Αποτελεί κοινή άποψη ότι οι σύγχρονες επιχειρήσεις προσπαθούν να αποκτήσουν ένα σημαντικό ανταγωνιστικό πλεονέκτημα αξιοποιώντας την ψηφιακή πληροφορία. Ωστόσο, οι προσπάθειες των επιχειρήσεων που ηγούνται της αγοράς, βρίσκονται αντιμέτωπες με τη μεταβαλλόμενη φύση των απειλών του κυβερνοχώρου.
Αυτές οι απειλές συνιστούν σημαντικά εμπόδια, καθώς τα τελευταία τρία χρόνια επιχειρήσεις σε ολόκληρο τον κόσμο έχουν επηρρεαστεί απ οτην ανάγκη συμμόρφωσης σχετικά με τα προσωπικά δεδομένα. Ενώ το GDPR ήδη εφαρμόζεται στην Ευρώπη, περιοχές όπως η Αυστραλία, η Καλιφόρνια και ο Καναδάς θεσμοθετούν νέους κανονισμούς. Τα δύο τρίτα των επιχειρήσεων που ερωτήθηκαν στην τελευταία έρευνα IBR της Grant Thornton, εστιάζουν περισσότερο στην προστασία των δεδομένων παρά στην ασφάλεια στον κυβερνοχώρο. Η πλειοψηφία (59%) μάλιστα προετοιμάζεται ενεργά για τις επόμενες μεταρρυθμίσεις.
Παράλληλα, οι απειλές στον κυβερνοχώρο έχουν αυξηθεί. Ο αριθμός των επιθέσεων στον κυβερνοχώρο με απώλειες άνω του ενός εκατομμυρίου δολαρίων αυξήθηκε κατά 63% τα τελευταία τρία χρόνια.
Επομένως, είναι σημαντικό για τις επιχειρήσεις να αντιμετωπίζουν αποτελεσματικά και την προστασία των δεδομένων και την ασφάλεια στον κυβερνοχώρο. Ωστόσο, η δυσκολία έγκειται στο γεγονός ότι τις δυο αυτές πτυχές διαχειρίζονται διαφορετικές ομάδες. Συνήθως ο Chief Privacy Officer (CPO) αναλαμβάνει την ευθύνη για το πρώτο και ο Chief Information Security Officer (CISO) το δεύτερο.
Θα ήταν πολύ καλύτερο η ίδια ομάδα να διαχειρίζεται και τις δύο αυτές περιοχές. Άλλωστε πολλά από τα έργα που εξασφαλίζουν την προστασία των δεδομένων μπορούν να χρησιμοποιηθούν για την ενίσχυση της ασφάλειας στον κυβερνοχώρο και αντιστρόφως. Επιπλέον, εκτός από τη διευκόλυνση των επιχειρήσεων στο να διαχειρίζονται ψηφιακούς κινδύνους, η προσέγγιση αυτή προσθέτει αξία, επιτρέποντάς τους να εφαρμόσουν ταχύτερα πρωτοβουλίες ψηφιακού μετασχηματισμού.
Βελτιστοποιώντας την ταξινόμηση των δεδομένων
Μια ενιαία ομάδα ψηφιακού κινδύνου θα εξασφάλιζε επίσης ότι οι εταιρείες ταξινόμησης δεδομένων (Data Classification) θα αναλάμβαναν συντονισμένα δράσεις που αφορούν όλη την επιχείρηση εξυπηρετώντας με αυτό τον τρόπο διάφορους σκοπούς.
Για παράδειγμα, βλέπουμε πως οι εταιρείες θα μπορούσαν να χρησιμοποιήσουν την ταξινόμηση δεδομένων για να ενισχύσουν τη συμμόρφωση με τους κανονισμούς περί προστασίας των προσωπικών δεδομένων, όπως το GDPR, καθώς και για την ασφάλεια του κυβερνοχώρου. Για παράδειγμα, θα μπορούσαν να ταξινομούν τα δεδομένα ανάλογα με την αξία τους στην επιχείρηση και ο εντοπισμός αυτών να σημαίνει την καλύτερη προστασία τους με πιο εξελιγμένες μεθόδους άμυνας.
"Οι περισσότερες επιχειρήσεις δεν είχαν ταξινομήσει ποτέ τα δεδομένα τους πριν από το GDPR", εξηγεί ο Hans Bootsma, Partner, Cyber Risk Services στην Grant Thornton Ολλανδίας. «Ξεκίνησαν όμως επειδή έπρεπε να ταξινομήσουν τις προσωπικά αναγνωρίσιμες πληροφορίες (PII) και άλλα είδη δεδομένων, προκειμένου να συμμορφωθούν με το νέο κανονισμό. Αν υλοποιείτε ένα πρόγραμμα όπως αυτό, τότε είναι εύκολο να το επεκτείνετε και να το συνδυάσετε με άλλους τύπους δεδομένων για να προσδιορίσετε ποια από αυτά είναι υψίστης σημασίας και εμπιστευτικότητας (data crown jewels) και στη συνέχεια να το συνδέσετε με την κυβερνο-πολιτική σας».
Σε περίπτωση που η προστασία των δεδομένων και η ασφάλεια στον κυβερνοχώρο δεν είναι ευθυγραμμισμένες, η ταξινόμηση αυτή θα γινόταν απομονωμένα και τα οφέλη δεν θα διαχέονταν στον οργανισμό
Εκεί που ενώνεται η ιδιωτικότητα με την ασφάλεια στον κυβερνοχώρο
Η αξιολόγηση της προστασίας των δεδομένων και του κινδύνου για την ασφάλεια στον κυβερνοχώρο, μέσα από μια ενιαία λειτουργία διαχείρισης ψηφιακού κινδύνου είναι επιτακτική, καθώς αυτά τα δυο αλληλοσυνδέονται όλο και περισσότερο.
Αυτό γίνεται ακόμα πιο έντονο σε περίπτωση που υπάρξει παραβίαση δεδομένων. Οι επιχειρήσεις πρέπει να γνωρίζουν τον τρόπο με τον οποίο συνέβη η παραβίαση και ποιες πρακτικές κυβερνοπροστασίας (αν υπάρχουν) απέτυχαν. Πρέπει επίσης να κατανοήσουν ποια δεδομένα διακυβεύονταν και αν ήταν προσωπικά ή ευαίσθητα. Σε κάθε περίπτωση, τα ευρήματα θα πρέπει να γνωστοποιηθούν.
Σήμερα, οι περισσότερες επιχειρήσεις δεν είναι πλήρως προετοιμασμένες για να το κάνουν αυτό. Μόνο το 28% των επιχειρήσεων που ρωτήσαμε είναι «εξαιρετικά ικανοποιημένοι» με την ικανότητά τους να προστατευτούν από τον κίνδυνο σοβαρής επίθεσης και μόλις το 26% με την ικανότητά τους να αντιδρούν με συνέπεια σε μια σημαντική επίθεση προς όλη την επιχείρηση, ανεξάρτητα από το πότε ή το πού γίνεται.
Με την ενσωμάτωση της προστασίας και της ασφάλειας των δεδομένων σε μία λειτουργία, οι επιχειρήσεις θα είναι σε θέση να ανταποκρίνονται αποτελεσματικότερα στις παραβιάσεις των δεδομένων τους λόγω των συνδυασμένων πόρων τους και της καλύτερης κατανόησης της απειλής.
"Η ιδιωτικότητα και η ασφάλεια στον κυβερνοχώρο είναι αρκετά σύνθετες επειδή ενδέχεται να παραβιαστούν ταυτόχρονα στον πραγματικό κόσμο", αναφέρει ο Mike Harris, Partner, Cyber Security Services στην Grant Thornton Ιρλανδίας. "Μια παραβίαση δεδομένων θα μπορούσε να ξεκινήσει ως κάποιο τεχνικό πρόβλημα σε έναν προμηθευτή cloud. Αλλά αντιδρώντας σε μια τέτοιου είδους κατάσταση κρίσης θα πρέπει να εξεταστεί εάν εμπλέκονται προσωπικά δεδομένα και ποιες ενέργειες πρέπει να γίνουν βάσει ρυθμιστικού πλαισίου.
"Από το να υφίστανται δυο ξεχωριστές λειτουργίες που αφορούν την ασφάλεια στον κυβερνοχώρο και την προστασία δεδομένων οι οποίες θα ανταποκρίνονται σε μια παραβίαση, έχει νόημα να υπάρχει μια ενοποιημένη λειτουργία με τις κατάλληλες εξειδικευμένες δεξιότητες για να διαχειριστεί την διαδικασία, ώστε να μην «πέφτει» τίποτα στα κενά ασφαλείας που μπορεί να υπάρχουν".
One-stop διασφάλιση προστασίας από τρίτα μέρη
Η αυξημένη διασύνδεση της ασφάλειας του κυβερνοχώρου και της προστασίας δεδομένων επηρεάζει τον τρόπο με τον οποίο διασφαλίζεται η προστασία από τρίτα μέρη.
Για παράδειγμα, ο κανονισμός περί απορρήτου των δεδομένων, όπως το GDPR, απαιτεί από τις επιχειρήσεις να λαμβάνουν ισχυρές εγγυήσεις από τους προμηθευτές που διαχειρίζονται δεδομένα για λογαριασμό τους. Επιπρόσθετα, από τη στιγμή που οι επιχειρήσεις οφείλουν να ελέγξουν εάν οι προμηθευτές τους είναι ευάλωτοι σε επιθέσεις στον κυβερνοχώρο, γιατί να μην αξιολογούν την τήρηση της προστασίας των δεδομένων και την ανθεκτικότητα σε τυχόν επιθέσεις μέσω μιας σαφώς καθορισμένης διαδικασίας;
"Θα ήταν πολύ λογικό για τους οργανισμούς να συνδυάσουν πτυχές της ασφάλειας του κυβερνοχώρου που παρέχονται από τρίτους μέσα από ειδικούς ελέγχους προστασίας", αναφέρει ο Mike Harris. "Αποτελεί ένα θέμα που ενώ είναι σχετικά απλό, δεν συμβαίνει ευρέως αυτή τη στιγμή. Οι ομάδες cyber security και οι ομάδες προστασίας δεδομένων διαχειρίζονται τις καταστάσεις ξεχωριστά. "
Φυσικά, αυτή η «one-stop» διασφάλιση προστασίας από τρίτα μέρη θα διευκολύνει τις διαδικασίες και θα οδηγήσει σε μεγαλύτερη αποτελεσματικότητα. Το πιο σημαντικό όμως είναι ότι θα οδηγήσει σε μια πιο ολοκληρωμένη κατανόηση του ψηφιακού κινδύνου.
Μειώστε τον κίνδυνο, προσθέστε αξία
Η προσέγγιση αυτή προσφέρει και προστιθέμενη αξία. H υιοθέτηση μιας ενιαίας λειτουργίας που είναι ικανή να εξετάσει τον κίνδυνο που μπορεί να προκαλέσουν τα τρίτα μέρη μπορεί να διασφαλίσει ότι αυτός ο κίνδυνος εξετάζεται για το σύνολο του οργανισμού. Ένας τρόπος για να το επιτύχετε αυτό είναι να εγκρίνετε εκ των προτέρων τους προμηθευτές εξετάζοντας όλους τους κινδύνους.
"Οι επιχειρήσεις μπορούν να μεταμορφωθούν ψηφιακά πιο γρήγορα, εάν προηγηθεί η διαδικασία έγκρισης των προμηθευτών ", αναφέρει ο James Arthur, Partner, Head of Cyber Consulting στην Grant Thornton Αγγλίας. "Είναι πολύ πιο εύκολο να το κάνετε αυτό εάν διαθέτετε μία λειτουργία διερεύνησης του ψηφιακού κινδύνου η οποία είναι ικανή να αξιολογεί ταυτόχρονα και προληπτικά την ασφάλεια στον κυβερνοχώρο και τον κίνδυνο παραβίασης του απορρήτου των πληροφοριών".
Η επιλογή των προμηθευτών, ως μια ολοκληρωμένη λειτουργία ψηφιακού κινδύνου μπορεί να περιορίσει τους κινδύνους ορισμένων τεχνολογιών. "Πολλές επιχειρήσεις αρχίζουν να πειραματίζονται με την τεχνολογία blockchain", τονίζει ο Michel Besner, General Manager στην Catallaxy, θυγατρική της Raymond Chabot Grant Thornton.
"Είναι σημαντικό οι ομάδες κινδύνου να εμπλέκονται εξ αρχής, επειδή με οποιαδήποτε τεχνολογική λύση που στηρίζεται σε βάση δεδομένων υπάρχει πάντοτε ο κίνδυνος επιθέσεων από τρίτα μέρη που θέλουν να υποκλέψουν τις πληροφορίες. Για να αντιμετωπιστεί αυτό, οι ομάδες κινδύνου θα πρέπει να μπορούν να διασφαλίσουν ότι υπάρχουν κατάλληλες δομές διακυβέρνησης σχετικά με τον τρόπο υλοποίησης, διαχείρισης και υποστήριξης του blockchain. Ακολουθώντας αυτή την τακτική, θα καταφέρετε να αποφύγετε περισσότερα προβλήματα ασφαλείας."
Βασική η εποπτεία της διοίκησης, απαραίτητη η συνδυαστική διαχείριση
Η ανάγκη για μια ολοκληρωμένη λειτουργία ψηφιακού κινδύνου είναι σαφής. Αλλά ποιος είναι εκείνος που θα οριστεί υπεύθυνος να το διαχειριστεί;
Προς το παρόν, υπάρχει σύγχυση σχετικά με την τελική ευθύνη και αυτό δημιουργεί εμπόδια στη διαχείριση του ψηφιακού κινδύνου. Οι επιχειρήσεις που συμμετείχαν στην έρευνα αναφέρουν ότι η έλλειψη κατανόησης σχετικά με τους κινδύνους που αντιμετωπίζουν τα άτομα και οι ομάδες είναι η δεύτερη μεγαλύτερη αδυναμία στη διαχείριση του ψηφιακού κινδύνου.
Όπως και ο χρηματοοικονομικός κίνδυνος, η σοβαρότητα του ψηφιακού κινδύνου σημαίνει ότι η διοίκηση θα πρέπει να αναλάβει ενεργό ρόλο στην εποπτεία του. Ιδανικά, θα πρέπει να δημιουργηθεί μια ειδική επιτροπή στην οποία θα περιλαμβάνονται εμπειρογνώμονες και θα αποτελεί μέρος του διοικητικού συμβουλίου, προκειμένου να μπορεί να έχει την απαραίτητη εικόνα σχετικά με τους κινδύνους που μπορεί να προκύψουν.
"Η εποπτεία του ψηφιακού κινδύνου θα πρέπει να γίνεται σε επίπεδο διοικητικού συμβουλίου", εξηγεί ο Χρήστος Μακεδόνας, Technology Risk Leader στην Grant Thornton Κύπρου. "Θα πρέπει επίσης να υπάρχει μια επιτροπή που να συζητά τον ψηφιακό κίνδυνο και να λαμβάνει αποφάσεις σχετικά με τον τρόπο που θα πρέπει να τον διαχειριστεί.
Ο ψηφιακός κίνδυνος είναι πολυδιάστατος και για αυτό θα πρέπει να εμπλέκονται σε αυτή τη διαδικασία πολλά στελέχη. Προς το παρόν, αυτό συμβαίνει μόνο σε μεγάλες επιχειρήσεις - ειδικά σε αυτές που παρέχουν χρηματοπιστωτικές υπηρεσίες."
Οι περισσότερες εταιρείες τοποθετούν τον Chief Risk Officer ή τον Chief Technology Officer, υπεύθυνο για την καθημερινή διαχείριση αυτών των κινδύνων. Αλλά, όπως εξηγείται στο άρθρο μας «Ψηφιακός κίνδυνος: Η τεχνολογία δεν είναι πανάκεια» η αποτελεσματική διαχείριση ψηφιακού κινδύνου βασίζεται σε κάτι περισσότερο από την τεχνολογία. Οι Chief Risk Officers επικεντρώνονται συνήθως στους οικονομικούς κινδύνους και συχνά ενδέχεται να μην έχουν την απαιτούμενη τεχνογνωσία για την αποτελεσματική διαχείριση του ψηφιακού κινδύνου.
H θέση του Chief Digital Risk Officer είναι σημαντική και πρέπει να εισαχθεί στις δομές των επιχειρήσεων. "Οι οργανισμοί αρχίζουν να δημιουργούν ψηφιακές λειτουργίες αντιμετώπισης κινδύνου έχοντας έναν Chief Digital Risk Officer", επιβεβαιώνει ο James Arthur. «Στο πεδίο αυτό θα πρέπει να βρεθεί η ευθύνη για τη διαχείριση του ψηφιακού κινδύνου. Αλλά τη δεδομένη στιγμή κάτι τέτοιο δεν είναι ακόμα διακριτό στις περισσότερες επιχειρήσεις. "
Τρία βήματα για την ολοκληρωμένη διαχείριση του ψηφιακού κινδύνου