A. Jugnauth: Η πυξίδα πλοήγησης για τις επιχειρήσεις και η παρουσία χάκερ

Η αλλαγή είναι το μοναδικό αδιάλειπτο στοιχείο σε κάθε οργάνωση, και η παρουσίαση του Ameet Jugnauth, Αντιπρόεδρου του ISACA London Chapter, στο 3ο Cyber Security Conference ήταν μία πυξίδα κατά την πλοήγηση σε καιρούς προκλήσεων για τις επιχειρήσεις.

Η παρουσίασή του, που φέρει τον τίτλο «Staying Resilience through change», έθεσε στο επίκεντρο τον τρόπο διατήρησης της ανθεκτικότητας απέναντι σε αλλαγές που προκύπτουν από τον ίδιο τον άνθρωπο, την τεχνολογία αλλά και τον συνδυασμό των δύο.

Ο Ameet Jugnauth εξήγησε ότι «η αλλαγή είναι το μοναδικό αδιάλειπτο στοιχείο». Μοιράστηκε με τους συμμετέχοντες τις απόψεις του σχετικά και με εργαλεία, τεχνικές και μηχανισμούς που μπορεί να χρησιμοποιήσουν για την καλύτερη κατανόηση του control environment και των κρίσιμων σημείων δεδομένων για τη μέτρηση της ψηφιακής ανθεκτικότητας, συμπεριλαμβανομένου του cloud.

Αρχικά παρουσίασε τους επικρατέστερους ορισμούς της ανθεκτικότητας. Σύμφωνα με τον ειδικό, ο όρος «Επιχειρησιακή Ανθεκτικότητα ορίζεται τις βρετανικές αρχές PRA και FCA ως «η ικανότητα πρόληψης, προσαρμογής, ανταπόκρισης, ανάκαμψης και μάθησης από τις λειτουργικές διαταραχές».

Η επιχειρησιακή ανθεκτικότητα είναι ένα αποτέλεσμα που επωφελείται από την αποτελεσματική διαχείριση του Λειτουργικού Κινδύνου, εξήγησε περαιτέρω.

Όσον αφορά την ανθεκτικότητα στον κυβερνοχώρο, παρέθεσε τον ορισμό του NIST που είναι ο εξής: "Η ικανότητα πρόβλεψης, αντοχής, ανάκαμψης και προσαρμογής σε αντίξοες συνθήκες, στρες, επιθέσεις ή συμβιβασμούς σε συστήματα που χρησιμοποιούν ή ενεργοποιούνται από πόρους του κυβερνοχώρου".

«Βάσει του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) τα χαρακτηριστικά που συνθέτουν ένα ανθεκτικό σύστημα αναλύονται σε τέσσερις φάσεις: στην προετοιμασία, στην απορρόφηση, στην ανάκτηση και στην προσαρμογή» εξήγησε στο κοινό.

«Ο κανονισμός για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα (DORA), βασίζεται στις υπάρχουσες απαιτήσεις διαχείρισης κινδύνου τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ) και συνδέει πολλές πρωτοβουλίες της ΕΕ σε έναν κανονισμό ώστε να υπάρξει μια εναρμονισμένη προσέγγιση σε ολόκληρη την ΕΕ, σε ό,τι αφορά τις ρυθμιστικές αρχές και τον κλάδο των χρηματοπιστωτικών υπηρεσιών», πρόσθεσε.

Στη συνέχεια τόνισε ότι η ανθεκτικότητα είναι αποτέλεσμα, όχι διαδικασία και πως εξαρτάται από την επιχειρηματική διάθεση για αντιμετώπιση κινδύνων, το επιχειρηματικό μοντέλο και τις προσδοκίες των πελατών, σχολίασε.

Δήλωσε ότι η Ψηφιακή Ανθεκτικότητα, από αυτή την άποψη, δεν διαφέρει σημαντικά από την Ανθεκτικότητα, ειδικά εάν η βασική επιχείρηση είναι σημαντικά εξαρτημένη από την Τεχνολογία, και συνεπώς τον κίνδυνο Cyber-Security, τη Διαχείριση Δεδομένων και την Εφοδιαστική Αλυσίδα.

"Η συμμόρφωση, ο κίνδυνος και η ανθεκτικότητα δεν είναι το ίδιο πράγμα. Μπορείτε να είστε το ένα χωρίς το άλλο. Επομένως, μερικές από τις παραδοσιακές μεθόδους μέτρησής μας δεν αποτελούν ένδειξη της στάσης μας ανθεκτικότητας" ήταν το τελευταίο του σχόλιο κατά τη διάρκεια μιας ιδιαίτερα χρήσιμης παρουσίασης.