Κυβερνοασφάλεια: ενοποίηση προστασίας των δεδομένων σε επιχειρήσεις και εργαζομένους
Οι σύγχρονες επιχειρήσεις προσπαθούν να αποκτήσουν ένα σημαντικό ανταγωνιστικό πλεονέκτημα αξιοποιώντας την ψηφιακή πληροφορία. Οι προσπάθειες των επιχειρήσεων που ηγούνται της αγοράς, βρίσκονται αντιμέτωπες με μία μεταβαλλόμενη φύση των απειλών του κυβερνοχώρου.
Οι σύγχρονες επιχειρήσεις προσπαθούν να αποκτήσουν ένα σημαντικό ανταγωνιστικό πλεονέκτημα αξιοποιώντας την ψηφιακή πληροφορία. Οι προσπάθειες των επιχειρήσεων που ηγούνται της αγοράς, βρίσκονται αντιμέτωπες με μία μεταβαλλόμενη φύση των απειλών του κυβερνοχώρου.
Ενώ το GDPR ήδη εφαρμόζεται στην Ευρώπη, περιοχές όπως η Αυστραλία, η Καλιφόρνια και ο Καναδάς θεσμοθετούν νέους κανονισμούς. Τα δύο τρίτα των επιχειρήσεων εστιάζουν περισσότερο στην προστασία των δεδομένων, παρά στην ασφάλεια στον κυβερνοχώρο. Η πλειοψηφία (59%) προετοιμάζεται ενεργά για τις επόμενες μεταρρυθμίσεις. Είναι σημαντικό για τις επιχειρήσεις να αντιμετωπίζουν αποτελεσματικά την προστασία των δεδομένων και την ασφάλεια στον κυβερνοχώρο.
Ωστόσο, η δυσκολία έγκειται στο γεγονός ότι τις δυο αυτές πτυχές διαχειρίζονται διαφορετικές ομάδες. Συνήθως ο Chief Privacy Officer (CPO) αναλαμβάνει την ευθύνη για το πρώτο και ο Chief Information Security Officer (CISO) το δεύτερο. Θα ήταν πολύ καλύτερο η ίδια ομάδα να διαχειρίζεται και τις δύο αυτές πτυχές. Πολλές από τις δραστηριότητες που εξασφαλίζουν την προστασία των δεδομένων μπορούν να χρησιμοποιηθούν για την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Οι εταιρείες για παράδειγμα, θα μπορούσαν να χρησιμοποιήσουν την ταξινόμηση δεδομένων για να ενισχύσουν τους κανονισμούς περί προστασίας των προσωπικών δεδομένων, όπως το GDPR, καθώς και την ασφάλεια του κυβερνοχώρου. Θα μπορούσαν να ταξινομήσουν τα δεδομένα τους ανάλογα με την αξία τους στην επιχείρηση για να επιτευχθεί η καλύτερη δυνατή προστασία με πιο εξελιγμένες μεθόδους ασφάλειας.
Οι περισσότερες επιχειρήσεις δεν είχαν ταξινομήσει ποτέ τα δεδομένα τους πριν από το GDPR. Ξεκίνησαν να το κάνουν αυτό γιατί έπρεπε να ταξινομήσουν τις προσωπικά αναγνωρίσιμες πληροφορίες (PII) και άλλα είδη δεδομένων, προκειμένου να συμμορφωθούν με τον νέο κανονισμό. Σε περίπτωση που η προστασία των δεδομένων και η ασφάλεια στον κυβερνοχώρο δεν είναι ευθυγραμμισμένες, η ταξινόμηση αυτή θα γινόταν απομονωμένα και τα οφέλη δεν θα διαχέονταν στον εκάστοτε οργανισμό. Μια ενιαία ομάδα ψηφιακού κινδύνου θα μπορούσε να εξασφαλίσει και ότι οι εταιρείες ταξινόμησης δεδομένων (Data Classification) θα αναλάβουν συντονισμένα διάφορες δράσεις για τους σκοπούς τις εκάστοτε επιχειρήσεις.
Η αξιολόγηση της προστασίας των δεδομένων και του κινδύνου για την ασφάλεια στον κυβερνοχώρο, είναι επιτακτική ανάγκη μέσα από μια ενιαία λειτουργία διαχείρισης ψηφιακού κινδύνου, καθώς αυτά τα δύο αλληλοσυνδέονται όλο και περισσότερο. Οι επιχειρήσεις πρέπει να γνωρίζουν τον τρόπο με τον οποίο συνέβη η εκάστοτε παραβίαση και ποιες πρακτικές κυβερνοπροστασίας (αν υπάρχουν) απέτυχαν. Πρέπει επίσης να κατανοήσουν ποια δεδομένα διακυβεύονταν και αν ήταν προσωπικά ή ευαίσθητα. Σε κάθε περίπτωση, τα ευρήματα θα πρέπει να γνωστοποιηθούν. Η ιδιωτικότητα και η ασφάλεια στον κυβερνοχώρο είναι αρκετά σύνθετες, επειδή ενδέχεται να παραβιαστούν ταυτόχρονα. Η αυξημένη διασύνδεση της ασφάλειας του κυβερνοχώρου και της προστασίας δεδομένων επηρεάζει τον τρόπο με τον οποίο διασφαλίζεται η προστασία από διάφορα άλλα μέρη. Με την ενσωμάτωση της προστασίας και της ασφάλειας των δεδομένων, οι επιχειρήσεις θα είναι σε θέση να ανταποκρίνονται αποτελεσματικότερα στις παραβιάσεις των δεδομένων τους.
Σήμερα, οι περισσότερες επιχειρήσεις δεν είναι πλήρως προετοιμασμένες για να το κάνουν αυτό. Μόνο το 28% των επιχειρήσεων είναι «εξαιρετικά ικανοποιημένοι» με την ικανότητά τους να προστατευτούν από τον κίνδυνο μιας σοβαρής επίθεσης και μόλις το 26% με την ικανότητά τους να αντιδρούν με συνέπεια σε μια σημαντική επίθεση προς όλη την επιχείρηση, ανεξάρτητα από το πότε ή το πού γίνεται. H υιοθέτηση μιας ενιαίας λειτουργίας που είναι ικανή να εξετάσει τον κίνδυνο που μπορεί να προκαλέσουν τα τρίτα μέρη, μπορεί να διασφαλίσει ότι ο εκάστοτε κίνδυνος εξετάζεται για το σύνολο του οργανισμού. Πολλές επιχειρήσεις αρχίζουν να πειραματίζονται με την τεχνολογία blockchain.
Φυσικά, αυτή η «one-stop» διασφάλιση προστασίας από διάφορα τρίτα μέρη θα διευκολύνει τις διαδικασίες και θα οδηγήσει σε μεγαλύτερη αποτελεσματικότητα. Το πιο σημαντικό όμως είναι ότι θα οδηγήσει σε μια πιο ολοκληρωμένη κατανόηση του ψηφιακού κινδύνου. Είναι σημαντικό οι ομάδες κινδύνου να είναι συνδεδεμένες από την αρχή, επειδή με οποιαδήποτε τεχνολογική λύση που στηρίζεται σε βάση δεδομένων υπάρχει πάντοτε ο κίνδυνος επιθέσεων από τρίτα μέρη που θέλουν να υποκλέψουν τυχόν πληροφορίες. Θα πρέπει να μπορούν να διασφαλίσουν ότι υπάρχουν κατάλληλες δομές διακυβέρνησης σχετικά με τον τρόπο υλοποίησης, διαχείρισης και υποστήριξης του blockchain. Έτσι, θα αποφευχθούν ολοένα και περισσότερα προβλήματα ασφαλείας.
Συμπερασματικά, η ανάγκη για μια ολοκληρωμένη λειτουργία ψηφιακού κινδύνου είναι σαφής. Η έλλειψη κατανόησης σχετικά με τους κινδύνους που αντιμετωπίζουν τα άτομα και οι ομάδες στην εκάστοτε επιχείρηση είναι η δεύτερη μεγαλύτερη αδυναμία στη διαχείριση του ψηφιακού κινδύνου. Η διοίκηση της κάθε επιχείρησης θα πρέπει να αναλάβει ενεργό ρόλο. θα πρέπει να δημιουργηθεί μια ειδική επιτροπή στην οποία θα περιλαμβάνονται εμπειρογνώμονες και θα αποτελεί μέρος του διοικητικού συμβουλίου, προκειμένου να μπορεί να έχει την απαραίτητη εικόνα σχετικά με τους κινδύνους που μπορεί να προκύψουν. Ο ψηφιακός κίνδυνος είναι πολυδιάστατος και για αυτό θα πρέπει να εμπλέκονται σε αυτή τη διαδικασία πολλά στελέχη. Προς το παρόν, αυτό συμβαίνει μόνο σε μεγάλες επιχειρήσεις – ειδικά σε αυτές που παρέχουν χρηματοπιστωτικές υπηρεσίες.
4 βήματα για την Ολοκληρωμένη Διαχείριση του Ψηφιακού Κινδύνου
Προσδιορισμός του υπεύθυνου για τη διαχείριση της ασφάλειας στον κυβερνοχώρο και για τους κινδύνους που τυχόν μπορεί να προκύψουν από την προστασία των δεδομένων.
Χαρτογράφηση των δραστηριοτήτων και των ροών στην εργασία. Αποφυγή διπλών διαδικασιών.
Διασφάλιση των διαδικασιών ψηφιακού κινδύνου από την αρχή έως το τέλος. Για παράδειγμα, η αξιοπιστία τρίτων πρέπει να αξιολογείται, τόσο για ασφάλεια στον κυβερνοχώρο, όσο και στο απόρρητο των δεδομένων. Και οι δύο παράγοντες πρέπει επίσης να αξιολογούνται κατά την ταξινόμηση των δεδομένων.
Δημιουργία μιας ομάδας διαχείρισης ψηφιακού κινδύνου που να διαθέτει τις δεξιότητες για να διαχειριστεί, τόσο τις απειλές στον κυβερνοχώρο, όσο και τις απειλές που αφορούν στην προστασία των δεδομένων. Η διοίκηση της εκάστοτε εταιρείας να μπορεί να κατανοήσει και να επιβλέψει τυχόν κινδύνους, ώστε να ληφθούν υπόψη οι στρατηγικές και επιχειρησιακές αποφάσεις που θα αφορούν την επιχείρηση.
