Ενοποίηση κυβερνοασφάλειας και προστασίας δεδομένων

Αποτελεί κοινή άποψη ότι οι σύγχρονες επιχειρήσεις προσπαθούν να αποκτήσουν ένα σημαντικό ανταγωνιστικό πλεονέκτημα αξιοποιώντας την ψηφιακή πληροφορία. Ωστόσο, οι προσπάθειες των επιχειρήσεων που ηγούνται της αγοράς, βρίσκονται αντιμέτωπες με τη μεταβαλλόμενη φύση των απειλών του κυβερνοχώρου.

Αυτές οι απειλές συνιστούν σημαντικά εμπόδια, καθώς τα τελευταία τρία χρόνια επιχειρήσεις σε ολόκληρο τον κόσμο έχουν επηρεαστεί απο την ανάγκη συμμόρφωσης σχετικά με τα προσωπικά δεδομένα. Ενώ o Γενικός Κανονισμός Προσωπικών Δεδομένων (ΓΚΠΔ ή GDPR) ήδη εφαρμόζεται στην Ευρώπη, περιοχές όπως η Αυστραλία, η Βραζιλία, τα Ηνωμένα Αραβικά Εμιράτα, Νέα Ζηλανδία, η Καλιφόρνια και ο Καναδάς θεσμοθετούν νέους κανονισμούς.Τα δύο τρίτα των επιχειρήσεων που ερωτήθηκαν στην τελευταία έρευνα IBR της Grant Thornton, εστιάζουν περισσότερο στην προστασία των δεδομένων παρά στην ασφάλεια στον κυβερνοχώρο. Η πλειοψηφία (59%) μάλιστα προετοιμάζεται ενεργά για τις επόμενες μεταρρυθμίσεις.

Παράλληλα, οι απειλές στον κυβερνοχώρο έχουν αυξηθεί. Ο αριθμός των επιθέσεων στον κυβερνοχώρο με απώλειες άνω του ενός εκατομμυρίου δολαρίων αυξήθηκε κατά 63% τα τελευταία τρία χρόνια.

Επομένως, είναι σημαντικό για τις επιχειρήσεις να αντιμετωπίζουν αποτελεσματικά και την προστασία των δεδομένων και την ασφάλεια στον κυβερνοχώρο. Ωστόσο, η δυσκολία έγκειται στο γεγονός ότι τις δυο αυτές πτυχές διαχειρίζονται διαφορετικές ομάδες. Συνήθως ο Chief Privacy Officer (CPO) αναλαμβάνει την ευθύνη για το πρώτο και ο Chief Information Security Officer (CISO) το δεύτερο.

Θα ήταν πολύ καλύτερο η ίδια ομάδα να διαχειρίζεται και τις δύο αυτές περιοχές. Άλλωστε πολλά από τα έργα που εξασφαλίζουν την προστασία των δεδομένων μπορούν να χρησιμοποιηθούν για την ενίσχυση της ασφάλειας στον κυβερνοχώρο και αντιστρόφως. Επιπλέον, εκτός από τη διευκόλυνση των επιχειρήσεων στο να διαχειρίζονται ψηφιακούς κινδύνους, η προσέγγιση αυτή προσθέτει αξία, επιτρέποντάς τους να εφαρμόσουν ταχύτερα πρωτοβουλίες ψηφιακού μετασχηματισμού.
 
Βελτιστοποιώντας την ταξινόμηση των δεδομένων
Μια ενιαία ομάδα ψηφιακού κινδύνου θα εξασφάλιζε επίσης ότι οι εταιρείες ταξινόμησης δεδομένων (Data Classification) θα αναλάμβαναν συντονισμένα δράσεις που αφορούν όλη την επιχείρηση εξυπηρετώντας με αυτό τον τρόπο διάφορους σκοπούς.

Για παράδειγμα, βλέπουμε πως οι εταιρείες θα μπορούσαν να χρησιμοποιήσουν την ταξινόμηση δεδομένων για να ενισχύσουν τη συμμόρφωση με τους κανονισμούς περί προστασίας των προσωπικών δεδομένων, όπως το GDPR, καθώς και για την ασφάλεια του κυβερνοχώρου. Θα μπορούσαν να ταξινομούν τα δεδομένα ανάλογα με την αξία τους στην επιχείρηση και ο εντοπισμός αυτών να σημαίνει την καλύτερη προστασία τους με πιο εξελιγμένες μεθόδους άμυνας.
 
Εκεί που ενώνεται η ιδιωτικότητα με την ασφάλεια στον κυβερνοχώρο
Η αξιολόγηση της προστασίας των δεδομένων και του κινδύνου για την ασφάλεια στον κυβερνοχώρο, μέσα από μια ενιαία λειτουργία διαχείρισης ψηφιακού κινδύνου είναι επιτακτική, καθώς αυτά τα δυο αλληλοσυνδέονται όλο και περισσότερο.

Αυτό γίνεται ακόμα πιο έντονο σε περίπτωση που υπάρξει παραβίαση δεδομένων. Οι επιχειρήσεις πρέπει να γνωρίζουν τον τρόπο με τον οποίο συνέβη η παραβίαση και ποιες πρακτικές κυβερνοπροστασίας (αν υπάρχουν) απέτυχαν. Πρέπει επίσης να κατανοήσουν ποια δεδομένα διακυβεύονταν και αν ήταν προσωπικά ή ευαίσθητα. Σε κάθε περίπτωση, τα ευρήματα θα πρέπει να γνωστοποιηθούν.

Σήμερα, οι περισσότερες επιχειρήσεις δεν είναι πλήρως προετοιμασμένες για να το κάνουν αυτό. Με την ενσωμάτωση της προστασίας και της ασφάλειας των δεδομένων σε μία λειτουργία, οι επιχειρήσεις θα είναι σε θέση να ανταποκρίνονται αποτελεσματικότερα στις παραβιάσεις των δεδομένων τους λόγω των συνδυασμένων πόρων τους και της καλύτερης κατανόησης της απειλής.
 
One-stop διασφάλιση προστασίας από τρίτα μέρη
Η αυξημένη διασύνδεση της ασφάλειας του κυβερνοχώρου και της προστασίας δεδομένων επηρεάζει τον τρόπο με τον οποίο διασφαλίζεται η προστασία από τρίτα μέρη.

Για παράδειγμα, ο κανονισμός περί προστασίας των δεδομένων, όπως το GDPR, απαιτεί από τις επιχειρήσεις να λαμβάνουν ισχυρές εγγυήσεις από τους προμηθευτές που διαχειρίζονται δεδομένα για λογαριασμό τους. Επιπρόσθετα, από τη στιγμή που οι επιχειρήσεις οφείλουν να ελέγξουν εάν οι προμηθευτές τους είναι ευάλωτοι σε επιθέσεις στον κυβερνοχώρο, γιατί να μην αξιολογούν την τήρηση της προστασίας των δεδομένων και την ανθεκτικότητα σε τυχόν επιθέσεις μέσω μιας σαφώς καθορισμένης διαδικασίας;
Φυσικά, αυτή η «one-stop» διασφάλιση προστασίας από τρίτα μέρη θα διευκολύνει τις διαδικασίες και θα οδηγήσει σε μεγαλύτερη αποτελεσματικότητα. Το πιο σημαντικό όμως είναι ότι θα οδηγήσει σε μια πιο ολοκληρωμένη κατανόηση του ψηφιακού κινδύνου.
 
Μειώστε τον κίνδυνο, προσθέστε αξία
Η προσέγγιση αυτή προσφέρει και προστιθέμενη αξία. H υιοθέτηση μιας ενιαίας λειτουργίας που είναι ικανή να εξετάσει τον κίνδυνο που μπορεί να προκαλέσουν τα τρίτα μέρη μπορεί να διασφαλίσει ότι αυτός ο κίνδυνος εξετάζεται για το σύνολο του οργανισμού. Ένας τρόπος για να το επιτύχετε αυτό είναι να εγκρίνετε εκ των προτέρων τους προμηθευτές εξετάζοντας όλους τους κινδύνους.

Είναι σημαντικό οι ομάδες κινδύνου να εμπλέκονται εξ αρχής, επειδή με οποιαδήποτε τεχνολογική λύση που στηρίζεται σε βάση δεδομένων υπάρχει πάντοτε ο κίνδυνος επιθέσεων από τρίτα μέρη που θέλουν να υποκλέψουν τις πληροφορίες. Για να αντιμετωπιστεί αυτό, οι ομάδες κινδύνου θα πρέπει να μπορούν να διασφαλίσουν ότι υπάρχουν κατάλληλες δομές διακυβέρνησης σχετικά με τον τρόπο υλοποίησης, διαχείρισης και υποστήριξης του blockchain. Ακολουθώντας αυτή την τακτική, θα καταφέρετε να αποφύγετε περισσότερα προβλήματα ασφαλείας.
 
Βασική η εποπτεία της διοίκησης, απαραίτητη η συνδυαστική διαχείριση
Η ανάγκη για μια ολοκληρωμένη λειτουργία ψηφιακού κινδύνου είναι σαφής. Αλλά ποιος είναι εκείνος που θα οριστεί υπεύθυνος να το διαχειριστεί;

Προς το παρόν, υπάρχει σύγχυση σχετικά με την τελική ευθύνη και αυτό δημιουργεί εμπόδια στη διαχείριση του ψηφιακού κινδύνου. Οι επιχειρήσεις που συμμετείχαν στην έρευνα αναφέρουν ότι η έλλειψη κατανόησης σχετικά με τους κινδύνους που αντιμετωπίζουν τα άτομα και οι ομάδες είναι η δεύτερη μεγαλύτερη αδυναμία στη διαχείριση του ψηφιακού κινδύνου.

Όπως και ο χρηματοοικονομικός κίνδυνος, η σοβαρότητα του ψηφιακού κινδύνου σημαίνει ότι η διοίκηση θα πρέπει να αναλάβει ενεργό ρόλο στην εποπτεία του. Ιδανικά, θα πρέπει να δημιουργηθεί μια ειδική επιτροπή στην οποία θα περιλαμβάνονται εμπειρογνώμονες και θα αποτελεί μέρος του διοικητικού συμβουλίου, προκειμένου να μπορεί να έχει την απαραίτητη εικόνα σχετικά με τους κινδύνους που μπορεί να προκύψουν.

H θέση του Chief Digital Risk Officer είναι σημαντική και πρέπει να εισαχθεί στις δομές των επιχειρήσεων.
 
Τρία βήματα για την ολοκληρωμένη διαχείριση του ψηφιακού κινδύνου

1. Προσδιορίστε ποιος είναι υπεύθυνος για τη διαχείριση της ασφάλειας στον κυβερνοχώρο και για τους κινδύνους που προκύπτουν από την προστασία των δεδομένων, χαρτογραφήστε τις δραστηριότητές του και τις καθημερινές ροές εργασίας του και δείτε εάν υπάρχουν αλληλοεπικαλύψεις. Αποφύγετε διπλές διαδικασίες.
2. Διασφαλίστε ότι διαχειρίζεστε τις διαδικασίες ψηφιακού κινδύνου από την αρχή έως το τέλος. Για παράδειγμα, η αξιοπιστία τρίτων πρέπει να αξιολογείται τόσο στην ασφάλεια στον κυβερνοχώρο όσο και στο απόρρητο των δεδομένων. Και οι δύο παράγοντες πρέπει επίσης να αξιολογούνται κατά την ταξινόμηση των δεδομένων.
3. Δημιουργήστε μια ομάδα διαχείρισης ψηφιακού κινδύνου που διαθέτει τις δεξιότητες για να διαχειριστεί, τόσο τις απειλές στον κυβερνοχώρο, όσο και τις απειλές που αφορούν στην προστασία των δεδομένων. Ξεκινήστε με τον επικεφαλής ψηφιακού κινδύνου, ο οποίος θα μπορεί να διασφαλίσει ότι έχουν ληφθεί υπόψη οι στρατηγικές και επιχειρησιακές αποφάσεις που αφορούν την επιχείρηση. Βεβαιωθείτε ότι η διοίκηση κατανοεί και επιβλέπει τον ψηφιακό κίνδυνο.

 
Για περισσότερες πληροφορίες και για να μάθετε πως μπορεί η εξειδικευμένη ομάδα μας να σας βοηθήσει επισκεφθείτε την ιστοσελίδα μας www.grantthornton.com.cy
 
Χρίστος Μακεδόνας
Leader, Digital Risk Services
Grant Thornton Cyprus
digitalrisk@cy.gt.com