H Ενοποιημένη Προσέγγιση Ψηφιακής & Φυσικής Ασφάλειας

…και η ανάγκη για συνεργασία των ομάδων

Καθώς τα όρια μεταξύ ψηφιακής και φυσικής ασφάλειας γίνονται όλο και πιο δυσδιάκριτα, η ανάγκη για μια ενιαία προσέγγιση και συνεργασία μεταξύ των ομάδων των δυο τμημάτων σε μια επιχείρηση ή οργανισμό είναι επιτακτική.

Του Αριστοτέλη Λυμπερόπουλου

Τα συμβατικά “φράγματα” που κάποτε διαχώριζαν τους δύο τομείς της φυσικής και ψηφιακής ασφάλειας καταρρίπτονται, όσο η τεχνολογία εξελίσσεται, με αποτέλεσμα πλέον η σύνδεση μεταξύ της ψηφιακής ασφάλειας και της φυσικής να είναι πιο έντονη από ποτέ. Ενώ, στο μέλλον αναμένεται να ταυτιστεί ακόμα περισσότερο.

Οπότε, αντιλαμβανόμενοι αυτή τη τάση πρέπει να διαθέτουμε τις κατάλληλες στρατηγικές αλλά και πρακτικές λύσεις, ώστε να πετύχουμε την ευθυγράμμιση των στόχων μεταξύ των θεμάτων ψηφιακής και φυσικής ασφάλειας. Για να υλοποιήσουμε αυτό το στόχο, οφείλουμε πρώτα να καλλιεργήσουμε ένα πνεύμα συνεργασίας και αμοιβαίου σεβασμού μεταξύ των στελεχών των δύο τομέων, που συχνά έχουν εντελώς διαφορετικό background και ανόμοια προσέγγιση στον τρόπο εργασίας τους. Στο παρόν άρθρο παρατίθενται στρατηγικές που θα βοηθήσουν την επίτευξη του κοινού στόχου. Επίσης θα δοθούν βέλτιστες πρακτικές για την αποτελεσματικότερη επικοινωνία και πιο ομαδική εργασία μεταξύ των στελεχών των τμημάτων πληροφορικής και φυσικής ασφάλειας και στους τρόπους εκπαίδευσης τους.

To πρώτο πράγμα που οφείλουμε να δούμε όμως, προκειμένου να πετύχουμε αυτόν το στόχο, είναι να αντιληφθούμε που οφείλεται αυτή η διαφορετική προσέγγιση που υπάρχει ανάμεσα στα δύο αυτά τμήματα και η οποία πολλές φορές οδηγεί σε εσωτερικές διαφωνίες και αποποίηση ευθυνών.

Οι πηγές των διαφορετικών προσεγγίσεων

Πριν από λίγα χρόνια σε μια συνάντηση στελεχών ενός οργανισμού με έναν προμηθευτή με σκοπό την αντικατάσταση των αναλογικών καμερών με ψηφιακές κάμερες, συμμετείχαν από την πλευρά του οργανισμού στελέχη τόσο από το τμήμα διαχείρισης εγκαταστάσεων που κάλυπτε τότε και τις ευθύνες του security όσο και από το τμήμα IT. Τότε στη μέση της συζήτησης, το στέλεχος του IT ρώτησε γιατί πρέπει να ασχοληθούν και αυτοί με τις κάμερες. Ο προμηθευτής του έδωσε αμέσως την εύλογη απάντηση διότι και αυτά πλέον είναι IP τεχνολογίας και άρα εμπίπτουν και στις αρμοδιότητες των IT τμημάτων. Αυτό το περιστατικό είναι μεν μεμονωμένο και όχι πολύ σημαντικό αλλά δείχνει τη διαφορετική προσέγγιση των στελεχών από τους δύο κλάδους και τον τρόπο που αντιλαμβάνονται τις αρμοδιότητες τους.

Η νοοτροπία επίσης είναι εντελώς διαφορετική. Τα στελέχη του IT προέρχονται από ένα κόσμο που κινείται πιο πολύ σε ένα συμβατικό εταιρικό περιβάλλον με τη χρήση υπολογιστών και γραφειακών χώρων. Οι άνθρωποι της ασφάλειας είναι πιο κοντά στο πεδίο των επιχειρήσεων και διαχειρίζονται καταστάσεις και απειλές που θέτουν σε κίνδυνο και τη σωματική ασφάλεια.

Επίσης, οι σπουδές τους είναι διαφορετικές καθώς τα στελέχη του IT έχουν συνήθως ακαδημαϊκό background ενώ τα στελέχη της ασφάλειας έχουν συνήθως ένα πιο πρακτικό υπόβαθρο.

Υπάρχει και μια διαφορετική κουλτούρα καθώς υπάρχει η εντύπωση ότι ακριβώς λόγω του υπόβαθρου τους τα στελέχη του IT είναι πιο ανοιχτά σε αλλαγές με πιο ευέλικτη νοοτροπία, ενώ οι άνθρωποι της φυσικής ασφάλειας είναι πιο δομημένοι στην υλοποίηση των στόχων αλλά ίσως δεν είναι ευέλικτοι. Όμως, η εμπειρία έχει δείξει ότι πολλές φορές αυτό δεν ισχύει. Ιδιαίτερα τα στελέχη του IT μπορεί να έχουν μια δυσκολία στο να αντιληφθούν τις απειλές που προέρχονται από τον πραγματικό φυσικό κόσμο και δεν μπορούν να προσαρμοστούν εύκολα στη νέα πραγματικότητα. Φυσικά, αυτό μπορεί να συμβεί και στην άλλη πλευρά καθώς τα στελέχη της φυσικής ασφάλειας δεν δέχονται εύκολα ότι πλέον δεν μπορούν να διαχειρίζονται αποκλειστικά και μόνο εκείνοι τα συστήματα που θεωρούν ότι τους αφορούν όπως το σύστημα επιτήρησης, αλλά ότι πλέον το IT έχει σημαντικό λόγο στην ανάπτυξη και υλοποίηση αυτών των συστημάτων λόγων των κυβερνοαπειλών και όχι μόνο.

Καθήκοντα και αρμοδιότητες

Έχει πολύ ενδιαφέρον όμως να δούμε πως ακριβώς κατανέμονται με τη συμβατική προσέγγιση τα καθήκοντα και οι αρμοδιότητες των ομάδων αυτών των δύο τμημάτων.

Υποδομή: Σε ότι αφορά την υποδομή, το IT τμήμα είναι υπεύθυνο για όλο το εταιρικό δίκτυο ενός οργανισμού, τον συνδεδεμένο εξοπλισμό και φυσικά τα διάφορα software που χειρίζονται οι χρήστες . Επίσης, είναι υπεύθυνο για τη διαχείριση των δεδομένων που αποθηκεύονται στις πληροφοριακές υποδομές του οργανισμού.  Το τμήμα της φυσικής ασφάλειας είναι υπεύθυνο για τις υπηρεσίες φυσικής ασφάλειας (φύλαξη εγκαταστάσεων), για τα συστήματα access control, επιτήρησης, συναγερμού.

Εστίαση σε θέματα ασφάλειας: To ΙΤ διαχειρίζεται τις ψηφιακές απειλές στις οποίες συμπεριλαμβάνονται το hacking, το malware και η υφαρπαγή δεδομένων. Το τμήμα φυσικής ασφάλειας είναι υπεύθυνο για τη φυσική προστασία των εγκαταστάσεων από εξωτερικές και εσωτερικές απειλές (διαρρήξεις, κλοπή προϊόντων και υλικών).

Προκλήσεις και τάσεις:  Η μεγαλύτερη σύγχρονη πρόκληση για το IT είναι η όλο και αυξανόμενη τάση για υβριδική και απομακρυσμένη εργασία. Οι ομάδες IT πρέπει να εφαρμόσουν ισχυρά μέτρα ασφάλειας για την προστασία από αυξημένους κινδύνους επιθέσεων και παραβιάσεων δεδομένων σε αποκεντρωμένα περιβάλλοντα εργασίας. Επιπλέον, η διασφάλιση συνεχής διασύνδεσης και πρόσβασης από διαφορετικές τοποθεσίες προσθέτει μεγαλύτερη πολυπλοκότητα. Σε ότι αφορά τη χρήση νέων τεχνολογιών, έννοιες όπως η τεχνητή νοημοσύνη, το διαδίκτυο των πραγμάτων (IoT) και η χρήση βιομετρικών δεδομένων είναι πλέον έτοιμες για ενσωμάτωση σε επίπεδο καθημερινής λειτουργίας.

Σε ότι αφορά τη φυσική ασφάλεια η μεγαλύτερη πρόκληση που έχουν να αντιμετωπίσουν τα αρμόδια στελέχη είναι ο μετασχηματισμός των απειλών σε νέου είδους απειλές κυρίως με εγκληματικά και τρομοκρατικά κίνητρα: απαγωγές επιχειρηματιών και στελεχών, βιομηχανική κατασκοπεία, εσωτερικές δολιοφθορές είναι ορισμένες από τις σύγχρονες απειλές. Σε ότι αφορά τη χρήση νέων τάσεων θα πρέπει πλέον να αντιληφθούν ότι η ενσωμάτωση της ψηφιακής τεχνολογίας και η διασύνδεση με τα συστήματα IT και τις τεχνολογίες AI και IT είναι μονόδρομος προκειμένου να επιτύχουν στο ρόλο τους.

Το πρώτο λοιπόν βήμα για τη δημιουργία μιας ενιαίας πολιτικής ασφάλειας είναι η συνειδητοποίηση αυτής της ανάγκης από όλες τις εμπλεκόμενες πλευρές. Πρόκειται για έναν κοινό στόχο και  δεν είναι αποκλειστική ευθύνη καμίας από τις δύο ομάδες να επωμιστεί το συνολικό βάρος της υλοποίησης ούτε φυσικά είναι προς το συμφέρον της μίας πλευράς να κρατήσει πληροφορίες από την άλλη. Η δημιουργία μιας ενοποιημένης στρατηγικής σημαίνει ισοβαρής αντιμετώπιση των φυσικών και ψηφιακών απειλών αναγνωρίζοντας ότι μια παραβίαση σε έναν τομέα μπορεί να έχει αλυσιδωτές επιπτώσεις στον άλλο. Ο πιο αποτελεσματικός τρόπος για την επίτευξη αυτό του στόχου είναι να τεθούν διαλειτουργικοί στόχοι (στόχοι δηλαδή που αγγίζουν και τις δύο πλευρές) μέσω της πολιτικής διαχείρισης κινδύνων του οργανισμού.

Κεντροποιημένη διαχείριση κινδύνων.

Τι σημαίνει όμως στην πράξη κεντροποιημένη διαχείριση κινδύνων. Κάθε οργανισμός οφείλει να έχει μια πολιτική διαχείριση κινδύνων (risk management policy) που να οδηγεί σε μια γενική εκτίμηση κινδύνων. Συνήθως, ειδικά όσο μεγαλώνει ένας οργανισμός, κάθε τμήμα έχει δική του πολιτική διαχείρισης κινδύνων. Παραδείγματος χάρη το τμήμα HSE που ασχολείται με την ασφάλεια στην εργασία έχει μια διαφορετική εκτίμηση κινδύνων σε σχέση με το τμήμα business development. Όμως, πλέον καθώς οι ενδεχόμενες απειλές μπορούν να θέτουν σε κίνδυνο την επιχειρησιακή συνέχεια του οργανισμού θα πρέπει σταδιακά να δημιουργείται ένα κεντρικοποιημένο εγχειρίδιο που να εξετάζει όλους τους κινδύνους ανεξαρτήτως του τομέα από τον οποίο προέρχονται. Ειδικά, αυτό μπορεί να ξεκινήσει να εφαρμόζεται από τους κλάδους της φυσικής ασφάλειας και του IT security καθώς πλέον υπάρχουν θέματα ασφάλειας που αγγίζουν και τις δύο πλευρές. Μια φυσική εισβολή σε μια εγκατάσταση θα μπορούσε να οδηγήσει στην κλοπή συσκευών που περιέχουν ευαίσθητες πληροφορίες, ενώ μια ψηφιακή παραβίαση θα μπορούσε να μπλοκάρει τη λειτουργία των συστημάτων ασφαλείας, ανάμεσα στα οποία συμπεριλαμβάνονται οι κάμερες και το access control και τελικά θα μπορούσε να απενεργοποιήσει τη φυσική ασφάλεια. Οπότε η απάντηση σε αυτές τις προκλήσεις είναι ένα ενοποιημένο σχέδιο δράσης που θα επιτρέπει στον οργανισμό να ανταποκρίνεται γρήγορα και αποτελεσματικά σε αυτούς του είδους τα περιστατικά, είτε προέρχονται από τον κυβερνοχώρο ή  από τον φυσικό κόσμο. Τα σχέδια αυτά θα πρέπει να περιλαμβάνουν  συντονισμένα πρωτόκολλα και διαύλους επικοινωνίας μεταξύ των  ομάδων πληροφορικής και φυσικής ασφάλειας, διασφαλίζοντας έτσι ότι όλα τα μέρη είναι ενημερωμένα και έτοιμα να ενεργήσουν από κοινού

Ελαχιστοποίηση των απειλών.

Το πρώτο βήμα που θα πρέπει να κάνει μια διατμηματική ομάδα αξιολόγησης είναι πως ενδεχόμενα κενά στα συστήματα ψηφιακής ή φυσικής ασφάλειας θα δημιουργούσαν προβλήματα που θα επεκτείνονταν από το δικό τους αντικείμενο και θα επηρέαζαν τον άλλο χώρο. Είναι χαρακτηριστικό το παράδειγμα που αναφέραμε στην προηγούμενη ενότητα αλλά υπάρχουν και πολλά άλλες απειλές. Αν κάποιος καταφέρει να παρακάμψει τη φυσική ασφάλεια ενός οργανισμού και εισέλθει στο κεντρικό computer room μπορεί να προκαλέσει τεράστια βλάβη σε όλα τα ψηφιακά συστήματα του οργανισμού και να επηρεάσει τη λειτουργία του, πολλές φορές σε βαθμό μη αναστρέψιμο. Αυτό είναι ένα άλλο πολύ χαρακτηριστικό παράδειγμα. Οπότε αυτή η διατμηματική ομάδα θα πρέπει πρώτα να αξιολογήσει όλους αυτούς τους κινδύνους. Στη συνέχεια θα πρέπει να δει τρόπους και πρωτόκολλα αντιμετώπισης αυτών των κινδύνων και να γίνει η κατάλληλη εκπαίδευση και ενημέρωση όπου απαιτείται.

Αλλαγή νοοτροπίας

Εκείνο που πρέπει να έχουμε πάντα υπόψη είναι ότι μια ενοποιημένη στρατηγική ψηφιακής και φυσικής ασφάλειας δεν αφορά μόνο έναν απλό συνδυασμό πρακτικών και μέτρων που προέρχονται από αυτούς τους δύο τομείς. Είναι ουσιαστικά μια εντελώς νέα προσέγγιση που σχετίζεται με την ανάπτυξη μιας καινούριας ολοκληρωμένης κουλτούρας που έχει να κάνει με τα θέματα ασφάλειας ενός οργανισμού. Αυτή η κουλτούρα θα πρέπει να αποτελεί αναπόσπαστο τμήμα των αξιών του οργανισμού και μέσω εκπαίδευσης να γίνεται μέρος της καθημερινότητας όχι μόνο των στελεχών που ασχολούνται με τα συγκεκριμένα θέματα αλλά όλων των εργαζομένων.

Εκπαίδευση

Η διατμηματική εκπαίδευση μεταξύ των ομάδων πληροφορικής και ασφάλειας αποτελεί ένα σημαντικό στοιχείο για την εδραίωση μιας αποτελεσματικής στρατηγικής ασφάλειας. Ειδικά σε μια εποχή όπου τα όρια μεταξύ αυτών των δύο κλάδων είναι δυσδιάκριτα σε ότι αφορά τα θέματα ασφάλειας. Στόχος της εκπαίδευσης θα πρέπει να είναι η γεφύρωση του χάσματος που υπάρχει μεταξύ των στελεχών αυτών των δύο κλάδων σε ότι αφορά τις γνώσεις αλλά και τη νοοτροπία με την οποία λειτουργούν μέχρι σήμερα. Αυτά τα προγράμματα θα πρέπει να περιλαμβάνουν συνεδρίες όπου τα στελέχη πληροφορικής θα εκπαιδεύονται πάνω στις έννοιες και τα πρωτόκολλα φυσικής ασφάλειας ενώ τα στελέχη ασφάλειας θα γνωρίζουν τις αρχές της ψηφιακής ασφάλειας αλλά θα αποκτούν ένα τεχνικό υπόβαθρο για τις τεχνολογίες πληροφορικής. Μέσω αυτών των προγραμμάτων θα ενισχύεται η συνολική αποτελεσματικότητα των δύο ομάδων αλλά θα προωθείται και η κατανόηση για τις δυσκολίες του έργου της άλλης ομάδας.  Κατανοώντας λοιπόν αυτές τις δυσκολίες, οι συνάδελφοι από διαφορετικά τμήματα θα μπορούν να συνεργαστούν πιο αποτελεσματικά, βρίσκοντας  λύσεις που είναι τεχνολογικά και πρακτικά εφικτές.

Καθορισμός κοινών στόχων

Η κατανόηση για το έργο της άλλης ομάδας και η δημιουργία μιας κουλτούρας με γνώμονα την ασφάλεια είναι το πρώτο βήμα αλλά δεν είναι αρκετό για την επίτευξη ενός ασφαλούς περιβάλλοντος εργασίας είτε σε ψηφιακό είτε σε φυσικό επίπεδο. Θα πρέπει πλέον να τίθενται στόχοι και να ορίζονται χρονοδιαγράμματα. Όμως πλέον οι στόχοι θα πρέπει να είναι κοινοί και στο τέλος του deadline που έχει οριστεί θα εξετάζεται από κοινού αν έχουν επιτευχθεί οι στόχοι και σε περίπτωση αρνητικής απάντησης ποιοι είναι οι λόγοι που δεν επέτρεψαν την επίτευξη των στόχων. Μεταξύ των άλλων θα πρέπει να τίθενται στόχοι όπως

• Μείωση χρόνου απόκρισης σε συμβάντα
• Εναρμόνιση σε πρότυπα ασφάλειας και πιστοποίηση από ανεξάρτητους φορείς (ISO 27001)
• Εφαρμογή συγκεκριμένων πρωτοκόλλων ασφάλειας

Δημιουργία κοινών χώρων επιτήρησης

Σε μεγάλους οργανισμούς είναι πολύ συχνή η δημιουργία control rooms για τον έλεγχο των συστημάτων ασφαλείας. Κάτι παρόμοιο θα μπορούσε να γίνει και σε αυτή την περίπτωση μόνο που ο χώρος θα χρησιμοποιείται ταυτόχρονα για την επιτήρηση των συστημάτων φυσικής και ψηφιακής ασφάλειας. Δουλεύοντας δίπλα στον ίδιο χώρο και αντιμετωπίζοντας μαζί συμβάντα είναι ένας πολύ καλός τρόπος για να βελτιωθεί ακόμα περισσότερο η συνεργασία μεταξύ των δύο ομάδων. Επίσης, αποτελεί ένα πολύ χρήσιμο εργαλείο για την αποτελεσματική επιτήρηση όλων των συστημάτων και τη γρήγορη αντιμετώπιση οποιουδήποτε συμβάντος. Επιπλέον, ορισμένες φορές βοηθάει και στην οικονομία κλίμακος του οργανισμού καθώς επιτρέπει την εξοικονόμηση πόρων από τη στιγμή που κάποιες εργασίες μπορούν να γίνονται ταυτόχρονα από την ίδια ομάδα εργαζομένων.

Περιοδικός έλεγχος των στόχων

Όπως προαναφέραμε σε όλη αυτή την προσπάθεια για ευθυγράμμιση των στόχων των ομάδων IT και security θα βοηθήσει πολύ μια περιοδική ανασκόπηση της προσπάθειας και των στόχων που έχουν τεθεί. Μια ανασκόπηση με τη μορφή μιας συνοπτικής λίστας ελέγχου θα δείξει ποια θέματα έχουν προχωρήσει και σε ποιους τομείς χρειάζεται περισσότερη προσπάθεια. Ένα ενδεικτικό check list μπορεί να είναι το παρακάτω:

• Βαθμός επικοινωνίας των ομάδων: Πόσο καλά επικοινωνούν οι ομάδες και αν έχουν παρατηρηθεί φαινόμενα προβληματικής επικοινωνίας
• Εφαρμογή προγραμμάτων κατάρτισης: Αν έχουν πραγματοποιηθεί κοινές εκπαιδεύσεις πάνω σε θέματα ψηφιακής και φυσικής ασφάλειας. Επίσης, αν έχουν γίνει εκπαιδεύσεις πάνω σε πρωτόκολλα αναγνώρισης απειλών και τρόπους αντίδρασης
• Αν υπάρχουν κοινοί στόχοι και πως μετριέται ο βαθμός υλοποίησης αυτών των στόχων. Παραδείγματος χάρη, αν υπάρχουν KPI με το βαθμό συνολικών συμβάντων ασφάλειας θα βοηθούσε πολύ στο να αξιολογηθεί η συνολική αποτελεσματικότητα του ενιαίου συστήματος ασφάλειας.
• Είναι πολύ σημαντικό να γίνεται καταγραφή των απειλών που αντιμετωπίστηκαν την περίοδο της ανασκόπησης και να γίνεται διερεύνηση στο αν αντιμετωπίσθηκαν επαρκώς και τι θα μπορούσε να είχε γίνει καλύτερα ώστε να μην επαναλαμβάνονται τα ίδια λάθη.
• Σε περιοδική βάση θα πρέπει να διεξάγονται ασκήσεις και audits που να εντοπίζουν τα τρωτά σημεία των συστημάτων ασφάλειας
• Τέλος, με τη βοήθεια των νομικών τμημάτων και των υπεύθυνων συμμόρφωσης (compliance) θα πρέπει να διασφαλίζεται ότι υπάρχει η απαραίτητη εναρμόνιση με τις νομοθετικές απαιτήσεις σε θέματα ασφάλειας.

Συμπέρασμα

Για να μπορέσουν οι οργανισμοί να επιβιώσουν στο σύγχρονο περιβάλλον με τις ποίκιλες και συνεχώς διευρυμένες απειλές. Θα πρέπει να αντιμετωπίζουν με μια ενιαία προσέγγιση τα θέματα ψηφιακής και φυσικής ασφάλειας. Καθώς πρόκειται για δύο ομάδες που μέχρι τώρα λειτουργούσαν ανεξάρτητα και είχαν διαφορετικές προτεραιότητες και είχαν διαφορετική ιεραρχική δομή είναι μια σημαντική και δύσκολη πρόκληση. Όμως η αποτελεσματική συνεργασία τους αποτελεί μονόδρομο στην επιτυχή αντιμετώπιση όλων των θεμάτων ασφάλειας και στην διασφάλιση της ομαλής συνέχειας της επιχειρησιακής λειτουργίας των σύγχρονων οργανισμών.