Ενίσχυση της ανθεκτικότητας της αγοράς μέσω αυστηρού προγράμματος IPCA

Στον απόηχο της παγκόσμιας οικονομικής αναταραχής που προκλήθηκε από την πανδημία του COVID-19 και την κλιμάκωση των γεωπολιτικών εντάσεων κατά τη διάρκεια του Ρωσο-Ουκρανικού πολέμου, η KPMG αναθεώρησε στρατηγικά τη στάση της για την Ασφάλεια Πληροφοριών και την Προστασία Δεδομένων, με ιδιαίτερη έμφαση στα Γενικά Μέτρα Προστασίας Πληροφορικής (GITCs - General IT Controls) και στα Τεχνικά Μέτρα Προστασίας (ΤΜΠ - Technical Controls). Αυτή η μεθοδική προσέγγιση, σχολαστικά ευθυγραμμισμένη με τις βέλτιστες πρακτικές του κλάδου, ενίσχυσε τα πρωτόκολλα κυβερνοασφάλειας και απορρήτου δεδομένων του οργανισμού, ενώ έπαιξε επίσης καίριο ρόλο στην ενίσχυση της θέσης της στην αγορά. Η επιτυχία της KPMG συνδέεται με τη συμβιωτική σχέση μεταξύ των παραγωγικών τμημάτων και των εσωτερικών τμημάτων υποστήριξης, ιδίως της Υποστήριξης Τεχνολογίας Πληροφορικής.

Αναγνωρίζοντας την επιτακτική ανάγκη ενίσχυσης έναντι των εξελισσόμενων απειλών για την ασφάλεια στον κυβερνοχώρο και τη συμμόρφωση με τους αυστηρούς κανονισμούς περί απορρήτου δεδομένων, ιδιαίτερα εντός της ΕΕ, η KPMG δεσμεύτηκε σε συνολική προσέγγιση ενισχύοντας το Πρόγραμμα Ελέγχου για την Προστασία των Πληροφοριών (IPCA - Information Protection Controls Audit) ως την επαναλαμβανόμενη ετήσια πρακτική ελέγχου. Η μεθοδολογία του προγράμματος IPCA της KPMG τηρεί αυστηρά τα κριτήρια αναφοράς του κλάδου, αντλώντας σε μεγάλο βαθμό από παγκόσμια πρότυπα όπως το ISO27001 και αξιοποιώντας πλαίσια όπως το COBIT. Η διαδικασία ελέγχου περιλαμβάνει σχολαστικό έλεγχο των μηχανισμών προστασίας πληροφοριών, των ελέγχων εμπιστευτικότητας και της συνολικής στάσης ασφαλείας. Αυτό εμπερικλείει τη λεπτομερή αξιολόγηση τόσο των GITCs όσο και των ΤΜΠ για τη διατήρηση της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας των κρίσιμων στοιχείων ενεργητικού πληροφοριών.

Η μεθοδολογία IPCA:

Η KPMG αναγνώρισε τον κεντρικό ρόλο των GITCs για τη διατήρηση ενός ανθεκτικού περιβάλλοντος ελέγχου. Έτσι, μέσω του προγράμματος IPCA, εξετάζει την αποτελεσματικότητα των ελέγχων πρόσβασης, των διαδικασιών διαχείρισης αλλαγών και των μηχανισμών απόκρισης συμβάντων. Ελέγχοντας συστηματικά αυτά τα μέτρα προστασίας, μετριάζει ουσιαστικά τους κινδύνους που σχετίζονται με μη εξουσιοδοτημένη πρόσβαση, μη εγκεκριμένες αλλαγές και πιθανές διαταραχές στη λειτουργική συνέχεια. Το πρόγραμμα IPCA εμβαθύνει επίσης στο πλαίσιο διακυβέρνησης πληροφορικής, διασφαλίζοντας έτσι τον συγχρονισμό πολιτικών και διαδικασιών με τις ρυθμιστικές εντολές. Αυτό διευκόλυνε τη συμμόρφωση και ενστάλαξε την εμπιστοσύνη των πελατών και άλλων ενδιαφερομένων μερών, υπογραμμίζοντας την αφοσίωση της εταιρείας στην τήρηση των προτύπων ασφάλειας πληροφοριών και εμπιστευτικότητας.

Στο πεδίο των ΤΜΠ, η KPMG έδωσε έμφαση στη διασφάλιση της τεχνολογικής υποδομής. Το πρόγραμμα IPCA απαιτεί τη σχολαστική αξιολόγηση της ασφάλειας του δικτύου, τα πρωτόκολλα κρυπτογράφησης δεδομένων και τις διαδικασίες διαχείρισης ευπάθειας. Εντοπίζοντας και διορθώνοντας τα τρωτά σημεία, μείωσε προληπτικά την πιθανότητα παραβιάσεων δεδομένων και επιθέσεων στον κυβερνοχώρο. Επιπλέον, το IPCA αξιολογεί τις δυνατότητες αντιμετώπισης περιστατικών, μετρώντας την ετοιμότητα του οργανισμού να ανιχνεύσει, να ανταποκριθεί και να ανακάμψει από συμβάντα ασφαλείας. Αυτή η προσέγγιση ενισχύει την ανθεκτικότητα της KPMG, ενώ επιδεικνύει επίσης τη δέσμευσή της για τη διαφύλαξη των πληροφοριών των πελατών και τη διασφάλιση της απρόσκοπτης επιχειρηματικής συνέχειας.

Ο αντίκτυπος στην αγορά:

Η δέσμευση της KPMG για συνεπή IPCA, ως τη τρίτη γραμμή άμυνας του οργανισμού, επηρεάζει σημαντικά τη θέση της εταιρείας στην αγορά. Διαφαίνεται πως τα ενδιαφερόμενα μέρη εκτιμούν όλο και περισσότερο την προληπτική στάση της εταιρείας σχετικά με την ασφάλεια στον κυβερνοχώρο και την προστασία δεδομένων. Τα ισχυρά μέτρα προστασίας πληροφοριών της KPMG, που επικυρώνονται μέσω του προγράμματος IPCA, έγιναν πλέον διακριτικός παράγοντας στην αγορά, αφού οι πελάτες επιδιώκουν τη διασφάλιση ότι οι ευαίσθητες πληροφορίες τους αντιμετωπίζονταν σχολαστικά και σε συμμόρφωση με τους εξελισσόμενους κανονισμούς. Η ικανότητα της KPMG να επιδεικνύει την τήρηση των βέλτιστων πρακτικών του κλάδου διατήρησε τους υπάρχοντες πελάτες, ενώ τοποθέτησε την εταιρεία ως ελκυστική προοπτική για νέα επιχειρηματικά εγχειρήματα.

Με ευθυγράμμιση στα αυστηρά σημεία αναφοράς του κλάδου, η KPMG άντεξε τις προκλήσεις, ενώ ανάδειξε τον ηγετικό της ρόλο. Η συνέργεια μεταξύ των παραγωγικών τμημάτων και της ισχυρής εσωτερικής υποστήριξης (τμήμα πληροφορικής) ευνόησε στο να αντιμετωπιστούν επιτυχώς οι πρωτόγνωρες αυτές προκλήσεις και βοήθησε στο να τοποθετεί η KPMG ως φάρος επιτυχίας. Συνοπτικά, η στρατηγική ενσωμάτωση επαναλαμβανόμενου προγράμματος IPCA από την KPMG, με ιδιαίτερη έμφαση στα GITCs και στα ΤΜΠ, έπαιξε καθοριστικό ρόλο στην αντιμετώπιση των προκλήσεων. Κατανοώντας τους περιορισμούς και τις δυνατότητες της τεχνολογίας με την οποία εργάζεται, η KPMG καθιερώνεται ως ο οργανισμός τον οποίο εμπιστεύονται οι πελάτες και τα ενδιαφερόμενα μέρη για τις ανθεκτικές πρακτικές κυβερνοασφάλειας και προστασίας δεδομένων. Έτσι, η περίπτωση της KPMG υπογραμμίζει τον μετασχηματιστικό αντίκτυπο των ισχυρών μέτρων προστασίας των πληροφοριών στη διασφάλιση τόσο της τεχνικής ανθεκτικότητας όσο και της ισχύος της αγοράς.

*Senior Manager, IT Audit Services, KPMG Limited