Με τα budgets να συρρικνώνονται συνεχώς, την έλλειψη ικανών στελεχών στο χώρο του Information Security να εντείνεται και την πίεση στους CISOs να αυξάνεται, οι οργανισμοί καταφεύγουν στη χρήση του outsourcing για να καλύψουν τις ανάγκες τους σε ασφάλεια, με το Security-as-a-Service να κερδίζει συνεχώς έδαφος στις επιλογές τους.

Το εξελισσόμενο τοπίο των απειλών έχει δημιουργήσει την ανάγκη για «εξυπνότερες» λύσεις ασφαλείας και οι οργανισμοί αυτό το αντιλαμβάνονται. Έτσι, παρά τη συνεχή συρρίκνωση των IT budgets, που έχει προκληθεί από την παγκόσμια οικονομική κρίση, η Gartner αναμένει ότι μέχρι το 2017 οι δαπάνες στην ασφάλεια θα αγγίξει τα 93 δισ. δολ. Το ολοένα και πιο επίμονο τοπίο των απειλών ενέχει κινδύνους για όλες τις λειτουργίες του οργανισμού. Ταυτόχρονα, η αυξανόμενη πολυπλοκότητα και η ποσότητα των δομημένων και αδόμητων δεδομένων από τα δίκτυα, οι mobile πλατφόρμες και τα cloud-based περιβάλλοντα δυσκολεύει ακόμη περισσότερο τη διαχείριση των δεδομένων που βρίσκονται διάσπαρτα σε πολλές τοποθεσίες. Δεν αποτελεί, λοιπόν, έκπληξη ότι οι βιομηχανίες που έχουν δεχθεί τις περισσότερες επιθέσεις περιλαμβάνουν αυτές που διαχειρίζονται τα πιο ευαίσθητα δεδομένα πελατών, όπως οι τομείς της υγείας και των κοινωνικών υπηρεσιών.

Σήμερα, οι υπεύθυνοι ασφαλείας χρειάζεται να μπορούν να διαχειρίζονται τα αναπόφευκτα συμβάντα. Αυτό σημαίνει να βελτιστοποιούν τον εντοπισμό των συμβάντων ασφαλείας και τις δυνατότητες αντίδρασής τους. Πολλές επιχειρήσεις έχουν έλλειψη των απαραίτητων δεξιοτήτων που απαιτούνται για τον εντοπισμό και αντιμετώπιση των απειλών. Οι πάροχοι υπηρεσιών outsourcing security διαθέτουν ομάδες που εστιάζουν αποκλειστικά στην αναγνώριση πιθανού κακόβουλου λογισμικού και την παρακολούθηση χιλιάδων δικτύων πελατών για επιθέσεις. Τέτοια περιστατικά δεν συμβαίνουν ξαφνικά και γι’ αυτό οι πάροχοι τέτοιων υπηρεσιών παρακολουθούν τα κανάλια και τα δίκτυα και μπορούν επομένως να αυξήσουν τις πιθανότητες των πελατών τους να προειδοποιηθούν και να προετοιμαστούν για επικείμενες επιθέσεις.

SECaaS, μια τάση που εξαπλώνεται
Οι επιχειρήσεις θα ωθούνται όλο και περισσότερο στο να υιοθετούν βασισμένες στο cloud υπηρεσίες ασφάλειας για τις εργασίες ρουτίνας, ώστε να μπορούν να επικεντρώνονται στην αντιμετώπιση πιο πολύπλοκων απειλών, όπως καταγράφει η Gartner. Η ζήτηση για τις υπηρεσίες SECaaS (Security as a Service) θα εντείνεται στο μέλλον, καθώς οι απειλές και η πολυπλοκότητά τους θα αυξάνεται. Η θωράκιση των ψηφιακών πληροφοριών και υποδομών είναι must για κάθε οργανισμό σήμερα, με την προστασία των χρηστών και την παροχή ασφαλών υπηρεσιών να αποτελούν μέρος των νομικών υποχρεώσεων κάθε επιχείρησης.

Οι επαγγελματίες ασφάλειας χρειάζονται όλη τη βοήθεια που μπορούν να αποσπάσουν στην εργασία τους για να νικήσουν τους κυβερνοεγκληματίες και οι υπηρεσίες SECaaS τους την προσφέρουν. Όπως, ωστόσο, γίνεται και με όλες τις υπόλοιπες υπηρεσίες που παρέχονται από το cloud, η επιτυχία των υπηρεσιών SECaaS είναι άμεσα συνυφασμένη με την ύπαρξη ενός καλά δομημένου πλάνου. Επιπλέον, είναι σημαντικό να λάβει κανείς υπόψη ότι οι υπηρεσίες SECaaS δεν μπορούν να αντικαταστήσουν πλήρως τις υποδομές ασφαλείας ενός οργανισμού. Μπορούν, ωστόσο, να αντικαταστήσουν βασικές υποδομές, απελευθερώνοντας το δυναμικό ασφαλείας του οργανισμού, ώστε αυτό να επικεντρωθεί στην αντιμετώπιση περισσότερο πολύπλοκων απειλών.

Το παν είναι η οργάνωση
Πριν προχωρήσει μια εταιρεία στην υλοποίηση ενός project SECaaS θα πρέπει να απαντήσει σε ερωτήματα του τύπου: Ποιος είναι ο κύριος στόχος του SECaaS; Να αντιμετωπιστεί η έλλειψη ταλέντων στο χώρο της ασφάλειας, να απελευθερωθεί χρόνος και χρήμα, να απλοποιηθούν οι λειτουργίες ή να χρησιμοποιούν τεχνολογίες αιχμής όσον αφορά το χώρο της ασφάλειας; Ποιος θα ηγηθεί αυτής της προσπάθειας; Ποια είναι η μεγαλύτερη ανησυχία κατά τη μετάβαση στο SECaaS; Θα αποτελεί θέμα καθαρά του ΙΤ ή όχι; Πόσο θα εμπλέκεται η διοίκηση σε αυτό; Πώς η προσέγγιση στο SECaaS θα ταιριάζει με την υπόλοιπη στρατηγική cloud της εταιρείας; Αν χρησιμοποιείται, ήδη, ένας πάροχος υπηρεσιών MSS, πώς θα «ταιριάξει» αυτός στη νέα προσέγγιση; To SECaaS μπορεί να βρίσκεται ακόμα στην αρχή του, ωστόσο όλο και περισσότεροι οργανισμοί αρχίζουν να αισθάνονται όλο και πιο οικείοι με αυτό. Το βασικό ερώτημα, λοιπόν, δεν έχει να κάνει με το αν πρέπει να επιλέγει ένα μοντέλο SECaaS, αλλά το πότε ένας οργανισμός θα είναι αρκετά ώριμος, ώστε να το αφομοιώσει. Σε αυτό μπορεί να συμβάλουν τα σημαντικά οφέλη που προκύπτουν μετά από την υιοθέτηση μιας λύσης SECaaS.


Οφέλη και πλεονεκτήματα
Ένας από τα πιο συχνά επιχειρήματα που ακούγονται από τους υπέρμαχους security outsourcing είναι τα σημαντικά ποσά που εξοικονομούνται όσον αφορά το TCO (Τotal Cost of Ownership). Μια πρόσφατη μελέτη της Forrester έρχεται να ενισχύσει αυτό το επιχείρημα, αναφέροντας ότι μια επιχείρηση μπορεί να εξοικονομήσει αρκετά εκατομμύρια δολάρια από το SECaaS, μέσα σε μια χρονική περίοδο τριών ετών. Η έρευνα καταδεικνύει ότι μέσα σε μια χρονική περίοδο τριών ετών, μια επιχείρηση θα μπορούσε να εξοικονομήσει πάνω από 1 εκατομμύριο δολάρια. H εξοικονόμηση, σύμφωνα με τη μελέτη, δεν σχετίζεται μόνο με την ελάφρυνση από το πρόσθετο προσωπικό ή την αγορά παραδοσιακών συσκευών και αδειών χρήσης που θα απαιτούσε ένα onpremise μοντέλο ασφαλείας.

Σημαντική εξοικονόμηση προκαλείται από τη σημαντική αύξηση της αποτελεσματικότητας της ομάδας ασφάλειας, μια αποτελεσματικότητα που για να την πετύχει μια εταιρεία με το παραδοσιακό μοντέλο θα έπρεπε να επενδύσει πολύ σημαντικά ποσά. Μια δεύτερη έρευνα της IDC έρχεται να ενισχύει όλα τα παραπάνω, αναφέροντας ότι πολλές επιχειρήσεις δεν μπορούν να διαχειριστούν μόνες τους τη συνεχώς διευρυνόμενη γκάμα των όλο και πιο εξελιγμένων απειλών/επιθέσεων, ωστόσο δεν μπορούν και δεν πρέπει να παρατηρούν τις εξελίξεις αυτές άπραγες, καθώς οι προκλήσεις στην ασφάλεια κορυφώνονται.

Η έρευνα καταδεικνύει, επίσης, τα ζητήματα που οδηγούν τις τάσεις στην ασφάλεια. Το 53% των συμμετεχόντων – 70% αυτών είναι ανώτερα στελέχη των εταιρειών τους – θεωρούν κορυφαία ανησυχία τις παραβιάσεις δεδομένων, το 59% θεωρούν την έλλειψη ορατότητας των εσωτερικών απειλών εξαιρετικά επικίνδυνη, ενώ το 57% αναφέρουν τις εξωτερικές απειλές. Ακόμη πιο ανησυχητικό είναι το γεγονός ότι το 38% δεν έχουν πολύ ή και καθόλου εμπιστοσύνη στις τωρινές λύσεις ασφαλείας τους για τις ανάγκες εντοπισμού απειλών, ενώ το 40% δηλώνει «σχετική» εμπιστοσύνη στις λύσεις του.

Οι πάροχοι SECaaS βοηθούν τις επιχειρήσεις να εξαλείψουν τις αμφιβολίες τους, ξεκινώντας με την παροχή συνεχούς παρακολούθησης της ασφάλειας 24/7, κάτι που πολλές εταιρείες αυτή τη στιγμή δεν διαθέτουν. Οι πάροχοι, παράλληλα, μπορούν να απελευθερώσουν πόρους Πληροφορικής για στρατηγικές πρωτοβουλίες βοηθώντας τις επιχειρήσεις να διαχωρίσουν τις σοβαρές απειλές από τις λιγότερο σημαντικές. Οι επιχειρήσεις δεν πρέπει να ανησυχούν για τέτοια «ασήμαντα» ζητήματα και ο πάροχος SECaaS μπορεί να φιλτράρει εκ μέρους τους τις απειλές και οι εταιρείες να επικεντρώνονται σε λιγότερα ζητήματα που είναι αρκετά πιο σοβαρά και μπορεί να τις απειλήσουν περισσότερο.

Παράλληλα, οι πάροχοι υπηρεσιών ασφάλειας παρέχουν πρόσβαση σε πληροφορίες στοχευμένων επιθέσεων, state-of-the-art analytics, καθώς και άλλες πηγές αναγνώρισης, έρευνας και αντιμετώπισης ακόμη και των πιο «δόλιων» κινδύνων ασφαλείας. Και εφόσον συνεργάζονται με μία ευρεία γκάμα εταιρειών, διαθέτουν μια ευρύτερη προοπτική του τοπίου της ασφάλειας και μπορούν να προειδοποιήσουν τις εταιρείες σχετικά με τους επικείμενους κινδύνους πριν αυτοί «χτυπήσουν». Έχουν το πλεονέκτημα ότι βλέπουν συμβάντα ασφαλείας από όλους τους πελάτες τους, ώστε να είναι περισσότερο εξοπλισμένοι και πιο έμπειροι στο τι πρέπει να προσέχουν οι πελάτες τους.

Επιλέγοντας τον σωστό πάροχο
Οι τεχνικές αξιολογήσεις αποτελούν σημαντικό κομμάτι ενός προγράμματος ασφαλείας, καθώς βοηθούν στην αναγνώριση κενών και παρέχουν καλύτερη οπτική σχετικά με την τωρινή κατάσταση της ασφάλειας ενός οργανισμού. Οι αξιολογήσεις αυτές περιλαμβάνουν σκανάρισμα ευπαθειών, δοκιμές εισβολών, αξιολόγηση ασφάλειας των εφαρμογών, αξιολόγηση υποδομής και φυσικού ελέγχου. Ωστόσο, πέρα από το κόστος, που αποτελεί τον πιο βασικό παράγοντα επιλογής για τις περισσότερες εταιρείες, πρέπει να εξεταστούν και άλλες παράμετροι. Όπως κάθε άλλη υπηρεσία, η ποιότητα της δουλειάς ποικίλει, ανάλογα με τον πάροχο, όπως και τα εργαλεία, οι τεχνικές και οι μεθοδολογίες. Για τον λόγο αυτό, οι οργανισμοί πρέπει να επιλέξουν έναν πάροχο με το κατάλληλο επίπεδο εμπειρίας και ικανότητας που ικανοποιούν τις επιχειρησιακές ανάγκες της.

Eν κατακλείδι
Η επιλογή του σωστού συνεργάτη στον τομέα της ασφάλειας αποτελεί σημαντική απόφαση για την συνολική ασφάλεια ενός οργανισμού. Ενώ τα κόστη είναι σίγουρα ένας παράγοντας που θα παίξει σημαντικό ρόλο, υπάρχουν και άλλοι παράγοντες που δεν πρέπει σε καμία περίπτωση να παραβλεφθούν. Οι οργανισμοί πρέπει να αξιολογήσουν προσεκτικά τους πιθανούς συνεργάτες τους και να επιλέξουν τον πάροχο που ταιριάζει καλύτερα στα απαιτήσεις και τις ανάγκες τους – τόσο βραχυπρόθεσμα όσο και μακροπρόθεσμα. Η ασφάλεια αποτελεί αναπόσπαστο κομμάτι της εταιρικής ψηφιακής υποδομής, αλλά δυστυχώς η υποστήριξη των πρωτοβουλιών ασφαλείας είναι συχνά αρκετά δύσκολη στην πράξη.

Σε κάθε περίπτωση ένα πράγμα είναι ξεκάθαρο – σε μια εποχή όπου οι υποδομές μας δεν είναι 100% ελεγχόμενες, έχει περισσότερο νόημα από ποτέ να εκμεταλλεύεται κανείς το managed security. H πρόσληψη πιστοποιημένου και ικανού προσωπικού ασφαλείας κοστίζει πολύ και είναι δύσκολο. Έτσι, αν η ασφάλεια δεν αποτελεί το κεντρικό δομικό στοιχείο μιας επιχείρησης, τότε είναι καλύτερα να αναθέσει κανείς αυτό το τόσο ευαίσθητο θέμα στους ειδικούς.


Ο Δρ. Θεόδωρος Στεργίου, Security Solutions Manager & Cloud Security Officer της Intracom Telecom, αναλύει όλες τις πτυχές της ασφάλειας του cloud, καταδεικνύοντας, παράλληλα, τα οφέλη που μπορεί να προσφέρει σε μια εταιρεία η υλοποίηση μιας λύσης SecaaS.

netweek: Η ασφάλεια εξακολουθεί να αποτελεί έναν από τους κυριότερους ανασταλτικούς παράγοντες για την υιοθέτηση μιας υποδομής cloud. Ποιες πιστεύετε ότι είναι οι μεγαλύτερες ανησυχίες όσον αφορά την ασφάλεια στο cloud;

Δρ. Θεόδωρος Στεργίου: Θα ήταν καλό να ξεδιαλύνουμε την εντύπωση που υπάρχει ότι «η ασφάλεια αποτελεί τον κυριότερο ανασταλτικό παράγοντα για την υιοθέτηση δημοσίων υπολογιστικών νεφών». Όσον αναφορά τα private clouds, αυτά αποτελούν κτήμα μιας επιχείρησης και, κατά συνέπεια, διέπονται από τους ισχύοντες εσωτερικούς κανόνες ασφάλειας. Για τα public clouds υπάρχουν, πράγματι, αρκετά θέματα τα οποία προκαλούν έλλειψη εμπιστοσύνης. Τα θέματα αυτά εμφανίζονται από την οπτική γωνία του παρόχου προς τους πελάτες, αλλά και των πελατών έναντι των παρόχων, δημιουργώντας έτσι την αποτρεπτική κατάσταση. Αρχικά θα πρέπει να αναφερθεί ότι, τουλάχιστον, πέντε χρόνια μετά την εμπορική διάθεση του public cloud υπάρχει μια ασάφεια στους πελάτες, σχετικά με το τι πραγματικά είναι το cloud, ποια είναι τα οφέλη του για μια επιχείρηση, αλλά και ποια υπηρεσία cloud μπορεί να ταιριάζει σε έναν οργανισμό και τι θα σήμαινε μια πιθανή μετάβαση στο «σύννεφο».

Δευτερευόντως, πολλές επιχειρήσεις αδυνατούν να κατανοήσουν πώς ένας πάροχος θα μπορέσει να καλύψει τις ανάγκες τους σχετικά με την ασφάλεια των πληροφοριών τους, τι επιφέρει η διαχείριση μέρους της υποδομής και πληροφοριών ενός οργανισμού από μια τρίτη οντότητα και ποιες είναι οι υποχρεώσεις και των δύο μερών. Επίσης, αξίζει να σημειωθεί ότι υπάρχει μια σύγχυση στις επιχειρήσεις σχετικά με το cloud. Πολλοί οργανισμοί ρωτούν για θέματα τα οποία δεν επιδέχονται μονσήμαντες απαντήσεις.

Για να γίνω πιο σαφής, η πιο συχνή ερώτηση που ακούμε είναι εάν το cloud είναι ασφαλές. Η εν λόγω ερώτηση είναι τόσο γενική που καμία απάντηση δεν μπορεί να ικανοποιήσει μια επιχείρηση. Η ασφάλεια ενός cloud, υπό την οπτική γωνία ενός πιθανού πελάτη, δεν μπορεί παρά να είναι συνάρτηση της εταιρικής του διακυβέρνησης, των πολιτικών και διαδικασιών ασφάλειας που διέπουν τη λειτουργία του, το κανονιστικό και νομικό πλαίσιο στο οποίο πρέπει να επιχειρεί, το απαιτούμενο επίπεδο παροχής υπηρεσιών, το επιχειρηματικό πλάνο, την ανάλυση κινδύνου κ.ο.κ. Εδώ καλούνται οι πάροχοι υπηρεσιών cloud να δώσουν τα απαραίτητα εφόδια στους πελάτες τους, προκειμένου οι τελευταίοι να αναγνωρίσουν τι σημαίνει πραγματικά η μετάβαση σε μια τέτοια υπηρεσία και, κατά συνέπεια, τι αντίκτυπο θα έχει στην ασφάλεια των πληροφοριών τους.

Δυστυχώς, πολλοί πάροχοι αδυνατούν να βοηθήσουν τους πελάτες τους, στερούμενοι ισχυρών συμβατικών δεσμεύσεων για την κάλυψη του επιπέδου υπηρεσίας. Ταυτόχρονα, δεν διασφαλίζουν την ασφάλεια των πληροφοριών των πελατών τους με επαρκή τρόπο, δεν πιστοποιούν την υποδομή τους και δεν παρακολουθούν στενά τα τεκταινόμενα στον εν λόγω επιχειρησιακό τομέα. Ένας σοβαρός πάροχος υπηρεσιών cloud θα πρέπει να είναι πιστοποιημένος κατά ISO 27001:2013, να ενημερώνεται τακτικά για τις απαιτήσεις πιστοποίησης του Cloud Security Alliance (CSA), να μετέχει στις ομάδες εργασίας των CSA, ENISA & ISACA, αλλά, κυρίως, να μην κωλύεται να δώσει πληροφορίες σχετικά με το πώς θα διασφαλίσει την πληροφορία του εκάστοτε πελάτη. Θα ήταν, βέβαια, στο σημείο αυτό, σωστό να σημειώσω πως και οι πελάτες θα πρέπει να κατανοήσουν ότι ένας πάροχος δεν είναι δυνατόν να δίνει πρόσβαση σε λεπτομερείς πληροφορίες σχετικά με την αρχιτεκτονική της τεχνολογικής λύσης του, με γνώμονα την προστασία αυτής, αλλά και των υπολοίπων πελατών του.


netweek: Οι πιστοποιήσεις είναι αναμφίβολα σημαντικές, ωστόσο, αρκούν από μόνες τους για την ασφάλεια στο cloud;

Δρ. Θεόδωρος Στεργίου: Οι πιστοποιήσεις είναι αναμφίβολα σημαντικές μιας και αποτελούν το αποδεικτικό στοιχείο πως ο πάροχος συμμορφώνεται με συγκεκριμένα, διεθνώς αποδεκτά, πρότυπα και, κατά συνέπεια, έχει εφαρμόσει ένα ελάχιστο επίπεδο ασφάλειας στην αρχιτεκτονική του. Ιδιαίτερα, πιστοποιήσεις οι οποίες απαιτούν ετήσιο κατ’ ελάχιστο έλεγχο, εφαρμόζοντας ουσιαστικά ένα μοντέλο συνεχούς εξέλιξης, αποτελούν ένα σοβαρό επίπεδο εξασφάλισης για μια επιχείρηση που σκέφτεται σοβαρά τη μετάβασή της στο (public) cloud.

Καμιά πιστοποίηση, βέβαια, από μόνη της, δεν αρκεί για να διασφαλίσει την προστασία των δεδομένων. Θα πρέπει όμως πρώτα να κάνουμε μια μικρή παρένθεση σχετικά με το εν λόγω θέμα. Αυτή τη στιγμή δεν υπάρχει επίσημο «πιστοποιήσιμο» πρότυπο, το οποίο να αφορά αποκλειστικά παρόχους cloud και τις προσφερόμενες υπηρεσίες τους. Το ISO 27001:2013 είναι ένα διεθνώς αναγνωρισμένο πρότυπο, όμως αφορά γενικά την υιοθέτηση ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών. Το ISO 27017, που έχει να κάνει με ασφάλεια του cloud, είναι απλά ένα “code of practice”, όπως αναφέρει το ίδιο το πρότυπο, δηλαδή κατευθυντήριες γραμμές που εάν θέλει ένας πάροχος μπορεί να ακολουθήσει.

Αντίστοιχα, η πολύ σοβαρή δουλειά που κάνει το Cloud Security Alliance (CSA) με το Cloud Control Matrix (CCM), δεν τυγχάνει της αναγνώρισης των προτύπων του ISO, ούτε είναι γνωστό στις περισσότερες επιχειρήσεις. Αντίστοιχα, και τα επίπεδα πιστοποίησης του CSA δεν τυγχάνουν αναγνώρισης ή/και καθολικής αποδοχής. Τέλος, άλλες πιστοποιήσεις ασφάλειας, όπως για παράδειγμα το PCI DSS, αφορούν πολύ συγκεκριμένες αγορές και επιχειρήσεις και δεν άπτονται αμιγώς της ασφάλειας του cloud. Βλέπουμε, λοιπόν, ότι το πλαίσιο γύρω από τις πιστοποιήσεις ασφάλειας παρόχων είναι ακόμα θολό, εξ ου και το ότι αυτές δεν αρκούν από μόνες τους για να άρουν τις επιφυλάξεις των επιχειρήσεων. Ένας πάροχος καλείται, λοιπόν, να ακολουθήσει ένα μοντέλο σύμφωνα με το οποίο θα πρέπει να πιστοποιήσει την υποδομή του και τις προσφερόμενες υπηρεσίες βάσει πολλών διαφορετικών προτύπων, εφόσον, βεβαίως, θέλει να αποκτήσει κάποια διαφοροποίηση έναντι του ανταγωνισμού.

Ταυτόχρονα, θα πρέπει συνεχώς να ενημερώνεται και να είναι ενεργός στις ομάδες εργασίας των οργανισμών που ασχολούνται με την ασφάλεια στο cloud, όπως ανέφερα και στην προηγούμενη απάντησή μου. Επίσης, πολλοί κατασκευαστές εξοπλισμού παρέχουν και εκείνοι πιστοποιήσεις που, αν και δεν άπτονται ξεκάθαρα της ασφάλειας, δύναται να παρέχουν στους πελάτες ένα επιπρόσθετο επίπεδο διαβεβαίωσης πως η υποδομή ενός παρόχου συνάδει με συγκεκριμένα τεχνικά πρότυπα, αυστηρότατους κανόνες και διαρκείς ελέγχους από ανεξάρτητους φορείς. Η προσπάθεια πρέπει να είναι συνεχής, δομημένη, συγκροτημένη και σύμφωνα με τη φιλοσοφία της διαρκούς εξέλιξης και ανανέωσης.

netweek: Τι οφέλη προσφέρει ένας πάροχος υπηρεσιών SecaaS στους πελάτες του που αναπτύσσουν τις δικές τους υποδομές cloud; Mε ποιο τρόπο μπορεί να καλύψει και άλλα σοβαρά ζητήματα, όπως είναι η τήρηση των κανονιστικών απαιτήσεων;

Δρ. Θεόδωρος Στεργίου: Η Ασφάλεια ως Υπηρεσία, ή SecaaS αν προτιμάτε, σημαίνει συγκεκριμένα πράγματα που χρίζουν μνείας. Ένας πάροχος υπηρεσιών SecaaS σημαίνει ότι έχει καταρχάς τα μέσα για να παρέχει υπηρεσίες IaaS στους πελάτες του, με γνώμονα τη φιλοξενία της υποδομής τους σε ασφαλή υποδομή. Εφόσον ολοκληρωθεί αυτό το βήμα, τότε μπορεί να δώσει επιπρόσθετες δικλείδες ασφάλειας, οι οποίες να καλύπτουν συγκεκριμένες ανάγκες του πελάτη, όπως Firewall, WAF, VPN, IDS/IPS, log management, server-based protection, disaster recovery κ.λπ. Επιπλέον, ένας πάροχος δύναται να παράσχει και καινοτόμες υπηρεσίες, όπως mobile device management, web content security, email security κ.λπ. Εφόσον επιλεγεί ο κατάλληλος πάροχος, θα πρέπει να γίνει κατανοητό ότι η τήρηση κανονιστικών απαιτήσεων, η συμμόρφωση με νομικά πλαίσια και η εν γένει κάλυψη τέτοιων απαιτήσεων παραμένει καταρχήν ευθύνη του πελάτη. Για παράδειγμα, έστω ότι ένας πάροχος είναι πιστοποιημένος κατά ISO 27001.

Η πιστοποίηση αυτή αποτελεί μία ισχυρή διασφάλιση για τα συστήματα υπό φιλοξενία του πελάτη, η οποία μπορεί να χρησιμοποιηθεί και συμβατικά, αλλά δεν σημαίνει και την αυτόματη πιστοποίηση αυτών κατά ISO 27001. Παραμένει στην ευθύνη του πελάτη να εφαρμόσει όλα όσα απαιτεί το πρότυπο, στο συμβόλαιο με τον πάροχο να εμφανίζονται οι συγκεκριμένες υποχρεώσεις μερών, να λαμβάνονται συγκεκριμένα μέτρα από τον πελάτη κ.ο.κ. Μέσω της παρεχόμενης υπηρεσίας παρέχεται ένα επίπεδο διασφάλισης ότι τα δεδομένα του πελάτη θα είναι προστατευμένα, αλλά αυτό δεν συνεπάγεται, όπως ανέφερα, αυτόματα πιστοποίηση των φιλοξενούμενων συστημάτων στις απαιτήσεις του προτύπου.

Αντίστοιχα, πάροχος πιστοποιημένος κατά PCI DSS μπορεί να βοηθήσει τις επιχειρήσεις να καλύψουν τις εν λόγω απαιτήσεις για τα φιλοξενούμενα συστήματα, και πάλι, όμως, η ευθύνη παραμένει στον πελάτη. Γενικά, οι υπηρεσίες SecaaS μπορούν να απλοποιήσουν κατά πολύ την τήρηση και συμβατική συμμόρφωση στις κανονιστικές απαιτήσεις, εξίσου σημαντική, όμως, παραμένει η τήρηση των εταιρικών πολιτικών και διαδικασιών. Λόγου χάρη, μια υπηρεσία Mobile Device Management as a Service δεν απαιτείται αυστηρά από κάποια κανονιστική απαίτηση, μπορεί, όμως, να αποτελέσει ένα εξαιρετικό εργαλείο ώστε μία επιχείρηση να υλοποιήσει την πολιτική ασφαλείας σχετικά με φορητές συσκευές, BYOD κ.λπ.

Συνοψίζοντας, η συνολική ευθύνη της ασφάλειας παραμένει πάντα στον ιδιοκτήτη/owner της πληροφορίας (πελάτη), ο οποίος θα πρέπει να εξασφαλίσει τις διαδικασίες και συστήματα για τη διασφάλισή της. Ένας πάροχος υπηρεσιών SecaaS μπορεί να αποτελέσει ένα ισχυρό εργαλείο για την επιχείρηση με αυξημένες ανάγκες ασφάλειας, η οποία είτε δεν έχει τα μέσα να υλοποιήσει τις απαιτούμενες δικλείδες εσωτερικά, είτε επιθυμεί να εντάξει την υπηρεσία στα λειτουργικά της έξοδα.