά στις δαπάνες για την Ασφάλεια Πληροφοριών στα μέσα κοινωνικής δικτύωσης, υπάρχει διεθνώς η τάση να αυξηθούν, η οποία ακόμη δεν έχει αρχίσει να διαφαίνεται στην Ελλάδα. Στάθης Χαϊκάλης Διευθυνων Συμβουλος, Communication Effect «Η εμπειρία μου από τη συνεργασία με μεγάλες ελληνικές ή πολυεθνικές εταιρείες που λειτουργούν στην Ελλάδα, είναι η εξής: οι περισσότερες είναι επιφυλακτικές με τα social media για λόγους Ασφάλειας Πληροφοριών και προτιμούν να έχουν μια υποτονική παρουσία, αντί - όπως γίνεται διεθνώς - να αναπτύξουν την αναγκαία δράση σε αυτά και παράλληλα να θωρακισθούν με διαδικασίες και συστήματα Ασφάλειας Πληροφοριών. Φαίνεται παράδοξο, αλλά δεν είναι, με βάση τις διεθνείς έρευνες: εκτός από το νομικό τμήμα, υπέρμαχος μιας συντηρητικής στάσης, είναι συνήθως και το τμήμα ΙΤ. Η εμπειρία δείχνει ότι μια μέθοδος που συμβάλει στην αντιμετώπιση αυτών των δισταγμών, είναι η παράθεση Καλών Πρακτικών κυρίως απο την Ελλάδα (ευτυχώς υπάρχουν), αλλά και το διεθνές πεδίο.» 31

32 Ο οργανισμός σας θα αυξήσει ή θα μειώσει τις δαπάνες για να βελτιώσει την Ασφάλεια Πληροφοριών στα μέσα κοινωνικής δικτύωσης μέσα στους επόμενους 12 μήνες; Διεθνώς 48% 47% 5% Αύξηση Θα παραμείνουν ίδιες Μείωση Μεθοδολογία Η Παγκόσμια Μελέτη για την Ασφάλεια των Πληροφοριών 2013 (Global State of Information Security Survey 2013) διεξήχθη από την PwC και τα περιοδικά CIO Magazine και CSO Magazine κατά το χρονικό διάστημα 1/2/ /4/2012. Η PwC διεξάγει αυτή την έρευνα ηλεκτρονικά εδώ και 15 χρόνια, ενώ τα τελευταία 10 χρόνια συνεργάζεται με τα περιοδικά CIO Magazine και CSO Magazine τα οποία διανέμονται σε 128 χώρες. Εφέτος στην έρευνα συμμετείχαν ανώτερα στελέχη επιχειρήσεων και οργανισμών σε όλο τον κόσμο (CEO, CFO, CIO, CISO, CSO, Αντιπρόεδροι και Διευθυντές Πληροφορικής και Ασφάλειας). Από την Ελλάδα συμμετείχαν 77 ανώτερα στελέχη εκπροσωπώντας επιχειρήσεις των εξής κλάδων: Ασφάλειες, Αυτοκίνητα, Δημόσιες Υπηρεσίες, Εκδόσεις, Εκπαίδευση, Ενέργεια Πετρελαιοειδή, Επιχειρήσεις Κοινής Ωφελείας, Καταναλωτικά αγαθά, Κατασκευαστικές, Λιανική, Λογισμικό, Μεταλλευτικά, Μεταφορές, ΜΚΟ, ΜΜΕ, Πληροφορική, Συμβουλευτικές υπηρεσίες, Τηλεπικοινωνίες, Τουρισμός, Τράπεζες Χρηματοοικονομικά, Υγεία, Φαρμακευτικές, Χημικά. Το περιθώριο λάθους της έρευνας ήταν λιγότερο από 1%. Η ελληνική μελέτη εκπονήθηκε από τα τμήματα Risk Assurance και Marketing & Communication της PwC Ελλάδας. 32

33 Άλλες έρευνες της PwC για την Ελλάδα Οκτώβριος Έρευνα για τις οικογενειακές επιχειρήσεις 2012 Ελλάδα.... Συγκριτικά αποτελέσματα της δεύτερης μελέτης της PwC, ειδικά για την Ελλάδα, Νοέμβριος Νοέμβριος 2011 Παγκόσμια Έρευνα για το Οικονομικό Έγκλημα Ελλάδα 2011 Αλλαγή στρατηγικής, οργανωτική αναδιάρθρωση αλλά και απαίτηση για ένα αποτελεσματικότερο κράτος Παγκόσμια Έρευνα της PwC για τους CEOs η Μελέτη για την Ελλάδα Σχετικά με την PwC Οι εταιρείες μέλη του δικτύου της PwC βοηθούν επιχειρήσεις και ιδιώτες να δημιουργήσουν έργο που έχει την αξία που αναζητούν. Είμαστε ένα δίκτυο εταιρειών σε 158 χώρες με περισσότερα από στελέχη, που δεσμεύονται να παραδίδουν ποιοτικό έργο στις ελεγκτικές, φορολογικές και συμβουλευτικές υπηρεσίες που αναλαμβάνουν. Στην Ελλάδα έχουμε γραφεία στην Αθήνα και στη Θεσσαλονίκη και απασχολούμε περισσότερους από 800 εργαζόμενους. 33

34 Στοιχεία επικοινωνίας Αστέριος Βουλανάς PwC, Partner, IT Risk Assurance τηλ Λ. Κηφισίας 260, Χαλάνδρι Πληροφορίες για την έρευνα και για δημοσιογράφους Βίβιαν Τσαμαδού PwC, Senior Manager, Marketing & Communication τηλ Λ. Κηφισίας 260, Χαλάνδρι 34

35 Η παρούσα δημοσίευση αποσκοπεί μόνο σε ενημέρωση για θέματα γενικού ενδιαφέροντος και δεν αποτελεί επαγγελματική συμβουλή PricewaterhouseCoopers AE. Με επιφύλαξη όλων των νομίμων δικαιωμάτων. Η επωνυμία PwC αναφέρεται στην εταιρεία μέλος του δικτύου στην Ελλάδα, και σε μερικές περιπτώσεις μπορεί να αναφέρεται στο δίκτυο των εταιρειών μελών της PwC. Κάθε εταιρεία μέλος αποτελεί μια ξεχωριστή νομική οντότητα. Για περισσότερες πληροφορίες, παρακαλούμε επισκεφθείτε το

36