Θέματα συμμόρφωσης, ηθικής και επαγγελματικής δεοντολογίας στην ασφάλεια στον κυβερνοχώρο
Οι τεχνολογίες δεν είναι ηθικά «ουδέτερες», γιατί αντικατοπτρίζουν τις αξίες πάνω στις οποίες πραγματοποιείται ο σχεδιασμός τους, καθώς και τις αξίες που καθοδηγούν τη διανομή και τη χρήση τους. Οι τεχνολογίες αποκαλύπτουν και διαμορφώνουν, το τι εκτιμούμε οι άνθρωπο και αυτό που πιστεύουμε ότι είναι «καλό» στη ζωή και αξίζει να το αναζητούμε. Οι πρακτικές της ασφάλειας στον κυβερνοχώρο έχουν ως στόχο την εξασφάλιση – δηλαδή τη διατήρηση της ασφάλειας – δεδομένων, συστημάτων υπολογιστών και δικτύων (λογισμικό και υλικό). Ενώ αυτά τα δεδομένα, τα συστήματα και τα δίκτυα μπορεί να έχουν κάποια οικονομική ή άλλη αξία από μόνα τους, αυτό που κυρίως προστατεύουν οι πρακτικές ασφάλειας στον κυβερνοχώρο, είναι η ακεραιότητα, η λειτουργικότητα και η αξιοπιστία των ανθρώπινων θεσμών/πρακτικών που βασίζονται σε τέτοια δεδομένα, συστήματα και δίκτυα.
Κανένας ενιαίος, λεπτομερής κώδικας δεοντολογίας για την ασφάλεια στον κυβερνοχώρο δεν μπορεί να εφαρμοστεί σε όλα τα περιβάλλοντα και τους κλάδους επαγγελμάτων. Επομένως, οι οργανισμοί και οι επαγγελματικοί κλάδοι πρέπει να ενθαρρύνονται να αναπτύσσουν ρητές εσωτερικές πολιτικές, διαδικασίες, κατευθυντήριες γραμμές και βέλτιστες πρακτικές για την ηθική της ασφάλειας στον κυβερνοχώρο, οι οποίες θα είναι ειδικά προσαρμοσμένες στις δικές τους δραστηριότητες και προκλήσεις.
Ένας κανονισμός για την ασφάλεια στον κυβερνοχώρο περιλαμβάνει οδηγίες που διασφαλίζουν την τεχνολογία πληροφοριών και τα συστήματα υπολογιστών. Αυτές οι οδηγίες αναγκάζουν εταιρείες και οργανισμούς να προστατεύσουν τα συστήματα και τις πληροφορίες τους από κυβερνοεπιθέσεις όπως ιοί, δούρειοι ίπποι, ηλεκτρονικό ψάρεμα, επιθέσεις άρνησης υπηρεσίας (DOS), μη εξουσιοδοτημένη πρόσβαση (κλοπή πνευματικής ιδιοκτησίας ή εμπιστευτικές πληροφορίες) και επιθέσεις στο σύστημα ελέγχου.
Υπάρχουν πολλά διαθέσιμα μέτρα για την πρόληψη των κυβερνοεπιθέσεων.
Έχουν γίνει προσπάθειες βελτίωσης της ασφάλειας στον κυβερνοχώρο μέσω κανονιστικών ρυθμίσεων και συνεργατικών προσπαθειών μεταξύ της κυβέρνησης και του ιδιωτικού τομέα για την ενθάρρυνση εθελοντικών βελτιώσεων στην κυβερνοασφάλεια. Οι ρυθμιστικές αρχές του κλάδου, συμπεριλαμβανομένων των τραπεζικών ρυθμιστικών αρχών, έχουν λάβει γνώση του κινδύνου από την κυβερνοασφάλεια και είτε έχουν αρχίσει είτε σχεδιάζουν να αρχίσουν να συμπεριλάβουν την κυβερνοασφάλεια ως πτυχή των κανονιστικών εξετάσεων.
Μέχρι το τέλος αυτής της ενότητας, θα έχει γίνει μια επισκόπηση των:
- Των κανονισμών ασφάλειας και της συμμόρφωσης στον κυβερνοχώρο που απαιτούνται σε παγκόσμιο επίπεδο και στην Ε.Ε.
- Των δεοντολογικών ζητημάτων στον τομέα της ασφάλειας στον κυβερνοχώρο
- Των προτεινόμενων βέλτιστων πρακτικών
ΕΠΙΣΚΟΠΗΣΗ ΤΩΝ ΚΑΝΟΝΙΣΜΩΝ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΤΩΝ ΣΥΜΜΟΡΦΩΣΕΩΝ ΠΟΥ ΑΠΑΙΤΟΥΝΤΑΙ ΣΕ ΠΑΓΚΟΣΜΙΟ ΕΠΙΠΕΔΟ ΑΛΛΑ ΚΑΙ ΣΤΗΝ Ε.Ε.
Γενικά, η συμμόρφωση ορίζεται ως η τήρηση των κανόνων και των απαιτήσεων συμμόρφωσης. Στην ασφάλεια στον κυβερνοχώρο, συμμόρφωση σημαίνει τη δημιουργία ενός προγράμματος που θεσπίζει ελέγχους βάσει κινδύνων για την προστασία της ακεραιότητας, της εμπιστευτικότητας και της προσβασιμότητας των πληροφοριών που αποθηκεύονται, υποβάλλονται σε επεξεργασία ή μεταφέρονται. Ωστόσο, η συμμόρφωση με την ασφάλεια στον κυβερνοχώρο δεν βασίζεται σε αυτόνομο πρότυπο ή κανονισμό. Ανάλογα με τον κλάδο, διαφορετικά πρότυπα ενδέχεται να επικαλύπτονται, γεγονός που μπορεί να δημιουργήσει σύγχυση και υπερβολική εργασία για οργανισμούς που χρησιμοποιούν μια προσέγγιση βάσει λίστας ελέγχου. Για παράδειγμα, ο κλάδος υγειονομικής περίθαλψης πρέπει να πληροί τις απαιτήσεις συμμόρφωσης του νόμου περί φορητότητας και λογοδοσίας για την ασφάλιση υγείας (HIPAA), αλλά εάν ένας πάροχος αποδέχεται επίσης πληρωμές μέσω μιας συσκευής σημείου εξυπηρέτησης (POS), τότε πρέπει επίσης να πληροί τις απαιτήσεις του πρότυπου ασφάλειας του κλάδου των πληρωμών μέσω κάρτας (PCI DSS). Και δεν είναι ασυνήθιστο για τις εταιρείες να πρέπει να συμμορφώνονται με πολλούς κανονισμούς ταυτόχρονα, καθιστώντας ακόμη πιο δύσκολη την τήρηση των κανόνων και των απαιτήσεων συμμόρφωσης. Αυτοί περιλαμβάνουν μεταξύ άλλων, τους εξής:
- NIST (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας)
- Έλεγχοι CIS (Κέντρο ελέγχου ασφαλείας στο Διαδίκτυο)
- ISO (Διεθνής Οργανισμός Τυποποίησης)
- HIPAA (Νόμος περί φορητότητας και ευθύνης για την ασφάλιση υγείας) / HITECH Omnibus Rule
- PCI-DSS (Το Πρότυπο Ασφάλειας Δεδομένων του Κλάδου Πληρωμών μέσω Καρτών)
- GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων)
- CCPA (Νόμος περί Προστασίας των Καταναλωτών στην Καλιφόρνια)
- AICPA (Αμερικανικό Ινστιτούτο Ορκωτών Λογιστών)
- SOX (Νόμος Sarbanes-Oxley)
- COBIT (Στόχοι Ελέγχου για τις Τεχνολογίες Πληροφορίων και συναφείς Τεχνολογίες)
- GLBA (Νόμος Gramm-Leach-Bliley)
- FISMA (Ομοσπονδιακός νόμος για τον εκσυγχρονισμό της ασφάλειας πληροφοριών του 2014)
- FedRAMP (Ομοσπονδιακό πρόγραμμα διαχείρισης κινδύνων και εξουσιοδότησης)
- FERPA (Νόμος περί Οικογενειακών Δικαιωμάτων και Απορρήτου του 1974)
- ITAR (Διεθνείς Κανονισμοί για την Κυκλοφορία Όπλων)
- COPPA (Νόμος για την Προστασία του Διαδικτυακού Απορρήτου των Παιδιών )
- Πρότυπα NERC CIP (Πρότυπα του Οργανισμού Ηλεκτρικής Αξιοπιστίας για τη Βόρεια Αμερική με σκοπό την διασφάλιση, την αποτελεσματική και αποδοτική μείωση των κινδύνων για την αξιοπιστία και την ασφάλεια του δικτύου)
Φυσικά, είναι εξαιρετικά σημαντικό να συμμορφωνόμαστε με τις κανονιστικές απαιτήσεις. Οι επιχειρήσεις πρέπει να ακολουθούν τους πολιτειακούς, ομοσπονδιακούς και διεθνείς νόμους και κανονισμούς που σχετίζονται με τη δραστηριότητά τους. Η αποτυχία συμμόρφωσης θα ανοίξει τον δρόμο σε πιθανές αγωγές και οικονομική ευθύνη, για να μην αναφέρουμε την παραβίαση της εμπιστοσύνης με πελάτες, συνεργάτες και άλλους. Ωστόσο, η τήρηση των υφιστάμενων προτύπων είναι ακριβή, περίπλοκη και απαιτεί τη σωστή τεχνογνωσία. Το αποτέλεσμα είναι ότι οι εταιρείες συχνά επικεντρώνονται στην εκπλήρωση των ελάχιστων απαιτήσεων αντί να εφαρμόζουν κατάλληλες πολιτικές ασφάλειας στον κυβερνοχώρο, οι οποίες είναι απαραίτητες στο σημερινό περιβάλλον όπου οι επιτιθέμενοί μας είναι πάντα ένα βήμα μπροστά από τις άμυνες μας.
Για να τηρούν τις βέλτιστες πρακτικές και να πληρούν τις τεχνικές και άλλες απαιτήσεις, οι οργανισμοί χρησιμοποιούν συχνά πλαίσια για τη συμμόρφωση με την ασφάλεια στον κυβερνοχώρο και τη συμμόρφωση με τους κανονισμούς. Αυτά τα πλαίσια παρέχουν βέλτιστες πρακτικές και κατευθυντήριες γραμμές για τη βελτίωση της ασφάλειας, τη βελτιστοποίηση των επιχειρηματικών διαδικασιών, την ικανοποίηση των κανονιστικών απαιτήσεων και την εκτέλεση άλλων καθηκόντων που είναι απαραίτητα για την επίτευξη συγκεκριμένων επιχειρηματικών στόχων, όπως η είσοδος σε μια νέα αγορά ή η πώληση σε κρατικούς φορείς.
Τα κανονιστικά καθεστώτα συμμόρφωσης καθορίζουν συνήθως τις εξαιρετικά συγκεκριμένες και συχνά αυστηρές απαιτήσεις που πρέπει να ακολουθήσουν οι οργανισμοί και οι επαγγελματικοί κλάδοι και τους αναγκάζει να ανταποκριθούν στα πρότυπα και να συμμορφωθούν με τους ισχύοντες νόμους. Αυτές οι απαιτήσεις μπορεί να είναι πολυάριθμες και περίπλοκες – επομένως τα πλαίσια που έχουν σχεδιαστεί για να βοηθούν στην ικανοποίηση των απαιτήσεων συμμόρφωσης αποτελούν μια ευπρόσδεκτη προσθήκη στη βάση πόρων και γνώσεων των περισσότερων επιχειρήσεων.
Μερικά τυπικά παραδείγματα περιλαμβάνουν τα εξής:
| Νομολογίες | Τι ρυθμίζει | Ποιους επηρεάζει |
| NIST
|
Πλαίσιο που δημιουργήθηκε για να παρέχει έναν προσαρμόσιμο οδηγό σχετικά με τον τρόπο διαχείρισης και μείωσης τουν κίνδυνου που σχετίζεται με την ασφάλεια στον κυβερνοχώρο συνδυάζοντας τα υπάρχοντα πρότυπα, τις κατευθυντήριες γραμμές και τις βέλτιστες πρακτικές. Συμβάλλει επίσης στην προώθηση της επικοινωνίας μεταξύ εσωτερικών και εξωτερικών ενδιαφερομένων μερών δημιουργώντας μια κοινή γλώσσα κινδύνου μεταξύ διαφορετικών κλάδων. | Εθελοντικό πλαίσιο προτύπων που μπορεί να εφαρμοστεί από οποιονδήποτε οργανισμό θέλει να μειώσει τον συνολικό κίνδυνο. |
| CIS Controls
|
Πρότυπα για την προστασία των δεδομένων και των περιουσιακών στοιχείων των οργανισμών από γνωστούς φορείς επίθεσης στον κυβερνοχώρο. | Εφαρμόζεται από εταιρείες που επιδιώκουν να ενισχύσουν την ασφάλεια στο Διαδίκτυο των πραγμάτων (IoT). |
| ISO 27000 | Οικογένεια προτύπων που παρέχει απαιτήσεις ασφάλειας σχετικά με τη συντήρηση των συστημάτων διαχείρισης ασφάλειας πληροφοριών (ISMS) μέσω της εφαρμογής ελέγχων ασφαλείας. | Είναι κανονισμοί με μεγάλο εύρος και μπορούν να εφαρμοστούν από ένα ευρύ φάσμα επιχειρήσεων. Όλες οι επιχειρήσεις μπορούν να χρησιμοποιήσουν αυτήν την οικογένεια κανονισμών για την αξιολόγηση των πρακτικών τους στον τομέα της ασφάλειας στον κυβερνοχώρο. |
| ISO 31000 | Σύνολο κανονισμών που διέπει τις αρχές εφαρμογής και διαχείρισης κινδύνων. | Είναι κανονισμοί με μεγάλο εύρος και μπορούν να εφαρμοστούν από ένα ευρύ φάσμα επιχειρήσεων. Όλες οι επιχειρήσεις μπορούν να χρησιμοποιήσουν αυτήν την οικογένεια κανονισμών για την αξιολόγηση των πρακτικών τους στον τομέα της ασφάλειας στον κυβερνοχώρο. |
| HIPAA/ HITECH | Αυτή η πράξη είναι ένα νομοσχέδιο με δύο σκέλη. Ο τίτλος Ι προστατεύει την υγειονομική περίθαλψη των ατόμων που μεταβαίνουν μεταξύ θέσεων εργασίας ή απολύονται. Ο τίτλος II αποσκοπεί στην απλοποίηση της διαδικασίας υγειονομικής περίθαλψης με τη μετάβαση σε ηλεκτρονικά δεδομένα. Προστατεύει επίσης το απόρρητο των μεμονωμένων ασθενών. | Εφαρμόζεται από κάθε οργανισμό που διαχειρίζεται δεδομένα υγειονομικής περίθαλψης.
Αυτό περιλαμβάνει, μεταξύ άλλων, ιατρεία, νοσοκομεία, ασφαλιστικές εταιρείες, επιχειρηματικούς συνεργάτες και εργοδότες. |
| PCI-DSS
|
Σύνολο 12 κανονισμών που έχουν σχεδιαστεί για τη μείωση της απάτης και την προστασία των πληροφοριών πιστωτικών καρτών πελατών. | Εφαρμόζεται από εταιρείες που χειρίζονται πληροφορίες και στοιχεία πιστωτικών καρτών. |
| GDPR
|
Κανονισμός που ρυθμίζει την προστασία των δεδομένων και το απόρρητο των πολιτών της Ευρωπαϊκής Ένωσης. | Εφαρμόζεται από κάθε εταιρεία που δραστηριοποιείται στην Ευρωπαϊκή Ένωση ή χειρίζεται τα δεδομένα ενός πολίτη της Ευρωπαϊκής Ένωσης. |
| CCPA | Δικαιώματα απορρήτου και προστασίας των καταναλωτών για τους κατοίκους της Καλιφόρνια, ΗΠΑ. | Εφαρμόζεται από κάθε επιχείρηση, συμπεριλαμβανομένης οποιασδήποτε κερδοσκοπικής οντότητας, η οποία δραστηριοποιείται στην Καλιφόρνια και συλλέγει προσωπικά δεδομένα των καταναλωτών. |
| AICPA
SOC2 |
Κανονισμός που διασφαλίζει την ασφάλεια, την διαθεσιμότητα, την ακεραιότητα της επεξεργασίας και το απόρρητο των συστημάτων που επεξεργάζονται δεδομένα χρήστη και την εμπιστευτικότητα αυτών των συστημάτων. | Εφαρμόζεται από οργανισμούς παροχής υπηρεσιών που επεξεργάζονται δεδομένα χρηστών. |
| SOX
|
Νόμος που απαιτεί από τις εταιρείες να διατηρούν οικονομικά αρχεία για έως και επτά χρόνια. | Εφαρμόζεται από όλα τα διοικητικά συμβούλια δημόσιων εταιρειών των ΗΠΑ, εταιρείες διαχείρισης και δημόσιες λογιστικές εταιρείες που δραστηριοποιούνται στις ΗΠΑ. |
| Νομολογίες | Τι ρυθμίζει | Ποιους επηρεάζει |
| COBIT
|
Πλαίσιο που αναπτύχθηκε για να βοηθήσει τους οργανισμούς να διαχειριστούν τη διακυβέρνηση της πληροφορίας και της τεχνολογίας, συνδέοντας τους στόχους της επιχείρησης και της τεχνολογίας της πληροφορικής | Εφαρμόζεται από οργανισμούς που είναι υπεύθυνοι για επιχειρηματικές διαδικασίες που σχετίζονται με την τεχνολογία και τον ποιοτικό έλεγχο των πληροφοριών. Περιλαμβάνονται, μεταξύ άλλων, τομείς όπως ο έλεγχος και η διασφάλιση, η συμμόρφωση, οι λειτουργίες πληροφορικής, η διακυβέρνηση και η ασφάλεια και η διαχείριση κινδύνων. |
| GLBA
|
Νόμος που επέτρεψε στις ασφαλιστικές εταιρείες, στις εμπορικές τράπεζες και στις τράπεζες επενδύσεων να είναι μια εταιρεία. Όσον αφορά την ασφάλεια, επιβάλλει στις εταιρείες να προστατεύουν τις προσωπικές πληροφορίες των πελατών.
|
Αυτή η πράξη ορίζει τα «χρηματοπιστωτικά ιδρύματα» ως: «… εταιρείες που προσφέρουν χρηματοοικονομικά προϊόντα ή υπηρεσίες σε ιδιώτες, όπως δάνεια, χρηματοοικονομικές ή επενδυτικές συμβουλές ή ασφάλιση». |
| FISMA
|
Νόμος που αναγνωρίζει την ασφάλεια των πληροφοριών ως θέμα εθνικής ασφάλειας. Επομένως, υποχρεώνει όλες τις ομοσπονδιακές υπηρεσίες να αναπτύξουν μια μέθοδο για την προστασίας των συστημάτων πληροφοριών τους. | Όλες οι ομοσπονδιακές υπηρεσίες εμπίπτουν στο πεδίο εφαρμογής αυτού του νομοσχεδίου. |
| FedRAMP
|
Υπηρεσίες Cloud για την Ομοσπονδιακή Κυβέρνηση της Αμερικής | Εκτελεστικά τμήματα και υπηρεσίες. |
| FERPA
|
Το τμήμα 3.1 της πράξης αφορά την προστασία των εκπαιδευτικών αρχείων των μαθητών. | Οποιοδήποτε μετα-δευτεροβάθμιο ίδρυμα που περιλαμβάνει μεταξύ άλλων ακαδημίες, κολέγια, τεχνικές σχολές και επαγγελματικές σχολές. |
| ITAR
|
Ελέγχει την πώληση αμυντικών αντικειμένων και αμυντικών υπηρεσιών (τα οποία μπορεί να παράσχουν κρίσιμες στρατιωτικές πληροφορίες). | Όποιος παράγει ή πουλάει αμυντικά αντικείμενα και αμυντικές υπηρεσίες. |
| COPPA
|
Προστατεύει το διαδικτυακό απόρρητο και τη συλλογή προσωπικών πληροφοριών για παιδιά κάτω των 13 ετών. | Οποιοδήποτε πρόσωπο ή οντότητα υπό τη δικαιοδοσία των Η.Π.Α. |
| NERC CIP Standards
|
Πρότυπο που για βελτίωση της ασφάλειας του συστήματος ενέργειας της Βόρειας Αμερικής | Επηρεάζει όλους τους ιδιοκτήτες και τους χειριστές συστημάτων μαζικής ενέργειας. |
| NIST
|
Πλαίσιο που δημιουργήθηκε για να παρέχει έναν προσαρμόσιμο οδηγό σχετικά με τον τρόπο διαχείρισης και μείωσης τουν κίνδυνου που σχετίζεται με την ασφάλεια στον κυβερνοχώρο συνδυάζοντας τα υπάρχοντα πρότυπα, τις κατευθυντήριες γραμμές και τις βέλτιστες πρακτικές. Συμβάλλει επίσης στην προώθηση της επικοινωνίας μεταξύ εσωτερικών και εξωτερικών ενδιαφερομένων μερών δημιουργώντας μια κοινή γλώσσα κινδύνου μεταξύ διαφορετικών κλάδων. | Εθελοντικό πλαίσιο προτύπων που μπορεί να εφαρμοστεί από οποιονδήποτε οργανισμό θέλει να μειώσει τον συνολικό κίνδυνο. |
| CIS Controls
|
Πρότυπα για την προστασία των δεδομένων και των περιουσιακών στοιχείων των οργανισμών από γνωστούς φορείς επίθεσης στον κυβερνοχώρο. | Εφαρμόζεται από εταιρείες που επιδιώκουν να ενισχύσουν την ασφάλεια στο Διαδίκτυο των πραγμάτων (IoT). |
ΕΠΙΣΚΟΠΗΣΗ ΤΩΝ ΔΕΟΝΤΟΛΟΓΙΚΩΝ ΘΕΜΑΤΩΝ ΣΤΗ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ
Το θεμέλιο όλων των συστημάτων ασφαλείας, διαμορφώνεται από τις ηθικές αρχές και τις πρακτικές, εκείνων που εμπλέκονται. Δηλαδή, ενώ οι άνθρωποι αποτελούν μέρος της λύσης, αποτελούν επίσης και το μεγαλύτερο πρόβλημα. Τα προβλήματα ασφάλειας τα οποία μπορεί να αντιμετωπίσει ένας οργανισμός περιλαμβάνουν την υπεύθυνη λήψη αποφάσεων, την εμπιστευτικότητα, το απόρρητο, τη πειρατεία, την απάτη και την κατάχρηση, την ευθύνη, τα πνευματικά δικαιώματα, τα εμπορικά μυστικά και τέλος τις δολιοφθορές.
Το προσωπικό ασφάλειας έχει συχνά πρόσβαση σε εμπιστευτικά δεδομένα και γνώσεις, σχετικά με τα δίκτυα και τα συστήματα ατόμων και εταιρειών, γεγονός που τους παρέχει μεγάλη εξουσία. Σε αυτού του είδους την εξουσία μπορεί να γίνει κατάχρηση, είτε εσκεμμένα είτε ακούσια. Ωστόσο, δεν υπάρχουν υποχρεωτικά πρότυπα για θέματα κυβερνοασφάλειας τα οποία να πρέπει να ακολουθούν οι επαγγελματίες της ασφάλειας στον κυβερνοχώρο. Στην πραγματικότητα, πολλοί επαγγελματίες δεν συνειδητοποιούν καν ότι η δουλειά τους περιλαμβάνει ηθικά ζητήματα. Ωστόσο, λαμβάνουν αποφάσεις καθημερινά που εγείρουν ηθικά ερωτήματα. Πολλά από τα ηθικά ζητήματα αφορούν την ιδιωτικότητα. Για παράδειγμα:
- Πρέπει να διαβάσετε το ιδιωτικό e-mail των χρηστών του δικτύου σας μόνο και μόνο επειδή μπορείτε; Είναι σωστό να διαβάζετε το e-mail των εργαζομένων ως μέτρο ασφαλείας για να διασφαλίζετε ότι δεν αποκαλύπτονται ευαίσθητες πληροφορίες εταιρείας; Είναι σωστό να διαβάζετε e-mail υπαλλήλων για να βεβαιωθείτε ότι οι κανόνες της εταιρείας (για παράδειγμα, κατά της προσωπικής χρήσης του συστήματος e-mail) δεν παραβιάζονται; Και εάν διαβάζετε e-mail υπαλλήλων, θα πρέπει να τους γνωστοποιήσετε αυτήν την πολιτική πριν ή μετά το γεγονός;
- Συμφωνείται με την παρακολούθηση των διαδικτυακών τοποθεσιών που επισκέπτονται οι χρήστες του δικτύου σας; Πρέπει να διατηρείτε τακτικά αρχεία καταγραφής των ιστότοπων που έχουν επισκεφτεί; Είναι αμέλεια να μην παρακολουθείται αυτή η χρήση του διαδικτύου, για να αποτραπεί η πιθανότητα πορνογραφίας στο χώρο εργασίας που θα μπορούσε να δημιουργήσει ένα εχθρικό εργασιακό περιβάλλον;
- Είναι σωστό να τοποθετήσετε αρχεία καταγραφής για να καταγράψετε όλα όσα πληκτρολογούν οι χρήστες; Τι γίνεται με τα προγράμματα καταγραφής οθόνης, ώστε να μπορείτε να δείτε όλα όσα εμφανίζονται; Θα πρέπει οι χρήστες να ενημερώνονται ότι παρακολουθούνται με αυτόν τον τρόπο;
- Είναι σωστό να διαβάσετε τα έγγραφα και να δείτε τα αρχεία που είναι αποθηκευμένα στους υπολογιστές των χρηστών ή στους καταλόγους που υπάρχουν στο διακομιστή αρχείων;
Θυμηθείτε ότι δεν γίνεται συζήτηση για νομικά ζητήματα εδώ. Μια εταιρεία μπορεί κάλλιστα να έχει το νόμιμο δικαίωμα να παρακολουθεί ό, τι κάνει ένας υπάλληλος με τον εξοπλισμό υπολογιστών της. Πρόκειται για τις ηθικές πτυχές της ικανότητας του να το πράξουμε.
Μια συνηθισμένη έννοια σε κάθε συζήτηση περί ηθικής είναι η «ολισθηρή κλίση» («slippery slope»). Αυτό σχετίζεται με την ευκολία με την οποία ένα άτομο μπορεί να κάνει κάτι που δεν φαίνεται πραγματικά ανήθικο, όπως η σάρωση των e-mail των υπαλλήλων «μόνο για διασκέδαση», και έπειτα να κάνει όλο και πιο ανήθικα πράγματα, όπως να κάνει μικρές αλλαγές στα ταχυδρομικά μηνύματα ή εκτροπή μηνυμάτων σε λάθος παραλήπτη. Η ιδέα της «ολισθηρής κλίσης» μπορεί επίσης να υπερβεί τη χρήση των δεξιοτήτων πληροφορικής σας. Δηλαδή εάν θεωρείτε ότι είναι σωστό να διαβάσετε e-mail άλλων υπαλλήλων, είναι επίσης θεμιτό να περάσετε από το γραφείο τους να ανοίξετε το συρτάρι τους όταν δεν είναι εκεί και να δείτε τι έχουν μέσα τα πορτοφόλια τους;
Ο πολλαπλασιασμός των επιθέσεων στο δίκτυο, των εισβολών, των ιών και άλλων απειλών στις υποδομές πληροφορικής έχει προκαλέσει πολλές εταιρείες «να φοβούνται πολύ». Ως σύμβουλος ασφαλείας, μπορεί να είναι πολύ εύκολο να εκμεταλλευτείτε αυτόν τον φόβο και να πείσετε τις εταιρείες να δαπανήσουν πολύ περισσότερα χρήματα από ό, τι πραγματικά χρειάζονται.
Ένα άλλο ηθικό ζήτημα περιλαμβάνει την υπόσχεση περισσοτέρων υπηρεσιών από όσα μπορείτε να παραδώσετε ή να χειριστείτε για να λάβετε υψηλότερη αμοιβή. Μπορείτε να εγκαταστήσετε τεχνολογίες και να διαμορφώσετε ρυθμίσεις για να κάνετε το δίκτυο ενός πελάτη πιο ασφαλές, αλλά δεν μπορείτε ποτέ να το κάνετε εντελώς ασφαλές.
Προτεινόμενες δημοφιλείς βέλτιστες πρακτικές
Κανένας ενιαίος, λεπτομερής κώδικας δεοντολογίας για την ασφάλεια στον κυβερνοχώρο δεν μπορεί να εφαρμοστεί σε όλα τα περιβάλλοντα και τους κλάδους επαγγελμάτων. Επομένως, οι οργανισμοί και οι επαγγελματικοί κλάδοι πρέπει να ενθαρρύνονται να αναπτύσσουν ρητές εσωτερικές πολιτικές, διαδικασίες, κατευθυντήριες γραμμές και βέλτιστες πρακτικές για την ηθική της ασφάλειας στον κυβερνοχώρο, οι οποίες θα είναι ειδικά προσαρμοσμένες στις δικές τους δραστηριότητες και προκλήσεις.
Μερικές από τις δημοφιλείς κατευθυντήριες γραμμές είναι οι εξής:
- Διατηρήστε την Ηθική της Ασφάλειας στον κυβερνοχώρο στο επίκεντρο: Η Ηθική είναι μια διαδεδομένη πτυχή της πρακτικής της ασφάλειας στον κυβερνοχώρο. Λόγω της τεράστιας κοινωνικής δύναμης της τεχνολογίας των πληροφοριών, τα ηθικά ζητήματα είναι σχεδόν πάντα στο προσκήνιο όταν προσπαθούμε να διατηρήσουμε αυτήν την τεχνολογία και τη λειτουργία της ασφαλή.
- Σκεφτείτε τις ανθρώπινες ζωές και τα συμφέροντα πίσω από τα συστήματα: Σε τεχνικό πλαίσιο είναι εύκολο να παραβλέψουμε με τι ασχολούνται τα περισσότερα συστήματα, δηλαδή, τρόπους βελτίωσης της ανθρώπινης ζωής και προστασίας των ανθρώπινων συμφερόντων.
- Καθιέρωση αλυσίδων ηθικής ευθύνης και λογοδοσίας: Σε οργανωτικά περιβάλλοντα όπου πολλά άτομα ασχολούνται με το ίδιο αντικείμενο, το «πρόβλημα των πολλών χεριών» αποτελεί μια συνεχή πρόκληση για υπεύθυνη πρακτική και λογοδοσία.
- Εξασκηθείτε στους κινδύνους που υπάρχουν στο κυβερνοχώρο μέσα από ένα πλάνο για την αντιμετώπιση κρίσεων: Οι περισσότεροι άνθρωποι δεν θέλουν να κάνουν προβλέψεις για σενάρια αποτυχίας ή κρίσης. Αντίθετα, θέλουν να επικεντρωθούν στις θετικές δυνατότητες ενός έργου ή συστήματος.
- Προώθηση αξιών διαφάνειας, αυτονομίας και αξιοπιστίας: Είναι σημαντικό να διατηρηθεί μια υγιής σχέση μεταξύ των επαγγελματιών στο χώρο της ασφαλείας και του γενικού κοινού έτσι ώστε να κατανοηθεί η σημασία της διαφάνειας, της αυτονομίας και της αξιοπιστίας στην μεταξύ τους σχέση.
- Καθιερώστε ένα πρότυπο δεοντολογικού προβληματισμού και πρακτικής το οποίο είναι διαδεδομένο και προσφέρει ανταμοιβή: Ο ηθικός προβληματισμός και η πρακτική, όπως έχουμε ήδη πει, αποτελούν ένα ουσιαστικό και κεντρικό κομμάτι της επαγγελματικής αριστείας στην ασφάλεια στον κυβερνοχώρο.
Μερικές από τις δημοφιλείς βέλτιστες πρακτικές για την ηθική στην κυβερνοασφάλεια.
| Source: https://unsplash.com/s/photos/meditation |
Πρακτική Αυτο-προβληματισμού / Εξέταση: Αυτό σημαίνει ότι πρέπει να αφιερώνουμε χρόνο σε τακτά χρονικά διαστήματα και να σκεφτόμαστε το άτομο που θέλουμε να γίνουμε, σε σχέση με το άτομο που είμαστε σήμερα.
- Αναζήτηση ηθικών παραδειγμάτων: Πολλοί από εμάς ξοδεύουμε πολύ χρόνο, συχνά περισσότερο από ό, τι αντιλαμβανόμαστε, κρίνοντας τις αδυναμίες των άλλων.
- Άσκηση ηθικής φαντασίας: Μπορεί να είναι δύσκολο να παρατηρήσουμε τις ηθικές μας υποχρεώσεις ή τη σημασία τους, επειδή έχουμε δυσκολία να φανταστούμε πώς αυτό που κάνουμε μπορεί να επηρεάσει τους άλλους.
- Αναγνώριση της δική μας ηθικής δύναμης: Ως επί το πλείστον, το να ζεις καλά, με την ηθική έννοια, κάνει τη ζωή πιο εύκολη, όχι πιο δύσκολη.
- Αναζήτηση της παρέας άλλων ατόμων με ηθική: Πολλοί έχουν σημειώσει τη σημασία της φιλίας στην ηθική ανάπτυξη. Τον 4ο αιώνα π.Χ. ο Έλληνας φιλόσοφος Αριστοτέλης υποστήριξε ότι ένας ενάρετος φίλος μπορεί να είναι ένας «δεύτερος εαυτός», που αντιπροσωπεύει τις ίδιες τις ιδιότητες του χαρακτήρα που εκτιμούμε και φιλοδοξούμε να διατηρήσουμε στον εαυτό μας.