Μια ολοένα αυξανόμενη τάση, τόσο στην Ελλάδα όσο και διεθνώς, είναι η παρουσία ερωτηματολογίων αναφορικά με την κυβερνοασφάλεια, στα έγγραφα κατάθεσης προτάσεων και προσφορών συνεργασίας. Πριν από πέντε χρόνια, δύσκολα μπορούσε κανείς να βρει κάποιο αντίστοιχο ερωτηματολόγιο. Πλέον, ωστόσο, αποτελεί θα λέγαμε τυπικό προαπαιτούμενο και «κλειδί» σε κάθε συνεργασία, καθώς η κυβερνοασφάλεια λογίζεται ως υποχρεωτικό κριτήριο σε πολλά συμβόλαια και συμβάσεις.
Η κυβερνοασφάλεια αποτελεί το «κλειδί» για να κερδίσει κανείς συμβόλαια συνεργασίας με τον δημόσιο και τον ιδιωτικό τομέα. Τι χρειάζεται να κάνει μια επιχείρηση για να κερδίσει;
Μια ολοένα αυξανόμενη τάση, τόσο στην Ελλάδα όσο και διεθνώς, είναι η παρουσία ερωτηματολογίων αναφορικά με την κυβερνοασφάλεια, στα έγγραφα κατάθεσης προτάσεων και προσφορών συνεργασίας. Πριν από πέντε χρόνια, δύσκολα μπορούσε κανείς να βρει κάποιο αντίστοιχο ερωτηματολόγιο. Πλέον, ωστόσο, αποτελεί θα λέγαμε τυπικό προαπαιτούμενο και «κλειδί» σε κάθε συνεργασία, καθώς η κυβερνοασφάλεια λογίζεται ως υποχρεωτικό κριτήριο σε πολλά συμβόλαια και συμβάσεις. Πως λοιπόν μπορεί κανείς να ανταποκριθεί καλύτερα σε ένα τέτοιο ερωτηματολόγιο κυβερνοασφάλειας;
Δημιουργία ενός σχεδίου Επιχειρησιακής Συνέχειας
Ένα από τα πρώτα βήματα της διαδικασίας είναι η δημιουργία ενός σχεδίου επιχειρησιακής συνέχειας. Η πανδημία του Covid 19 μας υπενθυμίζει τη σημασία τέτοιου είδους σχεδίων. Τα Πρωτόκολλα Ανάκτησης στον τομέα του IT πρέπει να περιέχονται στα σχέδια επιχειρησιακής συνέχειας και αποκατάστασης καταστροφών της επιχείρησης. Πάρτε σοβαρά την όλη διαδικασία και πραγματοποιήστε μια πλήρη παρουσίαση των διακομιστών σας, των εφεδρικών διακομιστών και των υπηρεσιών cloud, εφόσον χρησιμοποιείτε τέτοιες λύσεις.
Χρησιμοποιήστε τις ερωτήσεις ως οδηγό για όσα επιθυμεί ο πελάτης
Τις περισσότερες φορές ο πελάτης έχει μια σειρά από προδιαγραφές και συγκεκριμένες επιδιώξεις, στα οποία καλείστε να ανταποκριθείτε. Ενδέχεται να μην αναφέρουν τα πάντα ρητώς, ωστόσο, οι ερωτήσεις στις οποίες καλείστε ν’ απαντήσετε αποτελούν έναν πολύ καλό οδηγό. Είναι σημαντικό να αντιλαμβάνεστε τι επιδιώκει ο πελάτης – και ν’ απαντάτε με ότι ουσιαστικά περιμένει να διαβάσει στην απάντησή σας. Για παράδειγμα, όταν ρωτήσει εάν διαθέτετε κάποιον διακομιστή στο γραφείο σας και εάν υπάρχει ασφάλεια στο συγκεκριμένο μέρος 24/7. Ίσως επίσης σας ρωτήσει να γράψετε ορισμένα πράγματα για τις διαδικασίες ασφάλειας, για το ποιος έχει την άδεια να εισέρχεται στο δωμάτιο του διακομιστή και ποιος έχει πρόσβαση σε αυτόν. Ακόμη κι αν δεν έχετε όλα τα απαιτούμενα, είναι σημαντικό να απαντήσετε καταφατικά στα ερωτήματα. Στη συνέχεια έχετε 3 μήνες περίπου, που μεσολαβούν ανάμεσα στην υπογραφή της σύμβασης και στην εφαρμογή της, προκειμένου να τακτοποιήσετε τις όποιες ελλείψεις σας, πριν ξεκινήσετε να παρέχετε τις υπηρεσίες σας στον πελάτη.
Επικοινωνήστε με τους προμηθευτές σας και αξιοποιήστε την εμπειρία τους
Εάν η επιχείρησή σας διαθέτει περιορισμένη πρόσβαση και γνώση στον τομέα του IT, ο σύμβουλός σας στον τομέα αυτόν, καθώς και οι προμηθευτές σας μπορούν ν’ αποδειχτούν ανεκτίμητοι. Το τεχνικό τους προσωπικό διαθέτει εμπειρία και μπορεί ν’ απαντήσει στα ερωτηματολόγια κυβερνοασφάλειας, παρέχοντάς σας βοήθεια. Επιπρόσθετα, στα σημεία στα οποία τα ερωτηματολόγια σας ζητούν ν’ αναφερθείτε στα «επίπεδα ασφάλειας» των διακομιστών ή των συστημάτων σας, είναι σημαντικό να σημειώσετε πως συνήθως δεν αναφέρονται στα εσωτερικά σας συστήματα, αλλά σε αυτά που σας προσφέρουν οι πάροχοί σας μέσω των υπηρεσιών cloud. Πάρτε για παράδειγμα μια μικρή δικηγορική εταιρία, η οποία πραγματοποιεί την προσφορά της για μια δημόσια σύμβαση που χρησιμοποιεί υπηρεσίες AWS για την αποθήκευση των δεδομένων σε cloud. Θα αξιοποιήσετε τις πιστοποιήσεις ασφάλειας AWS στην απάντησή σας – δεν θα αναφερθείτε στη δική σας εσωτερική ασφάλεια.
Αναβαθμίστε τα συστήματά σας και τις διαδικασίες όπου αυτό είναι απαραίτητο
Ανάλογα με το μέγεθος της σύμβασης και την ευκαιρία που παρουσιάζεται κάθε φορά, οι επιχειρήσεις ενδέχεται να χρειάζεται ν’ αναβαθμίσουν τα συστήματά τους και το επίπεδο της ασφάλειας. Αυτό συχνά αποτελεί μια ιδιαίτερα δαπανηρή υπόθεση, στην οποία δεν θα θέλατε να επενδύσετε υπό άλλες συνθήκες, εκτός κι αν η πρότασή σας γίνει τελικά αποδεκτή. Υπάρχουν δύο επιλογές όσον αφορά το εν λόγω ζήτημα. Η πρώτη είναι να ξεκινήσετε τη διαδικασία και να εξηγήσετε ότι βρίσκεται σε εξέλιξη και πως τα πάντα θα είναι έτοιμα έως την περίοδο έναρξης εφαρμογής της σύμβασης. Η δεύτερη επιλογή που έχετε είναι να απαντήσετε πως διαθέτετε όλα τα απαραίτητα και να φροντίσετε προκειμένου όλα να είναι έτοιμα όταν πρέπει, ουσιαστικά με την έναρξη της εφαρμογής της σύμβασης.
Πραγματοποιήστε σύνδεση ανάμεσα σε ασφάλεια και σε ιδιωτικότητα
Σε οποιαδήποτε απάντηση και με βάση την ιδιαίτερα αυστηρή νομοθεσία της ΕΕ όσον αφορά την ιδιωτικότητα, είναι σημαντικό ν’ αναφέρετε πως ακριβώς θα γίνεται η επεξεργασία των προσωπικών δεδομένων και που θ’ αποθηκεύονται αυτά. Οι συγκεκριμένες πληροφορίες είναι απαραίτητο να αναφέρονται ρητά και με λεπτομέρειες σε κάθε απάντηση. Επιπλέον, μπορείτε να προχωρήσετε και σε κάποια επίδειξη της εσωτερικής σας διαδικασίας ταξινόμησης των πληροφοριών (για παράδειγμα, αταξινόμητες, μόνο για χρήση γραφείου και ευαίσθητες). Με τον τρόπο αυτό θα ενισχύσετε περεταίρω την προσέγγισή σας αναφορικά με τη διαχείριση των προσωπικών δεδομένων.
Καταγραφή της χρήσης των συστημάτων
Οι απαντήσεις σας για τις ερωτήσεις που έχουν να κάνουν με την Κυβερνοασφάλεια θα πρέπει να διευκρινίζουν με ακρίβεια ποιος θα χρησιμοποιεί το σύστημα και που θα αποθηκεύονται τα δεδομένα του πελάτη, καθώς επίσης και πως θα γίνεται η επεξεργασία τους. Οι περισσότεροι οργανισμοί προτιμούν την αποθήκευση των δεδομένων στη χώρα στην οποία δραστηριοποιούνται ή τουλάχιστον στην ευρύτερη περιοχή. Για παράδειγμα, η αποθήκευση δεδομένων μέσω cloud σε κάποιο κέντρο δεδομένων στη Θεσσαλονίκη για μια επιχείρηση με έδρα στην Αθήνα είναι κατά κύριο λόγο εντάξει, όμως, η αποθήκευση των δεδομένων στην Ασία δεν είναι αντίστοιχα καθόλου επιθυμητή.
Αξιοπιστία μέσω ελέγχων
Η δυναμική διείσδυση και οι εκτενείς έλεγχοι είναι μείζονος σημασίας για τη διατήρηση της ακεραιότητας οποιουδήποτε συστήματος IT. Είναι σημαντικό η πληρότητα αυτών να περιγράφεται στην απάντησή σας, σε όποια ερώτηση σχετίζεται με την κυβερνοασφάλεια στην πρότασή σας. Το να προσκαλέσετε και να δώσετε την άδεια στον πελάτη να ελέγξει και να δοκιμάσει τα συστήματά σας όπου θα αποθηκεύονται τα δεδομένα του, αποτελεί έναν εξαιρετικό τρόπο προκειμένου να εκφράσετε και να επιδείξετε την εμπιστοσύνη που έχετε στα συστήματα και στις διαδικασίες σας.
Ασφάλεια ανθρώπινων πόρων
Ορισμένες φορές ρίχνουμε πολύ μεγάλο βάρος στην πλευρά της προστασίας των δεδομένων όσο αφορά τις υπηρεσίες του IT που αμελούμε να εστιάσουν στον ανθρώπινο παράγοντα. Όταν αναλύετε τις διαδικασίες κυβερνοασφάλειας στην πρότασή σας, είναι απαραίτητο ν’ αναφερθείτε και στις διαδικασίες ελέγχου που αφορούν το προσωπικό. Συνεπώς είναι εξίσου σημαντικοί οι έλεγχοι ποινικού μητρώου, οι κρατικοί έλεγχοι και οι έλεγχοι που αφορούν το ιστορικό του κάθε υπαλλήλου.
Διαχείριση συμβάντων
Πέρα από την εσωτερική διαδικασία διαχείρισης συμβάντων, είναι σημαντικό ν’ αναφερθείτε λεπτομερώς στις διαδικασίες επικοινωνίας, σε περίπτωση που υπάρξει κάποιο συμβάν, το οποίο ν’ αφορά τον πελάτη σας. Θα πρέπει να καλύψετε ζητήματα όπως το πως θα γίνει η επικοινωνία και η ενημέρωση του πελάτη, πότε ακριβώς θα ενημερωθεί, καθώς επίσης και ποιος άλλος θα λάβει γνώση του συμβάντος.
Πως μπορούν οι σύμβουλοι στον τομέα του IT ν’ αξιοποιήσουν τις αυξανόμενες απειλές Κυβερνοασφάλειας;
Οι σύμβουλοι IT έχουν τη δυνατότητα να αξιοποιήσουν την αυξανόμενη απειλή κυβερνοεπιθέσεων, ιδίως σε μικρές και σε μεσαίου μεγέθους επιχειρήσεις. Το πλεονέκτημα των προσφορών είναι πως έχουν συγκεκριμένες προθεσμίες και πως οι περισσότερες επιχειρήσεις επιθυμούν να συμμορφώνονται με τις απαιτήσεις ως μέρος της προσφοράς τους.
Πρόκειται για μια συναρπαστική ευκαιρία για πωλήσεις, όπου μπορείτε ν’ αποκτήσετε κάποιο προβάδισμα, παρέχοντας συμπληρωματική βοήθεια, ανταποκρινόμενοι σε κυβερνοαπειλές και σε άλλα ζητήματα ασφάλειας για τα οποία θα ερωτηθείτε. Αυτό θα το κάνετε στην απάντησή σας σε αυτά, με σκοπό να παρέχετε τελικά τις υπηρεσίες ή την άμεση εφαρμογή τους.
Ο Δημήτριος Τσακούνης (Jason Cooney) είναι διευθυντής της TsaksConsulting (tsaksconsulting.gr) μιας συμβουλευτικής εταιρίας στον τομέα της συγγραφής προσφορών, που βοηθά επιχειρήσεις στην δημιουργία και κατάθεση προσφορών και προτάσεων παγκοσμίως.
Dimitrios Tsakounis – Director
Tsaks Consulting GR
E: dimitrios@tsaksconsulting.gr
tsaksconsulting.gr
