Οδικός Χάρτης Αντιμετώπισης των αναδυόμενων απειλών
Ένας οργανισμός αντιμετωπίζει πάντα απειλές. Απειλές που μπορεί να επηρεάσουν την επιβίωση του, την ανθεκτικότητα του στο χρόνο και τη δυνατότητα του να εξελίσσεται. Η αποτελεσματική αντιμετώπιση των απειλών μέσα από ένα οδικό χάρτη μπορεί να διασφαλίσει σε μεγάλο βαθμό όλα τα παραπάνω απαιτούμενα.
Του Αριστοτέλη Λυμπερόπουλου
Η αποτελεσματική αντιμετώπιση των απειλών προϋποθέτει την επαγρύπνηση των στελεχών που είναι επιφορτισμένα με αυτό το καθήκον και φυσικά τη δημιουργία ενός αποτελεσματικού σχεδίου. Οι απειλές αυτές μπορεί να είναι οικονομικές, περιβαλλοντικές, βιολογικές, γεωπολιτικές κοινωνικές ή τεχνολογικές και φυσικά να προέρχονται από τυχαία περιστατικά, απροσεξίες, κακόβουλες ενέργειες ή άλλους εξωγενείς παράγοντες. Είναι γεγονός ότι οι κίνδυνοι μετασχηματίζονται με πολύ γρήγορο ρυθμό στις μέρες μας και η αντιμετώπιση τους γίνεται όλο και πιο περίπλοκη, ενώ οι οργανισμοί πολλές φορές δεν προλαβαίνουν να προσαρμοστούν εγκαίρως στις αλλαγές που συντελούνται.
Υλοποίηση εντός του οργανισμού
Πάντα το πιο δύσκολο στάδιο σε αυτού του είδους τα εγχειρήματα, είναι να γίνει το πρώτο βήμα. Συνήθως δε, οι επικεφαλείς των μεγάλων οργανισμών δεν έχουν μεγάλη εμπειρία σε θέματα ασφάλειας και ως τούτου η μεγάλη πρόκληση είναι να πεισθούν ότι πρέπει να επενδύσουν σε αυτή την προσπάθεια. Πολλές φορές μάλιστα τα αποτελέσματα δεν θα είναι αμέσως αντιληπτά ενώ και τα οφέλη συνήθως δεν είναι εμφανή. Τι σημαίνει αυτό; Ότι μια επιτυχημένη στρατηγική πωλήσεων επιφέρει αύξηση στα κέρδη και στους τζίρους των επιχειρήσεων και είναι κάτι που όλοι βλέπουν και επιδοκιμάζουν. Μια αποτελεσματική στρατηγική ασφάλειας ελαχιστοποιεί τους κινδύνους για ένα περιστατικό που μπορεί ούτως ή άλλως να μην συμβεί ποτέ και είναι κάτι που όλοι το θεωρούν αυτονόητο. Για αυτό το λόγο απαιτείται διπλή και τριπλή προσπάθεια από τα στελέχη που είναι επιφορτισμένα με την ασφάλεια για να μπορέσουν να πείσουν τους επικεφαλείς των οργανισμών για το όραμα τους, ώστε να πάρουν τις απαραίτητες εγκρίσεις και να είναι σε θέση να διαχειριστούν σωστά τους πόρους που χρειάζονται για την υλοποίηση όλων των ενεργειών που σχετίζονται με αυτό.
Στρατηγική ασφάλειας
Τα επιτελικά στελέχη που ασχολούνται με την ασφάλεια οφείλουν να αναπτύξουν αποτελεσματικές στρατηγικές για τη διαχείριση υπαρχόντων και αναδυόμενων απειλών οι οποίες όμως να μπορούν να προσαρμοσθούν σε ένα συνεχώς μεταβαλλόμενο περιβάλλον. Η στρατηγική ενός οργανισμού σε θέματα ασφάλειας είναι εκείνη που καθορίζει σε πρώτη φάση τη φύση των προκλήσεων. Στη συνέχεια, μέσω αυτής προσδιορίζεται η προσέγγιση για την αντιμετώπιση της πρόκλησης μέσα από ένα
οδικό χάρτη που να προσδιορίζει ένα χρονοδιάγραμμα ενεργειών. Αυτό που σίγουρα χρειάζεται από τους επικεφαλείς είναι να διαθέτουν ισχυρές ηγετικές δεξιότητες για να οδηγήσουν στη δημιουργία μιας κουλτούρας ασφάλειας σε έναν οργανισμό. Σε έναν αβέβαιο κόσμο με έντονο το στοιχείο της παγκοσμιοποίησης και με αυξανόμενο αριθμό κινδύνων, θα βοηθήσει η ύπαρξη στελεχών ασφάλειας που θα τονίζουν τη σημασία της προληπτικής προστασίας των εργαζομένων και του περιβάλλοντος στο οποίο ζουν και εργάζονται.
Αρχιτεκτονική συστήματος ασφάλειας
Σε ότι αφορά όμως το σχεδιασμό του συστήματος πρέπει να δοθεί ιδιαίτερη προσοχή στον τρόπο με τον οποίο θα υλοποιηθεί. Ίσως το πιο επιθυμητό από όλους είναι αφού καταγράψουν όλες τις απειλές να μπορέσουν να ασχοληθούν αμέσως και ταυτόχρονα με όλες. Αυτή την προσέγγιση θα τη χαρακτηρίζαμε από τη βάση προς την κορυφή. Όμως μια τέτοιου είδους προσέγγιση είναι μάλλον απαγορευτική για τους απλούς ακόλουθους λόγους:
Πρώτον είναι σχεδόν αδύνατο να επιτευχθεί. Η ενασχόληση με όλα τα θέματα σε παράλληλο χρόνο είναι κάτι το οποίο κανένα στέλεχος ή κανένα τμήμα δεν μπορεί να πετύχει αποτελεσματικά. Θα ανοιχτούν πολλά μέτωπα και το πιο πιθανό είναι να μην κλείσει κανένα. Αλλά ακόμα και αν υπήρχαν οι προϋποθέσεις για την αποτελεσματική ολοκλήρωση όλων των στόχων είναι προφανές ότι το κόστος θα ήταν τεράστιο οπότε θα υπήρχε ένας τείχος άρνησης από τη διοίκηση του οργανισμού. Ως εκ τούτου η λύση που προκρίνεται έχει αντίθετη φορά: Από πάνω προς τα κάτω. Θα πρέπει το σύστημα να σχεδιαστεί στρατηγικά ώστε να μπορεί να αντιμετωπίσει ιεραρχικά τις σοβαρότερες απειλές και στη συνέχεα να αναπτύσσεται προς τα λιγότερα κρίσιμα θέματα. Αξιολογώντας την αρχιτεκτονική ενός συστήματος ασφάλειας θα πρέπει να έχουμε υπόψη τους ακόλουθους παράγοντες:
- Ανθεκτικό
- Διαλειτουργικό
- Ανοιχτό ώστε να μπορεί να ενσωματώνει υπάρχοντα αλλά και μελλοντικά συστήματατα
- Να ενσωματώνει δεδομένα και να τα επεξεργάζεται
- Εύκολο στη χρήση
- Αποτελεσματικό στη λειτουργία
- Γρήγορη ανταπόκριση σε συμβάντα
- Οικονομικό στην υλοποίηση του όσο αυτό είναι δυνατό
- Αποτελεσματικό στην προστασία ανθρώπων αλλά και παγίων της εγκατάστασης
- Αποτελεσματικό στη διαφύλαξη της επιχειρησιακής συνέχειας (business continuity)
Λειτουργίες ασφάλειας
Αυτό που πρέπει να διασφαλίζεται σε κάθε περίπτωση, είναι η γρήγορη και ασφαλής αντίδραση σε οποιοδήποτε συμβάν. Τονίζουμε πάντα λοιπόν τη σημασία της ασφάλειας οφείλουμε να φροντίσουμε και για την ασφάλεια των στελεχών που θα εμπλακούν στην αντιμετώπιση του περιστατικού. Όταν υπάρξει η ενημέρωση για κάποιο περιστατικό τότε οι υπεύθυνοι ασφάλειας οφείλουν να έχουν πολύ γρήγορα πλήρη ενημέρωση για τις συνθήκες του περιστατικού αλλά και αίσθηση του επείγοντος. Θα πρέπει να πάρουν αποφάσεις γρήγορα αλλά όχι βιαστικά και να προβούν στις απαραίτητες ενέργειες. Για να πετύχουν όλο αυτό θα πρέπει να έχουν πλήρη πρόσβαση σε όλες τις εγκαταστάσεις, εικόνα από όλα τα σημεία και να μπορούν να ελέγχουν τον κόσμο που κινείται μέσα στις εγκαταστάσεις αλλά και τις εγκαταστάσεις.
Η ύπαρξη ενός δομημένου τρόπου εργασίας είναι αυτή που θα επιτρέψει στους υπεύθυνους να αντιδράσουν γρήγορα και αποτελεσματικά. Θα πρέπει να έχουν δημιουργηθεί πρότυπες διαδικασίες λειτουργίας (SOP – Standard Operating Procedures) και τα κατάλληλα διαγράμματα ροής ανάλογα με το κάθε περιστατικό. Στην πράξη δηλαδή θα πρέπει ο καθένας να γνωρίζει πως θα αντιδράσει και τι κάνει και όχι να αναζητούν εκείνη τη στιγμή τι θα πρέπει να γίνει, χάνοντας πολύτιμο χρόνο.
Ευελιξία και επεκτασιμότητα
Κάθε οργανισμός εξελίσσεται με την πάροδο του χρόνου. Προστίθενται νέες δραστηριότητες, αυξάνεται το αντικείμενο και φυσικά υπάρχουν μεγάλες εναλλαγές προσωπικού. Σε όλο αυτό θα πρέπει να προστίθεται και η παράμετρος των αλλαγών στη νομοθεσία με τις οποίες όμως πρέπει να υπάρχει η απαραίτητη συμμόρφωση. Η ασφάλεια είναι μια μακροπρόθεσμη επένδυση. Είναι δηλαδή μια επένδυση που ξεκινάει μια δεδομένη χρονική στιγμή αλλά θα πρέπει να μπορεί να υποστηρίζει τις μελλοντικές απαιτήσεις καθώς και τις απειλές όχι μόνο του παρόντος αλλά και του μέλλοντος. Για το λόγο αυτό τα συστήματα ασφάλειας πρέπει να υλοποιούνται με τρόπο που να επιτρέπει τη μέγιστη ευελιξία και τη δυνατότητα επεκτασιμότητας. Αυτό απαιτεί βασικό στοιχείο για κάθε επιτυχημένο σύστημα και μόνο λαμβάνοντας υπόψη αυτή την παράμετρο στο σχεδιασμό μειώνεται ο κίνδυνος να χρειαστεί να ακυρωθεί κάτι στο οποίο ο οργανισμός έχει επενδύσει αρκετά πριν λίγα χρόνια.
Δεδομένα και επεξεργασία
Η τεχνολογία επιτρέπει πλέον την καταγραφή και αποθήκευση μεγάλο όγκου δεδομένων. Η ύπαρξη αυτών των δεδομένων αποτελεί ένα σημαντικό εργαλείο για τη βέλτιστη λειτουργία των συστημάτων ασφάλειας. Με τη χρήση των data μπορεί να υπάρξει έγκαιρη πρόγνωση πολλών κινδύνων αλλά κα αποτελεσματική διερεύνηση συμβάντων. Όμως είναι σημαντικό να υπάρχουν τα εργαλεία που επιτρέπουν την αποτελεσματική επεξεργασία των δεδομένων. Ένα μεγάλο πρόβλημα που συναντιέται ιδιαίτερα συχνά είναι ότι ακριβώς λόγω του μεγάλου όγκου δεδομένων, συχνά οι χρήστες χάνουν τη σημαντική και κρίσιμη πληροφορία. Για το λόγο θα πρέπει να υπάρχουν τα κατάλληλα αυτοματοποιημένα εργαλεία τα οποία να επιτρέπουν το φιλτράρισμα των πληροφοριών και να μεταφέρουν στους χρήστες ότι είναι κρίσιμο και ουσιαστικό. Άλλο ένα θέμα που σχετίζεται με τον μεγάλο όγκο πληροφοριών που είναι διαθέσιμος πλέον είναι εκείνο της ίδιας της ασφάλειας των δεδομένων. Είναι πολύ σημαντικό να υπάρχουν οι δικλείδες ασφάλειας που να προστατεύουν τον οργανισμό από παραβίαση δεδομένων. Ενδεχόμενη παραβίαση δημιουργεί σημαντικά προβλήματα στον οργανισμό τόσο διότι επιτρέπει τη γενικότερη παραβίαση των συστημάτων ασφάλειας από τη στιγμή που κάποιος θα έχει πρόσβαση σε κρίσιμα δεδομένα, αλλά παράλληλα μπορεί να επιφέρει και σημαντικές κυρώσεις από την πολιτεία καθότι αυτά τα δεδομένα συνήθως ανήκουν στην κατηγορία των προσωπικών δεδομένων (νομοθετικό πλαίσιο GDPR).
Μετρήσεις & αναφορές
Ότι δεν μπορεί να μετρηθεί δεν μπορεί και να αξιολογηθεί. Αυτή είναι μια πολύ γνωστή ρήση που χρησιμοποιείται συχνά σε οποιοδήποτε επιχειρηματικό εγχείρημα για να αναδείξει τη σημασία των μετρήσεων. Η ασφάλεια προφανώς δεν εξαιρείται από αυτό τον κανόνα. Χρησιμοποιείστε λοιπόν δείκτες –τους γνωστούς KPi) για να αξιολογήσετε την πορεία του εγχειρήματος σας και να διαπιστώσετε τα αδύνατα σημεία. Για να υπάρξουν όμως οι δείκτες θα πρέπει σε πρώτη φάση να υπάρξει και σωστή καταγραφή δεδομένων όπως αναλύσαμε στην προηγούμενη ενότητα. Επίσης θα πρέπει να δείτε πως θα συνθέσετε αυτούς τους δείκτες ώστε να αποτυπώνουν την πραγματική κατάσταση. Τέλος, θα πρέπει αυτά τα συμπεράσματα να τα επικοινωνείτε και στη διοίκηση. Για αυτό το λόγο είναι σημαντικό η δημιουργία αναφορών που να αποτυπώνουν με κατανοητό τρόπο τα όποια συμπεράσματα προκύπτουν.
Η εμπειρία έχει δείξει ότι δυστυχώς η ευαισθητοποίηση σε ότι αφορά θέματα ασφάλειας σε έναν οργανισμό μπορεί να είναι πολύ δύσκολη. Οι άνθρωποι αλλά και οι οργανισμοί είναι συχνά πολύ ανθεκτικοί σε οποιαδήποτε προσπάθεια για αλλαγή. Είναι δύσκολο αλλά απαραίτητο να εμπεδωθεί σε όλο τον οργανισμό μια κουλτούρα μέσω της οποίας θα πρέπει να ξεκαθαρισθεί σε όλους ότι η ασφάλεια είναι προτεραιότητα. Εδώ η εμπλοκή του Διευθύνοντος Συμβούλου είναι πολύ σημαντική. Εάν ο Διευθύνων Σύμβουλος σκέφτεται, λέει σε όλους και παντού και δρα με το σκεπτικό ότι η ασφάλεια είναι σημαντική, τότε όλος ο οργανισμός θα κινηθεί σε αυτό το πλαίσιο Η διατήρηση τακτικών προγραμματισμένων επικοινωνιών με όλους τους ενδιαφερόμενους θα επιτρέψει οποιαδήποτε ζητήματα που τυχόν προκύπτουν να εντοπιστούν και να διαχειριστούν γρήγορα.
Όμως εξίσου σημαντικό είναι να δοθεί από την ομάδα που ασχολείται με την ασφάλεια ένα κατανοητό και ρεαλιστικό πλαίσιο οδηγιών. Δεν είναι δυνατό και από τη μία στιγμή στην άλλη να ανατραπούν παγιωμένες καταστάσεις πολλών ετών. Πρέπει σταδιακά και μεθοδικά να προσπαθούμε να πετύχουμε μικρές αλλαγές που θα οδηγούν στη συνεχόμενη αναβάθμιση της ασφάλειας σε έναν οργανισμό.
Αναδυόμενες απειλές
Οι οργανισμοί για να παραμείνουν ασφαλείς – σε έναν συνεχώς μεταβαλλόμενο περιβάλλον κόσμο – πρέπει να παρακολουθούν τις αναδυόμενες απειλές και να αξιολογούν πιθανές επιχειρηματικές επιπτώσεις. Αν δεν το κάνουν αυτό όταν θα κληθούν να αντιμετωπίσουν ένα απρόβλεπτο γεγονός ίσως να μην είναι σε θέση να το διαχειριστούν με επιτυχία. Όσο το περιβάλλον στο οποίο κινούνται σήμερα οι επιχειρήσεις γίνεται πιο περίπλοκο και απρόβλεπτο τόσο αυξάνεται η ανάγκη για γρήγορη και αποτελεσματική αντίδραση. Η περίπτωση της πανδημίας COVID 19 είναι ένα τόσο χαρακτηριστικό παράδειγμα. Κανείς δεν θα μπορούσε να το φανταστεί πριν ένα χρόνο. Όμως οι επιπτώσεις ήταν τόσο ραγδαίες και καταλυτικές που άλλαξαν μέσα σε λίγους μήνες τον τρόπο με τον οποίο κινείται η παγκόσμια κοινότητα και συγκλόνισαν την οικονομία. Για το λόγο αυτό η ετοιμότητα ενός οργανισμού και η ύπαρξη ενός σχεδίου επιχειρηματικής συνέχειας (business continuity) είναι πλέον ένα πολύ σημαντικό κομμάτι. Οι απειλές είναι απρόβλεπτες και η δυνατότητα αντίδρασης είναι εκείνη που θα επιτρέψει σε οποιοδήποτε οργανισμό να συνεχίσει να λειτουργεί χωρίς μεγάλες απώλειες.