Επιτυχείς μετασχηματισμοί κυβερνοασφάλειας
Άρθρο στο Περιοδικό Netweek: Του Θοδωρή Στεργίου, Director, Consulting, KPMG στην Ελλάδα
Άρθρο στο Περιοδικό Netweek: Του Θοδωρή Στεργίου, Director, Consulting, KPMG στην Ελλάδα
Είναι γεγονός ότι το περιβάλλον κυβερνοαπειλών μεταβάλλεται διαρκώς, ενώ θύματα των επιτιθέμενων αποτελούν μεγάλοι και παγκόσμιοι οργανισμοί. Με μια ανάγνωση των στοιχείων όμως, παρατηρείται το φαινόμενο οι εν λόγω οργανισμοί να δέχονται επιθέσεις, όχι λόγω κάποιας έλλειψης σε τεχνολογίες κυβερνοασφάλειας. Αντιθέτως, ο παράγοντας που τελικά καθορίζει το πόσο ισχυρό είναι το πλαίσιο κυβερνοασφάλειας αποτελεί το λειτουργικό μοντέλο που ο οργανισμός εφαρμόζει.
Φανταστείτε το σενάριο που μια επιχείρηση θέλει να διαχειριστεί επιτυχώς την πρόσβαση των χρηστών της, ενώ ταυτόχρονα να μειώσει τα αιτήματα προς τη Διεύθυνση Πληροφορικής σχετικά με επαναφορές κωδικών πρόσβασης (password resets), πρόσβαση σε νέες εφαρμογές, κλπ. Η συνήθης πρακτική οδηγεί σε υιοθέτηση λύσεων Identity and Access Management (IAM), μέσω των οποίων αυτοματοποιούνται οι σχετικές διαδικασίες.
Σε ένα τέτοιο έργο, ο οργανισμός θα πρέπει να εμπλέξει πληθώρα στελεχών από διαφορετικές οργανικές μονάδες. Θα πρέπει να καταγράψει τους ρόλους που θα εμπλακούν, τις αρμοδιότητές τους, ενώ ταυτόχρονα θα πρέπει να αποφασίσει εάν η διαχείριση των ταυτοτήτων θα λάβει χώρα κεντρικά, ή κάθε μονάδα θα έχει τον δικό της συντονιστή. Στην πορεία προς τον σχεδιασμό της συνολικής αρχιτεκτονικής (blueprint), θα πρέπει να αποφασίσει ποιες είναι οι ροές που τον ενδιαφέρουν να εντάξει στη νέα πλατφόρμα και να τις περιγράψει (joiners, leavers, movers), τα εγκριτικά επίπεδα, καθώς και να διαμορφώσει το κατάλληλο πλαίσιο διακυβέρνησης. Σε συνεργασία με όλα τα εμπλεκόμενα στελέχη, θα πρέπει, εφόσον δεν υφίστανται, να περιγράψει τους ρόλους που θα αναλάβουν οι χρήστες, ώστε πάνω σε αυτούς να σχεδιαστούν τα κατάλληλα δικαιώματα πρόσβασης. Παράλληλα, η Διεύθυνση Πληροφορικής θα πρέπει να καταγράψει τις κατάλληλες ροές μεταξύ των συστημάτων, αποφασίζοντας ποια θα είναι η μοναδική αξιόπιστη πηγή πληροφοριών (authoritative source – single point of truth), από την οποία η πλατφόρμα ΙΑΜ θα λαμβάνει τα απαιτούμενα στοιχεία. Ο οργανισμός θα κληθεί επίσης να διενεργήσει μελέτη της υφιστάμενης κατάστασης δίνοντας έμφαση στην τρέχουσα υλοποίηση διαχωρισμού αρμοδιοτήτων (segregation of duties), ώστε με την ένταξη της πλατφόρμας ΙΑΜ να παρακολουθούνται οι προσβάσεις οι οποίες θα μπορούσαν να θέσουν σε κίνδυνο τον οργανισμό. Τέλος, θα πρέπει να καταγράψει τον τρόπο με τον οποίο θα παρακολουθείται η αποτελεσματικότητα του νέου πλαισίου διακυβέρνησης πρόσβασης χρηστών/ ταυτοτήτων, αλλά και το εν γένει λειτουργικό μοντέλο που θα συνδράμει στη διαρκή βελτίωσή του. Και όταν ολοκληρωθούν όλα τα ανωτέρω, θα κληθεί να επιλέξει την κατάλληλη τεχνολογική λύση μέσω της οποίας θα αυτοματοποιήσει το πλαίσιο που σχεδίασε.
Για κάθε έργο μετασχηματισμού κυβερνοασφάλειας, είτε αυτό αφορά διαχείριση ταυτοτήτων, είτε συμβάντων ασφάλειας ή προστασία προσωπικών δεδομένων, ο σημαντικότερος παράγοντας επιτυχίας του δεν έγκειται στην τεχνολογία που θα χρησιμοποιηθεί. Αντιθέτως, εδράζεται στον σχεδιασμό ενός ολοκληρωμένου λειτουργικού μοντέλου το οποίο αποτελεί τον πυρήνα της επιτυχούς υλοποίησης, διαχείρισης, παρακολούθησης, αλλά και βελτίωσης του προγράμματος κυβερνοασφάλειας.
Ως KPMG, αναγνωρίζοντας την ανάγκη πληθώρας πελατών για την ανάπτυξη ενός ολοκληρωμένου λειτουργικού μοντέλου, αναπτύξαμε τις υπηρεσίες Powered Enterprise. Το Powered Enterprise βοηθάει τις επιχειρήσεις να εκσυγχρονίσουν τις επιχειρησιακές τους λειτουργίες και λειτουργίες κυβερνοασφάλειας και να επιτύχουν γρήγορα τον επιθυμητό τους μετασχηματισμό. Συνδυάζουμε την εμπειρία που έχουμε συγκεντρώσει από την υλοποίηση χιλιάδων λειτουργικών μετασχηματισμών, με τη τεχνογνωσία μας πάνω στις τελευταίες τεχνολογίες cyber security, υπολογιστικού νέφους (cloud) και την βαθιά κατανόηση που διαθέτουμε για τις προκλήσεις της Ελληνικής αγοράς.
Η εποχή που διανύουμε χαρακτηρίζεται από διαρκείς αλλαγές στον τομέα των κυβερνοαπειλών οι οποίες έχουν με τη σειρά τους πυροδοτήσει την ανάγκη για στοχευμένες ενέργειες. Ένας επιτυχής και βιώσιμος μετασχηματισμός κυβερνοασφάλειας απαιτεί κατανόηση των τρόπων με τους οποίους οι αλλαγές επηρεάζουν συνολικά έναν οργανισμό, από το στάδιο σχεδιασμού των διαδικασιών έως την παροχή των υπηρεσιών. Το Powered Enterprise μπορεί να συμβάλει στον στόχο αυτό παρέχοντας άμεση πρόσβαση σε κορυφαίες προηγμένες διαδικασίες, οργανωτικό σχεδιασμό, τεχνολογίες, λειτουργικά μοντέλα, μεθόδους και εργαλεία υλοποίησης, καθώς και την απαραίτητη ώθηση για συνεχή εξέλιξη.
