8 σημεία που αναζητούν οι υπεύθυνοι πληροφορικής στον τομέα της φυσικής ασφάλειας

Για χρόνια, η φυσική ασφάλεια και η τεχνολογία πληροφοριών (IT) παρέμεναν δύο ξεχωριστοί κλάδοι με συχνά αντικρουόμενα συμφέροντα και στόχους. Σήμερα η προσέγγιση είναι τελείως διαφορετική καθώς οι δύο τομείς δεν είναι πια διαχωρισμένοι και έρχονται ολοένα και πιο κοντά.

Του Νέστωρα Πεχλιβανίδη

Είναι θέσφατο πως στις σύγχρονες υποδομές των επιχειρήσεων και οργανισμών αμφότεροι οι δυο κλάδοι της φυσικής ασφάλειας αλλά και της πληροφορικής, εξαρτώνται ο ένας απ’ τον άλλον. Ωστόσο αυτή η εξάρτηση, ή καλύτερα, ενσωμάτωση δημιουργεί νέες προκλήσεις.

Ποιος είναι ο καλύτερος τρόπος επικοινωνίας και ποια η καλύτερη γλώσσα για να προσεγγίσει κάποιος τους υπεύθυνους αυτών των τμημάτων και για να τους προτείνει λύσεις, προκειμένου να ικανοποιηθούν οι νέοι διατμηματικοί στόχοι.

Επειδή, στις σύγχρονες επιχειρήσεις οι υπεύθυνοι τεχνολογίας και ειδικότερα του IT τμήματος, ασχολούνται και με την αξιολόγηση των συστημάτων φυσικής ασφάλειας, ένας εν δυνάμει προμηθευτής λύσεων και υπηρεσιών πρέπει να γνωρίζει τη γλώσσα που χρησιμοποιείται σε αυτόν τομέα και παράλληλα να είναι σε θέση να προσφέρει αποτελεσματικές λύσεις που είναι εύκολες στη συντήρηση, με αποτέλεσμα λιγότερα προβλήματα συστήματος και λιγότερο χρόνο διακοπής λειτουργίας.

Λίστα αξιολόγησης συστήματος φυσικής ασφάλειας

Θα ισχυριζόταν κανείς πως τα παρακάτω είναι μόνον ένας οδηγός προς όσες εταιρίες υλοποιούν έργα και παρέχουν υπηρεσίες,  προκειμένου να είναι εξοπλισμένοι με τεχνικές γνώσεις, να προσεγγίσουν τους υπεύθυνους των τμημάτων πληροφορικής και ασφάλειας για προώθηση ενός προϊόντος ή υπηρεσίας, ωστόσο, πέρα από την αρχική εντύπωση τα οχτώ παρακάτω ζητήματα είναι πραγματικά ενδιαφέροντα αφού έμμεσα περιγράφονται οι στόχοι των τμημάτων IT για το σύστημα φυσικής ασφάλειας της εταιρείας τους.

1. Συνάφεια με τη στρατηγική ασφάλειας, επιχειρηματικής δραστηριότητας και πληροφορικής

Μια σύγχρονη λύση φυσικής ασφάλειας πρέπει να εντάσσεται στρατηγικά στο πλαίσιο των ευρύτερων οργανωτικών στόχων των τμημάτων πληροφορικής και ασφάλειας, και ως εκ τούτου πρέπει να βελτιώνει τη συνεργασία μεταξύ των ομάδων για την επίτευξη κοινών στόχων.

Οι υπεύθυνοι των ομάδων πληροφορικής και φυσικής ασφάλειας πρέπει να πειστούν, αν δεν το γνωρίζουν ήδη, πως τα συστήματα ασφάλειας είναι μηχανές παραγωγής ανεξάντλητων πόρων δεδομένων που μπορούν να βελτιώσουν τα πρωτόκολλα ασφάλειας και να προσφέρουν πληροφορίες για την κατανόηση της σωστής διατμηματικής λειτουργίας Υπάρχουν πολλά παραδείγματα άξια αναφοράς όπου επιχειρήσεις που κατάργησαν τα στεγανά που χώριζαν τις δύο ομάδες, είδαν αύξηση της επιχειρηματικής λειτουργίας και αποδοτικότητας και εν γένει επίτευξη επιχειρησιακών στόχων. Αποτελέσματα δηλαδή που εντέλει οδηγούν σε αυξημένες οικονομικές επιδόσεις.

2. Tεχνική συμβατότητα

Μια λύση ασφάλειας πρέπει να συμπληρώνει το υπάρχον οικοσύστημα πληροφορικής του πελάτη, όχι να το περιπλέκει. Από το βήμα του παρόντος περιοδικού έχουμε συχνά αναφέρει πως τα μη διασυνδεδεμένα συστήματα αφήνουν πολύ χώρο για χειροκίνητες εργασίες, επιβαρύνοντας τους προϋπολογισμούς και τους πόρους μιας επιχείρησης. Ένα ενοποιημένο σύστημα συμβάλλει στη μείωση αυτού του φόρτου μέσω αυτοματοποίησης, της ενιαίας σύνδεσης (single sign-on) και της κεντρικής διαχείρισης.

Οι λύσεις ανοιχτής αρχιτεκτονικής είναι η καλύτερη πρόταση προκειμένου για την εξασφάλιση συμβατότητας και την αποφυγή του εγκλωβισμού στην γκάμα υπηρεσιών και προϊόντων κάποιου συγκεκριμένου προμηθευτή. Τα ανοιχτά συστήματα μπορούν να ενσωματώσουν ή να ενσωματωθούν ομαλά σε βασικές τεχνολογίες όπως το Active Directory, οι cloud πλατφόρμες και τα εργαλεία διαχείρισης ταυτότητας, για να υποστηρίξουν τις καθημερινές λειτουργίες των ομάδων IT, ενώ μία διεπαφή τύπου API θα προσφέρει ακόμα μεγαλύτερη ευελιξία καθώς μπορεί να προσαρμοστεί στο σύστημα και τις ανάγκες του χρήστη.

3. Προτεραιότητα στην κυβερνοασφάλεια και τη συμμόρφωση

Η κυβερνοασφάλεια αποτελεί αδιαπραγμάτευτη προτεραιότητα για τις ομάδες πληροφορικής. Δίνουν πολύ μεγάλη έμφαση σε λύσεις που προσφέρουν end-to-end κρυπτογράφηση και ασφαλή πρωτόκολλα μεταφοράς δεδομένων για την προστασία ευαίσθητων πληροφοριών ενώ λόγω της αυστηρότητας των κανονισμών περί προσωπικών δεδομένων επιδιώκουν τη συμμόρφωση με παγκόσμια πρότυπα και περιφερειακούς νόμους, όπως ο GDPR, ο NIS2, το ISO 27001, ο CCPA/CPRA και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη.

Εργαλεία όπως ο λεπτομερής έλεγχος χρηστών αλλά και δικαιωμάτων βάσει ρόλων, ο έλεγχος ταυτότητας πολλαπλών παραγόντων, καθώς και ολοκληρωμένα ίχνη ελέγχου για τη διασφάλιση της λογοδοσίας είναι απαραίτητα στις ομάδες IT. Βεβαιωθείτε ότι οι προμηθευτές σας αποδεικνύουν την ωριμότητα στον τομέα της κυβερνοασφάλειας μέσω ελέγχων SOC 2 Τύπου II και πιστοποιήσεων σύμφωνα με τα πρότυπα ISO/IEC 27017 και ISO/IEC 27001. Ένας πωλητής, ως ενδιάμεσος μεταξύ κατασκευαστή και υπεύθυνου IT, δηλαδή του πελάτη και τελικού χρήστη, πρέπει να ενημερώνει τον τελευταίο για τα πιο πρόσφατα πρωτόκολλα, να κατανοεί ποιες λύσεις είναι συμβατές.

4. Προτείνετε ένα πιλοτικό πρόγραμμα για να αποδείξετε την αξιοπιστία και την απόδοση

Οι ομάδες πληροφορικής θέλουν να εξασφαλίσουν ότι τα συστήματα ασφαλείας τους είναι αξιόπιστα όλο το 24ωρο. Προτείνετε ολοκληρωμένες πιλοτικές λύσεις μέσω μίας αυστηρής σύμβασης εξωτερικής ανάθεσης και παροχής τεχνολογικών υπηρεσιών η οποία θα καθορίζει το επίπεδο εξυπηρέτησης όπου ο προμηθευτής δεσμεύεται να παρέχει ως μία επίδειξη αξιοπιστίας και τη συμβατότητας.

Η επεκτασιμότητα του συστήματος έχει επίσης σημασία. Πρέπει να είναι ικανό να διαχειρίζεται μελλοντικά αυξανόμενους όγκους δεδομένων και λειτουργιών χωρίς να θυσιάζεται η απόδοση.

5. Αναφέρετε το συνολικό κόστος ιδιοκτησίας

Επειδή στο τέλος τα πάντα αποτιμώνται σε χρήματα, οι υπεύθυνοι των τμημάτων IT πρέπει να έχουν ξεκάθαρη εικόνα για τον τρόπο τιμολόγησης, τα έξοδα υλοποίησης και συντήρησης.

Παρουσιάστε διαφορετικά μοντέλα ανάπτυξης που παρέχουν τόσο τεχνική όσο και οικονομική ευελιξία. Τα ευέλικτα μοντέλα αδειοδότησης (συνδρομητικά ή αόριστης διάρκειας) μπορούν να βοηθήσουν στην ευθυγράμμιση των δαπανών με τον οικονομικό προγραμματισμό. Επίσης, δίνουν στον πελάτη τη δυνατότητα να υιοθετήσει υπηρεσίες cloud με τον δικό του ρυθμό, ενώ συνεχίζει να χρησιμοποιεί την υπάρχουσα υποδομή στις εγκαταστάσεις του.

6. Αναδείξτε τη φήμη και την υποστήριξη του προμηθευτή

Η σταθερότητα και η φήμη του κατασκευαστή είναι σημαντικά ζητήματα για τις ομάδες πληροφορικής. Βεβαιωθείτε ότι διαθέτει αποδεδειγμένο ιστορικό επιδόσεων. Εξετάστε μελέτες περιπτώσεων από διάφορους κλάδους για να εκτιμήσετε την ικανότητα του προμηθευτή να ανταποκρίνεται σε ποικίλες απαιτήσεις ασφάλειας. Μεταφέρετε αυτές τις ιστορίες στον πελάτη σας, ώστε να του δώσετε παραδείγματα από την πραγματική ζωή για το πώς μια λύση ανταποκρίνεται στις ανάγκες του.

7. Υποστήριξη της υλοποίησης και της υιοθέτησης από τους χρήστες

Η εγκατάσταση πρέπει να γίνεται σε συνεργασία με τον κατασκευαστή με ελάχιστη διακοπή της λειτουργίας. Καλό θα ήταν να καταρτίσετε ένα λεπτομερές σχέδιο υλοποίησης και ένα χρονοδιάγραμμα, τα οποία στη συνέχεια θα παρουσιάσετε στον πελάτη σας ενώ η παροχή after sales support είναι η καλύτερη ευκαιρία για επέκταση της συνεργασίας μαζί του. Ανάλογη υποστήριξη πρέπει να προσδοκεί ο πωλητής από τον προμηθευτή ο οποίος θα πρέπει να είναι σε θέση να σας υποστηρίξει με εύκολα προσβάσιμα εργαλεία και οδηγούς.

8. Παροχή πληροφοριών σχετικά με την εκτίμηση κινδύνων

Τα τμήματα IT υιοθετούν συνήθως μια προληπτική προσέγγιση αναφορικά με τους κινδύνους οπότε αν έχετε να επιδείξετε και να παρέχετε σαφή πρωτόκολλα διαχείρισης ευπαθειών και αντιμετώπισης συμβάντων θα ήταν σίγουρα ένα πλεονέκτημα. Σε αυτό το σημείο, τα πιλοτικά προγράμματα αποδεικνύονται ανεκτίμητα.