Η ερώτηση αυτή είναι στο μυαλό πολλών επαγγελματιών της πληροφορικής που έχουν να κάνουν με το IT-Security . Πρέπει να αποδείξουν σε εταιρείες την ανάγκη ύπαρξης μίας υποδομής η οποία θα εξασφαλίσει την βιωσιμότητα και την ομαλή πορεία τους στο διαδίκτυο.
Τι γίνεται όμως όταν πρέπει να απαντήσουμε στο γιατί πρέπει να δαπανήσει η εταιρεία όλα αυτά τα χρήματα για IT-Security ; Πως πρέπει να εξηγήσουμε στον πελάτη το κόστος που μπορεί να έχει όταν κάποιος κλέψει τις πληροφορίες που διαθέτει?
Συνήθως ρωτώ: Τι φαντάζεστε ως πιο φτηνό; Να σας χακάρει κάποιος και όλα σας τα αρχεία, λογιστικά, πελάτες, κλπ να εμφανιστούν σε όλο το διαδίκτυιο, ή να επενδύσετε σε IT-Security ; Οι απαντήσεις που κατά καιρούς έχω λάβει, είναι, όπως φαντάζεστε, από το «Έλα μωρέ, τι να χακάρουν από εμάς» μέχρι το «Εννοείται πως το IT-Security κοστίζει περισσότερο». Δύο ακραίες τοποθετήσεις που είναι και οι δύο … σωστές ! Είναι σωστές γιατί η κάθε απάντηση έχει τους δικούς της λόγους και ιδιαιτερότητες.
Οι ανάγκες κάθε εταιρείας είναι διαφορετικές και έτσι πρέπει να αντιμετωπίζονται. Σε όσες εταιρείες έχω πάει ως σύμβουλος ή ως task force, θεωρώ δεδομένο πως θα έχουν μυστικά, κανόνες και στόχους. Αυτό που προσπαθώ να φέρω στην επιφάνεια είναι η σημαντικότητα και η βαρύτητα τους. Στην ουσία κάνω ένα άτυπο Business Impact Analysis για να καταλάβω τι είναι αυτό που θα πονέσει περισσότερο.
Εμείς, οι επαγγελματίες της ασφάλειας των πληροφοριών, πρέπει να υποδείξουμε – γιατί το να το αποδείξουμε είναι εύκολο – ότι το κόστος ενός χακαρίσματος, μπορεί να αφανίσει εντελώς την επιχείρησή τους από τον χάρτη, ενώ, θα μπορούσε να είχε πραγματικά αποφευχθεί (έως ένα βαθμό) εάν υπήρχαν κάποια αρχικά και βασικά μέτρα προστασίας.
Αν ρωτήσεις έναν επιχειρηματία ή το Δ.Σ. μίας εταιρείας που αντιμετώπισαν την επίθεση και το χακάρισμα, ποια πιστεύετε πως θα είναι η απάντησή τους; Τι θα χαρακτηρίσουν ως πιο φτηνό ? Το να τους χακάρουν ξανά ή το να επενδύσουν στην προστασία τους ξοδεύοντας τελικά πολλά παραπάνω χρήματα από όσα θα είχαν αρχικά επενδύσει;
