“Internet of Things without security = Internet of Threats”
Η αλματώδη εξέλιξη της τεχνολογίας δημιουργεί ένα δυναμικό, συνεχώς μεταβαλλόμενο περιβάλλον καθιστώντας αναγκαία την εξεύρεση και βελτίωση κάθε μεθόδου διασφάλισης της προστασίας των χρηστών από οποιαδήποτε ανεπιθύμητη επίθεση. Η εναρμόνιση της καθημερινότητας με την υλοποίηση εργασιών ή/και την καταχώριση προσωπικών δεδομένων σε συνδυασμό με τη διατήρηση αυτών σε έντυπη μορφή αυξάνουν την ταχύτητα διάδοσής τους.
Σε καθημερινή βάση λοιπόν, ο επιχειρηματικός κόσμος έρχεται αντιμέτωπος με τέτοιου είδους προκλήσεις. Οι εν λόγω προκλήσεις, δύναται να διεισδύσουν στο εσωτερικό περιβάλλον, προκαλώντας ανεπιθύμητες απώλειες, γνωστοποιήσεις ή/και καταστροφές του πολύτιμου περιουσιακού τους στοιχείου, τα δεδομένα τους. Επιθέσεις πραγματοποιούνται καθημερινά σε μεμονωμένα άτομα, σε επιχειρήσεις αλλά και στο Διαδίκτυο ως ευρύτερο σύνολο. Από την μεριά των επιχειρήσεων λοιπόν, απαραίτητη κρίνεται η Ασφάλεια του συνόλου των Πληροφοριών σε οποιοδήποτε στάδιο υλοποίησης των επιχειρησιακών διαδικασιών.
Ας προσδιορίσουμε λοιπόν την έννοια «Ασφάλεια των Πληροφοριών».
Η Ασφάλεια των Πληροφοριών αναφέρεται στην προστασία ορισμένων ιδιοτήτων (properties) της πληροφορίας, με κυριότερες την εμπιστευτικότητα (confidentiality), την ακεραιότητα (integrity) και τη διαθεσιμότητα (availability) υπό το πρίσμα άλλων απαιτήσεων όπως αυτών της υπευθυνότητας, της αυθεντικότητας, της αξιοπιστίας. Αξιοσημείωτο κρίνεται ότι, οι έννοιες εμπιστευτικότητα και διαθεσιμότητα στηρίζονται στην έννοια της εξουσιοδότησης. Με άλλα λόγια, προκειμένου να δοθεί πρόσβαση ατόμου σε εμπιστευτικές πληροφορίες, πρέπει να προηγηθεί εξουσιοδότηση γνωστοποιώντας του τις διαδικασίες, τους κανόνες και τους όρους σύμφωνα με τους οποίους του δόθηκε η ανάλογη πρόσβαση. Αποτελεί αναγκαία συνθήκη σε συνδυασμό με τις άλλες βασικές παραμέτρους λειτουργίας (λ.χ. ποιότητα, απόδοση) προκειμένου να εξασφαλιστεί η εύρυθμη λειτουργία ενός οργανισμού.
Συνεπώς, η ικανοποίηση των απαιτήσεων για την ασφάλεια των πληροφοριών αποτελεί βασική προϋπόθεση για την αποδοτική εισαγωγή και αξιοποίηση κάθε είδους τεχνολογιών πληροφορίας.
Για τον σκοπό αυτό απαιτείται η ανάπτυξη και ενσωμάτωση στη λειτουργία του οργανισμού, ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (Information Security Management System–ISMS). Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών συνιστά μια συνολική και συστηματική προσέγγιση του οργανισμού στη διαχείριση της ευαίσθητης πληροφορίας του και των κινδύνων που την απειλούν, έτσι ώστε η πληροφορία να παραμένει ασφαλής. Επιδρά στο σύνολο του οργανισμού δηλαδή, στο προσωπικό, στις διαδικασίες και στα συστήματα πληροφορικής αυτού πραγματοποιώντας ανάλυση κινδύνων και αδυναμιών των πόρων που περιέχουν την πληροφορία και εφαρμόζοντας κατάλληλα μέτρα για την διαχείρισή της.
Ποια τα οφέλη για τον οργανισμό;
Η υιοθέτηση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών επιφέρει πολλαπλά οφέλη στον οργανισμό, ορισμένα εκ των οποίων είναι:
- βελτιώνει την αξιοπιστία του ενισχύοντας την εμπιστοσύνη των πελατών,
- παρέχει ανταγωνιστικό πλεονέκτημα λόγω της αναβάθμισης της εικόνας του οργανισμού,
- διαβεβαιώνει τα ενδιαφερόμενα μέρη ότι ο οργανισμός συμμορφώνεται με την ισχύουσα νομοθεσία,
- αποδεικνύει τη δέσμευση όλων των πόρων απέναντι στην ασφάλεια των πληροφοριών.
Πώς επιτυγχάνεται η Ασφάλεια των Πληροφοριών;
Τα τρία (3) βασικά & διακριτά στάδια/βήματα της Ασφάλεας Πληροφοριών είναι:
Οι συνέπειες που μπορεί να προκληθούν λόγω αποφυγής της Ασφάλειας των Πληροφοριών είναι πολλαπλές για να καταδείξουν τη σημασία αυτής (λ.χ. κόστος, δυσφήμηση, άρνηση εξυπηρέτησης κλπ.). Συμπερασματικά, η αποφυγή αυτών προϋποθέτει την κατανόηση της υλοποίησης μεθοδολογιών & τεχνολογιών που μπορούν να διασφαλίσουν την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα των πληροφοριών.
Συνοψίζοντας, η ένταξη ενός Συστήματος Ασφάλειας Πληροφοριών και η εναρμόνισή του με τον τρόπο υλοποίησης των επιχειρησιακών διαδικασιών διασφαλίζει την αξιοπιστεία των πληροφοριών τόσο του ίδιου του οργανισμού όσο και των ενδιαφερόμενων μερών του. Επικοινωνήστε μαζί μας, για την ορθή επιλογή και εφαρμογή Συστήματος αντίστοιχου της πολυπλοκότητας, των αναγκών και του μεγέθους της επιχείρησή σας.
Σταμάτη Φωτεινή
Σχεδιασμός Διαχειριστικών Συστημάτων
BSc Εφαρμοσμένη Πληροφορική
MSc Διοίκηση Επιχειρήσεων & Πληροφοριακά Συστήματα
Πηγές:
Ross Anderson. (2001). Why Information Security is Hard – An Economic Perspective.
Romuald Hoffmann, Maciej Kiedrowicz & Jerzy Stanik, (2006). Risk management system as the basic paradigm of the information security management system in an organization. MATEC Web of Conferences 76.