Enterprise IT Security

Transcript

1 S P E C I A L E D I T I O N Best Practices on Enterprise IT Security Secure Tomorrow Today ΙΟΥΛΙΟΣ 2015

2

3 Secure Tomorrow Today Στην εποχή της ψηφιακής οικονομίας η τεχνολογία σε όλες τις εκφάνσεις της - Consumerization of IT, Big Data, BYOD, Cloud, Mobility, Internet of Thingsμετασχηματίζει τον τρόπο που εργαζόμαστε, σκεφτόμαστε και δρούμε. Σε ένα επιχειρηματικό τοπίο που αλλάζει διαρκώς, με τις προκλήσεις να είναι μεγαλύτερες από ποτέ, το ΙΤ καλείται να παίξει έναν καταλυτικό ρόλο στην επιχειρηματική ανάπτυξη. Σε μια αγορά όπου η μόνη σταθερά είναι η αλλαγή και με την κρίση να αυξάνει ακόμα περισσότερο τις απειλές, η προστασία των πληροφοριακών συστημάτων, της ψηφιακής ιδιοκτησίας και των κρίσιμων υποδομών από τις κυβερνοεπιθέσεις είναι κρίσιμη όχι μόνο για την ανάπτυξη, αλλά και για την επιβίωση κάθε εταιρείας. Στην ειδική έκδοση για την ασφάλεια των πληροφοριακών συστημάτων και των δεδομένων που κρατάτε στα χέρια σας, δώσαμε το λόγο στους κατασκευαστές για να μας μιλήσουν σχετικά με τις λύσεις και τα προϊόντα που διαθέτουν στην ελληνική αγορά, αλλά και σε αντιπροσωπευτικά στελέχη από το νομικό (Μίνα Ζούλοβιτς), διεθνή (Ramses Gallego) και ελληνικό χώρο (Δρ. Μιχαήλ Μαυροφοράκη, CISO Ομίλου Εθνικής Τράπεζας), ώστε να αποτυπώσουν τις κυριότερες προκλήσεις που αντιμετωπίζουν σε αυτό το χώρο. Εκδότης-Διευθυντής Μιχάλης Κ. Μπούσιας Διευθυντής Εκδόσεων & Εκδηλώσεων Νικόλας Κονδάκης Αρχισυντάκτης Γιώργος Φετοκάκης Συντάκτρια Ελένη Χρυσαφοπούλου Art Director Kωνσταντίνα Σοφιανοπούλου Υπεύθυνη Ατελιέ Μαρία Πετροπούλου Ατελιέ Aλέξανδρος Καρβουτζής, Γεωργία Σαντούση Γιώργος Φετοκάκης Φωτογράφος Κορνήλιος Σαραντίογλου Τμήμα Διαφήμισης Account Managers Θάνος Θώμος, Bίκυ Στάμου Ιδιοκτησία Boussias Communications Λογιστήριο Αλέξης Σουλιώτης, Δημήτρης Φαραός, Κωνσταντίνος Χασιώτης Επικοινωνία Κλεισθένους 338, Τ.Κ , Γέρακας Τηλ.: , Fax: info@netweek.gr 04 CA Technologies Συνδυασμός multi-factor authentication και αξιολόγησης κινδύνου για την αποφυγή μη εξουσιοδοτημένης πρόσβασης και ηλεκτρονικής απάτης 05 Έλεγχος και Διακυβέρνηση με CA Identity Management 06 Crypteia Network MOREAL: Έξυπνη παρακολούθηση, αναφορά και προειδοποίηση για απειλές σε real time 08 Netbull Προετοιμάζοντας το Αύριο: Επιχειρησιακό Κέντρο Ασφάλειας 09 Μiνα Ζοyλοβιτς Οι νομικές προεκτάσεις της ψηφιακής εγκληματικότητας 10 Priority Η ασφάλεια πληροφοριών αποτελεί μέρος της στρατηγικής των πετυχημένων επιχειρήσεων 12 Space Hellas Εξισορροπώντας τις απαιτήσεις ασφάλειας και τις επιχειρησιακές ανάγκες 14 Ramses Gallego Η ασφάλεια είναι μη διαπραγματεύσιμη 16 Δρ. Μιχαhλ Μαυροφορaκης CISO Ομίλου Εθνικής Τράπεζας CISO, ένας πολύπλευρος και σύνθετος ρόλος 18 DIRECTORY ΠΕΡΙΕΧΟΜΕΝΑ netweek I 6 Ιουλίου

4 Best Practices on Enterprise IT Security Συνδυασμός multi-factor authentication και αξιολόγησης κινδύνου για την αποφυγή μη εξουσιοδοτημένης πρόσβασης και ηλεκτρονικής απάτης Kαθώς οι ανησυχίες για κλοπή ψηφιακών ταυτοτήτων, διαρροή δεδομένων και ψηφιακή απάτη αυξάνονται συνεχώς, οι οργανισμοί ταυτόχρονα αισθάνονται ιδιαίτερη πίεση προκειμένου να επιτρέψουν την πρόσβαση σε όλο και περισσότερες ευαίσθητες πληροφορίες στους υπαλλήλους, συνεργάτες και πελάτες τους, από οπουδήποτε και σε οποιαδήποτε συσκευή. Αυτή η δυναμική της αγοράς καθιστά αναγκαία τη χρήση υποδομής με πολλαπλά κριτήρια ταυτοποίησης αυθεντικοποίησης, καθώς επίσης και μηχανισμών πρόληψης ψηφιακής απάτης και κρίνεται ως στρατηγικής σημασίας για την ασφάλεια οποιουδήποτε οργανισμού. To CA Advanced Authentication είναι μια ευέλικτη και επεκτάσιμη λύση, η οποία αξιοποιεί προηγμένες μεθόδους διαπίστευσης και ταυτοποίησης χρηστών με βάση την αξιολόγηση κινδύνου (όπως η ταυτοποίηση συσκευών, το geolocation και η δραστηριότητα του χρήστη), σε συνδυασμό με μια ευρεία γκάμα από διαπιστευτήρια πολλαπλών επιπέδων (multi-factor) ισχυρής ασφάλειας. Η λύση αυτή μπορεί να επιτρέψει στον οργανισμό να δημιουργήσει τις κατάλληλες διαδικασίες ελέγχου ταυτότητας για κάθε εφαρμογή ή συναλλαγή. Μπορεί να υλοποιηθεί ως on-premise εγκατάσταση ή ως cloud υπηρεσία και παρέχει ασφαλή πρόσβαση σε κρίσιμες on-line εφαρμογές υποστηρίζοντας μια ευρύτατη γκάμα σημείων πρόσβασης, συμπεριλαμβανομένων όλων των διαδεδομένων κινητών συσκευών. To CA Strong Authentication είναι ένα ευέλικτο σύστημα ελέγχου και διαπίστευσης προσβάσεων, το οποίο επιτρέπει την υλοποίηση και επιβολή ισχυρών πολιτικών με εξαιρετική αποτελεσματικότητα και κεντρική διαχείριση. Παρέχει τη δυνατότητα ασφαλούς διαδικτυακής αλληλεπίδρασης με υπαλλήλους, συνεργάτες και πολίτες γενικότερα, παρέχοντας προηγμένες μεθόδους ισχυρής ταυτοποίησης πολλαπλών επιπέδων τόσο για εσωτερικές όσο και για cloud εφαρμογές. Περιλαμβάνει εφαρμογές ταυτοποίησης και αυθεντικοποίησης για κινητές συσκευές (software-based mobile OTP generator), καθώς επίσης και αρκετές μεθόδους out-of- band ταυτοποίησης. Το CA Risk Authentication προσφέρει πολλαπλά κριτήρια ταυτοποίησης αυθεντικοποίησης έτσι ώστε να μπορεί να ανιχνεύσει και να εμποδίσει αυτόματα οποιαδήποτε ηλεκτρονική απάτη σε πραγματικό χρόνο. Μπορεί να ενσωματωθεί σε κάθε online εφαρμογή, συμπεριλαμβανομένων websites/portals και VPNs και αναλύει και αξιολογεί τον τρόπο με τον οποίο γίνεται η πρόσβαση ανακαλύπτοντας πιθανές απόπειρες ηλεκτρονικής απάτης. Χρησιμοποιώντας μια διάφανη προσέγγιση πολλαπλών κριτηρίων διαπίστευσης καθώς επίσης και στοιχεία όπως την ταυτότητα της συσκευής ( Device DNA ), το μέρος από όπου εκτελείται η συναλλαγή (geolocation), τη διεύθυνση IP της συσκευής και τις κινήσεις που κάνει ο χρήστης σε σύγκριση με προηγούμενες συνήθειές του μέσα στην εφαρμογή, υπολογίζει το ρίσκο και αξιολογώντας το προβαίνει στις απαιτούμενες ενέργειες για την αποφυγή της ηλεκτρονικής απάτης. 4 netweek I 6 Ιουλίου 2015

5 Έλεγχος και Διακυβέρνηση με CA Identity Management Για όσους είναι επιφορτισμένοι με την επιλογή λύσης διαχείρισης και διακυβέρνησης ταυτοτήτων για τον οργανισμό τους, η σωστή επιλογή πλατφόρμας Identity Management μπορεί να φαίνεται σαν ένα πολύ δύσκολο έργο. Μια ολοκληρωμένη λύση θα πρέπει να καλύπτει πολλά διαφορετικά πεδία, συμπεριλαμβανομένων των κανονισμών συμμόρφωσης, της διαχείρισης ρόλων, της ανάθεσης προσβάσεων, της υπηρεσίας διαχείρισης αιτημάτων, της διαχείρισης κωδικού πρόσβασης και μιας σειράς άλλων λειτουργιών. Χρήστες με υπερβολικά ή ακατάλληλα προνόμια μπορεί δυνητικά να είναι καταστροφικοί για μια επιχείρηση, προκαλώντας διαρροή εμπιστευτικών δεδομένων και καταπατώντας μέτρα κανονιστικής συμμόρφωσης. Με την αυτοματοποίηση της διαδικασίας χορήγησης και επαλήθευσης των προσβάσεων στις εφαρμογές με βάση τη σχέση των χρηστών με τον οργανισμό και τον ρόλο που έχουν σ αυτόν - είτε αυτοί είναι υπάλληλοι, είτε διαχειριστές, εξωτερικοί συνεργάτες ή πελάτες - βελτιώνεται η ευελιξία του ΙΤ. Ταυτόχρονα βελτιστοποιείται η αποδοτικότητα του οργανισμού και μειώνονται οι κίνδυνοι σε θέματα ασφάλειας με την γρήγορη ενεργοποίηση νέων χρηστών και την ανάθεση των κατάλληλων προσβάσεων στους κατάλληλους ανθρώπους. Identity Management, Identity Governance και Privileged Identity Management Οι λύσεις ασφάλειας της CA Technologies, παρέχουν τη δυνατότητα διαχείρισης και διακυβέρνησης των ταυτοτήτων των χρηστών -συμπεριλαμβανομένων των κοινόχρηστων αλλά και προνομιακών λογαριασμών - και άμεσης απάντησης στο ερώτημα, «Ποιος έχει πρόσβαση και σε τι;» με απλό και οικονομικό τρόπο. Σχεδιασμένες με έμφαση τόσο στην ευκολία χρήσης όσο και στην ελκυστική σχέση κόστους-απόδοσης, συμβάλλουν καθοριστικά στη βελτίωση της αποδοτικότητας, της ασφάλειας αλλά και της κανονιστικής συμμόρφωσης ολόκληρου του οργανισμού. Οι λύσεις Identity Management και Governance της CA προσφέρουν προληπτική διασφάλιση των ευαίσθητων πληροφοριών και των κρίσιμων συστημάτων, χωρίς να επηρεάζονται οι συνήθεις δραστηριότητες της επιχείρησης και του IT. Έτσι αυτοματοποιούνται οι έλεγχοι ταυτοτήτων και ο οργανισμός εξασφαλίζει ότι οι χρήστες έχουν μόνο τις προσβάσεις που αντιστοιχούν και είναι απαραίτητες στο ρόλο τους. Η σουΐτα CA Identity Management and Governance περιλαμβάνει τις λύσεις CA Identity Suite και CA Privileged Identity Manager, λύσεις που έχουν σχεδιαστεί για να αυξήσουν την επιχειρησιακή αποτελεσματικότητα και την παραγωγικότητα των χρηστών με παράλληλη μείωση του φόρτου εργασίας και του διαχειριστικού κόστους. Συνολικά η προσέγγιση της CA Technologies για το Identity Management συμβάλλει αποφασιστικά στη βελτίωση της ασφάλειας και κανονιστικής συμμόρφωσης με την αυτοματοποίηση των ελέγχων των ταυτοτήτων και των προσβάσεων, σε φυσικά, virtual και cloud περιβάλλοντα αλλά και Mobile, Desktop, Server και Mainframe πλατφόρμες. netweek I 6 Ιουλίου

6 Best Practices on Enterprise IT Security MOREAL: Έξυπνη παρακολούθηση, αναφορά και προειδοποίηση για απειλές σε real time Καταπολεμήστε τη νέα γενιά απειλών του κυβερνοχώρου, συμπεριλαμβανόμενων των επίμονων προηγμένων απειλών, των zero day malwares, του κυβερνοεγκλήματος και των οποιοδήποτε αχαρτογράφητων απειλών με τις καινοτόμες λύσεις security-as-a-service της Crypteia Networkς. Τα σύγχρονα δίκτυα αποτελούνται από συσκευές διαφορετικών κατασκευαστών, οι οποίες επιτρέπουν στους ΙΤ και Information Security administrators να πετυχαίνουν το υψηλότερο επίπεδο αξιοπιστίας και απόδοσης των δικτύων τους. Όμως, τέτοια ανομοιογενή περιβάλλοντα, που αποτελούνται από διαφορετικές τεχνολογίες και από πλήθος κατασκευαστών, δημιουργούν διαχειριστικά ζητήματα που πρέπει να επιλύονται με ακρίβεια και αποτελεσματικότητα. Σε αυτή την κατεύθυνση, η εγκατάσταση και συστηματική χρήση συστημάτων διαχείρισης δικτύων (NMS) προβάλλει μεν ως μια καλή εναλλακτική, αλλά ακριβή, λύση. Παράλληλα, η συνεχής αύξηση της αξίας της πληροφορίας οδηγεί τους οργανισμούς να λαμβάνουν υπ όψιν τους και να εισάγουν συστήματα διαχείρισης πληροφορίας και γεγονότων ασφάλειας (SIEM) για να διασφαλίσουν την έγκαιρη ανίχνευση και αντιμετώπιση πιθανών απειλών και επιθέσεων. Παρ όλα αυτά, η ορθή και αποτελεσματική χρήση συστημάτων NMS και SIEM προϋποθέτει την ύπαρξη έμπειρου και εκπαιδευμένου προσωπικού, με συνεχή αφοσίωση στην κατανόηση και υιοθέτηση των εξελίξεων στο παγκόσμιο τοπίο του CyberSecurity, ειδικότερα όταν οι υπό προστασία υποδομές χρησιμοποιούνται για τη διαχείριση και επικοινωνία ευαίσθητων και κρίσιμων δεδομένων. Από τις λειτουργίες Monitoring, Reporting και Alerting στο Threat Intelligence Management Το MOREAL είναι μια cloud-based πλατφόρμα διαχείρισης μεγάλου όγκου δεδομένων δικτύου και ασφάλειας. Η πλατφόρμα έχει σχεδιαστεί και υλοποιηθεί για να προσφέρει υψηλού επιπέδου επεκτασιμότητα και αξιοπιστία. Το MOREAL προσφέρει στους IT και Information Security administrators τη δυνατότητα να έχουν πρόσβαση σε παρακολούθηση δεδομένων, reports και alerts σε πραγματικό χρόνο, χωρίς την εγκατάσταση, διαχείριση και χρήση ακριβών και πολύπλοκων λύσεων NMS και SIEM. Αυτό επιτυγχάνεται μέσω του MOREAL και μιας Web διεπαφής, σε ένα φιλικό προς τον χρήστη και πλήρως ασφαλές περιβάλλον. Το MOREAL προσφέρει στους IT και Information Security administrators τη δυνατότητα να λαμβάνουν αποφάσεις, χωρίς την ανάγκη περίπλοκων αναλύσεων, μέσω χειροκίνητων συσχετισμών και Εικόνα 1: Το MOREAL με μια ματιά γεγονότων, αφού ενστερνίζεται τεχνικές διαχείρισης μεγάλου όγκου δεδομένων και επωφελείται από την επεξεργαστική ισχύ και την υψηλή διαθεσιμότητα των cloud computing τεχνολογιών. Σχεδιασμένο υπό μη διεισδυτική οπτική, το MOREAL καταναλώνει και αναλύει δεδομένα από τις λύσεις περιμετρικής ασφάλειας του προστατευόμενου δικτύου. Πιο συγκεκριμένα, οι συσκευές των οποίων τα δεδομένα αναλύονται και συσχετίζονται από το MOREAL είναι switches, routers, firewalls, UTMs, IPSs κ.λπ., ενώ τα υποστηριζόμενα πρωτόκολλα διαχείρισης δεδομένων βασίζονται σε standards όπως τα syslog, SNMP και την xflow οικογένεια πρωτοκόλλων. Λόγω της σχετικά περιορισμένης πληροφoριακής αξίας των δεδομένων που έρχονται από το δικτυακό επίπεδο, το MOREAL εξελίσσεται σε τρεις σημαντικούς άξονες για τον εμπλουτισμό των πληροφοριών ασφάλειας, καθώς και για τη διορατικότητα που παρέχει στους χρήστες του. Κατά τον πρώτο άξονα εξέλιξής του, το MOREAL επεκτείνεται ώστε να μπορεί να κατανοήσει, αναλύσει και συσχετίσει πληροφορίες που προέρχονται από πιθανώς ήδη υπάρχουσες λύσεις NMS και SIEM. Παράλληλα, το MOREAL βελτιώ- 6 netweek I 6 Ιουλίου 2015

7 Εικόνα 2: ThreatDB επισκόπηση νεται ώστε να συλλέγει, κανονικοποιεί και να χρησιμοποιεί Threat Intelligence καταχωρήσεις, ερχόμενες από ποικίλες Open Source πηγές ασφάλειας. Βάσει τέτοιου τύπου πληροφορίας, η πλατφόρμα παρέχει στους χρήστες της ειδοποιήσεις, που σχετίζονται άμεσα με το υπάρχον status του Threat Intelligence όπως εξελίσσεται παγκοσμίως. Πιο συγκεκριμένα, μια πληθώρα τέτοιου τύπου πηγών πληροφοριών περί απειλών, όπως τα deep web, RSS, CERTs, twitter, open repositories, κ.λπ., έχουν ληφθεί υπ όψιν. Έτσι, το MOREAL είναι ικανό να χρησιμοποιεί πληροφορία όπως IP/domain blacklists, malware lists, CVE signatures, κ.λπ., για να ανιχνεύει οποιαδήποτε υπάρχουσα δυνητική απειλή σε οποιοδήποτε δίκτυο και να συντηρεί μια μοναδική αποθήκη Threat Intelligence (ThreatDB). Επιπλέον, η ερευνητική ομάδα της Crypteia Networks σχεδιάζει αλγορίθμους ανάλυσης που μπορούν να συσχετίσουν οποιουδήποτε τύπου δεδομένα για να παρέχουν άμεση και έγκαιρη ανίχνευση όλων των δυνητικών απειλών ή και να προβλέψουν patterns που δυνητικά θα μπορούσαν να μετατραπούν σε παραβίασεις ασφάλειας, βάσει της κρισιμότητας των στοιχείων (assets) που λαμβάνονται υπ όψιν στην ανάλυση και της υπολογεισθήσας πιθανότητας.τα αποτελέσματα αυτών των μηχανισμών ανάλυσης και πρόβλεψης χρησιμοποιούνται για την ενημέρωση και τον εμπλουτισμό της ThreatDB, με πληροφορία προερχόμενη από την ανάλυση και κατ επέκταση τη διαχείριση συμβάντων ασφάλειας που γίνονται σε δίκτυα που επιβλέπονται με τη χρήση του MOREAL. Η Crypteia Networks είναι μια εξειδικευμένη εταιρεία που παρέχει αναβαθμισμένες λύσεις ασφάλειας πληροφοριών, με τη μορφή υπηρεσίας (Managed Security Services). Στόχος της Crypteia Networks είναι να «θωρακίσει» τις υποδομές της επιχειρήσης από δυνητικές ηλεκτρονικές απειλές που θα προέλθουν από κενά ασφάλειας, επιθέσεις τρίτων μερών ή αμέλεια κάποιου χρήστη. Οι υπηρεσίες της ελέγχονται και παρακολουθούνται Real Time όλο το εικοσιτετράωρο (24x7) από τους Security Engineers & Analysts του Security Operations Center (SOC), ώστε να αντιμετωπισθούν άμεσα τυχόν επιθέσεις, να δράσουν προληπτικά, να εγκατασταθούν επείγουσες αναβαθμίσεις, καθώς και να επιλυθούν άλλα προβλήματα που μπορεί να προκύψουν. Η Crypteia Networks ανήκει στην Όμιλο της PCCW Global, ο οποίος αποτελεί τον βραχίονα διεθνών δραστηριοτήτων της Hong Kong Telecom (HKT), κορυφαίου παρόχου τηλεπικοινωνιακών υπηρεσιών του Χονγκ Κονγκ, η οποία ανήκει κατά πλειοψηφία στην PCCW Limited. Καλύπτοντας περισσότερες από πόλεις και 130 χώρες, το δίκτυο της PCCW Global υποστηρίζει ένα χαρτοφυλάκιο ολοκληρωμένων, λύσεων τηλεπικοινωνίας για την παγκόσμια αγορά, συμπεριλαμβανομένων λύσεων Ethernet, IP, μετάδοσης μέσω οπτικών ινών και δορυφόρων, υπηρεσιών managed services και σχετικών λύσεων, καθώς και διεθνών υπηρεσιών μετάδοσης φωνής (voice) και VoIPX. Εικόνα 3: O δρόμος προς το Threat Intelligence netweek I 6 Ιουλίου

8 Best Practices on Enterprise IT Security Προετοιμάζοντας το Αύριο: Επιχειρησιακό Κέντρο Ασφάλειας Σε ένα σύγχρονο επιχειρηματικό τοπίο όπου η ασφάλεια είναι περισσότερο σημαντική από ποτέ, η ύπαρξη ενός αποτελεσματικού Σύγχρονου Επιχειρησιακού Κέντρου Ασφαλείας είναι καταλυτική για την αποτελεσματική απόκρουση των επιθέσεων σε πραγματικό χρόνο. Του Νικήτα Κλαδάκη, Chief Security Architect, netbull Οι επιθέσεις στον κυβερνοχώρο είναι αναμφισβήτητα όλο και πιο συχνές και εξιδεικευμένες. Οι hackers διαθέτουν πολλούς τρόπους για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε μία επιχείρηση αρκεί να εντοπίσουν τον πιο αδύναμο κρίκο στην ασφάλεια. Τα ερωτήματα που γεννιούνται πολλά και χωρίς εύκολες απαντήσεις. Πως προστατευόμαστε από άγνωστες απειλές και exploits μηδενικού χρόνου; Πως θα ανιχνευθεί και θα αντιμετωπισθεί μία στοχευμένη επίθεση σε πραγματικό χρόνο όταν εκδηλώνεται Σάββατο ή Κυριακή 12:00 το βράδυ; H προμήθεια και η εγκατάσταση σύγχρονων συστημάτων όπως firewall, IPS, Web Application Firewall, κ.λπ. στην περίμετρο μίας επιχείρησης είναι αρκετή ώστε να εντοπίσουμε και να αντιμετωπίσουμε τέτοιου είδους απειλές; Η απάντηση είναι στον σχεδιασμό και στην λειτουργία ενός Σύγχρονου Επιχειρησιακού Κέντρου Ασφάλειας (Security Operation Center) Πληροφοριακών Συστημάτων το οποίο να λειτουργεί 24x7x365 και να είναι βασισμένο: (α) σε έμπειρο και εκπαιδευμένο προσωπικό, (β) σε διαδικασίες και πολιτικές, (γ) και τέλος σε σύγχρονες τεχνολογίες ασφάλειας. Σκοπός ενός Επιχειρησιακού Κέντρου Ασφαλείας είναι η συνεχή παρακολούθηση και η διαχείριση των περιστατικών ασφαλείας σε πραγματικό χρόνο με πλεονέκτημα την άμεση απόκριση καθότι ένα κακόβουλο λογισμικό μπορεί να επιφέρει ζημιά σε ελάχιστα δευτερόλεπτα. Για το εντοπισμό όλων των περιστατικών ασφαλείας σε πραγματικό χρόνο απαιτείται ένα Σύστημα Διαχείρισης Συμβάντων Ασφαλείας (Security Information and Event Management-SIEM-). Το SIEM είναι η καρδιά ενός Κέντρου Ασφάλειας διότι παρέχει την δυνατότητα της άντλησης, της ανάλυσης, και του συσχετισμού των συμβάντων ασφαλείας από πολλές και διαφορετικές πηγές. Ένα Κέντρο Ασφάλειας μπορεί να υλοποιηθεί είτε με ιδίους πόρους του οργανισμού (κτηριακές εγκαταστάσεις, προσωπικό, υποδομή ασφαλείας κ.λπ.) είτε να ανατεθεί σε εξωτερικούς συνεργάτες με την διαφοροποίηση να ανάγεται αποκλειστικά στο κόστος. Η δημιουργία και η διατήρηση ενός Επιχειρησιακού Κέντρου Ασφαλείας το οποίο θα αναπτυχθεί με ιδίους πόρους και θα λειτουργεί 24x7x365 σε πραγματικό χρόνο απαιτεί υψηλό προϋπολογισμό για την μισθοδοσία και την εκπαίδευση του προσωπικού το οποίο θα λειτουργεί το Κέντρο, για τη προμήθεια και την διαχείριση της υποδομής ασφαλείας, για το κόστος εξωτερικών συνεργατών όπως νομικούς συμβούλους, ελεγκτές ασφαλείας κ.λπ. Αντίθετα όταν ένα Κέντρο Ασφαλείας ανατεθεί σε εξωτερικό συνεργάτη έχει σαν αποτέλεσμα την δραστική μείωση του κόστους. Ουσιαστικά, το μόνο που επιβαρύνει οικονομικά τον Οργανισμό είναι το ετήσιο κόστος της παροχής της υπηρεσίας με τα λοιπά λειτουργικά κόστη να βαρύνουν πλέον τον πάροχο της Υπηρεσίας (Συνεργάτη). Η εταιρεία netbull έχοντας κατανοήσει την πολυπλοκότητα και την σύνθεση των σύγχρονων απειλών που αντιμετωπίζουν οι Οργανισμοί σε συνδυασμό με το υψηλό κόστος της δημιουργίας και λειτουργίας ενός Κέντρου, δημιούργησε ένα σύγχρονο Επιχειρησιακό Κέντρο Ασφάλειας πιστοποιημένο με το πρότυπο ISO/IEC 27001, με το οποίο παρέχει υπηρεσίες Managed Security Services Next Generation (NG). Ενσωματώνοντας και συνδυάζοντας τεχνολογίες και πλατφόρμες όπως IBM QRadar, Checkpoint και Mcafee με υπηρεσίες όπως threat intelligent, security information event management, full packet capture network forensics και vulnerability assessment παρέχεται η δυνατότητα εντοπισμού των απειλών σε πραγματικό χρόνο σε οποιοδήποτε σημείο (endpoint) του δικτύου, εξασφαλίζοντας έτσι στο μέγιστο την ασφαλή λειτουργία του Οργανισμού. netbull, Υπηρεσίες Πληροφορικής LTD Λ. Ελευθερίου Βενιζέλου 16, Καλλιθέα, Τ: F: W: 8 netweek I 6 Ιουλίου 2015

9 Best Practices on Enterprise IT Security Οι νομικές προεκτάσεις της ψηφιακής εγκληματικότητας Η Μίνα Ζούλοβιτς, συνεταίρος δικηγόρος του δικηγορικού γραφείου Filotheidis & Partners, καταγράφει τις κυριότερες προκλήσεις ασφάλειας που καλούνται να διαχειριστούν οι επιχειρήσεις, αναλύοντας τη νομική πτυχή τους. netweek: Τι νομικά όπλα διαθέτει μια εταιρεία σήμερα για την προστασία της έναντι των κυβερνοεγκληματιών και πόσο δύσκολο είναι να μπορέσει να αποζημιωθεί ηθικά και οικονομικά έναντι των ζημιών που έχει υποστεί από μια κυβερνοεπίθεση; Μίνα Ζούλοβιτς: Aυτό που ονομάζουμε γενικά «ψηφιακή εγκληματικότητα» είναι ένας εξαιρετικά σοβαρός κίνδυνος στο ψηφιακό περιβάλλον που καμία εταιρεία δεν πρέπει να υποτιμά. Τον σημαντικότερο κίνδυνο αντιμετωπίζουν, καταρχάς, τα δεδομένα των εταιρειών, τόσο τα προσωπικά δεδομένα πελατών, προμηθευτών, εργαζομένων όσο και, εν γένει, τα επαγγελματικά δεδομένα και απόρρητα των εταιρειών. Το κυριότερο νομικό όπλο που διαθέτει ο σύγχρονος επιχειρηματίας είναι το να ενεργεί προληπτικά, ήτοι να προετοιμάζεται στρατηγικά και να θωρακίζεται όσο πιο καλά γίνεται πριν προκληθεί το όποιο incident. Αυτό μπορεί να γίνει δια μέσου της Πολιτικής Ασφαλείας του, η οποία θα πρέπει να ρυθμίζει και κρίσιμα νομικά θέματα, όπως το ποιος έχει δικαιώματα στα δεδομένα, ποιος φέρει την ευθύνη, καθώς και πώς συλλέγονται τα δεδομένα σε περίπτωση που επέλθει κάποιο incident, ώστε να είναι εφικτή η νόμιμη χρήση τους σε ένα δικαστήριο ως αποδεικτικών μέσων. Ιδίως το τελευταίο είναι πάρα πολύ σημαντικό για τη δυνατότητα αποκατάστασης της ζημίας και την επιδίωξη αποζημίωσης με δικαστικά μέσα. Αλλιώς υπάρχει κίνδυνος τα «αποδεικτικά στοιχεία» να θεωρηθούν μη νόμιμα και, άρα, να μην μπορούν να χρησιμοποιηθούν. nw:ποιο είναι το νομικό πλαίσιο που διέπει την προστασία των δεδομένων στη χώρα μας (αλλά και στην ΕΕ γενικότερα); Τι ασφαλιστικές δικλείδες πρέπει να έχει ένας οργανισμός που τηρεί ή μεταφέρει δεδομένα σε διάφορες χώρες ή περιοχές του πλανήτη; Μ. Ζούλοβιτς: Βασική αρχή κατά το δίκαιο της ΕΕ είναι ότι κάθε εταιρεία που συλλέγει δεδομένα φέρει η ίδια την ευθύνη απέναντι στις Αρχές και απέναντι στα υποκείμενα των δεδομένων για ό,τι συμβεί στα δεδομένα αυτά και όχι ο τρίτος που εκτελεί την επεξεργασία για λογαριασμό της (π.χ. ένας cloud provider ή μια εταιρεία εκκαθάρισης ή έκδοσης λογαριασμών κ.ο.κ). Επίσης, ειδικά για το θέμα της διασυνοριακής μεταφοράς δεδομένων, απαιτείται ειδική άδεια της Αρχής Προστασίας για τη μεταφορά τους ή τη φύλαξή τους εκτός χωρών της ΕΕ (ακόμη και μεταξύ εταιρειών του ιδίου ομίλου). Εξαίρεση από την άδεια αυτή υπάρχει μόνον για τις χώρες που έχουν ήδη κριθεί από την ΕΕ ότι τηρούν το ίδιο επίπεδο προστασίας με την ΕΕ (προς το παρόν όλες οι χώρες του Ευρωπαϊκού Οικονομικού Χώρου, Ελβετία, Καναδάς, Αργεντινή, Ανδόρα, νήσοι Φερρόες, Ισραήλ, Ουρουγουάη, Νήσος Μαν, Νήσος Τζέρσεϋ και στις ΗΠΑ μόνον όσες εταιρείες έχουν ρητώς υπαχθεί στο Safe Harbor scheme). nw: Πόσο περιπλέκονται τα πράγματα από τη νομοθεσία για την προστασία των δικαιωμάτων των υπαλλήλων; Μ. Ζούλοβιτς: Διάφορες μελέτες καταδεικνύουν ότι ο μεγαλύτερος κίνδυνος για την ασφάλεια των δεδομένων και των πληροφοριών των εταιρειών προέρχεται από το εσωτερικό τους δηλαδή, από τους υπαλλήλους και από τα πρόσωπα που έρχονται σε επαφή με αυτά. Εντούτοις, στην ΕΕ οι αρχές προστασίας των προσωπικών δεδομένων ισχύουν και για τα προσωπικά δεδομένα των εργαζομένων. Έτσι, δεν είναι δυνατόν οι υπάλληλοι να παρακολουθούνται αδιακρίτως και με κάθε μέσο από τους εργοδότες τους προς αποφυγή παράνομων πράξεων. Εκτός των άλλων, μια τέτοια παρακολούθηση θα ήταν άνευ αξίας, αφού τα «αποδεικτικά στοιχεία» θα ήταν παράνομα. Για το λόγο αυτό, κάθε επιχείρηση πρέπει να μελετήσει και να υιοθετήσει τα νομικά εργαλεία που της επιτρέπει ο νόμος να χρησιμοποιήσει (τα οποία διαφέρουν για κάθε εταιρεία), ώστε να προστατεύεται από τυχόν παράνομη υποκλοπή ή χρήση των δεδομένων της από υπαλλήλους της και να τα εφαρμόσει δια μέσου του Κανονισμού Εργασίας και της σύμβασης εργασίας (ή εξωτερικών συνεργατών) που υπογράφει με τα πρόσωπα που εργάζονται για αυτήν. netweek I 6 Ιουλίου

10 Best Practices on Enterprise IT Security Η ασφάλεια πληροφοριών αποτελεί μέρος της στρατηγικής των πετυχημένων επιχειρήσεων H τακτική διάγνωση και η διαρκής βελτίωση της προστασίας μπαίνουν στην ατζέντα των Διοικητικών Συμβουλίων. Του Κωνσταντίνου Γκαβαρδίνα, Διευθυντή IT Governance, PRIORITY Πίσω από τους στόχους κάθε διοίκησης βρίσκεται πάντα μια θεμελιώδης αρχή: η επιβίωση. Όταν μια απειλή έρχεται να διακινδυνεύσει την ίδια την ύπαρξη μιας επιχείρησης, κάθε manager οφείλει εγκαίρως να την αναγνωρίσει, να την αξιολογήσει και να την αντιμετωπίσει. Ποιες είναι οι βέλτιστες τεχνολογίες και πρακτικές ασφάλειας πληροφοριών που θα πρέπει να επιλέξει η διοίκηση, με γνώμονα το κόστος και την αποτελεσματικότητα? Η ορθή διάγνωση των κενών ασφαλείας και του βαθμού έκθεσης απέναντι σε απειλές θα πρέπει πάντα να αποτελεί την πρώτη κίνηση. Η εφαρμογή συστηματικών μεθοδολογιών αξιολόγησης και εκτίμησης κινδύνων και η αναφορά σε αναγνωρισμένα διεθνή πρότυπα και προδιαγραφές όπως το ISO διασφαλίζουν μια ολοκληρωμένη προσέγγιση της ασφάλειας. Επιπρόσθετα, η χρήση εργαλείων τεχνικής αξιολόγησης (penetration testing) επιτρέπει τον εντοπισμό συστημικών αδυναμιών και την ποσοτική εκτίμηση της πιθανότητας αξιοποίησής τους για τη διεξαγωγή στοχευμένων επιθέσεων. Με βάση τα αποτελέσματα της διάγνωσης, η διοίκηση καλείται πλέον να επιλέξει μέτρα αντιμετώπισης που καλύπτουν τόσο την τεχνική όσο και τη λειτουργική διάσταση της ασφάλειας των πληροφοριών. Η επιχείρηση θα πρέπει να επιλέξει μεταξύ εναλλακτικών τεχνικών λύσεων, εμπορικών ή «ανοικτού κώδικα», που καλύπτουν τα κενά ασφαλείας, είναι προσαρμοσμένες στο μέγεθος των απειλών και παρέχουν την καλύτερη σχέση κόστους-οφέλους. Επιπρόσθετα, θα πρέπει να αξιολογήσει τη σκοπιμότητα και βιωσιμότητα συντήρησης και ενίσχυσης των τοπικών μηχανισμών (in-house) έναντι της χρήσης εξειδικευμένων υπηρεσιών από τρίτα μέρη (π.χ. λύσεις cloud hosting, managed security, log management). Ταυτόχρονα, θα πρέπει να τεθεί σε εφαρμογή ένα ολοκληρωμένο οργανωτικό πλαίσιο ασφάλειας πληροφοριών, το οποίο μέσα από τεκμηριωμένες πολιτικές και διαδικασίες θα επιμορφώσει τους εργαζομένους ως προς τις αποδεκτές πρακτικές λειτουργίας και θα καλλιεργήσει κουλτούρα ασφάλειας, τόσο εντός όσο και εκτός της εταιρείας. Ιδιαίτερη έμφαση θα πρέπει να δοθεί στην υλοποίηση στοχευμένων και επαναλαμβανόμενων εκπαιδεύσεων, προσαρμοσμένων στο ρόλο και τις ευθύνες κάθε θέσης εργασίας. Λαμβάνοντας υπόψη τη συνεχή εξέλιξη και διαφοροποίηση των απειλών σε συνδυασμό με τη φυσική τάση του προσωπικού να εφησυχάζει, κρίνεται αναγκαία η εγκατάσταση μηχανισμών συνεχούς ελέγχου και μέτρησης της απόδοσης των μέτρων ασφαλείας. Η εκτέλεση συχνών επιθεωρήσεων του τρόπου λειτουργίας και των πρακτικών του προσωπικού, η επανάληψη της εκτίμησης κινδύνων αλλά και η διεξαγωγή περιοδικών τεχνικών ελέγχων των υποδομών παρέχουν στη διοίκηση τα απαραίτητα τεκμήρια για την αξιολόγηση της αποτελεσματικότητας των μηχανισμών και των διαδικασιών ασφαλείας και την υλοποίηση βελτιωτικών ενεργειών. Ως επιστέγασμα των ανωτέρω, η πιστοποίηση από ένα διαπιστευμένο φορέα ελέγχου επιτρέπει την εμπεριστατωμένη αξιολόγηση του επιπέδου ασφαλείας από ένα ανεξάρτητο τρίτο μέρος και παρέχει μια «σφραγίδα» αξιοπιστίας, εύκολα αναγνωρίσιμη από πελάτες και προμηθευτές της εταιρείας. Η επιλογή ενός έμπειρου και αξιόπιστου συμβούλου είναι καθοριστική για το κόστος, την ταχύτητα, την ευελιξία και την αποτελεσματικότητα των μηχανισμών και πρακτικών ασφαλείας πληροφοριών που θα επιλεγούν. Η ανάπτυξη διαδικασιών και μηχανισμών ασφαλείας θα βελτιστοποιήσει τις επενδύσεις, θα ελαχιστοποιήσει τις αντιδράσεις του προσωπικού και θα αντιμετωπίσει ουσιαστικά προβλήματα και φόβους της διοίκησης χωρίς τη δημιουργία πανικού και την επίκληση καταστροφολογικών σεναρίων. Η PRIORITY παρέχει από το 2005 εξειδικευμένες υπηρεσίες ασφάλειας πληροφοριών: από τη διάγνωση του επιπέδου ασφάλειας, τη διενέργεια risk assessment, vulnerability assessment και penetration test έως την ανάπτυξη υποδομών, μηχανισμών και οργανωτικού πλαισίου ασφαλείας, την καθοδήγηση για τη συγγραφή ασφαλούς κώδικα, τη σύνταξη πολιτικών και διαδικασιών ασφάλειας, την προετοιμασία για την πιστοποίηση ISO 27001, την εξειδικευμένη εκπαίδευση στελεχών πληροφορικής και τη συνεχή υποστήριξη για τη βελτίωση του επιπέδου ασφαλείας. Οι υπηρεσίες της PRIORITY είναι πρωτοποριακές και αξιόπιστες καθώς η εταιρεία διαθέτει μία πολύ έμπειρη ομάδα συμβούλων με έργα ασφάλειας πληροφοριών σε περισσότερες από 60 επιχειρήσεις, από μεγάλες μέχρι μικρομεσαίες, ενδεικτικά: Alpha Bank, Εθνική Τράπεζα, ΟΠΑΠ, Singular Logic, IBM, ΔΙΑΣ Διατραπεζικά Συστήματα, ΜΕΤΚΑ, Elpedison, Fujitsu Hellas, Philip Morris International, ΣΟΛ Ορκωτοί Ελεγκτές netweek I 6 Ιουλίου 2015

11

12 Best Practices on Enterprise IT Security Εξισορροπώντας τις απαιτήσεις ασφάλειας και τις επιχειρησιακές ανάγκες Η δημιουργία μιας υγιούς επιχειρησιακής κουλτούρας ασφάλειας επιτρέπει στους ειδικούς της ασφάλειας να δράσουν ως καταλύτες, διευκολύνοντας την απρόσκοπτη επιχειρησιακή λειτουργία. Tου Παναγιώτη Καλαντζή, InfoSec Consultant, Networking Solutions, Space Hellas S.A ρα, υπάρχει μεγάλο πλήθος οργανισμών που δεν διαθέτουν την κουλτούρα εκείνη που θα υποστηρίξει τη χρήση κατάλληλων μηχανισμών προστασίας ενώ ταυτόχρονα, θα διευκολύνει την απρόσκοπτη επιχειρησιακή λειτουργία. Ισχυρές ενδείξεις του γεγονότος αυτού και ταυτόχρονα, σημάδια ότι ο οργανισμός οφείλει να επαναξιολογήσει την προσέγγισή του σε θέματα ασφάλειας, αποτελεί η πίστη του προσωπικού του οργανισμού ότι: οι ειδικοί ασφάλειας στον οργανισμό έχουν θέσει εμπόδια στην εργασία τους οι ειδικοί ασφάλειας του οργανισμού δεν αντιλαμβάνονται τα ιδιαίτερα χαρακτηριστικά και τις απαιτήσεις της εργασίας τους Υγιή επιχειρησιακή κουλτούρα ασφάλειας Η δημιουργία της κατάλληλης επιχειρησιακής κουλτούρας ασφάλειας αποτελεί μια ευκαιρία για τους επαγγελματίες στο χώρο της ασφάλειας, ώστε να δράσουν ως καταλύτες προς αυτή την κατεύθυνση. Αυτή η ασφαλής και επιχειρησιακά φιλική κουλτούρα έχει πολλά χαρακτηριστικά, τα κυριότερα των οποίων είναι: 1. η ασφάλεια ξεκινάει από την κορυφή. Η καθοδήγηση από την ανώτατη διοίκηση είναι απαραίτητη για τη δημιουργία επίγνωσης, την αναγνώριση των κατάλληλων αξιών και την υπο- Για έναν οργανισμό όπου τα περιστατικά και οι παραβιάσεις ασφάλειας μπορεί να είναι εξαιρετικά δαπανηρά και επιζήμια, η σωστή αντιμετώπισή τους καθίσταται υψίστης σημασίας, αλλά και άμεσης προτεραιότητας. Πολύ σημαντική είναι η καλλιέργεια ισχυρής επιχειρησιακής κουλτούρας ασφάλειας, η οποία θα πρέπει να υποστηρίζεται από καλοσχεδιασμένες διεργασίες και να μην βασίζεται μόνο σε τεχνολογίες και προϊόντα που απλά δίνουν μια αίσθηση ασφάλειας. Οι τεχνολογίες που υποστηρίζουν την επιχειρησιακή κουλτούρα και τις διεργασίες θα πρέπει να καθορίζονται από αυτές και όχι να είναι ανεξάρτητες. Καθώς, η ασφάλεια είναι ένα διαρκές ταξίδι και όχι ο προορισμός, στους επαγγελματίες του χώρου θα πρέπει τα παραπάνω θέματα να βρίσκονται στο επίκεντρο της καθημερινότητας, δεδομένου ότι υπάρχει διάσταση μεταξύ των αναγκών της ασφάλειας, της επιχείρησης και των πελατών. Οι ανάγκες των επιχειρησιακών λειτουργιών επιβάλουν την άμεση και εύκολη πρόσβαση στις απαραίτητες πληροφορίες, ενώ παράλληλα πρέπει να διασφαλίζεται τόσο η εμπιστευτικότητα, η διαθεσιμότητα, αλλά και η ακεραιότητα (Confidentiality Availability Integrity) των πληροφοριών αυτών. Παρότι οι δύο αυτοί στόχοι είναι διαμετρικά αντίθετοι, είναι απαραίτητη η εύρεση του κατάλληλου σημείου ισορροπίας. Δυστυχώς, ακόμη και σήμεστήριξη δράσεων που υποστηρίζουν μια υγιή επιχειρησιακή κουλτούρα ασφάλειας. Σε αυτό το πλαίσιο: Οι ενδοιασμοί και οι ανάγκες του συνόλου του προσωπικού πρέπει να λαμβάνονται υπόψη από τους επαγγελματίες της ασφάλειας H επιχειρησιακή διοίκηση πρέπει να περιλαμβάνει ειδικούς ασφάλειας κατά το σχεδιασμό και την υλοποίηση τεχνολογικών πρωτοβουλιών 2. η ασφάλεια στα κέντρα αποφάσεων σε επίπεδο project. Σε συνέχεια του προηγούμενου και όσον αφορά στις τεχνολογίες, οι ειδικοί συχνά δεν λαμβάνουν υπόψη τους τις ανάγκες των χρηστών. Αυτό θα πρέπει να αλλάξει ριζικά, καθώς οι επαγγελματίες της ασφάλειας πρέπει να αποτελούν ενεργό μέρος των λύσεων σε επιχειρησιακό επίπεδο από τα αρχικά στάδια, για την αποφυγή δυσάρεστων εκπλήξεων κατά την υλοποίηση των έργων. 3. Ύπαρξη ξεκάθαρου πλαισίου αναφοράς. Η ακριβής και ξεκάθαρη έκφραση των επιχειρησιακών αναγκών, καθώς και των αναγκών των χρηστών, είναι απαραίτητη. Σε περίπτωση έλλειψης ξεκάθαρου πλαισίου, η απόκριση των ειδικών ασφάλειας σε αυτές δεν θα είναι η ενδεδειγμένη, με αποτέλεσμα την υλοποίηση «υπερβολικών» μέτρων ασφάλειας που θέτουν εμπόδια στην καθημερινή εργασία των χρηστών. 12 netweek I 6 Ιουλίου 2015

13 4. η πληροφορία είναι βασιλιάς. Η πληροφορία και τα συστήματα που την επεξεργάζονται βρίσκονται στο κέντρο της λειτουργίας του οργανισμού και πρέπει να είναι προστατευμένα. 5. ςτενή επαφή κατά τη διάρκεια υλοποίησης έργων. Ακόμα και μετά τη λήψη των σχεδιαστικών αποφάσεων η εμπλοκή των ειδικών ασφάλειας πρέπει να είναι διαρκής, ώστε να ανιχνεύονται εγκαίρως πιθανές αποκλίσεις από τις απαιτήσεις ασφάλειας και να επιλύονται το συντομότερο δυνατόν πιθανά προβλήματα. 6. Προϊόντα τεχνολογίας. Τα προϊόντα τεχνολογίας είναι κρίσιμοι παράγοντες στη λειτουργία του οργανισμού, αλλά αποτελούν και πηγή ρίσκου. Η απερίσκεπτη επιλογή προϊόντων τεχνολογίας, χωρίς να λαμβάνεται υπόψη η επίδρασή τους στο ρίσκο που αντιμετωπίζει ο οργανισμός, μπορεί να δημιουργήσει ακόμα ένα πεδίο συγκρούσεων. Για την αποφυγή συγκρούσεων και την ορθή επιλογή των τεχνολογικών προϊόντων, η συμμετοχή των ειδικών ασφάλειας στις σχετικές διαδικασίες προμηθειών είναι απαραίτητη. 7. ανθρώπινος παράγοντας. Η επιλογή και εκπαίδευση των κατάλληλων ανθρώπων, που πιστεύουν στις αξίες του οργανισμού όπως αυτές τέθηκαν από την ανώτερη διοίκηση, είναι κρίσιμη για την κουλτούρα του οργανισμού. Στην εκπαίδευση αυτή η οποία πρέπει να είναι συνεχής, χρειάζεται να περιλαμβάνονται θέματα ασφάλειας, στο αντίστοιχο επίπεδο λεπτομέρειας ανάλογα με το κοινό που απευθύνονται, ώστε να καλλιεργηθεί ισχυρή επιχειρησιακή κουλτούρα ασφάλειας. Ένας οργανισμός που υλοποιεί το σύνολο των παραπάνω βέλτιστων πρακτικών, είναι σε θέση να δημιουργεί επιχειρηματική αξία με ασφαλή τρόπο. Η εμπειρία έχει δείξει ότι η σωστή επιχειρησιακή κουλτούρα ασφάλειας μπορεί να βελτιώσει σημαντικά τα οικονομικά αποτελέσματα του οργανισμού. Η ύπαρξη δυνατοτήτων ασφάλειας, σε συνδυασμό με την ορθή επιλογή σημείων ελέγχου και διακυβέρνησης, μπορεί να βοηθήσει στην αποφυγή εξαιρετικά δαπανηρών και επιζήμιων επιπλοκών, ενώ η έγκαιρη αντιμετώπιση προβλημάτων μπορεί να συμβάλει στην αποφυγή πρόσθετων λειτουργικών εξόδων. Συνεπώς, σε έναν οργανισμό είναι απαραίτητη η εξισορρόπηση των απαιτήσεων ασφάλειας και των επιχειρησιακών αναγκών, μέσα από την καλλιέργεια ισχυρής επιχειρησιακής κουλτούρας ασφάλειας. Παρά το γεγονός ότι οι απαιτήσεις σε θέματα ασφάλειας διαφέρουν ανάλογα με τη φύση και το μέγεθος του οργανισμού, το κανονιστικό πλαίσιο και τους περιβαλλοντικούς παράγοντες στους οποίους λειτουργεί, οι παρατιθέμενες βέλτιστες πρακτικές θεωρούμε ότι είναι εφαρμόσιμες στο σύνολο των οργανισμών, ενισχύοντας σημαντικά την κουλτούρα ασφάλειας του οργανισμού και τον περιορισμό των επιπτώσεων σε περίπτωση περιστατικών παραβίασης. Στο πλαίσιο αυτό, η Space Hellas, με πολυετή εμπειρία στο χώρο του Ιnformation Security, είναι σε θέση να παρέχει τόσο συμβουλευτικές υπηρεσίες, όσο και συγκεκριμένες λύσεις, που θωρακίζουν στο μέγιστο δυνατό βαθμό τους «πόρους» της σύγχρονης επιχείρησης. Τα εξειδικευμένα στελέχη της ασχολούνται αποκλειστικά με τη μελέτη και διεκπεραίωση έργων ασφάλειας πληροφοριών και Πληροφορικής και είναι σε θέση να αναλύσουν σε συνεργασία με τον πελάτη τις εκάστοτε ανάγκες του και να παρέχουν λύσεις, με στόχο την επίτευξη του επιθυμητού επιπέδου ασφάλειας, με το βέλτιστο συντελεστή κόστους. Επιπλέον, διαθέτει στις εγκαταστάσεις της ένα υπερσύγχρονο Security Operation Center (SOC) με έμπειρο και πιστοποιημένο προσωπικό, όπου μπορεί να παρακολουθεί 24x7 προληπτικά και να δίνει άμεση λύση σε περιστατικά, πριν ακόμα αυτά γίνουν επιβλαβή για έναν οργανισμό. Η Space Hellas είναι μια από τις λίγες ελληνικές εταιρείες με πιστοποίηση ISO/IEC 27001:2013 για το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών σε επίπεδο οργανισμού και για το σύνολο των δραστηριοτήτων και των σημείων παρουσίας της εταιρείας στην Ελλάδα και το εξωτερικό (Μάλτα, Σερβία, Κύπρο και Ρουμανία). Λ. Μεσογείων 312, Αγ. Παρασκευή T: E: W: netweek I 6 Ιουλίου

14 Best Practices on Enterprise IT Security Η ασφάλεια είναι μη διαπραγματεύσιμη Ο Ramses Gallego, Σύμβουλος Στρατηγικής και Ασφάλειας της Dell Software και πρώην διεθνής αντιπρόεδρος του ISACA, καταγράφει τις κυριότερες προκλήσεις που καλούνται να αντιμετωπίσουν οι CISOs σήμερα, σε ένα τοπίο όπου η ασφάλεια είναι αδιαπραγμάτευτη. netweek: Ποια πιστεύετε ότι είναι τα πιο σημαντικά κρυμμένα ρίσκα για τις πληροφοριακές υποδομές των επιχειρήσεων σήμερα; Ποιες είναι οι προτεραιότητες που θα πρέπει να θέσουν οι CISOs όσον αφορά την ασφάλεια των επιχειρήσεων τους; Ramses Gallego: To πιο μεγάλο και καθοριστικό ρίσκο είναι η απουσία αίσθησης της ασφάλειας, η ψευδαίσθηση ότι υπάρχει η κατάλληλη προστασία, με τη λήψη, απλά, βασικών μέτρων που καλύπτουν μόνο κάποιες από τις πτυχές αυτού του τόσου πολύπλοκου ζητήματος. Σε κάθε περίπτωση είναι σημαντικό να γίνει αντιληπτό ότι υπάρχουν πάρα πολλές πτυχές, πολλά πράγματα που θα πρέπει να λάβει κανείς υπόψη όσον αφορά την προστασία και τη θωράκιση του οργανισμού του. Συνεπώς, είναι επιτακτική ανάγκη οι οργανισμοί να υιοθετήσουν νέες προσεγγίσεις, νέες τεχνολογίες και άρτιες διαδικασίες με το σωστό τρόπο. Και για να το πετύχουν, θα πρέπει να ρωτήσουν τα σωστά άτομα, με τις ενδεδειγμένες ερωτήσεις, την κατάλληλη στιγμή. Από τη στιγμή που o CISO αντιληφθεί τι είναι αυτό που διακυβεύεται και καταφέρει να το επικοινωνήσει με το σωστό τρόπο στους εργαζόμενους του οργανισμού, οι οποίοι θα πρέπει να εκπαιδευτούν ώστε να βρίσκονται σε μια κατάσταση εγρήγορσης, θα έχει κάνει ένα τεράστιο βήμα προς την επιτυχία. Ανάμεσα στις κορυφαίες προτεραιότητες των CISOs ανά τον κόσμο θα πρέπει να περιλαμβάνονται η διασφάλιση των προστασίας των δεδομένων των πελατών, η προστασία της πνευματικής ιδιοκτησίας, η παροχή της εγγύησης ότι αναγνωρίζονται, μετριάζονται τα ρίσκα που απειλούν την επιχείρηση, αλλά και ότι γίνεται σωστά η διαχείρισή τους. Κορυφαία προτεραιότητα είναι η διασφάλιση ότι η ανθεκτικότητα η ικανότητα μιας επιχείρησης να αντέχει σε επιθέσεις και δύσκολες καταστάσεις υπολογίζεται σοβαρά και ενσωματώνεται στην επιχειρησιακή στρατηγική. nw: Πιστεύετε ότι χρειάζεται οι οργανισμοί να βελτιώνουν συνεχώς τις υποδομές προστασίας των πληροφοριακών τους συστημάτων και αν ναι γιατί; R. Gallego: Είναι κρίσιμο για τους οργανισμούς να λαμβάνουν μέριμνα, ώστε να βελτιώνουν συνεχώς τις πληροφοριακές τους υποδομές, καθώς οι κακόβουλοι επιτιθέμενοι παραμονεύουν διαρκώς για να βρουν την κατάλληλη ευκαιρία, ώστε μέσα από διαφορετικά κανάλια να καταφέρουν να διεισδύσουν στην περίμετρο της εταιρείας. Έχουμε μεταβεί από την εποχή των APTs (Advanced Persistent Threats) στην εποχή των APS (Advanced Persistent Security), σε μια εποχή, δηλαδή, όπου απαιτείται μια στιβαρή, ολιστική και ολοκληρωμένη προσέγγιση στην ασφάλεια. Αν οι οργανισμοί δεν βελτιώνουν τις υποδομές προστασίας τους θα δημιουργούνται κενά ασφαλείας. Και όταν κανείς διαχειρίζεται την ασφάλεια με τη λογική των σιλό, δημιουργεί πιθανά σημεία διείσδυσης. Η λογική των σιλό είναι μια στρατηγική που είναι αντιδραστική, παρεμβατική και ασυνεπής. Τα σιλό ποτέ δεν λειτούργησαν ενώ, ειδικά στο χώρο της ασφάλειας, οδηγούσαν σε προβλήματα. Έχει έρθει ο καιρός για μια πιο «φρέσκια» προσέγγιση, για μια ολιστική οπτική της ασφάλειας για μια end-to-end εκτέλεση της διακυβέρνησής της. nw: Η οικονομική κρίση αναγκάζει τις εταιρείες να μειώνουν τα budgets τους, ενδεχόμενα και αυτά που έχουν προγραμματίσει για την προστασία των πληροφοριακών συστημάτων τους. Πιστεύετε ότι αυτού του είδους οι περικοπές θα μπορούν να επηρεάσουν την πολιτική ασφάλειας μιας εταιρείας και με ποιους τρόπους; R. Gallego: Αν και κατανοώ ότι τα budgets δεν μπορεί να είναι απεριόριστα και ότι ενδέχεται να συρρικνώνονται, νομίζω ότι είναι σημαντικό λάθος να επηρεάζεται η πολιτική ασφάλειας από αυτό το γεγονός. Όταν χρειάζεται να προστατέψεις και να δημιουργήσεις μια άμυνα για τις υποδομές σου, όταν χρειάζεται να διαφυλάξεις την πνευματική σου ιδιοκτησία και να αποτρέψεις την υποκλοπή απόρρητων ιατρικών δε- 14 netweek I 6 Ιουλίου 2015

15 δομένων, δεδομένων πελατών και τιμολογίων και άλλων ευαίσθητων εταιρικών δεδομένων τότε δεν μπορείς παρά να επενδύσεις στους κατάλληλους πόρους και να ακολουθήσει την ενδεδειγμένη κατεύθυνση. Υπάρχουν πολλοί τρόποι για να κάνει περικοπές μια εταιρεία και ένας από αυτούς είναι να επενδύσει στο σωστό πλαίσιο προστασίας. Εννοώ για ένα πλαίσιο όπου η ασφάλεια δεν μπλοκάρει, σταματάει ή αρνείται, αλλά για ένα πλαίσιο που σου επιτρέπει να σχεδιάσεις μια στρατηγική ασφαλείας που κτίζει, συνδέει και διασφαλίζει. Επενδύοντας σοφά στην ασφάλεια μπορείς να μειώσεις τα λειτουργικά κόστη, τα κόστη διαχείρισης και, φυσικά, το κόστος που προκαλείται από την παραχάραξη της δημόσιας εικόνας μιας εταιρείας. nw: Ποια εκτιμάται ότι είναι τα κυριότερα προβλήματα που χαρακτηρίζουν τη σημερινή αγορά ΙΤ Security; R. Gallego: Υπάρχουν πολλές απαντήσεις σε αυτό το ερώτημα, καθώς βλέπουμε να διαγράφεται μπροστά μας ένα τοπίο συνδυασμένων απειλών. Βιώνουμε απειλές στην πλατφόρμα mobility, ζητήματα που σχετίζονται με το cloud και τις υλοποιήσεις του, προβλήματα με τη διαχείριση της ταυτοποίησης. Έχουμε δομήσει την κοινωνία μας πάνω σε μια «χαοτική» λογική και έχει έρθει, πλέον, το πλήρωμα του χρόνου για να ενοποιήσουμε και να απλοποιήσουμε τα πράγματα. Δεν βιώνουμε την εποχή των αλλαγών, αλλά την αλλαγή μιας εποχής. Και είναι καιρός να σταματήσουμε να αεροβατούμε και να πατήσουμε σταθερά στο έδαφος, να επεξεργαστούμε ένα σχέδιο δράσης, να κατανοήσουμε πλήρως τις διαφορές περιοχές όπου «ζουν» οι πληροφορίες σήμερα: κάποιες φορές τα δεδομένα «αναπαύονται» στο περιβάλλον ενός data center, κάποιες άλλες βρίσκονται σε κίνηση, ταξιδεύοντας μαζί με τις φορητές συσκευές των κατόχων τους. Θα έλεγα ότι υπάρχουν πολλοί κανονισμοί και νομοθεσίες ανά τον κόσμο και η εκμετάλλευση της τεχνολογίας δεν αποτελεί πρόβλημα. Η τεχνολογία μπορεί να κάνει μαγικά πράγματα, αλλά χρειάζεται να αλλάξουμε τον τρόπο σκέψης μας. Η ασφάλεια αποτελεί στάση, τρόπο σκέψης, θέληση να προστατέψεις και να υπερασπιστείς καταστάσεις. Μετά από όλα αυτά ακολουθούν η τεχνολογία, οι πολιτικές, οι διεργασίες και οι διαδικασίες. nw: Κατά την άποψή σας, ποιο είναι το πιο σημαντικό συστατικό για την επιτυχία του cyber security; R. Gallego: H κατανόηση της πραγματικότητας που βρίσκεται μπροστά μας. Η ικανότητα να καταλάβουμε ότι η ασφάλεια έχει μετατραπεί, πλέον, σε cyber security. Η δυνατότητα να αντιληφθούμε ότι ζούμε σε καιρούς όπου οι κυβερνήσεις επιτίθενται σε κυβερνήσεις και επιχειρήσεις, οι επιχειρήσεις επιτίθενται σε άλλες επιχειρήσεις και ιδιώτες επιτίθενται σε κυβερνήσεις Και όλα αυτά μπορούν να συμβούν από ένα μέρος στον κόσμο, όπου θα είναι πολύ δύσκολο για κάποιον να καταδιώξει τους δράστες. Η επιτυχία στο cyber security θα έρθει κατανοώντας το γεγονός ότι βρισκόμαστε σε ένα παγκοσμιοποιημένο περιβάλλον όπου γίνονται μάχες, όπου κερδίζονται και χάνονται πολέμοι. nw: Ένα από τα μεγαλύτερα ζητήματα που σχετίζονται με το cloud έχει να κάνει με την ασφάλεια. Ποια είναι η άποψή σας γι αυτό; R. Gallego: To cloud αποτελεί μια ακόμα πλατφόρμα, ένα ακόμα κεφάλαιο στο βιβλίο της Πληροφορικής και δεν θα πρέπει να το βλέπουμε ως κάτι το διαφορετικό. Αναμφίβολα, διαθέτει τα πλεονεκτήματά του, αλλά και θέτει νέες προκλήσεις, καθώς η ίδια η φύση του cloud έχει να κάνει με τη διανομή κάποιου πράγματος (του δικτύου, των πληροφοριακών υποδομών, του server κ.λπ.). To cloud βασίζεται σε οικονομίες κλίμακας και αποτελεί ένα εξαιρετικό επιχειρηματικό μοντέλο. Το πληρώνεις ανάλογα με τις ανάγκες σου και την κατανάλωση που κάνεις. Αν και αυτό είναι εξαιρετικό από οικονομικής απόψεως, δημιουργούνται ζητήματα σε σχέση με την απομόνωση της πληροφορίας, τη θέση των δεδομένων, τη συμμόρφωση, τη χρήση /κατάχρηση της προνομιακής πρόσβασης. Πιστεύω ότι το cloud είναι εδώ για να μείνει και η ασφάλεια θα αποτελέσει ένα ανταγωνιστικό πλεονέκτημα για τους CSPs (Cloud Service Providers), καθώς οι οργανισμοί θα αποθηκεύουν τα δεδομένα σε ένα cloud που θα μπορούν να εμπιστευτούν. nw: Πώς βλέπετε το ρόλο των CISOs σήμερα; Τι συμβουλές θα τους δίνατε; R. Gallego: Ο ρόλος των CISOs είναι εξελισσόμενος. Μετατρέπονται σε συμβούλους μιας επιχείρησης, με μεγαλύτερη συμμετοχή στη λήψη στρατηγικών αποφάσεων, καθώς οι επιχειρήσεις έχουν αρχίσει να κατανοούν το γεγονός ότι η ασφάλεια είναι μη διαπραγματεύσιμη για οποιοδήποτε είδος υπηρεσίας ή προϊόντος θέλουν να παράγουν. Έχω δει CISOs να γίνονται CTOs (όχι Chief Technology Officer, αλλά Chief Transformation Officers). Ξέρουν πώς να δομούν (ψηφιακές) «περιμέτρους», πώς να διασφαλίζουν επιλεγμένη πρόσβαση σε ευαίσθητα δεδομένα και πώς να μετριάζουν επιχειρηματικούς κινδύνους, σε μια εποχή όπου η τεχνολογία διαχέεται παντού. Και αυτό διότι ζούμε σε ένα ψηφιακό κόσμο, με τις εταιρείες να εναπόκεινται στο ΙΤ για να εξυπηρετήσουν τους πελάτες του, σε ένα περιβάλλον όπου η ασφάλεια είναι μη διαπραγματεύσιμη. netweek I 6 Ιουλίου

16 Best Practices on Enterprise IT Security CISO, ένας πολύπλευρος και σύνθετος ρόλος Σε έναν όμιλο, όπως της Εθνικής Τράπεζας, που απαρτίζεται από ένα μεγάλο πλήθος εταιρειών (που περιλαμβάνει τράπεζες, ασφαλιστικούς οργανισμούς, εταιρείες leasing κ.λπ.), οι οποίες χρησιμοποιούν διαφορετικά μηχανογραφικά συστήματα, δραστηριοποιούνται τόσο στο εσωτερικό όσο και στο εξωτερικό και λειτουργούν υποκείμενες σε ανομοιογενές θεσμικό, κανονιστικό και νομικό πλαίσιο, οι προκλήσεις για τον group CISO είναι πολλές και μεγάλες. Του Δρ. Μιχαήλ Μαυροφοράκη, CISO Ομίλου Εθνικής Τράπεζας Η έκθεση των εταιρειών στο Διαδίκτυο και στον ψηφιακό τρόπο συναλλαγών, με τους κινδύνους που αυτή συνεπάγεται, σε συνδυασμό με την ταχύτητα που τόσο η τεχνολογία όσο και η εγκληματική δράση αναπτύσσονται και μεταλλάσσονται, συνθέτουν ένα πολύ επικίνδυνο τοπίο και απαιτούν συνεχή εγρήγορση και εξέλιξη. Είναι απαραίτητος, λοιπόν, ένας καλοσχεδιασμένος δίαυλος επικοινωνίας μεταξύ των υπευθύνων ασφάλειας πληροφοριών και ένα καλά οργανωμένο σύστημα εποπτείας, συνεπικουρούμενο από τα κατάλληλα τεχνικά μέσα και διαδικασίες για την έγκαιρη αναγνώριση και αντιμετώπιση των απειλών. Ο σημαντικότερος, όμως, κρίκος της ασφάλειας είναι το ανθρώπινο δυναμικό του οργανισμού, που πρέπει να ευαισθητοποιηθεί ώστε να βάζει την ασφάλεια ψηλά στις προτεραιότητες του. Ο θεματοφύλακας της ασφάλειας Ο ρόλος του CISO είναι πολύπλευρος και σύνθετος. Εκτός από το απαραίτητο ευρύ και σύγχρονο τεχνολογικό υπόβαθρο, την υπευθυνότητα, την εγρήγορση και τις διοικητικές ικανότητες, πρέπει να μπορεί να παρακολουθεί και να υποστηρίζει τις επιχειρηματικές δραστηριότητες, διαβλέποντας και σταθμίζοντας, ταυτόχρονα, τους πιθανούς κινδύνους και τις δυνητικές απειλές που παρουσιάζονται ή εισάγονται από τις τεχνολογικές καινοτομίες, να ενημερώνει σχετικά τη Διοίκηση ώστε να λαμβάνονται εγνωσμένες στρατηγικές αποφάσεις, ενώ, παράλληλα, πρέπει να παρακολουθεί το κανονιστικό και νομικό πλαίσιο και να ενημερώνει τις εποπτικές και ελεγκτικές αρχές. Επιπρόσθετα, πρέπει να φροντίζει για την ενημέρωση και ευαισθητοποίηση όλων των υπαλλήλων του οργανισμού σε θέματα ασφάλειας πληροφοριών. Ο CISO ενός οργανισμού είναι ο θεματοφύλακας της ασφάλειας, ήτοι της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των επιχειρησιακών πληροφοριών που αποτελούν αντικείμενο επεξεργασίας των πληροφοριακών συστημάτων του οργανισμού. Φροντίζει ώστε τα συστήματα να λειτουργούν εντός των αποδεκτών για τον οργανισμό κινδύνων και σύμφωνα με το εκάστοτε ισχύον θεσμικό, κανονιστικό και νομικό πλαίσιο. Με τα αντικείμενα αυτά είμαι επιφορτισμένος ως CISO του Ομίλου της ΕΤΕ. Προστασία σε καιρούς κρίσης Είναι αναμφισβήτητο ότι η οικονομική κρίση επηρεάζει τις επενδύσεις σε όλους τους τομείς. Είναι, λοιπόν, σημαντικό οι Διοικήσεις να κατανοήσουν ότι οι επενδύσεις σε συστήματα και έργα που διασφαλίζουν τον οργανισμό πρέπει να ακολουθούν τον ρυθμό αύξησης της κακόβουλης και εγκληματικής δραστηριότητας, που, συνήθως, διευρύνονται σε περιόδους κρίσης. Αποτελεί καθήκον του CISO να υπενθυμίζει τους κινδύνους αυτούς. Ιδιαίτερα στον χρηματοοικονομικό τομέα, η πληροφορία αποτελεί βασικό περιουσιακό στοιχείο που πρέπει να προστατεύεται ανάλογα. Επιπρόσθετα, οι Τράπεζες παρέχουν ως θεμελιώδη υπηρεσία τη διασφάλιση των αξιών (χρημάτων κ.λπ.) των πελατών τους. Κάτω υπό αυτό το πρίσμα, που τα χρήματα έχουν αποκτήσει άυλη και ψηφιακή μορφή (δεδομένου ότι γίνονται συναλλαγές μέσω διαδικτύου ή πιστωτικών και χρεωστικών καρτών), θεωρώ ότι η ασφάλεια συγκαταλέγεται έμμεσα στα προσφερόμενα προϊόντα. Παρά τις αντίξοες οικονομικές συνθήκες που επικρατούν τα τελευταία χρόνια στη χώρα μας, η Διοίκηση του Ομίλου της Εθνικής Τράπεζας εκτιμά τη σημασία και τον ρόλο της ασφάλειας. Για παράδειγμα, την τελευταία διετία έχει προχωρήσει σε πολύ σημαντικές επενδύσεις σε έργα που βελτιώνουν το επίπεδο ασφάλειας του οργανισμού, μεταξύ των οποίων περιλαμβάνονται η εγκατάσταση και λειτουργία συστήματος έγκαιρης προειδοποίησης (SIEM) εξελιγμένου συστήματος DLP για την αποφυγή διαρροής δεδομένων, νέου συστήματος επιτήρησης και ελέγχου δικτύων (NAC), συστήματος για τη διαχείριση και τον έλεγχο φορητών συσκευών, επέκταση και βελτίωση των συστημάτων προστασίας των 16 netweek I 6 Ιουλίου 2015

17 εταιρικών από απειλές, δράσεις για την ευαισθητοποίηση του προσωπικού κ.α. Αντιμετωπίζοντας την υποστελέχωση Καθώς η ανάγκη για περισσότερη σε ποσότητα και ποιότητα ασφάλεια πληροφοριών διαρκώς αυξάνεται, δημιουργείται ακολούθως αύξηση στη ζήτηση ειδικών ασφάλειας η οποία, σύμφωνα με τους αναλυτές, θα ενταθεί στην επόμενη πενταετία. Οι επιθέσεις εξελίσσονται διαρκώς και αυξάνουν εκθετικά σε αριθμό και πολυπλοκότητα, ενώ η υποστελέχωση των οργανισμών από ειδικούς ασφάλειας πληροφοριών τους καθιστούν περισσότερο ευάλωτους. Αυτό είναι ένα ζήτημα που απασχολεί κάθε οργανισμό και, ιδιαίτερα στις παρούσες συνθήκες, το προσεγγίζουμε με αξιοποίηση στελεχών από το υφιστάμενο εξειδικευμένο στην Πληροφορική προσωπικό, που εκπαιδεύουμε και επιμορφώνουμε σε θέματα ασφάλειας πληροφοριών. Επιπρόσθετα, συνεργαζόμαστε με εταιρείες εξειδικευμένες στο χώρο της ασφάλειας πληροφοριών, στις οποίες είτε αναθέτουμε την υλοποίηση κάθετων λύσεων, είτε προμηθευόμαστε τέτοιες λύσεις με τη μορφή υπηρεσιών. Παράλληλα, όμως, με αυτές τις προσπάθειες είναι σημαντική στον περιορισμό των κινδύνων ασφάλειας η αύξηση της ευαισθητοποίησης του συνόλου του προσωπικού. Η ασφάλεια ως «προϊον» Η υποστήριξη της Διοίκησης είναι απαραίτητη για την επιτυχή υλοποίηση όλων των έργων και πρωτοβουλιών. Επειδή είναι σύνηθες οι δικλείδες ασφαλείας που τίθενται να εκλαμβάνονται ως γραφειοκρατικές και περιοριστικές της επιχειρηματικής δράσης, είναι πολύ σημαντικό να επισημαίνεται διαρκώς ότι τα έργα ασφάλειας αποσκοπούν στη διασφάλιση της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας των επιχειρηματικών και επιχειρησιακών πληροφοριών και, συνεπώς, διασφαλίζουν τη συνέχεια των εργασιών και, τελικά, την ύπαρξη της επιχείρησης. Παράλληλα, για επιχειρήσεις όπως οι Τράπεζες, θεωρώ ότι η ασφάλεια πληροφοριών, εκτός από κανονιστική απαίτηση και προϋπόθεση λειτουργίας, αποτελεί εμμέσως και προϊόν, δεδομένου ότι ενδιαφέρει ουσιαστικά τον πελάτη. Από την άλλη, οι δικλείδες ασφαλείας που τίθενται θα πρέπει να είναι σταθμισμένες ως προς τον κίνδυνο που αποσκοπούν να αποσοβήσουν, ώστε να μην αποτελούν τροχοπέδη της επιχειρηματικής δραστηριότητας. Η διαδικασία αξιολόγησης κινδύνων είναι ένα καθοριστικό εργαλείο για το σκοπό αυτό και η κοινοποίηση των αποτελεσμάτων της στη Διοίκηση βοηθάει σημαντικά την ενίσχυση της υποστήριξης της Διοίκησης και της διάθεσης των απαιτούμενων πόρων στα έργα ασφάλειας. Είναι απαραίτητη, επίσης, η άμεση συνεργασία με όλες τις Μονάδες Πληροφορικής, τη Διεύθυνση Νομικών Υπηρεσιών, τη Διεύθυνση Εσωτερικού Ελέγχου, τη Διεύθυνση Κανονιστικής Συμμόρφωσης, τη Διεύθυνση Διαχείρισης Κινδύνων, τη Διεύθυνση Ασφάλειας της Τράπεζας, καθώς και τους Υπεύθυνους Ασφάλειας Πληροφοριακών Αγαθών (CISO) των Θυγατρικών του Ομίλου στο εσωτερικό και το εξωτερικό. Γενικότερα, οι στόχοι της ασφάλειας αφορούν το σύνολο του οργανισμού. Έτσι, η αρμονική συνεργασία με τον επιχειρηματικό χώρο και η ευθυγράμμιση με τους επιχειρηματικούς στόχους, μετατρέπουν την ασφάλεια πληροφοριών σε μοχλό ανάπτυξης για τον οργανισμό. Βασικά εργαλεία σ αυτή την κατεύθυνση είναι η υποστήριξη της Διοίκησης, τα θεσμικά κείμενα του οργανισμού (π.χ. Πολιτικές και Διαδικασίες), καθώς και η αξιολόγηση κινδύνων στα έργα Πληροφορικής. Η ασφάλεια των πληροφοριών δεν επιτυγχάνεται μόνο με μεμονωμένα έργα ασφάλειας, αλλά πρέπει να είναι ενσωματωμένη σε κάθε εφαρμογή και σε κάθε διαδικασία. Στην Εθνική υλοποιούμε αυτή την προσέγγιση μέσα από τον σύγχρονο κανονισμό Ανάπτυξης και Βελτίωσης Συστημάτων Πληροφορικής (SDLC), όπου η παράμετρος της ασφάλειας συμμετέχει, ήδη, από το στάδιο της ανάλυσης και σχεδιασμού κάθε νέου συστήματος Πληροφορικής. Μεγάλες προκλήσεις Είναι σαφές ότι σήμερα η ενίσχυση της περιμετρικής ασφάλειας δεν αρκεί για την προστασία ενός οργανισμού, επειδή τα όρια όπου διακινούνται οι πληροφορίες που πρέπει να προστατεύονται έχουν γίνει δυσδιάκριτα. Το κυβερνο-έγκλημα (cybercime) αναπτύσσεται ραγδαία και εξειδικεύεται και, ταυτόχρονα, οι εσωτερικές απειλές παραμένουν σημαντικές. Συνεπώς, χρειάζεται ένα δίχτυ προστασίας 360ο εντός και εκτός του Οργανισμού που να λειτουργεί κάθε στιγμή, αδιάλειπτα. Δεδομένης της έξαρσης των περιστατικών «ψαρέματος» (phishing), της κοινωνικής μηχανικής (social engineering) και του κακόβουλου λογισμικού (malware), κάθε οργανισμός οφείλει να μεριμνά, πλέον, όχι μόνο για την προστασία του, αλλά και για την προστασία των πελατών του και του προσωπικού του. Η επιτήρηση του Διαδικτύου (cyber surveillance) είναι, πλέον, επιβεβλημένη. Η χρήση τεχνολογιών για μαζική ανάλυση δεδομένων (Βig Data) και συστημάτων αποτροπής απάτης βασισμένων σε ανάλυση ασυνήθους συμπεριφοράς (behavioral analysis) μπορούν να βοηθήσουν στη ανίχνευση προηγμένων απειλών (APT) και απειλών zeroday, καθώς και απειλών που στοχεύουν τους πελάτες. Τέλος, σημαντικό παράγοντα κινδύνου αποτελούν η χρήση φορητών συσκευών και υπηρεσιών cloud και, συνεπώς, κάθε οργανισμός οφείλει να αναπτύξει τις κατάλληλες τεχνικές λύσεις για την προστασία της μεταδιδόμενης, επεξεργαζόμενης και αποθηκευόμενης πληροφορίας. netweek I 6 Ιουλίου