Analiza — January 31, 2016 at 7:24 pm

Elementele fundamentale ale noii securități cibernetice și rolul CEO-ului

by

istock_000000130551_l2-300x199Barierele statice create de antivirus și firewall nu mai sunt suficiente pentru a putea bloca breșele de securitate create intenționat sau neintenționat (de către angajați, contractori, furnizori, clienți, etc.).

Din ce în ce mai mult, criminalii cibernetici se bazează pe astfel de breșe și omisiuni, atunci când își lansează atacurile. Mai mult decât atât, creșterile modeste ale bugetelor IT nu fac decât să îngreuneze sarcina departamentelor IT de a contracara astfel de atacuri.

Dacă până acum, managementul securității informațiiilor era doar responsabilitatea CIO/Director IT, acum cheltuielile legate de asigurarea securității companiei ajung din ce în ce mai des în atenția CEO-ului și a boardului director. Dispozitivele și aplicațiile nu mai pot fi securizate de soluții administrate exclusiv de departamentul IT. Securitatea cibernetică a devenit un subiect care schimbă eșențial modul în care companiile își structurează businessul. Odată cu migrarea de la a 2a la a 3a platforma (cloud, BigData/analytics, mobilitate și social media) cerințele legate de securitatea informației au devenit mult mai importante. În timp ce cheltuielile cu IT-ul vor crește ușor, într-un ritm asemănător creșterii PIB-ului, creșterea exponențială a numărului și severității atacurilor cibernetice necesită măsuri sporite de protecție a informațiilor, care depășesc cu mult creșterile cu cheltuielile IT estimate pentru următorii ani.

– Finanțarea securității cibernetice va necesita reducerea costurilor cu operațiunile IT curente. E nevoie ca o parte din fondurile utilizate acum pentru proiecte din cadrul celei de-a 2-a platforme să fie redirecționate către Securitate; chiar și așa, fondurile vor fi insuficiente. Vor fi necesare shimbări majore în arhitectura IT, care vor necesita mai mulți bani.
– Pentru a livra servicii IT sigure, departamentele IT vor fi nevoite să restructureze complet modalitatea prin care livrează tehnologiile celei de-a 3a platforme. Companiile vor fi nevoite să consolideze dispozitivele de protecție într-o infrastructură integrată.
– Pentru a crește siguranța utilizării IT-ului, va fi nevoie de personal cu competențe ridicate în materie de securitate IT.
– În viitor, va fi necesară o redistribuție a resurselor IT de la simpla protecție a dispozitivelor și aplicațiilor, către securizarea tuturor proprietăților intelectuale, cum ar fi date, patente, planuri de producție, cercetare, etc.
– Creșterea expunerii la pierderile provocate de eventualele breșe de securitate și atacuri targetate necesită o reconsiderare a strategiei de securitate cibernetică la nivelul întregii companii; ca urmare, board-ul director va trebui să se implice direct în găsirea celei mai bune soluții, prin punerea în balanță a riscurilor cauzate de potențialele atacuri și efectelor pe care unele măsuri stricte de securitate le pot avea asupra business-ului; în multe cazuri, va fi nevoie de impunerea unor restricții cu privire la modul de oprerare (cum ar fi adoptarea unor practici de restrângere și control). Politicile de ‘’prevenire și detectare’’ trebuie neapărat să fie dublate de politici de ‘’restrângere și control’’.

Atacurile se concentrează din ce în ce mai mult pe exploatarea unor discontinuități de moment în materie de securitate; prin urmare, oamenii au devenit cea mai vulnerabilă sursă de breșe de securitate. De multe ori, sondajele făcute printre companiile utilizatoare pot induce în eroare, deoarece mulți manageri IT vor continua să raporteze că procesele lor de securitate funcționează cum trebuie. În realitate, există breșe de securitate care pot rămâne nedetectate ore, săptămâni și chiar luni întregi. Prin urmare, atingerea securității totale e mai degrabă o chestiune legată de felul în care oamenii sunt organizați; securitatea nu mai este doar o problemă de tehnologie și IT, iar restrângerea cât mai rapidă a unei breșe de securitate e cel puțin la fel de importantă ca și barierele de detecție și prevenție. Securitatea cibernetică va fi, din ce în ce mai mult, o chestiune de compromis între siguranță și dificultatea care vine din stabilirea unor proceduri de securitate stricte și uneori greu de urmat deoarece îngreunează operațiunile de business.

Securitatea va fi mereu o balanță între costurile enorme pe care le presupune o securitate permanentă și costurile minime pe care le au criminalii cibernetici pentru a lansa zeci de mii de atacuri. În plus, conflictual dintre cerințele pe care le au cei responsabili de securizarea companiei și dorința utilizatorilor de a face procesele mai ușoare și mai permisive, nu poate fi rezolvat decât la nivel de board director, acolo unde se poate stabili un anumit nivel de risc asumat. Stabilirea nivelului optim de risc acceptabil este cu atât mai dificilă, cu cât este foarte dificil de estimat care va fi impactul, și implicit costul unei breșe de securitate pe termen mediu și lung.

Realitatea este că sisteme de securitate imperfecte vor continua să opereze pe termen lung. Este foarte puțin probabil că, în viitor, companiile să poată aloca suficiente resurse financiare care să suporte noile cerințe operaționale, funcționale și de IT. Prin urmare, implicarea CEO-ului și a boardului director devine esențială în stabilirea politicilor de securitate, pentru ca decizia legată de nivelul de risc asumat și eventualele pierderi considerate acceptabile poate fi luată doar la nivel de top management și nu trebuie să fie responsabilitatea exclusiv a CIO-ului/CISO-ului și departamentului IT.

de Dana Samson, Software Services Analyst, IDC Romania