Cyber security: Τα πέντε συνηθισμένα λάθη

Cyber security: Τα πέντε συνηθισμένα λάθη

Οι παρανοήσεις που υπάρχουν γύρω από το Cyber Security δυσχαιρένουν συχνά τη κατάρτιση ενός αποτελεσματικού στρατηγικού πλάνου για τους οργανισμούς

1000

Ο κυβερνοχώρος αποτελεί κίνδυνο για την ασφάλεια των οργανισμών κυρίως λόγω της τάσης για αύξηση των δεδομένων και της χρήσης τους, τη σταδιακή εξάπλωση και επικράτηση του Internet of Things (IoT), την αύξηση της δια-συνδεσιμότητας και των αλληλοεξαρτήσεων, αλλά και, τέλος, λόγω της ραγδαίας τεχνολογικής εξέλιξης και των ευφυών τεχνικών που εφαρμόζουν οι κυβερνοεγκληματίες (cyber criminals).

Οι πιθανοί κίνδυνοι έχουν αναγνωριστεί και σύμφωνα με διεθνείς έρευνες, περιλαμβάνονται στην ατζέντα των περισσοτέρων διοικήσεων. Ωστόσο, κυρίως λόγω της έλλειψης ολιστικής στρατηγικής, τα αποτελέσματα δεν είναι τα αναμενόμενα. Η αποτελεσματική διαχείριση των κινδύνων του κυβερνοχώρου δημιουργεί προβληματισμούς που περιλαμβάνουν, μεταξύ άλλων, το υφιστάμενο επίπεδο ασφάλειας και τον απαιτούμενο προϋπολογισμό. Οι αποφάσεις των Διοικήσεων σε αυτά τα θέματα επηρεάζονται σε μεγάλο βαθμό από τις απαιτήσεις των κανονιστικών και νομοθετικών αρχών, τις βέλτιστες πρακτικές, τις πρακτικές που εφαρμόζουν παρεμφερείς οργανισμοί και τις εισηγήσεις των επαγγελματιών ασφάλειας. Στις περισσότερες περιπτώσεις δεν λαμβάνεται υπόψη το προφίλ κινδύνου του οργανισμού και οι δράσεις για τη διαχείριση της κυβερνοασφάλειας βασίζονται συνήθως στις πέντε παρακάτω λανθασμένες αντιλήψεις:

Λάθος: Πρέπει να επιτύχουμε 100% ασφάλεια

Πραγματικότητα: το επίπεδο 100% στην ασφάλεια ούτε είναι εφικτό ούτε αποτελεί ρεαλιστικό στόχο. Οι οργανισμοί θα πρέπει να παραδεχτούν ότι σε μεσοπρόθεσμο χρονικό ορίζοντα η ασφάλειά τους πιθανότατα θα παραβιαστεί, ως εκ τούτου θα πρέπει να στοχεύσουν κυρίως σε δράσεις πιο άμεσου εντοπισμού, περιορισμού των επιπτώσεων από τις παραβιάσεις αλλά και σταδιακής θωράκισης για το μέλλον.

Λάθος: Εάν επενδύσουμε στις καλύτερες (best-of-class) τεχνολογικές λύσεις είμαστε ασφαλείς

Πραγματικότητα: η αποτελεσματική κυβερνοασφάλεια εξαρτάται σε μικρότερο βαθμό από την τεχνολογία από ότι πιστεύεται. Ο ανθρώπινος παράγοντας εξακολουθεί να είναι ο πιο αδύναμος κρίκος στην αλυσίδα σχετικά με την ασφάλεια, άρα η προσπάθεια και οι επενδύσεις θα πρέπει να μοιράζονται σε τεχνολογία, διαδικασίες και εκπαίδευση ανθρώπινου δυναμικού όσον αφορά τα πλάνα υλοποίησης ολιστικών στρατηγικών και μέτρων ασφάλειας.

Λάθος: Τα αντίμετρα και τα όπλα μας

πρέπει να είναι πάντα καλύτερα από αυτά των επιτιθεμένων

Πραγματικότητα: το προφίλ των επιτιθέμενων το οποίο προσδιορίζεται από τα κίνητρα και τις τεχνικές/εργαλεία που χρησιμοποιούνται, αλλάζει σε καθημερινή βάση, άρα δεν είναι εφικτό να ακολουθηθεί πλήρως. Τα αντίμετρα των οργανισμών αλλά και η πολιτική ασφάλειας θα πρέπει να βασίζονται στο προφίλ κινδύνου και στους στόχους του οργανισμού για την αντιμετώπιση των κυβερνοεπιθέσεων λαμβάνοντας φυσικά υπόψη την τεχνολογία, αλλά χρειάζεται να στοχεύουν κυρίως στην κάλυψη των κινδύνων ανάλογα με την περιουσία (asset) που προστατεύουν.

Λάθος: Η συμμόρφωση με τις απαιτήσεις της κυβερνοασφάλειας

αφορά μόνο στην αποτελεσματική παρακολούθηση (monitoring) των μηχανισμών ασφάλειας

Πραγματικότητα: η συνεχής βελτίωση, η ικανότητα για εκμάθηση και εμπέδωση των αποτελεσμάτων των μηχανισμών παρακολούθησης για την κατανόηση του προφίλ κινδύνου του οργανισμού, την προετοιμασία και την προστασία του από τις επιθέσεις του κυβερνοχώρου είναι εξίσου ή και περισσότερο σημαντική.

Λάθος: Θα πρέπει να προσλάβουμε τους καλύτερους επαγγελματίες ασφάλειας

Πραγματικότητα: οι οργανισμοί θα πρέπει να επενδύσουν ώστε να δημιουργήσουν κουλτούρα κυβερνοασφάλειας μέσα στον οργανισμό και στις καθημερινές λειτουργίες του και χρειάζεται να είναι ανοικτοί στο να χρησιμοποιήσουν πρακτικές / τεχνικές τρίτων. Η κυβερνοασφάλεια σε έναν οργανισμό δεν πρέπει είναι τμήμα (department) αλλά «στάση» (attitude).

Η KPMG πιστεύει ότι για την αποτελεσματική διαχείριση των κινδύνων του κυβερνοχώρου σε έναν οργανισμό απαιτείται κυρίως εξατομίκευση και προσαρμογή στις ανάγκες του με βάση την αρχή «τί μπορούμε να κάνουμε». Η τεχνογνωσία είναι διαθέσιμη και εξελίσσεται συνεχώς. Η συμβολή από ειδικούς είναι ένα πρώτο βήμα που οι οργανισμοί μπορούν να κάνουν προκειμένου να αντιληφθούν το προφίλ κινδύνου τους, τις επιχειρησιακές και τεχνολογικές ιδιαιτερότητές τους και στη συνέχεια να ορίσουν τους δικούς τους στόχους στην κυβερνοασφάλεια. 

 

 

© 2024 KPMG Σύμβουλοι Μονοπρόσωπη Α.Ε., Ελληνική Ανώνυμη Εταιρεία και μέλος του διεθνούς οργανισμού ανεξάρτητων εταιρειών-μελών της KPMG συνδεδεμένων με την KPMG International Limited, ιδιωτική Αγγλική εταιρεία περιορισμένης ευθύνης με εγγυητικές εισφορές. Με την επιφύλαξη κάθε δικαιώματος. 

Συνδεθείτε μαζί μας