Καθώς οι επιχειρήσεις επιτυγχάνουν νέα επίπεδα ψηφιοποίησης, χάρη στην ταχύτερη συνδεσιμότητα, η χρήση των δεδομένων προσφέρει μια σημαντική ευκαιρία για καλύτερη παρακολούθηση, ανάλυση, πρόβλεψη και περιορισμό των κινδύνων. Ωστόσο, αυτές οι ίδιες υποδομές παρουσιάζουν νέες ευπάθειες για τους φορείς απειλών στον κυβερνοχώρο, καθιστώντας κρίσιμη την προστασία των δεδομένων, καθώς και των συστημάτων που τα επεξεργάζονται, τα μεταφέρουν και τα αποθηκεύουν.
Η ασφάλεια του κυβερνοχώρου σήμερα αναφέρεται ως μία από τις σημαντικότερες προτεραιότητες παγκοσμίως, σύμφωνα με την τελευταία έρευνα Annual Global CEO Survey του PwC, που βρίσκεται πίσω από την πανδημία όσον αφορά ακραίες ανησυχίες. Ως εκ τούτου, η στρατηγική διαχείρισης κινδύνων αναφορικά με την ασφάλεια του κυβερνοχώρου δεν θα πρέπει πλέον να θεωρείται ανησυχία αποκλειστικά για τον Επικεφαλής Τεχνολογίας και τον Διευθυντή Μηχανογράφησης, αλλά πρέπει επίσης να βρίσκεται στην ημερήσια ατζέντα κάθε εφοδιαστικής αλυσίδας και τεχνικού διευθυντή.
Μια προορατική προσέγγιση της διασφάλισης έναντι κινδύνου
Τα δεδομένα έχουν τη δυνατότητα να μεταμορφώσουν τη διαχείριση κινδύνου και την προσαρμοστικότητα. Τα σωστά εργαλεία δεδομένων, ανάλυσης και αναφορών μπορούν να βοηθήσουν στο να καθοριστεί πού είναι πιο πιθανό να υπάρξει μελλοντικός κίνδυνος και πού όχι, επιτρέποντας την εστίαση σε τομείς όπου διακυβεύεται η μεγαλύτερη αξία. Η χρήση αυτών των μετρήσεων μπορεί επίσης να βοηθήσει στην αποφυγή της συναισθηματικής προκατάληψης κατά τη λήψη αποφάσεων: οι κίνδυνοι που θεωρούμε ότι είναι μεγαλύτεροι δεν είναι πάντα αυτοί που απαιτούν την εγγύτερη παρακολούθηση.
Εάν ένα στοιχείο ή μια τεχνική μπορεί να αποδειχθεί ότι διατρέχει μεγαλύτερο κίνδυνο αποτυχίας, μπορεί να μην έχει νόημα να πραγματοποιείται επιθεώρηση ή έλεγχος με τον ίδιο τρόπο που βασίζεται στον προγραμματισμό. Ομοίως, μπορούν να αναπτυχθούν πιο αποτελεσματικές μέθοδοι για περιοχές χαμηλότερου κινδύνου, αποδεσμεύοντας πόρους για την εστίαση σε δραστηριότητες υψηλότερου κινδύνου και τη διασφάλιση αυτών. Ένας έμπειρος συνεργάτης της ψηφιακής διασφάλισης θα μπορεί να προσφέρει συμβουλευτικές υπηρεσίες σχετικά με τα δεδομένα προς παρακολούθηση και τον τρόπο ανάλυσής τους και επεξεργασίας τους.
Η ανάγκη για ενιαίο ψηφιακό μετασχηματισμό
Η ευκαιρία που προσφέρεται από τον ψηφιακό μετασχηματισμό είναι σημαντική, αλλά η εμπειρία μάς λέει ότι η εφαρμογή μπορεί να είναι δύσκολη και, εάν προσεγγιστεί τμηματικά, δεν είναι πιθανό να έχει τις σωστές επιπτώσεις. Το 2020 μια μελέτη αποκάλυψε ότι οι ψηφιακές αναβαθμίσεις που εφαρμόστηκαν στην αρχή της πανδημίας, απαιτούσαν κατά 59% βραχυχρόνιες διορθώσεις για να επιλυθούν ζητήματα που προέκυψαν από την εσπευσμένη ανάπτυξη. Αυτό θα μπορούσε να αποφευχθεί εάν η διασφάλιση και ο περιορισμός κινδύνων είχε ενσωματωθεί καλύτερα στη διαδικασία διαχείρισης αλλαγών.
Ένα συνηθισμένο σφάλμα είναι η ανάληψη μιας τεχνολογικής προσέγγισης, αναπτύσσοντας τεχνολογία για χάρη της τεχνολογίας. Ουσιαστικά, το σημείο εκκίνησης για τους οργανισμούς που αναζητούν την ψηφιοποίηση των εργασιών τους και προγράμματα διασφάλισης έναντι κινδύνου πρέπει να είναι τα προβλήματα που θέλουν να λύσουν και όχι η τεχνολογία ή η πηγή δεδομένων που θεωρούν ότι λείπει. Αυτό απαιτεί μια στρατηγική ενιαίας ψηφιακής διασφάλισης η οποία περιλαμβάνει τον σωστό συνδυασμό ατόμων, διαδικασιών και τεχνολογίας.
Κίνδυνοι για τα δεδομένα της εφοδιαστικής αλυσίδας και την ασφάλεια του κυβερνοχώρου
Η αύξηση της ψηφιοποίησης και των ροών δεδομένων αυξάνουν τις ενδεχόμενες ευπάθειες τις οποίες μπορεί να εκμεταλλευτούν οι φορείς κακόβουλων απειλών. Οι προμηθευτές είναι η σημαντική πηγή δεδομένων για οποιαδήποτε εταιρεία επιθυμεί να έχει μια ολοκληρωμένη εικόνα των εργασιών τους και της διασφάλισης ποιότητας, αλλά αυτή η ψηφιακή εφοδιαστική αλυσίδα χρειάζεται επίσης και διασφάλιση στον κυβερνοχώρο. Οι οργανισμοί πρέπει να γνωρίζουν όχι μόνο τη δική τους στρατηγική διαχείρισης κινδύνου αναφορικά με την ασφάλεια του κυβερνοχώρου, αλλά και την πιθανότητα απειλών στον κυβερνοχώρο που προκύπτει κατά την επιθεώρηση της εφοδιαστικής αλυσίδας.
Τα τελευταία χρόνια, έχουμε δει μια αλλαγή στο τοπίο των απειλών στον κυβερνοχώρο με κακόβουλο λογισμικό ransomware, που όχι μόνο διπλασιάζεται σε συχνότητα ώστε να φτάνει στο 10% όλων των παραβιάσεων, αλλά όλο και περισσότερο να έχει ως στόχο τις εφοδιαστικές αλυσίδες μέσω «αδρανούς» ransomware. Αυτές οι επιθέσεις όχι μόνο αποκτούν προνομιακή θέση στο κεντρικό δίκτυο, αλλά επίσης βλέπουν πώς ολόκληρο το οικοσύστημα μπορεί να επηρεαστεί. Οι παγκόσμιες επιθέσεις των εφοδιαστικών αλυσίδων αυξάνουν τον ενδεχόμενο αντίκτυπο αυτών των επιθέσεων, αυξάνοντας τη σημασία της αξιολόγησης κινδύνου αναφορικά με την ασφάλεια στον κυβερνοχώρο.
Προς μια συνεχή παρακολούθηση
Σε αυτό το περιβάλλον, οι συνηθισμένες επιθεωρήσεις και μια ετήσια αξιολόγηση κινδύνου αναφορικά με την ασφάλεια στον κυβερνοχώρο πλέον δεν επαρκούν. Παρέχουν μόνο μια στιγμιαία απεικόνιση των συστημάτων σε μια δεδομένη χρονική στιγμή και δεν λαμβάνουν υπόψη τις νέες ευπάθειες ή αλλαγές στο σύστημα που εν τω μεταξύ απαιτούνται.
Ομοίως, στο παρελθόν, πολλοί οργανισμοί έχουν επιλέξει να αναθέτουν τη διαχείριση κινδύνου αναφορικά με την ασφάλεια του κυβερνοχώρου σε έναν πάροχο ασφάλειας. Ωστόσο, ο όγκος και η πολυπλοκότητα των επιθέσεων στον κυβερνοχώρο έχουν αυξήσει τα ασφάλιστρα, και συνεπώς οι ασφαλιστές απαιτούν όλο και περισσότερο από τους οργανισμούς να περιορίζουν τους κινδύνους με προορατικό τρόπο ώστε να παραμένουν καλυμμένοι. Η επένδυση σε αξιόπιστη διασφάλιση μπορεί να μειώσει ακόμα περισσότερο το κόστος της πολιτικής της ασφάλειας.
Μία λύση και για τα δύο αυτά ζητήματα είναι η Παρακολούθηση με Συνεχείς Ελέγχους. Με αυτόν τον τρόπο οι οργανισμοί έχουν τη δυνατότητα να παρακολουθούν εποπτεύουν, σε πραγματικό χρόνο, τα δεδομένα που απαιτούνται για μια αξιολόγηση κινδύνου αναφορικά με την ασφάλεια στον κυβερνοχώρο, συμπεριλαμβανομένων αυτών που λαμβάνονται από τους προμηθευτές. Οι πλατφόρμες μυστικής απειλής και οι πίνακες εργαλείων μπορούν να διευκολύνουν μια προσέγγιση συνεχούς και προορατικής παρακολούθησης.
Συλλογική διασφάλιση σε πραγματικό χρόνο
Μια συλλογική προσέγγιση με προμηθευτές και ειδικούς μπορεί να βοηθήσει έναν οργανισμό να κάνει μεγάλα βήματα στην ανάπτυξη μιας πιο έξυπνης προσέγγισης για τη διασφάλιση έναντι κινδύνου και την εδραίωση της κατάλληλης διασφάλισης πληροφοριών αναφορικά με την ασφάλεια του κυβερνοχώρου.
Η απαίτηση για πιστοποίηση ως προς παγκόσμια πρότυπα συστημάτων διαχείρισης, όπως το ISO 27001, καθώς και το δικαίωμα για επιθεώρηση και αξιολόγηση της ασφάλειας IT αποτελεί μέρος πολλών συμβάσεων. Το Πρόγραμμα για την Ασφάλεια του Κυβερνοχώρου του National Institute of Standards and Technology (NIST) κερδίζει επίσης έδαφος ως ένα παγκόσμιο πρότυπο που λαμβάνει υπόψη την ανάγκη για την εξέταση των ελέγχων των προμηθευτών. Με αυτόν τον τρόπο παρέχεται ένα αμοιβαίο πλεονέκτημα και στα δύο μέρη, με τις αναδόχουσες αρχές να βοηθούν στην κατάρτιση και την αναβάθμιση των δεξιοτήτων των προμηθευτών, αυξάνοντας τις ικανότητες και την προσαρμοστικότητα μέσω της αλυσίδας. Η αλλαγή στην ψηφιακή διασφάλιση και ένα συνεχές μοντέλο παρακολούθησης παρέχει τη δυνατότητα να μειωθεί η ανάγκη για τυχόν κόστος και διακοπή δραστηριοτήτων που δημιουργούνται από άσκοπες αυτοπρόσωπες επιθεωρήσεις κατά τον έλεγχο της εφοδιαστικής αλυσίδας.
Καθώς λαμβάνονται αποφάσεις σχετικά με προμηθευτές, ανάπτυξη νέων προϊόντων και ανάπτυξη σε νέες γεωγραφικές θέσεις και περιοχές, η ασφάλεια του κυβερνοχώρου πρέπει να αποτελεί τμήμα της συζήτησης. Η διαχείριση κινδύνων αναφορικά με την ασφάλεια του κυβερνοχώρου πρέπει να αποτελεί μέρος μιας ισχυρής και συνεχούς στρατηγικής διασφάλισης – όχι απλώς ένα σημείο ελέγχου που πρέπει να τηρείται στο αρχικό στάδιο της ενσωμάτωσης.
Συμπέρασμα
Καθώς οι κλάδοι ψηφιοποιούνται, αυξάνεται η ανάγκη για πιο έξυπνη διασφάλιση σε πραγματικό χρόνο έναντι τόσο των συνηθισμένων κινδύνων όσο και των απειλών στον κυβερνοχώρο. Όλα αυτά δείχνουν την ανάγκη ενσωμάτωσης της προσαρμοστικότητας στον κυβερνοχώρο σε προγράμματα ψηφιακής διασφάλισης έναντι κινδύνων κατά τρόπο προσαρμοσμένο στις επιχειρήσεις, αντιμετωπίζοντας τις απειλές που γνωρίζετε και λαμβάνοντας υπόψη αυτούς που δεν γνωρίζετε. Η συνεχής και συλλογική παρακολούθηση της ασφάλειας των επιχειρησιακών δεδομένων και πληροφοριών, των ευπαθειών και των απειλών παρέχει τη δυνατότητα για καλύτερο περιορισμό του κινδύνου, την ενίσχυση της αποδοτικότητας και τη διευκόλυνση λήψης πιο τεκμηριωμένων αποφάσεων.
