Θεωρία: Κυβερνοασφάλεια και Κυβερνοανθεκτικότητα στις Τουριστικές ΜμΕ: Καλές Πρακτικές στον Κυβερνοχώρο για τουριστικές ΜμΕ

5. Καλές Πρακτικές στον Κυβερνοχώρο για τουριστικές ΜμΕ

Ένα κρίσιμο συστατικό στοιχείο της Κυβερνοασφάλειας και της Κυβερνοανθεκτικότητας είναι η επιμόρφωση του προσωπικού για την απόκτηση ψηφιακών δεξιοτήτων. Εργαζόμενοι, οι οποίοι έχουν εκπαιδευτεί κατάλληλα ως προς το πώς να αποφεύγουν να πέσουν θύματα κυβερνοεπιθέσεων και γνωρίζουν τι περιστατικά οφείλουν να αναφέρουν, μπορούν να ενισχύσουν το σύστημα ασφάλειας μίας τουριστικής ΜμΕ και να περιορίσουν τον κίνδυνο κυβερνοαπειλής, π.χ. τη μη εξουσιοδοτημένη πρόσβαση στα συστήματα μίας επιχείρησης στον κυβερνοχώρο.

https://www.digitalsocialcare.co.uk/digital-skills-and-training/

Το Παγκόσμιο Συμβούλιο Τουρισμού και Ταξιδιών (WTTC) αναγνωρίζει 7 καλές πρακτικές, οι οποίες μπορούν να εφαρμοστούν για την περαιτέρω ενίσχυση της Κυβερνοανθεκτικότητας:

1. Ένταξη της διαχείρισης των κυβερνοκινδύνων στο σχέδιο διαχείρισης κινδύνων του οργανισμού

Οι κυβερνοκίνδυνοι οφείλουν να αποτελούν προτεραιότητα, και να αντιμετωπίζονται παράλληλα με τους λοιπούς κινδύνους που αφορούν την επιχείρηση και τη λειτουργία της. Οι επιχειρήσεις οφείλουν να ελέγχουν και να αναβαθμίζουν τακτικά τις διαδικασίες διαχείρισης κινδύνου και να κατανέμουν τον προϋπολογισμό τους ανάλογα με το επίπεδο κινδύνου και τις ενέργειες μετριασμού που απαιτούνται. Οι κατάλληλα καταρτισμένοι εργαζόμενοι είναι απαραίτητοι για τον σχεδιασμό και την ενημέρωση πολιτικών για τους κινδύνους στον κυβερνοχώρο, την εφαρμογή βέλτιστων πρακτικών και την προληπτική και συνεχή διαχείριση των εν λόγω κινδύνων.

2. Εκπαίδευση και επιμόρφωση όλου του προσωπικού

Η εκπαίδευση για τον κατατοπισμό του νέου προσωπικού και η επιμόρφωση του υπάρχοντος προσωπικού είναι κρίσιμης σημασίας ούτως ώστε να διασφαλιστεί η αποτελεσματική χρήση των ψηφιακών συστημάτων και διαδικασιών, και η ασφάλεια. Αν και δεν απαιτείται να κατέχουν όλοι οι εργαζόμενοι τον ίδιο βαθμό εκπαίδευσης, είναι σημαντικό το σύνολο του προσωπικού να κατέχει βασική γνώση των αρχών της Κυβερνοασφάλειας. Αυτό μειώνει τις πιθανότητες μίας κυβερνοεπίθεσης εκ των έσω.

3. Επέκταση της προστασίας και πέραν του φυσικού χώρου εργασίας

Λόγω της μετάβασης στην εξ αποστάσεως και την υβριδική εργασία, θα πρέπει να διευρυνθεί η διενέργεια ελέγχων στον κυβερνοχώρο. Είναι εξαιρετικά σημαντικό να λαμβάνεται υπόψη το πώς τα υβριδικά μοντέλα εργασίας δύνανται να επηρεάσουν την ασφάλεια και να αυξήσουν την ευαλωτότητα ενός οργανισμού, συμπεριλαμβανομένης της ασφάλειας των οικιακών δικτύων Wi-Fi, του βαθμού κυβερνο-υγιεινής (cyber-hygiene) των εργαζομένων στις προσωπικές συσκευές τους κ.ά.

4. Υιοθέτηση της προσέγγισης μηδενικής εμπιστοσύνης στην Κυβερνοασφάλεια (Zero-Trust)

Text Box

Η προσέγγιση μηδενικής εμπιστοσύνης διαφοροποιείται από τις προγενέστερες μεθόδους, οι οποίες βασίζονταν στον υψηλό βαθμό εμπιστοσύνης εντός του οργανισμού. Στηρίζεται στην ρητή επαλήθευση των αιτημάτων πρόσβασης, μειώνει τα προνόμια πρόσβασης, και αντιμετωπίζει κάθε ενέργεια ως παραβίαση ή διαρροή. Αυτό επιτρέπει μεγαλύτερη ευελιξία στην πρόσβαση, μειώνοντας παράλληλα την έκθεση των κεντρικών συστημάτων.

5. Διενέργεια συνεχούς αξιολόγησης της κατάστασης απειλής

Αυτό περιλαμβάνει την ενίσχυση της ανθεκτικότητας απέναντι στις κυβερνοαπειλές με τη δημιουργία σχέσεων με τους ειδήμονες σε αυτόν τον τομέα, τη χρήση ανάλυσης δεδομένων για την βελτίωση των μέτρων προστασίας, τη διενέργεια δοκιμών διείσδυσης για τον εντοπισμό ευάλωτων σημείων, το διαχωρισμού των συστημάτων για τον περιορισμό των επιπτώσεων μίας παραβίασης, και την προτεραιοποίηση της προστασίας των συστημάτων.

https://www.clipartmax.com/middle/m2H7i8G6K9m2A0Z5_a-checklist-with-a-warning-sign-to-depict-risk-identification-risk-assessment/

6. Τήρηση διαφάνειας

Είναι ζωτικής σημασίας να γίνονται γνωστά τα μέτρα ασφαλείας που εφαρμόζονται, όπως και οι λόγοι για τη συλλογή και τη χρήση δεδομένων, και η χρονική περίοδος αποθήκευσής τους. Οι τουριστικές ΜμΕ θα πρέπει να συγκεντρώνουν τον ελάχιστο δυνατό αριθμό προσωπικών δεδομένων και στοιχειών πληρωμής που απαιτείται, και να προσφέρουν υψηλότατα επίπεδα προστασίας ώστε να δημιουργήσουν ένα κλίμα εμπιστοσύνης. Επιπλέον, θα πρέπει να δίνουν έμφαση στην συμμόρφωση με τη νομοθεσία και τα πρότυπα σε ισχύ (π.χ. GDPR). Σε περίπτωση παραβίασης, θα πρέπει να ενημερώνονται άμεσα τα θιγόμενα μέρη και οι ρυθμιστικές αρχές, και να λαμβάνονται μέτρα για τον μετριασμό των επιπτώσεων της παραβίασης.

7. Εφαρμογή ενός οργανωτικού προτύπου

Οι επικεφαλής των επιχειρήσεων θα πρέπει να συμμορφώνονται με την νομοθεσία της περιοχής στην οποία δραστηριοποιούνται. Η αποστολή της ΕΕ να καλλιεργήσει μία ενιαία προσέγγιση ως προς την Κυβερνοασφάλεια, την Κυβερνοανθεκτικότητα και την προστασία των δεδομένων οδήγησε στο να προκύψουν τα παρακάτω:

Η Δράση της ΕΕ για την Κυβερνοανθεκτικότητα, η οποία επιδιώκει να εγκαθιδρύσει κοινούς κανόνες Κυβερνοασφάλειας για τα ψηφιακά προϊόντα και τις σχετικές υπηρεσίες που κυκλοφορούν στην ευρωπαϊκή αγορά.
Η Δράση της ΕΕ για την Κυβερνοασφάλεια, που ισχυροποιεί τον ρόλο της ENISA και καθιερώνει ένα πλαίσιο πιστοποίησης της Κυβερνοασφάλειας για προϊόντα και υπηρεσίες.

Το συνεχώς εξελισσόμενο τοπίο του κυβερνοχώρου κατέστησε απαραίτητη την ύπαρξη νόμων για την ενίσχυση της πολιτικής προστασίας. Αυτό το κενό ήρθε να καλύψει ο Γενικός Κανονισμός της ΕΕ για την Προστασία Δεδομένων (GDPR). Η τρέχουσα προτεραιότητα του ENISA είναι να ενθαρρύνει τη λήψη μέτρων προστασίας δεδομένων για να δείξει πώς οι τεχνολογίες στον τομέα της Κυβερνοασφάλειας μπορούν να υποστηρίξουν την υλοποίηση των αρχών προστασίας δεδομένων του GDPR (βλ. το κεφάλαιο 10.3 για τα βήματα αντιμετώπισης της παραβίασης δεδομένων).
Στο πλαίσιο του Ευρωπαϊκού Έτους Δεξιοτήτων 2023, η Ευρωπαϊκή Επιτροπή στις 18 Απριλίου 2023 εξέδωσε ανακοίνωση σχετικά με την Ακαδημία Δεξιοτήτων για την Κυβερνοασφάλεια (Cybersecurity Skills Academy).

Οι τουριστικές ΜμΕ θα πρέπει να λαμβάνουν υπόψη τέτοιου είδους κανονισμούς και πρωτοβουλίες πολιτικής όταν αναπτύσσουν και εφαρμόζουν ένα οργανωτικό πρότυπο, το οποίο θα πρέπει επίσης να ενημερώνεται από ειδικούς σε ζητήματα Κυβερνοασφάλειας, απορρήτου και νομικών.

Ο ENISA ανέπτυξε έναν οδηγό Κυβερνοασφάλειας για τις ΜμΕ, όπου επισημαίνονται 12 βήματα μέσω των οποίων μπορούν να θωρακιστούν οι επιχειρήσεις.

Τα βήματα είναι τα εξής:

Αναπτύξτε μία θετική κουλτούρα Κυβερνοασφάλειας

Προσφέρετε κατάλληλη και επαρκή επιμόρφωση

Διασφαλίστε την αποτελεσματική διαχείριση των τρίτων μερών

Καταρτίστε ένα σχέδιο αντιμετώπισης περιστατικών

Προφυλάξτε την πρόσβαση στα συστήματά σας

Προφυλάξτε τις συσκευές σας

Προφυλάξτε το δίκτυο σας

Βελτιώστε την υλική σας ασφάλεια

Προφυλάξτε τα αντίγραφα ασφαλείας σας

Αφιερώστε χρόνο και ασχοληθείτε με υπηρεσίες cloud

Προφυλάξτε τις ιστοσελίδες σας

Αναζητήστε και μοιραστείτε πληροφορίες

https://ecs-org.eu/enisa-introduces-the-european-cybersecurity-skills-framework/