Γράφει η Δανάη Καταλιακού, φοιτήτρια Ψυχολογίας
Η αντιμετώπιση του εγκλήματος στον κυβερνοχώρο αποτελεί πλέον σημαντική προτεραιότητα των επιχειρήσεων, καθώς διακυβεύονται όχι μόνο οικονομικά και νομικά ζητήματα, αλλά και η ίδια τους η φήμη. Υπολογίζεται, μάλιστα, ότι μέχρι το 2027 το κόστος, σε παγκόσμια επίπεδα, για την αντιμετώπιση του κυβερνοεγκλήματος θα κυμανθεί σχεδόν στα 24 τρισεκατομμύρια δολάρια. Η αποτελεσματικότητα της κυβερνοασφάλειας δεν περιορίζεται στην αντιμετώπιση του τεχνολογικού κινδύνου, αλλά περιλαμβάνει και τη διαχείριση του επιχειρηματικού. Κάτι τέτοιο απαιτεί την αναγνώριση και την ενσωμάτωση της ασφάλειας στον κυβερνοχώρο, ως βασικό μέλημα της εκάστοτε επιχείρησης. Τα διοικητικά συμβούλια θεωρούνται αρμόδια για τη διαχείριση του κινδύνου, μέσω της οργάνωσης κατάλληλων διαδικασιών και της εξασφάλισης των απαραίτητων για την αντιμετώπισή του πόρων.
Οι δύο κύριες προσεγγίσεις που μπορεί μια επιχείρηση να υιοθετήσει για την ενίσχυση της κυβερνοασφάλειας είναι αυτή που βασίζεται στην ωριμότητα και εκείνη που βασίζεται στον κίνδυνο. Η πρώτη επιλέγεται από τις επιχειρήσεις για την βελτίωση της θέσης τους στον κυβερνοχώρο και εμπεριέχει την υιοθέτηση αναγνωρισμένων πρακτικών και προτύπων από τον κλάδο, που στόχο έχουν την επίτευξη ενός υψηλότερου επιπέδου ωριμότητας. Ενέχει, ωστόσο και κάποιους περιορισμούς.
Ο υποκειμενικός χαρακτήρας των αξιολογήσεων καθιστά την συγκεκριμένη προσέγγιση “ευάλωτη” στις μεροληψίες του εκάστοτε αξιολογητή. Επιπλέον, η επίτευξη ενός συγκεκριμένου επιπέδου προστασίας δεν αποτελεί πανάκεια και δεν εγγυάται την πλήρη ασφάλεια στον κυβερνοχώρο˙ αντιθέτως, δημιουργεί μια ψευδή αίσθηση ασφάλειας. Η αντιμετώπιση, μάλιστα, ενός συγκεκριμένου είδους κινδύνου μπορεί να μην είναι επαρκής, με αποτέλεσμα ο οργανισμός να μένει εκτεθειμένος σε στοχευμένες επιθέσεις. Παράδειγμα αποτελεί η διαδικασία έντασης πόρων, η οποία οδηγεί στην εκτροπή πόρων από άλλες δραστηριότητες του κυβερνοχώρου.
Η βασισμένη στον κίνδυνο προσέγγιση, από την άλλη, είναι ευέλικτη και προσαρμόσιμη, ώστε να αντεπεξέρχεται στις ανάγκες του οργανισμού και να αντιμετωπίζει επαρκώς τους κινδύνους. Έμφαση δίνεται στον εντοπισμό και την ιεράρχησή τους με κριτήριο την σοβαρότητά τους , ενώ στη συνέχεια εφαρμόζεται συνεχής έλεγχος και παρακολούθηση. Οι δύο τελευταίες ενέργειες αποσκοπούν στον μετριασμό των κινδύνων και την επανεκτίμηση των μεθόδων αντιμετώπισής τους, ώστε να διασφαλίζεται η αποτελεσματική διαχείριση των διαρκώς εξελισσόμενων απειλών στον κυβερνοχώρο.
Η αποτελεσματικότητα της συγκεκριμένης προσέγγισης έγκειται στη δυνατότητα ευθυγράμμισης της στρατηγικής με το μοναδικό προφίλ κινδύνου της επιχείρησης, ώστε να εστιάσει στις πιο σημαντικές απειλές και τα ευάλωτα σημεία της. Η συνεχής αξιολόγηση και αντιμετώπιση των κινδύνων προωθεί έναν προληπτικό τρόπο σκέψης, καθώς επιτρέπει στους οργανισμούς να λαμβάνουν αποφάσεις για την κατανομή και τη διάθεση των πόρων τους στον κυβερνοχώρο και να εξασφαλίζουν προστασία βάσει των πιο κρίσιμων δεδομένων τους και των “τρωτών” σημείων τους. Έτσι, περιορίζεται ο αντίκτυπος των επιθέσεων στον κυβερνοχώρο, αφού κάθε οργανισμός ή επιχείρηση λαμβάνει μέτρα πρόληψης, προσαρμοσμένα στις ιδιαιτερότητες του δικού του περιβάλλοντος.
Για την καταμέτρηση του αντίκτυπου και τον μετριασμό των κινδύνων στον κυβερνοχώρο ενδείκνυνται μέθοδοι ποσοτικοποίησης του κινδύνου, όπως η ποσοτική ανάλυση και η προσομοίωση Monte Carlo. Η ενσωμάτωση τέτοιων μεθόδων στην φαρέτρα των επιχειρήσεων συμβάλλει στην καλύτερη κατανόηση των κινδύνων, τη διαχείριση των πόρων και την λήψη τεκμηριωμένων αποφάσεων για την αντιμετώπιση των πρώτων. Μ’ αυτόν τον τρόπο, ενισχύεται η δραστική και αποτελεσματική καταπολέμηση του επιχειρηματικού κινδύνου βελτιώνοντας ουσιαστικά τα αποτελέσματα της κυβερνοασφάλειας.
Ο ποσοτικοποιημένος κίνδυνος στον κυβερνοχώρο μπορεί να εφαρμοστεί σε πραγματικές καταστάσεις, για να αποδοθεί οικονομική αξία σε πιθανές απώλειες από συμβάντα στον κυβερνοχώρο. Αυτό βοηθάει τους οργανισμούς να διαχειρίζονται τα ψηφιακά τους στοιχεία και να δίνουν προτεραιότητα στις προσπάθειες μετριασμού του κινδύνου. Περιλαμβάνει την εκτίμηση απειλών και ευπαθειών και την αξιολόγηση της οικονομικής επίπτωσης του συμβάντος στην παραγωγικότητα, την νομιμότητα, την φήμη και την ανάκαμψη του οργανισμού. Η ποσοτικοποίηση του κινδύνου στον κυβερνοχώρο επιτρέπει στους ηγέτες των επιχειρήσεων να λαμβάνουν εμπεριστατωμένες αποφάσεις σχετικά με επενδύσεις στην κυβερνοασφάλεια και προληπτικά μέτρα απέναντι σε κυβερνοαπειλές.
Οι βασικοί δείκτες κινδύνου (Key Risk Indicators-KRI) παρέχουν ένα στιγμιότυπο του παρόντος επιπέδου επικινδυνότητας και ταυτόχρονα οι βασικοί δείκτες απόδοσης (Key Perfomance Indicatiros-KPI) υποδεικνύουν την κατεύθυνση προς ή μακριά από το επίπεδο έκθεσης μιας επιχείρησης απέναντι σε κινδύνους. Συνδέοντας αυτά τα δύο είδη δεικτών, τα στελέχη μιας επιχείρησης είναι ενήμερα για την τρέχουσα κατάσταση κινδύνου, στην οποία βρίσκονται, και μπορούν να λαμβάνουν αποφάσεις για την επίλυση προβλημάτων σε επίπεδο συμβουλίου.
Η βασισμένη στον κίνδυνο προσέγγιση διαθέτει, επίσης, διαδραστικό χαρακτήρα και κατευθύνει την κάθε εταιρεία σε έναν κοινό στόχο, καθώς η εφαρμογή ελέγχων προϋποθέτει τον συντονισμό και τη συνεργασία των μελών της εταιρείας. Για την επιτυχή εφαρμογή της, χρειάζεται η εταιρεία να διαθέτει ένα περιεκτικό πλάνο που θα περιλαμβάνει ενέργειες, τόσο στα στάδιο της πρόληψης όσο και στο στάδιο της αντιμετώπισης των κινδύνων και θα είναι προσαρμοσμένο στις ανάγκες της (λεπτομερής αξιολόγηση του κινδύνου, ανάπτυξη δεικτών KRI-KPI και μεθόδων διαχείρισης, παρακολούθηση και αξιολόγηση της στάσης της ίδιας της εταιρείας στον κυβερνοχώρο). Για όλες τις παραπάνω ενέργειες και την πραγματοποίησή τους σε πραγματικό χρόνο, η τεχνολογία παίζει καθοριστικό ρόλο, ώστε να επιτευχθούν τα επιθυμητά αποτελέσματα.
Η συνεχής εξέλιξη των κυβερνοαπειλών δημιουργεί την ανάγκη διαρκούς επαναξιολόγησης του τοπίου. Η προσέγγιση που βασίζεται στον κίνδυνο κρίνεται αποτελεσματικότερη από εκείνη της ωριμότητας, αφού αναπροσαρμόζεται διαρκώς και εστιάζει στην ιεράρχηση των κινδύνων για μια πιο ουσιαστική διαχείριση. Επιπλέον, κρίνεται σημαντική η εκπαίδευση και η κατάρτιση των εργαζομένων, καθώς έτσι ενισχύεται η προστασία των εταιρειών και των πελατών τους από επιθέσεις στον κυβερνοχώρο. Η ευρεία υιοθέτηση της συγκεκριμένης προσέγγισης δημιουργεί ισχυρότερους και πιο ασφαλείς οργανισμούς, ικανούς να ανταποκρίνονται σε ένα εξελισσόμενο τοπίο κινδύνου στον κυβερνοχώρο. Αυξάνεται, κατά συνέπεια, η ανθεκτικότητα και η ευελιξία τους, ενώ μέσω της συνεχούς αξιολόγησης και προσαρμογής καθίστανται πιο ανταγωνιστικοί.
Η κυβερνοασφάλεια αποτελεί κοινή ευθύνη των οργανισμών και η ευρεία υιοθέτηση της βασισμένης στον κίνδυνο προσέγγισης συνιστά μία σημαντική παράμετρο για τη διατήρηση της φήμης τους και τελικά την εξασφάλιση ενός ασφαλέστερου ψηφιακού συστήματος για όλους.
Πηγή:
https://www.weforum.org/agenda/2023/04/strategizing-cybersecurity-why-a-risk-based-approach-is-key/
Η εθελοντική ομάδα του CSI Institute, αποτελούμενη από εξειδικευμένους επιστήμονες όπως, ψυχολόγους, εγκληματολόγους, κοινωνιολόγους καθώς και τεχνικούς δικτύων & πληροφορικής, είναι κοντά σας παρέχοντας πληροφορία, ενημέρωση και γνώση μέσα από ποικίλα θέματα αρθρογραφίας.