Banker's Review Online - Ένθετο Information Security: Στόχος ο πλήρης έλεγχος της πληροφορίας

Παρασκευή, 16 Νοεμβρίου 2018

ΔΙΑΦΗΜΙΣΗ

Operations and IT

Ένθετο Information Security: Στόχος ο πλήρης έλεγχος της πληροφορίας

11 Φεβρουαρίου 2011 | 13:27 Γράφει η Αγγελική  Κορρέ Topics: Security,Special Reports,Συνεντεύξεις / Πρόσωπα

Γεράσιμος Μοσχονάς, Alpha Bank

Ο Γεράσιμος Μοσχονάς, Group Information Security Officer της Alpha Bank μιλάει για τη σημασία του ελέγχου της πληροφορίας σε όλο τον κύκλο ζωής της και υποστηρίζει ότι η οικονομική κρίση αυξάνει τους κινδύνους άρα οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί στις περικοπές των επενδύσεων στην ασφάλεια.

Banker's Review: Ποιες είναι οι βασικότερες προκλήσεις που καλούνται να αντιμετωπίσουν σήμερα οι τραπεζικοί οργανισμοί όσον αφορά την ασφάλεια των πληροφοριών και των συστημάτων τους;

Γεράσιμος Μοσχονάς:
Η ποσότητα της πληροφορίας συνεχώς αυξάνεται και η ασφαλής και ορθή διαχείρισή της γίνεται όλο και πιο πολύπλοκη για κάθε τράπεζα. Η πληροφορία «ζει» παντού μέσα στον οργανισμό, και διακινείται μέσα αλλά και έξω από αυτόν.

Η μεγαλύτερη πρόκληση είναι να μπορέσει η τράπεζα να έχει έλεγχο των δεδομένων της σε κάθε χρονική στιγμή. Σε όλη τη διάρκεια του κύκλου ζωής της πληροφορίας, από τη στιγμή που δημιουργείται και μέχρι την καταστροφή της, η τράπεζα πρέπει να υιοθετήσει τους κατάλληλους μηχανισμούς και διαδικασίες, ώστε να έχει τον πλήρη έλεγχο της κάθε ευαίσθητης πληροφορίας και να είναι σε θέση να γνωρίζει ποιος έχει/είχε πρόσβαση σε αυτές.

Είτε πρόκειται για χρήστες της τραπέζης, είτε για συνεργάτες και πελάτες της, είτε για Αρχές. Και βέβαια, σημαντική δεν είναι μόνο η εμπιστευτικότητα, αλλά και η ακεραιότητα της πληροφορίας. Είναι σωστές οι πληροφορίες που διατηρεί μία τράπεζα; Πώς εξασφαλίζεται η ορθότητα μίας πληροφορίας που διατηρείται σε πολλαπλά μέρη και αντίγραφα;

Για παράδειγμα, στοιχεία ταυτότητας του πελάτη που διατηρούνται με διαφορετικές τιμές σε διάφορα συστήματα, ή η αλλοίωση των στοιχείων μιας συναλλαγής, έχουν σοβαρές επιπτώσεις στην αξιοπιστία και λειτουργία της τράπεζας.

Banker's Review: Ποιες είναι οι σημαντικότερες και σοβαρότερες απειλές που πρέπει να αντιμετωπιστούν; Ο κίνδυνος είναι εσωτερικός ή εξωτερικός;

Γεράσιμος Μοσχονάς:
Ο κίνδυνος προέρχεται από παντού. Οι τελευταίες στατιστικές δείχνουν μία αύξηση των απειλών από εσωτερικούς χρήστες, λόγω και της οικονομικής κρίσης.

Είτε εξ’αμελείας είτε σκοπίμως (π.χ. δυσαρεστημένοι εργαζόμενοι), οι εσωτερικοί χρήστες ευθύνονται για πολλές από τις διαρροές πληροφοριών. Η πρόσβαση στα εταιρικά συστήματα με αυξημένα δικαιώματα, η χρήση του Διαδικτύου (π.χ. social networking, webmails, personal storage) και του ηλ.ταχυδρομείου, αλλά και η συνεχώς αυξανόμενη χρήση mobile συσκευών (iphones, blackberries, smartphones) για εξ’αποστάσεως πρόσβαση σε εταιρικά συστήματα και στο Διαδίκτυο, με παράλληλη αποθήκευση σε αυτές πληροφοριών, αποτελούν μερικές πηγές διαρροής.

Νέες γενιές malware στοχεύουν στις συσκευές αυτές, όπως επίσης και στο e-banking, καθώς αναμένεται αύξηση των malware τύπου Man-in-the-Browser, με σκοπό την αλλοίωση των στοιχείων μιας ηλ. συναλλαγής. Οι επιθέσεις γίνονται πιο εξελιγμένες και στοχευμένες (τράπεζες και κυβερνητικές υπηρεσίες είναι ένας πολύ σημαντικός στόχος), για κλοπή πνευματικής ιδιοκτησίας, δεδομένων πελατών και χρημάτων (cyber crime/espionage).

Από την άλλη, η ανάγκη για μείωση του κόστους οδηγεί στην αύξηση χρήσης των υπηρεσιών outsourcing, αλλά και στην εξέταση υιοθέτησης του cloud computing, ενός είδους outsourcing, αλλά με περισσότερους κινδύνους για την ασφάλεια των δεδομένων. Πώς είναι, όμως, με αυτό τον τρόπο σίγουρος ένας οργανισμός για το πού είναι τα δεδομένα του και πώς αυτά προστατεύονται;

Οσο λοιπόν μεγαλώνουν τα «όρια» του οργανισμού, τόσο αυξάνονται οι απειλές που θέτουν σε κίνδυνο την ασφάλεια των δεδομένων του.

Banker's Review: Ποιες είναι οι βασικότερες προκλήσεις που καλούνται να αντιμετωπίσουν σήμερα οι τραπεζικοί οργανισμοί όσον αφορά την ασφάλεια των πληροφοριών και των συστημάτων τους;

Γεράσιμος Μοσχονάς:
Η ποσότητα της πληροφορίας συνεχώς αυξάνεται και η ασφαλής και ορθή διαχείρισή της γίνεται όλο και πιο πολύπλοκη για κάθε τράπεζα. Η πληροφορία «ζει» παντού μέσα στον οργανισμό, και διακινείται μέσα αλλά και έξω από αυτόν.

Η μεγαλύτερη πρόκληση είναι να μπορέσει η τράπεζα να έχει έλεγχο των δεδομένων της σε κάθε χρονική στιγμή. Σε όλη τη διάρκεια του κύκλου ζωής της πληροφορίας, από τη στιγμή που δημιουργείται και μέχρι την καταστροφή της, η τράπεζα πρέπει να υιοθετήσει τους κατάλληλους μηχανισμούς και διαδικασίες, ώστε να έχει τον πλήρη έλεγχο της κάθε ευαίσθητης πληροφορίας και να είναι σε θέση να γνωρίζει ποιος έχει/είχε πρόσβαση σε αυτές.

Είτε πρόκειται για χρήστες της τραπέζης, είτε για συνεργάτες και πελάτες της, είτε για Αρχές. Και βέβαια, σημαντική δεν είναι μόνο η εμπιστευτικότητα, αλλά και η ακεραιότητα της πληροφορίας. Είναι σωστές οι πληροφορίες που διατηρεί μία τράπεζα; Πώς εξασφαλίζεται η ορθότητα μίας πληροφορίας που διατηρείται σε πολλαπλά μέρη και αντίγραφα;

Για παράδειγμα, στοιχεία ταυτότητας του πελάτη που διατηρούνται με διαφορετικές τιμές σε διάφορα συστήματα, ή η αλλοίωση των στοιχείων μιας συναλλαγής, έχουν σοβαρές επιπτώσεις στην αξιοπιστία και λειτουργία της τράπεζας.

Banker's Review: Ποιες είναι οι σημαντικότερες και σοβαρότερες απειλές που πρέπει να αντιμετωπιστούν; Ο κίνδυνος είναι εσωτερικός ή εξωτερικός;

Γεράσιμος Μοσχονάς:
Ο κίνδυνος προέρχεται από παντού. Οι τελευταίες στατιστικές δείχνουν μία αύξηση των απειλών από εσωτερικούς χρήστες, λόγω και της οικονομικής κρίσης.

Είτε εξ’αμελείας είτε σκοπίμως (π.χ. δυσαρεστημένοι εργαζόμενοι), οι εσωτερικοί χρήστες ευθύνονται για πολλές από τις διαρροές πληροφοριών. Η πρόσβαση στα εταιρικά συστήματα με αυξημένα δικαιώματα, η χρήση του Διαδικτύου (π.χ. social networking, webmails, personal storage) και του ηλ.ταχυδρομείου, αλλά και η συνεχώς αυξανόμενη χρήση mobile συσκευών (iphones, blackberries, smartphones) για εξ’αποστάσεως πρόσβαση σε εταιρικά συστήματα και στο Διαδίκτυο, με παράλληλη αποθήκευση σε αυτές πληροφοριών, αποτελούν μερικές πηγές διαρροής.

Νέες γενιές malware στοχεύουν στις συσκευές αυτές, όπως επίσης και στο e-banking, καθώς αναμένεται αύξηση των malware τύπου Man-in-the-Browser, με σκοπό την αλλοίωση των στοιχείων μιας ηλ. συναλλαγής. Οι επιθέσεις γίνονται πιο εξελιγμένες και στοχευμένες (τράπεζες και κυβερνητικές υπηρεσίες είναι ένας πολύ σημαντικός στόχος), για κλοπή πνευματικής ιδιοκτησίας, δεδομένων πελατών και χρημάτων (cyber crime/espionage).

Από την άλλη, η ανάγκη για μείωση του κόστους οδηγεί στην αύξηση χρήσης των υπηρεσιών outsourcing, αλλά και στην εξέταση υιοθέτησης του cloud computing, ενός είδους outsourcing, αλλά με περισσότερους κινδύνους για την ασφάλεια των δεδομένων. Πώς είναι, όμως, με αυτό τον τρόπο σίγουρος ένας οργανισμός για το πού είναι τα δεδομένα του και πώς αυτά προστατεύονται;

Οσο λοιπόν μεγαλώνουν τα «όρια» του οργανισμού, τόσο αυξάνονται οι απειλές που θέτουν σε κίνδυνο την ασφάλεια των δεδομένων του.


Banker's Review: Ποιες είναι οι σύγχρονες πρακτικές ασφάλειας και προστασίας των δεδομένων των τραπεζικών οργανισμών;

Γεράσιμος Μοσχονάς:
Η ασφάλεια των πληροφοριών εφαρμόζεται σε διάφορα επίπεδα. Καταρχήν στην πρόσβαση στα συστήματα, με τους κατάλληλους μηχανισμούς ταυτοποίησης των χρηστών, αποδίδοντάς τους δε τα αντίστοιχα δικαιώματα, ανάλογα με το ρόλο τους (need-to-know). Ιδιαίτερη προσοχή πρέπει να δοθεί στους συνεργάτες που, είτε με τη μορφή outsourcing είτε με τη παρουσία τους μέσα στην τράπεζα για υποστήριξη και ανάπτυξη εφαρμογών, αποκτούν πρόσβαση σε κρίσιμες πληροφορίες.

Επειτα, ο κατάλληλος σχεδιασμός του δικτύου, τόσο εσωτερικά όσο και στην περίμετρο, συμβάλλει στην προστασία των ιδίων των συστημάτων και την εξουσιοδοτημένη πρόσβαση στις πληροφορίες. Τα συστήματα πρέπει να τοποθετούνται σε ξεχωριστές ζώνες του δικτύου, ανάλογα της κρισιμότητας και της λειτουργίας τους, οι οποίες προστατεύονται από μηχανισμούς ασφαλείας, τόσο σε επίπεδο εφαρμογής (π.χ. application & database firewalls) όσο και σε επίπεδο δικτύου (π.χ. network firewalls, IPS/IDS). Οσον αφορά την ίδια την πληροφορία, τα σημεία που πρέπει να προστατευθεί είναι αρκετά.

Η διακίνηση της πληροφορίας μέσω του ηλ. ταχυδρομείου και του Διαδικτύου και η αποθήκευση πληροφοριών σε mobile συσκευές, σε φορητούς υπολογιστές και αποθηκευτικές συσκευές (π.χ. usb sticks), αλλά βεβαίως στους προσωπικούς υπολογιστές και σε κεντρικούς αποθηκευτικούς χώρους μέσα στην τράπεζα (database & file servers, document management systems), επιβάλλουν τη χρήση τεχνολογιών Data Leakage Prevention (DLP) και EndPoint Security.

Με τη χρήση των τεχνολογιών αυτών, καθίσταται ελεγχόμενη η ροή της πληροφορίας, ενώ ενισχύεται η ασφάλειά της (κρυπτογράφηση, προστασία από κακόβουλο λογισμικό, εξουσιοδοτημένοι χρήστες - συγκεκριμένες ενέργειες). O κύκλος δε ζωής της πληροφορίας κλείνει με την ασφαλή καταστροφή της (χρήση καταστροφέων εγγράφων και μαγνητικών μέσων, ασφαλή διαγραφή δεδομένων σε μαγνητικά μέσα).

Τέλος, μην αμελούμε την ανάγκη για θεσμοθέτηση πολιτικής ασφαλείας και τη συνεχή εκπαίδευση και ενημέρωση των χρηστών.

Banker's Review: Πώς η χρηματοπιστωτική κρίση και η επακόλουθη ύφεση έχει επιδράσει στις επενδύσεις για ασφάλεια;

Γεράσιμος Μοσχονάς:
Σε αρκετές περιπτώσεις οι επενδύσεις έχουν μειωθεί ή έχουν μετατεθεί για το επόμενο έτος. Το κατά πόσο, εξαρτάται από τον κάθε οργανισμό και το επίπεδο ασφαλείας του. Ομως, η κρίση επιτάχυνε επενδύσεις σε τεχνολογίες που μέχρι σήμερα ορισμένοι απλά τις διερευνούσαν, αλλά τώρα είναι σε άμεση προτεραιότητα, όπως είναι οι λύσεις Data Leakage Prevention (DLP). Η οικονομική κρίση είναι βέβαιο ότι αυξάνει τους κινδύνους (π.χ. στοχευμένες επιθέσεις σε κυβερνητικούς και μη οργανισμούς, δυσαρεστημένοι υπάλληλοι-αύξηση εσωτερικών απειλών, cloud computing).

Η Διοίκηση κάθε οργανισμού θα πρέπει να σταθμίσει τους κινδύνους και τις επιπτώσεις, πριν αποφασίσει να αναβάλει για το μέλλον τη διόρθωση σημαντικών αδυναμιών ασφαλείας, απλά για να μειώσει το κόστος επενδύσεων. Αλλωστε, ένα περιστατικό ασφαλείας μπορεί να της κοστίσει πολύ περισσότερα από την επένδυση που δεν πραγματοποίησε.

Banker's Review: Ποιος είναι ο ρόλος της τεχνολογίας σε αυτή την προσπάθεια;

Γεράσιμος Μοσχονάς:
Σημαντικότατος. Τα περισσότερα μέτρα ασφαλείας είναι τεχνικά. Από την άλλη, οι περισσότερες τεχνολογίες ασφαλείας είναι πολύπλοκες και όχι εύκολα διαχειρίσιμες. Απαιτούν εξειδίκευση και εκπαίδευση, ώστε να πετυχαίνουν το σκοπό τους. Ενα λάθος στη διαχείριση αρκεί για να θέσουν σε κίνδυνο την υποδομή ασφαλείας του οργανισμού.

Banker's Review: Το καταναλωτικό κοινό είναι ιδιαίτερα ευαίσθητο όσον αφορά την προστασία των δεδομένων του – αλλά προφανώς και των χρημάτων του. Πώς μπορεί ενας τραπεζικός οργανισμός να «πείσει» τους πελάτες του ότι είναι ασφαλείς; Ποιος ο ρόλος των τραπεζικών πελατών στη διασφάλισή τους;

Γεράσιμος Μοσχονάς:
Διεθνώς, στα ΜΜΕ γίνεται συνεχώς λόγος για περιστατικά ασφαλείας που συμβαίνουν σε οργανισμούς. Εκατομμύρια προσωπικών δεδομένων κάθε χρόνο διαρρέουν σε τρίτους, ενώ οι ηλεκτρονικές απάτες συνεχώς αυξάνονται. Φανταστείτε τη θέση των Διοικήσεων, των μετόχων αλλά και των πελατών αυτών των οργανισμών, όταν συμβαίνει ένα τέτοιο περιστατικό.

Στην Ελλάδα, οι εποπτικές Αρχές (όπως η Τράπεζα της Ελλάδος, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) ελέγχουν και επιβάλλουν πρόστιμα, σε περίπτωση μη συμμόρφωσης μίας τράπεζας με τις διατάξεις ενός νόμου. Το να μην αναμειγνύεται, λοιπόν, το όνομα μίας τράπεζας σε τέτοια περιστατικά, διατηρεί το κύρος και την καλή της φήμη, ενώ ενισχύει την εμπιστοσύνη των πελατών της.

Επιπρόσθετα, η τράπεζα θα πρέπει να γνωστοποιεί στους πελάτες της, είτε μέσω του διαδικτυακού της τόπου είτε με περιοδικές ενημερώσεις, ότι διαθέτει όλους τους εσωτερικούς μηχανισμούς, πλαίσια και διαδικασίες, βάσει των οποίων προστατεύει τα χρήματα και τα προσωπικά τους δεδομένα. Παράλληλα, πρέπει να ενημερώνει τον πελάτη της για τις σύγχρονες απειλές και τους κινδύνους, καθώς και για τα μέτρα που αυτός πρέπει να λαμβάνει για την προστασία των δεδομένων του.

Η συμβολή του ίδιου του πελάτη στην προστασία των δεδομένων του είναι πολύ σημαντική. Το φαινόμενο να χάνει ένας πελάτης το πορτοφόλι του και μέσα σε αυτό να έχει την πιστωτική του κάρτα με το PIN πρόσβασης στο ATM, καθώς και τους κωδικούς για το internet banking, είναι αρκετά συχνό. Η φύλαξη των κωδικών είναι ευθύνη δική του.

Banker's Review (T. 019)
« 1 2 3 »

Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Banker's Review Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Συγχωνεύσεις και εξαγορές

Private banking

Πιστωτική κρίση

Credit Risk management

Enterprise risk management

Best work place

Multichannel Strategy

Innovation

International Banking

Outsourcing

©2018 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778