Securitatea întreprinderilor, tehnologia informaţiei și comunicaţiile: consideraţii despre divergenţe, convergenţe și interacţiuni

Securitatea întreprinderilor, tehnologia informaţiei și comunicaţiile: consideraţii despre divergenţe, convergenţe și interacţiuni

564
Luca Tenzi, Expert în securitate corporate, Vicepresident al CLUSIS - Swiss Information Security Association
Luca Tenzi, Expert în securitate corporate, Vicepresident
al CLUSIS – Swiss Information Security Association

Bio
Luca Tenzi este un expert în securitate corporate, cu 15 ani de experiență în companii din Fortune 500. A condus operațiuni de securitate în medii diverse. Experiența sa acoperă mai multe sectoare, incluzând producție, IT&C și instituții financiare. Luca a lucrat și a locuit în Europa, Africa, Orientul Apropiat și America Latină, specializându-se în evaluări de risc la nivel de țară și în management în zone cu risc ridicat, cum ar fi Venezuela, Irak și Libia. Luca este un gânditor strategic inovator și are o istorie bogată de colaborări cu o mare diversitate de stakeholder-i în business și securitate din lumea întreagă. Om de echipă și mentor pasionat, empatic cultural și cu abilități diplomatice, a condus implementarea și managementul unor strategii de securitate globale, programe de reducere a riscurilor și prevenirea pierderilor. A acționat ca director de securitate delegat, responsabil pentru securitatea operațiunilor și management de criză.

Convergența între securitatea fizică și cea logică este un subiect care, în ultimii ani, a ținut prima pagină a revistelor specializate în IT și a devenit o problemă asociată proceselor de management la nivel global.

Dacă pentru companiile lideri de piaţă acest element pare sa fie deja integrat în politicile manageriale implementate, situaţia nu este la fel de bună când vine vorba despre IMM-uri. Este, de asemenea, de reţinut faptul că multinaţionalele cu o puternică structură IT&C, precum cele din domeniile financiar-bancar, telecomunicaţii, IT sunt foarte bine conectate la această tendinţă de convergenţă, pe când sectorul industrial acumulează întârzieri semnificative în implementarea politicilor asociate acestui proces de convergenţă.

Însă faptele pot fi văzute și altfel, iar personal reţin că există o confuzie în raport cu această convergenţă, existând mai multe opinii divergente, de regulă acestea venind din domenii de expertiză diferite. Un exemplu concret îl reprezintă divergenţele majore de opinie între experţii în securitate fizică și cei în securitate logică, referitoare la convergenţa conceptului de securitate. O altă sursă de opinii contrare o reprezintă percepţia proprie asupra securităţii, astfel că, persoane diferite, atât din mediul intern, cât și extern unei organizaţii, pot ajunge să aibă o interpretare proprie bazată pe experienţă total opusă versiunii formale a firmei.

Așteptările unora sau altora despre convergenţă sunt diferite, în special raportat la obiectivele finale ale acestui proces – starea de securitate cibernetică, sau beneficiile directe (financiare) și indirecte (eficienţă structurală sporită).

Prima provocare în definirea convergenţei este reprezentată de identificarea structurilor care converg, existând situaţii în care procesele converg, dar și situaţii în care în final vorbim despre integrare.

În multe cazuri, convergenţa se realizează pentru conformitate organizaţională, fără o planificare sistemică reală, generând astfel noi funcţii (ca rezultat al convergenţei) insuficient descrise sau pentru al căror management organizaţia nu înţelege profilul profesional necesar.
Securitatea fizică, această necunoscută!

O primă etapă care trebuie clarificată este care sunt structurile care converg, funcţiile și poziţionarea acestora în cadrul organizaţional dat. La nivelul multinaţionalelor, conceptul utilizat este securitate corporativă, care integrează componentele de securitate fizică, securitate informatică și pe cea procedurală. Deși scopul acestui articol nu vizează aspecte de management corporatist, trebuie menţionat faptul că un element important este reprezentat de poziţionarea procesului managerial ce asigură securitatea corporatistă în cadrul organizaţiei, astfel că, importanţa acordată acestei funcţii poate oferi viziuni, responsabilităţi și influenţă strategică extinse sau dimpotrivă restrânse, persoanei care va asigura această funcţie.

Activităţile aferente asigurării securităţii lanţului de aprovizionare, protecţiei infrastructurilor critice, managementul fraudelor, protecţia executivilor și securitatea reputaţională, cele privind sectorul de business intelligence sunt câteva dintre cele pe care se concentrează domeniul securităţii corporatiste. Merită menţionate și complementarităţile cu alte funcţii interne, cum ar fi activitatea de management în domeniul resurselor umane, audit intern și managementul riscurilor.

Astfel, sunt de analizat tendinţele de convergenţă limitată sau completă a acestor funcţii.

Fiecare dintre aceste probleme și provocări adresate domeniului securităţii corporatiste au și componente ce vizează securitatea tehnologiei informaţiei și comunicaţiilor.

În consecinţă, sunt multe ameninţări cibernetice care trebuie cunoscute și monitorizate, datorită consecinţelor pe care le generează în lumea reală. Aceste ameninţări generează riscuri semnificative la adresa angajaţilor sau infrastructurilor utilizate de întreaga organizaţie, riscuri de fraude și de afectare pe termen lung a veniturilor companiei, fraude în lanţul de aprovizionare sau sincope în asigurarea continuităţii acestuia cu consecinţe asupra
obiectivelor de business etc.

Toate acestea adresează provocări serioase asupra gradului necesar de convergenţă între diversele paliere ale securităţii corporatiste, în vederea asigurării obiectivelor asumate la nivelul actului managerial.

Securitatea cibernetică a apărut ca proces managerial identificat de către antreprenori ca fiind necesar și critic, pe fondul creșterii accentuate a numărului și complexităţii atacurilor cibernetice.

Ca o consecinţă a transferului continuu de informaţii în lumea virtuală și implicit, creșterea valorii proprietăţii intelectuale online și a dependenţei companiilor de componenta informatică, responsabilii cu securitatea cibernetică au sarcina de a proteja valoarea informaţiilor din spaţiul virtual care aparţin firmei – information value chain, precum și infrastructurile critice utilizate pentru producţie și/sau gestiune, acestea devenind din ce în ce mai importante în mediul de afaceri.

Astfel, a apărut și se află într-un proces continuu de maturizare funcţia de Chief Information Security Officer – CISO. Asimetria ameninţărilor cibernetice la adresa informaţiei și/sau infrastructurii critice aparţinând companiei au dat acestei funcţii, parte a procesului de asigurare a securităţii corporatiste, un rol transversal și de suport pentru toate activităţile relevante din cadrul oricărei companii adaptate realităţilor lumii contemporane. Însă de fapt această funcţie este dependentă de structura IT a companiei și nu beneficiază de o independenţă faţă de această componentă tehnologică și operaţională, așa cum și-ar dori asociaţiile profesionale în domeniu.

Ca și în exemplul anterior, poziţiile și atribuţiile în organigrama firmelor ale funcţiilor de CTO – Chief Technology Officer și CISO vor asigura valoarea viziunii strategice de management corporatist și limitele acestor poziţii în sine.

Astfel, provocarea care va trebui să fie rezolvată în domeniul securităţii corporatiste este:
Convergență sau integrare?

Pentru a converge, se înţelege că două elemente (structuri) se vor mișca către un punct comun. Se poate presupune o mișcare către un punct comun echidistant, dar nu este o condiţie sine qua non.

În termeni antreprenoriali, am putea să spunem că ambele structuri vor trebui să facă pași comuni pentru a defini și a atinge o nouă stare care va fi diferită faţă de starea actuală. O convergenţă în a trata riscuri asimetrice și transversale căreia întreprinderile trebuie să le răspundă este definită ca o metodologie unică care poate să fie atribuită unei singure funcţii sau structuri.

În ceea ce privește integrarea, putem să definim acest proces ca o acţiune a unei structuri care va absorbi (integra) în mod total sau parţial o altă structură, ca de exemplu o structură juridică care integrează serviciul de conformitate (compliance) din cadrul unei companii.

În domeniul securităţii, se vorbește tot mai des despre convergenţa dintre domeniul securităţii fizice și cel al securităţii cibernetice. În ceea ce mă privește, am observat, în ultimii ani, o integrare din ce în ce mai evidentă, stricto sensu, a sistemelor de securitate fizică (ex: CCTV, control acces, sisteme de comandă și control etc) la nivelul infrastructurilor IT&C ale companiilor.

Evoluţia tehnologică și de piaţă a sistemelor complexe bazate pe infrastructuri IP au determinat convergenţa din ce în ce mai evidentă a infrastructurilor destinate asigurării securităţii fizice cu cele destinate asigurării serviciilor de comunicaţii electronice și tehnologiei informaţiei.

Iniţial, au fost create reţele de tip LAN – Local Area Network separate destinate elementelor de infrastructură de securitate fizică, însă pe fondul creșterii complexităţii tehnice și dimensiunii, administrarea separată a acestei infrastructuri nu mai este sustenabilă. Astăzi tehnologia permite crearea de reţele locale virtuale de tip VLAN multiple în cadrul aceleiași reţele locale fizice de tip LAN.

Deși utilizarea VLAN-urilor pentru scopuri diferite susţin procese organizaţionale diferite, administrarea elementelor de infrastructură fizică devine unică, ca de altfel și managementul riscurilor de securitate cibernetică, care pot fi generate și de vulnerabilităţile prezente la nivelul sistemelor tehnice destinate asigurării securităţii fizice.

De aici se naște prima dilemă. Protecţia infrastructurii și utilizarea unei infrastructuri comune nu generează neapărat convergenţă, însă reprezintă cu certitudine o dovadă privind integrarea funcţiei de securitate fizică prin utilizarea celor mai moderne platforme care utilizează tehnologii de tip IP. În fapt, securitatea fizică reprezintă unul dintre ultimele procese organizaţionale care profită din plin de evoluţia tehnologică și integrarea unor platforme tehnice care înainte nu comunicau direct.

Se poate exemplifica prin utilizarea unei platforme unice de management al identităţii electronice, atât pentru structura de resurse umane, structura de securitate fizică pentru controlul accesului în diferite spaţii și structura de IT pentru asigurarea accesului și drepturilor de acces la reţeaua informatică și la aplicaţiile companiei.

Astfel, o serie de start-up-uri noi în domeniul securităţii fizice furnizează pe piaţa privată o serie de produse și servicii care în trecut erau disponibile numai în domeniile apărării și aplicării legii.

Sistemele juridice la nivel global sunt chiar pre ocupate din ce în ce mai mult să asigure protecţia cetăţenilor împotriva potenţialei utilizări necontrolate a acestor noi capabilităţi disponibile pe piaţa liberă. Spre exemplificare, merită menţionate utilizarea dronelor civile, aeriene sau terestre, a capabilităţilor de monitorizare web și filtrare de conţinut online pentru obiective de business intelligence, precum și fenomenul de creștere a utilizării reţelelor sociale și complexitatea funcţiilor oferite de acestea.
Atunci ce converge?

Nu cred că se poate vorbi despre convergenţă în sensul larg dacă, de fapt, observăm o simplă integrare a unor procese similare care până în prezent erau replicate și neconectate între ele. Aș îndrăzni chiar să afirm că putem vorbi de un efect al nevoii de eficientizare a organizaţiilor și nevoii de creștere a productivităţii.

Însă, așa cum am menţionat mai sus, creșterea exponenţială a numărului și complexităţii atacurilor informatice asupra sistemelor informatice de interes public determină necesitatea de a regândi strategiile de prevenire, identificare și blocare a acestora, în cadrul proceselor de management al riscurilor. Va fi interesant de urmărit evoluţia acestor abordări într-un mediu dominat de contradicţii conceptuale și de viziuni diferite. Este rolul statelor să asigure protecţia sau firmele trebuie să-și asume total această responsabilitate? Aceste discuţii sunt influenţate permanent de elemente dogmatice și legate de conceptul de stat de drept, care, într-o lume aflată în plin proces de virtualizare, se confruntă cu provocări inedite, din ce în ce mai complicate.

Cred că, în situaţii particulare, putem evidenţia elemente de convergenţă organizaţională atunci când securitatea corporatistă integrează funcţia de CISO, devenind în fapt funcţia de securitate a întregii infrastructuri utilizate de companie, a lanţului de aprovizionare, a informaţiei de valoare pentru business – information value chain, inclusiv cea a infrastructurii IT&C.

În prezent, nu foarte multe companii mari au reușit scoaterea funcţiei de CISO din cadrul structurii IT&C, această structură păstrându-și astfel eficienţa, dar și caracterul pur defensiv. 
Tehnologia este în continuare baza securității informaționale?

„Toate aceste ameninţări de fraudă sunt însă strâns legate de alte tipologii de atac – cu malware avansat – care, la fel ca primele, sunt dificil sau chiar imposibil de monitorizat cu sistemele clasice bazate pe semnături. Vorbim în acest caz despre sisteme de tip Advanced Threat Prevention, pe care orice echipă de securitate care are o strategie internă de Cyber Security ar trebui să le ia în considerare alături de sisteme de centralizare, colec tare, corelare și analiză de intelligence. Acestea din urmă, cunoscute ca sisteme SIEM, corelate cu sisteme de gestiune a riscurilor, își dovedesc eficienţa mai ales atunci când au suficientă vizibilitate astfel încât să poată structura informaţii din mai multe surse relevante, pentru a detecta anomalii comportamentale la nivelul infrastructurii” mai adaugă Alexandra Duricu. Aceasta subliniază de asemenea faptul că „organizaţiile înţeleg nevoia de investiţii în tehnologia de securitate, dar această atitudine nu se traduce în actua lizarea sau extinderea sistemelor curente pentru prevenirea adecvată a pericolelor legate de atacurile cibernetice moderne luând de asemenea în considerare, uneori într-un mod prea relaxat, interesul din ce în ce mai crescut al angajaţilor pentru mobilitate.” Impresia generală este aceea a conştientizării nevoii de folosire mai intensă a conceptului numit mobile computing, insă unii factori de decizie au tendinţa contrară de a limita mobilitatea pentru a proteja datele din companie, pe când alţii abordează tehnologic, procedural și mai ales în mod educativ alternativa folosirii chiar și a dispozitivelor mobile personale pentru activităţile specifice lucrului la birou. „Beneficiile unui program de BYOD (Bring Your Own Device) sunt evidente în orice tip de organizaţie. Riscurile însă sunt cele care îi sperie pe toţi. Realitatea de la această oră arată că mobilitatea şi securitatea pot coexista cu uşurinţă prin folosirea tehnologiei moderne de asigurare a securităţii datelor, care foloseşte criptarea inteligentă a datelor pentru protecţia lor, indiferent că acestea se găsesc în locaţii specifice de stocare, în plin proces de transfer sau în plin proces de prelucrare. În cadrul Asseco SEE suntem conştienţi de toate aspectele relevate mai sus şi, de aceea, ne permitem să afirmăm că la ora actuală există soluţii pentru orice probleme legate de securitate, oricât ar fi acestea de avansate,” adaugă Alexandra Duricu.

În opinia multor specialiști în domeniul securităţii informaţionale, anul 2016 va fi unul foarte agitat, în special în contextul ameninţărilor globale. Echipele de securitate vor avea de-a face cu o mulţime de provocări, pe care le vor adresa diferit, în funcţie de apetitul la risc al organizaţiilor lor: unii vor căuta să își consolideze infrastructura și procesele existente, alţii vor căuta metode mai eficiente și mai avansate de analiză.

Indiferent însă de direcţia strategică a fiecaruia, nu trebuie să uităm că orice structură de securitate informaţională este cu atât mai vulnerabilă cu cât utilizatorii ei sunt mai puţin educaţi în direcţia securităţii informaţionale.