Οι οργανισμοί πλέον δέχονται αυξημένες πιέσεις για τη συνεχή αξιολόγηση της απόδοσής τους και για την πραγμάτωση του ψηφιακού μετασχηματισμού των λειτουργιών τους. Οι πιέσεις μπορεί να πηγάζουν από τις τοπικές ή διεθνείς εξελίξεις, τις απαιτήσεις των μετόχων και λοιπών εμπλεκόμενων μερών, καθώς και από τις εξελίξεις στο νομοθετικό και ρυθμιστικό πλαίσιο. Σε ένα τόσο απαιτητικό περιβάλλον, οι οργανισμοί θα πρέπει να είναι σε θέση να εναρμονίζουν την επιχειρηματική τους στρατηγική τους με την στρατηγική πληροφορικής, να λαμβάνουν έγκαιρες αποφάσεις βάσει λεπτομερούς πληροφόρησης, να επιτυγχάνουν βελτιωμένες επιδόσεις και να ενισχύουν τα θέματα οικονομικής διαχείρισης.
Ταυτόχρονα, αυτό το νέο επιχειρηματικό και επιχειρησιακό πλαίσιο εγείρει κινδύνους κυβερνοασφάλειας που θα πρέπει να αναγνωριστούν και περιοριστούν εγκαίρως προκειμένου να διασφαλιστεί η ανθεκτικότητα του οργανισμού. Η ασφάλεια των πληροφοριών και η κυβερνοασφάλεια εμπεριέχουν θέματα διαχείρισης κινδύνων, εμπεριστατωμένων αναφορών και συνεχούς βελτίωσης. Η αποτελεσματικότητα των πλαισίων κυβερνοασφάλειας περιλαμβάνει την ενεργή συμμετοχή της ανώτερης διοίκησης αναφορικά με την εκτίμηση των αναδυόμενων απειλών/κινδύνων και τη δέσμευση προς αυτή την κατεύθυνση σε όλα τα εμπλεκόμενα μέρη. Καθώς οι απειλές και οι κίνδυνοι κυβερνοασφάλειας μεταβάλλονται, κρίνεται επιτακτική η διεξαγωγή συνεχών αξιολογήσεων και βελτιώσεων των υφιστάμενων μέτρων ασφάλειας.
Στο πλαίσιο αυτό, κατανοούμε ότι οι οργανισμοί έχουν προβεί σε μια σειρά επενδύσεων στον τομέα της κυβερνοασφάλειας, ώστε να διασφαλίσουν την ελαχιστοποίηση των κινδύνων στον χαμηλότερο δυνατό βαθμό. Ωστόσο, με τις συνεχείς αλλαγές στο τοπίο των απειλών, θεωρούμε ότι ένας στρατηγικός σύμβουλος μπορεί να αποδώσει προστιθέμενη αξία αναδεικνύοντας τη σπουδαιότητα παλιών και νέων επενδύσεων, καθώς και να καθοδηγήσει προς έναν τρόπο λειτουργίας προσανατολισμένο στο να ανταποκρίνεται διαρκώς στις εκάστοτε κυβερνοαπειλές.
Οι προκλήσεις που χρήζουν προσοχής μπορεί να αφορούν...
- Την παροχή λεπτομερούς πληροφόρησης προς την ανώτερη διοίκηση σχετικά με την αποτελεσματικότητα των επενδύσεων κυβερνοασφάλειας
- Την αυτοματοποίηση των διαδικασιών αξιολόγησης της ωριμότητας της κυβερνοασφάλειας του οργανισμού και των πολύτιμων περιουσιακών του στοιχείων
- Την καταγραφή της εναρμόνισης της κυβερνοασφάλειας με τους επιχειρησιακούς και επιχειρηματικούς στόχους του οργανισμού
- Την ποσοτικοποίηση και ανάλυση των κινδύνων με βάση εξορθολογισμένες προγραμματισμένες επενδύσεις
- Την παροχή συνεχούς βοήθειας, σε 24ωρη βάση, σε περίπτωση συμβάντος κυβερνοασφάλειας για τη διασφάλιση της ανθεκτικότητας του οργανισμού
Τι μπορούμε να κάνουμε για να ενισχύσουμε τις εσωτερικές σας δυνατότητες;
Στην KPMG αφουγκραζόμαστε τις απαιτήσεις των πελατών μας αναφορικά με τον σχεδιασμό λύσεων ικανών να αντιμετωπίσουν τις σύγχρονες προκλήσεις και την ανάγκη να καταστεί λειτουργικό το πλαίσιο της διακυβέρνησης της κυβερνοασφάλειας.
Κατανόηση τρέχουσας κατάστασης – Αξιολόγηση ωριμότητας κυβερνοασφάλειας (Cyber Maturity Assessment - CMA)
Το CMA αποτελεί μεθοδολογία που αναπτύχθηκε από την KPMG και η οποία βασίζεται σε κορυφαία και διεθνώς αναγνωρισμένα πλαίσια ασφάλειας πληροφοριών, όπως τα Information Assurance Maturity Model (IAMM), American National Standards Institute (ANSI) Financial Management of Cyber Risk, ISO 27001 και NIST (συμπεριλαμβανομένου του πλαισίου κυβερνοασφάλειας 800-53, κλπ.) και άλλα παρόμοια πρότυπα, σε συνδυασμό με την παγκόσμια εμπειρία μας σε πρακτικές διαχείρισης κινδύνου και κυβερνοασφάλειας.
Το CMA παρέχεται μέσω διαδικτυακής πλατφόρμας και προσφέρει αποτελεσματικές αξιολογήσεις μέσω εύκολης και ασφαλούς πρόσβασης, δυνατότητας ανάθεσης ερωτήσεων, ευέλικτης προσαρμογής των σημείων ελέγχων, καταλόγου ερωτήσεων για την εξατομικευμένη ικανοποίηση των αναγκών σας, καθώς και διαδραστική διεπαφή με πίνακες και αναφορές και λειτουργία εξαγωγής αυτών σε αρχεία. Η λειτουργικότητα της πλατφόρμας έρχεται σε συνδυασμό με την ασφαλή αποθήκευση δεδομένων μέσω χρήσης ισχυρής κρυπτογράφησης σε κέντρα δεδομένων εγκατεστημένα μόνο εντός της Ε.Ε.
Η υπηρεσία CMA προσφέρεται σε τρεις διακριτές εκδοχές:
- CMA Lite: Σύντομη αξιολόγηση, διάρκειας μίας εβδομάδας, που προσφέρει μια επιτελική σύνοψη του επιπέδου ωριμότητας κυβερνοασφάλειας.
- CMA Advanced: Εις βάθος προσέγγιση η οποία περιλαμβάνει διεξοδική έρευνα των σημείων ελέγχου. Η εν λόγω εκδοχή περιλαμβάνει τη σύντομη επεξήγηση των υφιστάμενων διαδικασιών των τομέων στο εύρος της αξιολόγησης.
- CMA Platinum: Μια πλήρης, ολοκληρωμένη αξιολόγηση, η οποία περιλαμβάνει τον έλεγχο της αποτελεσματικότητας των καθορισμένων σημείων/τομέων.
Παρακολούθηση επιπέδου κυβερνοασφάλειας - Συνεχής Παρακολούθηση Μέτρων (Continuous Control Monitoring – CCM)
Έχοντας εργαστεί ως στελέχη ασφάλειας πληροφοριών σε μεγάλες επιχειρήσεις, στόχος μας αποτέλεσε το να εντοπίζουμε μεθόδους κεντρικής διαχείρισης του πλήθους των πληροφοριών που παράγονται από τις υφιστάμενες υποδομές, σε μια προσπάθεια εντοπισμού προβληματικών σημείων και τον προσανατολισμό των προσπαθειών μας προς την ταχεία επίλυσή τους.
Το CCM εισάγει την υιοθέτηση μιας ενοποιημένης κονσόλας διαχείρισης μέσω της οποίας επιτυγχάνεται (α) η διαρκής παρακολούθηση της συμμόρφωσης με πρότυπα, κανονισμούς και βέλτιστες πρακτικές και (β) η κατανόηση τυχόν παραβιάσεων πολιτικών και προτύπων ώστε να καθοδηγηθούν οι διαχειριστές συστημάτων προς την έγκαιρη επίλυσή τους.
Η λύσης CCM της KPMG υποστηρίζεται από την τεχνολογική πλατφόρμα της CyberObserver, που αποτελεί την κορυφαία λύση Continuous Controls Monitoring (CCM) και Cloud Security Posture Management (CSPM) που διατίθεται στην αγορά. Η πλατφόρμα δίνει στους υπεύθυνους ασφάλειας και διαχείρισης κινδύνων τη δυνατότητα της συνεχούς παρακολούθησης των εργαλείων του οργανισμού και της εναρμόνισης της κυβερνοασφάλειας με πλαίσια, κανονισμούς και πρότυπα.
Προσφέρουμε στους υποψήφιους πελάτες μας ως δώρο μια πιλοτική δοκιμή διάρκειας ενός μήνα, ώστε να επιβεβαιώσουν τα πλεονεκτήματα της λύσης CCM της KPMG.
Απόκριση σε απειλές - υπηρεσίες Απόκρισης στις Κυβερνοαπειλές
Είχαμε πάντα την άποψη ότι οι οργανισμοί θα πρέπει να διαφοροποιηθούν από την οπτική «δεν τίθεται ερώτημα αν θα μας επιτεθούν αλλά το πότε» και να λειτουργούν με βάση την πεποίθηση «κακόβουλοι χρήστες βρίσκονται ήδη εντός του οργανισμού και πρέπει να διατηρήσουμε την ανθεκτικότητα και συνέχεια των λειτουργιών μας». Αυτός ο νέος τρόπος λειτουργίας απαιτεί την καθιέρωση υγιεινής κυβερνοασφάλειας, συνεχούς εγρήγορσης και άμεσης αναγνώρισης και απόκρισης σε περιστατικά κυβερνοασφάλειας.
Έχοντας υποστηρίξει πλήθος πελατών στην απόκριση σε περιστατικά όπως επιθέσεις από ransomware, παραβιάσεις email (BEC), διαρροή δεδομένων, κλπ., η KPMG προσφέρει ολοκληρωμένη, 24ωρη κάλυψη απόκρισης σε κυβερνοαπειλές μέσω υπηρεσιών Ετοιμότητας, Απόκρισης και Υπηρεσιών μετά την παραβίαση, με τη σχετική ειδική γραμμής υποστήριξης (hotline) κυβερνοασφάλειας.
Οι υπηρεσίες μας παρέχονται σε τρεις διακριτές εκδοχές:
- Bronze: Υποστήριξη ανά περίπτωση, με χρέωση pay-as-you-go.
- Silver: Συνεχής υποστήριξη, σε συνδυασμό με ενδελεχή διαδικασία on-boarding.
- Gold: Υπηρεσίες προστιθέμενης αξίας, για διαρκή εγρήγορση και ενίσχυση του πλαισίου κυβερνοασφάλειας.