Πέμπτη, 12 Δεκεμβρίου 2013

Συστάσεις για τον εκσυγχρονισμό των διαδικασιών προστασίας του ΙΤ από τους υπεύθυνους ασφαλείας διεθνών οργανισμών

Η RSA, το Τμήμα Ασφαλείας της EMC, έδωσε στη δημοσιότητα την τελευταία έκθεση του SBIC (Συμβούλιο για την Προστασία της Επιχειρηματικής Καινοτομίας - Security for Business Innovation Council), στην οποία περιλαμβάνονται γενικές κατευθύνσεις για το πώς μπορεί ένας οργανισμός να αποκτήσει ανταγωνιστικό πλεονέκτημα, μετασχηματίζοντας τις παλιές, όχι ευέλικτες, διαδικασίες που εφαρμόζει αναφορικά με τη χρήση και την προστασία των πληροφοριών.




Στην έκθεση επισημαίνονται οι κύριες δυσκολίες που εμπεριέχει ένα τέτοιο εγχείρημα, καθώς και οι σύγχρονες τεχνικές που θα πρέπει να υιοθετηθούν, ενώ παρέχονται συμβουλές που βοηθούν τους οργανισμούς να σχεδιάσουν και να υλοποιήσουν νέες διαδικασίες, οι οποίες εκτός από ανταγωνιστικό πλεονέκτημα προσφέρουν και τη δυνατότητα πιο αποτελεσματικής διαχείρισης των κινδύνων του κυβερνοχώρου.

Στην τελευταία αυτή έκθεση, με τίτλο Transforming Information Security: Future-Proofing Processes (Μετασχηματίζοντας την Ασφάλεια Πληροφορικών Συστημάτων – Διαδικασίες από το μέλλον), το Συμβούλιο παρατηρεί ότι στο εσωτερικό των οργανισμών υπάρχουν πλέον ομάδες οι οποίες αισθάνονται μεγαλύτερη ευθύνη για τη διαχείριση του κινδύνου των πληροφορικών συστημάτων, όμως οι πεπαλαιωμένες διαδικασίες ασφαλείας που ακολουθούν εμποδίζουν την καινοτομία και δυσχεραίνουν την καταπολέμηση των κακόβουλων δράσεων.

Με την έκθεσή του, το Συμβούλιο περιγράφει τις βασικές κατευθύνσεις και καλεί τους υπεύθυνους ασφαλείας να συνεργαστούν πιο στενά με τις υπόλοιπες διευθύνσεις ενός οργανισμού προκειμένου να καθιερωθούν νέες διαδικασίες και συστήματα που θα βοηθήσουν στον εντοπισμό, την αξιολόγηση και την παρακολούθηση των κινδύνων του κυβερνοχώρου, με μεγαλύτερη ταχύτητα και ακρίβεια.
-
Στην νέα έκθεση επισημαίνονται, επίσης, περιοχές όπου οι συνθήκες είναι ώριμες για βελτιώσεις όσον αφορά τη διαχείριση κινδύνων, όπως η ανίχνευση κακόβουλων επιθέσεων, η αξιολόγηση των συστημάτων ελέγχου, η μέτρηση ενδεχόμενου ρίσκου, ο βαθμός εμπλοκής των υπολοίπων τμημάτων, καθώς και η εκτίμηση των κινδύνων που προέρχονται από εξωτερικούς συνεργάτες.

Παράλληλα, το Συμβούλιο προχωρά σε πέντε συστάσεις για το πώς μπορεί να επιταχυνθεί ο μετασχηματισμός των προγραμμάτων ασφαλείας ώστε να δημιουργηθεί ανταγωνιστικό πλεονέκτημα για τον οργανισμό που το επιχειρεί:


1.-Μετατόπιση του ενδιαφέροντος από τα τεχνικά θέματα στις κρίσιμες επιχειρησιακές διαδικασίες: Ξεφύγετε από μια κοντόθφαλμη, τεχνοκρατική αντίληψη προστασίας και συνεργαστείτε με τις διευθύνσεις του οργανισμού προκειμένου να κατανοήσετε πώς αξιοποιούνται οι πληροφορίες και να καταγράψετε τις κρίσιμες επιχειρησιακές διαδικασίες.

2.-Εκτίμηση των κινδύνων του κυβερνοχώρου με επιχειρηματικούς όρους: Περιγράψτε τους κινδύνους του κυβερνοχώρου χρησιμοποιώντας μετρήσιμα μεγέθη που συνδέονται με τα αποτελέσματα του οργανισμού και ενσωματώστε τις ενδεχόμενες αρνητικές επιπτώσεις στη διαδικασία εκτίμησης ρίσκου.

3.-Εκτίμηση κινδύνων με γνώμονα την επιχειρηματική δραστηριότητα του οργανισμού (Business-centric Risk Assessment): Χρησιμοποιείστε αυτόματα εργαλεία για τον έλεγχο των κινδύνων κάθε επιχειρησιακής μονάδας, ώστε η τελευταία να μπορεί να αναλάβει ενεργό ρόλο στον εντοπισμό και την αποτροπή των κινδύνων.

4.-Διασφάλιση από κινδύνους, με αποδείξεις:
Δημιουργήστε και κωδικοποιήστε τη δυνατότητα συλλογής στοιχείων που αποδεικνύουν την αποτελεσματικότητα των μηχανισμών ελέγχου σε συνεχή βάση.

5.-Ανάπτυξη τεχνικών για τη συλλογή στοχευμένων πληροφοριών (Informed Data Collection)
Δημιουργήστε τις προϋποθέσεις για μεγαλύτερη ορατότητα των δεδομένων και πιο ενδελεχή ανάλυση. Αναλογιστείτε τι είδους ερωτήσεις μπορούν να απαντηθούν μέσα από τα data analytics προκειμένου να εντοπίσετε τις κατάλληλες πηγές δεδομένων.

Σχόλια Στελεχών
Art Coviello, Εκτελεστικός Αντιπρόεδρος στην EMC & Εκτελεστικός Πρόεδρος στην ‘RSA, The Security Division of EMC’
“Στο σύγχρονο ψηφιακό κόσμο, προϋπόθεση για την επιτυχημένη ενασχόληση μιας επιχείρησης με την καινοτομία είναι ο επαναπροσδιορισμός του τρόπου διαχείρισης του cyber risk, με την απομάκρυνση από παρωχημένες και μονολιθικές τεχνικές περιμετρικής προστασίας και τη στροφή σε ευέλικτες μεθόδους που περιλαμβάνουν και τη συνεργασία των υπολοίπων τμημάτων της επιχείρησης. Η σύγχρονη φιλοσοφία την οποία περιγράφει το Συμβούλιο μπορεί να βοηθήσει τις επιχειρήσεις να εντοπίζουν ταχύτερα τους κινδύνους που είναι σε θέση να αποτρέψουν, με προφανή οφέλη σε επίπεδο επιχειρησιακής λειτουργίας.”

Dave Martin, Αντιπρόεδρος και Γενικός Διευθυντής Ασφάλειας Πληροφορικής (CISO) στην EMC Corporation
“Η κωδικοποίηση των επιχειρησιακών διαδικασιών ενός οργανισμού θα πρέπει να είναι αποτέλεσμα συντονισμένης προσπάθειας όλων των τμημάτων, ώστε να αποτυπώνονται με ακρίβεια όλοι οι ενδεχόμενοι κίνδυνοι. Κανείς δεν μπορεί να γνωρίζει καλύτερα την αξία μιας πληροφορίας από τον κάτοχο της, αλλά και αυτός δεν είναι σε θέση να κατανοήσει το ενδεχόμενο ρίσκο στον ίδιο βαθμό με τους υπεύθυνους ασφαλείας.”

Δεν υπάρχουν σχόλια:

 
SYNC ME @ SYNC