Page 21 - 40007-laudon-11e

23

Κεφάλαιο 8: Ασφάλεια των πληροφοριακών συστημάτων

397

ΠΕΡ. ΜΕΛΕΤΗ: ΤΕΧΝΟΛΟΓΊΑ

Μοντέλο BYOD: Ασφαλές; Όχι και τόσο!

Σήμερα πλέον, εκατομμύρια εργαζόμενοι φέρνουν και

χρησιμοποιούν τις φορητές συσκευές και τα «έξυπνα

τηλέφωνά» τους στον χώρο εργασίας. Αλλά καθώς

η χρήση του iPhone, του iPad και άλλων συσκευών

κινητής υπολογιστικής στον χώρο εργασίας αυξάνε-

ται συνεχώς, το ίδιο συμβαίνει και με τα προβλήματα

ασφάλειας. Είτε αυτές οι συσκευές παρέχονται από την

εταιρεία είτε ανήκουν προσωπικά στους υπαλλήλους,

ανοίγουν νέες οδούς πρόσβασης στα εταιρικά δεδο-

μένα οι οποίες πρέπει να παρακολουθούνται στενά και

να προστατεύονται. Τα ευαίσθητα δεδομένα που περι-

έχουν οι φορητές συσκευές ταξιδεύουν, τόσο με την

κυριολεκτική όσο και με την «ηλεκτρονική» έννοια,

από το γραφείο στο σπίτι, και πιθανώς και σε άλλες

τοποθεσίες εκτός των εγκαταστάσεων της εταιρείας.

Ουκ ολίγοι ειδικοί στον τομέα της ασφάλειας θεω-

ρούν ότι τα «έξυπνα τηλέφωνα» και οι άλλες φορητές

συσκευές αποτελούν πλέον μια από τις πιο σοβαρές

απειλές ασφαλείας για τους οργανισμούς.

Ένας από τους πιο μεγάλους κινδύνους που υπάρ-

χουν για τα «έξυπνα τηλέφωνα» είναι το ενδεχό-

μενο απώλειάς τους. Σε περίπτωση που χαθεί κάποια

φορητή συσκευή, τότε όλα τα προσωπικά και εταιρικά

στοιχεία που είναι αποθηκευμένα σε αυτή τίθενται σε

κίνδυνο, ενώ ενσκήπτει και κίνδυνος μη εξουσιοδοτη-

μένης πρόσβασης στα εταιρικά δεδομένα που βρίσκο-

νται σε απομακρυσμένους διακομιστές. Σύμφωνα με

μια μελέτη του Ινστιτούτου Ponemon σε 116 οργανι-

σμούς, το 62% των φορητών συσκευών και των κινη-

τών τηλεφώνων που χάθηκαν ή κλάπηκαν περιείχαν

ευαίσθητες ή εμπιστευτικές πληροφορίες. Στην έκθεση

για την κατάσταση της ασφάλειας των φορητών

συσκευών και των κινητών τηλεφώνων που συνέταξε

το Information Week για το 2013 διαπιστώθηκε ότι

το 78% των εταιρειών που έλαβαν μέρος στην έρευνα

δήλωσαν ότι η μεγαλύτερη ανησυχία τους όσον

αφορά την ασφάλεια των φορητών συσκευών ήταν

το ενδεχόμενο απώλειας ή κλοπής τους . το 45% των

ερωτηθέντων ανέφερε ότι κατά τους τελευταίους 12

μήνες υπήρξε κάποιο περιστατικό απώλειας φορητής

συσκευής που περιείχε εταιρικά δεδομένα.

Η υλική, απτή πρόσβαση στις φορητές συσκευές

μπορεί να αποτελεί μεγαλύτερη απειλή από την παρα-

βίαση του ηλεκτρονικού εταιρικού δικτύου επειδή

χρειάζεται λιγότερος κόπος. Πεπειραμένοι επιτήδειοι

μπορούν εύκολα να παρακάμπτουν τους κωδικούς

πρόσβασης και τις διάφορες μορφές κλειδώματος

των φορητών συσκευών, και να αποκτούν πρόσβαση

σε κρυπτογραφημένα δεδομένα. Σε αυτά μπορεί να

συγκαταλέγονται, όχι μόνο τα εταιρικά δεδομένα που

υπάρχουν στην κάθε συσκευή, αλλά και κωδικοί πρό-

σβασης που φυλάσσονται σε εφαρμογές αποθήκευσης

κωδικών πρόσβασης όπως το λογισμικό Keychain στο

iPhone με τους κωδικούς αυτούς είναι εφικτή η πρό-

σβαση σε εταιρικές υπηρεσίες όπως το ηλεκτρονικό

ταχυδρομείο ή το εικονικό ιδιωτικό δίκτυο μιας επιχεί-

ρησης. Επιπλέον, πολλοί χρήστες «έξυπνων τηλεφώ-

νων» αφήνουν τις συσκευές τους στο έλεος του Θεού.

Στην παγκόσμια μελέτη του οργανισμού Websense και

του Ινστιτούτου Ponemon σχετικά με τους κινδύνους

της φορητότητας, το 59% των ερωτηθέντων εται-

ρειών είπε ότι οι υπάλληλοί τους είτε παρακάμπτουν

με κάποιον τρόπο είτε απενεργοποιούν εξολοκλήρου

χαρακτηριστικά ασφάλειας όπως οι κωδικοί πρόσβα-

σης και το κλείδωμα του πληκτρολογίου. Οι εισβολείς

μπορούν επίσης να αποκτήσουν πρόσβαση στις φορη-

τές συσκευές μέσω κάποιας σύνδεσης USB ή υποδοχής

κάρτας SD. Αν λοιπόν κάποιος αφήσει τη συσκευή του

έστω και για ένα λεπτό στο γραφείο ή την καρέκλα

χωρίς να την επιτηρεί, μπορεί να προκύψει σοβαρός

κίνδυνος.

Άλλος σοβαρός λόγος ανησυχίας σήμερα είναι οι

περιπτώσεις μείζονος διαρροής δεδομένων λόγω της

χρήσης υπηρεσιών υπολογιστικής νέφους. Οι υπάλ-

ληλοι χρησιμοποιούν πλέον όλο και περισσότερο

δημόσιες υπηρεσίες υπολογιστικής νέφους, όπως το

Google Drive ή το Dropbox, για κοινή χρήση αρχείων

και συνεργασία. Για παράδειγμα, η Mashery, μια εται-

ρεία με 170 εργαζομένους η οποία συνδράμει άλλες

εταιρείες στην κατασκευή εφαρμογών, επιτρέπει στους

εργαζομένους της που διαθέτουν iPhone να χρησι-

μοποιούν τις υπηρεσίες Dropbox, Box, YouSendIt,

Teambox και Google Drive για να αποθηκεύουν

υπομνήματα, λογιστικά φύλλα και πληροφορίες των

πελατών. Αυτές οι υπηρεσίες όμως είναι ευάλωτες. Τον

Ιούλιο του 2012, το Dropbox ανακοίνωνε την απώλεια

των ονομάτων χρηστών και των κωδικών πρόσβα-

σης πολλών πελατών . το 2011, Κινέζοι χάκερ διείσ-

δυσαν σε εκατοντάδες λογαριασμούς των αμερικανι-

κών κυβερνητικών υπηρεσιών στο Gmail της Google.

Στην πραγματικότητα, ελάχιστα πράγματα μπορεί να

κάνει μια εταιρεία για να αποτρέψει τους υπαλλήλους

–στους οποίους η ίδια επιτρέπει να έχουν πρόσβαση σε

εταιρικά δεδομένα μέσω των «έξυπνων τηλεφώνων»

τους– από το να προωθήσουν ένα εταιρικό έγγραφο,

λόγου χάρη, σε μια υπηρεσία αποθήκευσης στο νέφος

προκειμένου να το επεξεργαστούν αργότερα.

Αν και οι επιθέσεις από επιτήδειους χάκερ σε φορη-

τές συσκευές και κινητά τηλέφωνα ήταν έως τώρα

περιορισμένες σε εμβέλεια και επίδραση, η κατάσταση

επιδεινώνεται, ειδικά για τις συσκευές με λειτουργικό

σύστημα Android οι οποίες είναι ευάλωτες σε πλαστές

και κακόβουλες εφαρμογές. Η Google ελέγχει την

ασφάλεια στο «οικοσύστημα» του Android σε πολύ

μικρότερο βαθμό απ’ ό,τι κάνει η Apple στις συσκευές

της που λειτουργούν με το iOS, επειδή η Google προ-

σφέρει ένα ανοιχτό μοντέλο εφαρμογών. Η Google

δεν εξετάζει η ίδια τις εφαρμογές που γράφονται

Laudon_ESS11_Chap8_GR.indd 397

10/13/14 1:22 PM

Κάθε κεφάλαιο περι-

έχει δύο περιπτωσιο-

λογικές μελέτες εστι-

ασμένες στους ανθρώ-

πους, τους οργανισμούς

ή την τεχνολογία, όπου

γίνεται αναφορά σε

εταιρείες του πραγμα-

τικού κόσμου προκει-

μένου να αναδειχθούν

έννοιες και ζητήματα

που εξετάζονται στο

κεφάλαιο.

Οι Ερωτήσεις Περιπτω-

σιολογικής Μελέτης

δίνουν έναυσμα στους

φοιτητές να εφαρμό-

σουν τις έννοιες του

κάθε κεφαλαίου σε

πραγματικές εταιρείες,

στο πλαίσιο συζητήσεων

στην αίθουσα διδασκα-

λίας, παρουσιάσεων που

θα διεξάγουν οι ίδιοι ή

γραπτών εργασιών.

εμπόδια προκειμένου να περιορίζει την επίδραση του

κακόβουλου κώδικα, καθώς και στα σχόλια των χρη-

στών και των ειδικών ασφαλείας. Οι εφαρμογές της

Google εκτελούνται μέσα σε «στεγανό περιβάλλον»

(sandbox), όπου δεν μπορούν να επηρεάσουν η μία την

άλλη ή να επέμβουν σε χαρακτηριστικά και δυνατότη-

τες της συσκευής χωρίς την άδεια του ίδιου του χρή-

στη. Η Google αφαιρεί από τον επίσημο δίαυλο διανο-

μής εφαρμογών της, το Google Play, όποιες εφαρμογές

παραβιάζουν τους κανόνες σχετικά με την κακόβουλη

δραστηριότητα.

Επίσης, η Google λαμβάνει απ τρεπτικά μέτρα

ώστε να μειώσει όσο γίνεται τις εφαρμογές κακόβου-

λου λογισμικού: Ελέγχει το πρότερο στορικό των

π ογραμματιστών και του ζητά να εγγραφούν στην

υπηρεσία πληρωμής Checkout (όχι μόνο για να εν αρ-

ρύνει τους χρήστες να καταβάλουν αντίτιμο για τις

εφαρμογές π υ χρησιμοπ ιούν, αλλά και για να εξα-

ν γκάσ ι τους προγραμ ατιστές να αποκαλύψουν την

ταυτότητά τους και τα οικονομικά τους στοιχεία). Στις

πρόσφ τ ς βελτιώσεις τ υ Android στον τομέα της

σφάλειας συγκαταλέγονται η δυνα ότητ ε χώρησης

διαφορετικών επι έδων εμπιστοσύνης σε κάθ εφαρ-

μογή, η δυνατό ητα ορισμού ου ίδους των δ δο-

μένων που κάθε εφαρμογή μπορεί να προσπελάζει

μέσα στο περιορισμένο σ εγανό περιβάλλον της, κ ι

η παρ χή ενός πιο αξιόπ στου τρόπου αποθήκευση

κρυπτογραφημένων διαπιστευτηρίων που χρησιμοποι-

ούνται για την πρόσβαση σε ευαίσθητες π ηροφορίες

και π ρους. Παρατ ύτα, είναι σχεδόν αδύνατο για τις

εταιρείες να εμποδίσουν τους υπαλλήλους από το να

«κατεβάζουν» φαρμογές οι ποίες ενδέχεται να παρα-

κολουθούν κρίσιμες πληροφορίες όταν αυτοί χρησιμο-

ποιούν τις δικές τους συσκευές στον χώρο εργασίας.

λωτα σε κακόβουλο λογισμικό το οποίο διαδίδεται

μέσω των φυλλομετρητών Ιστού και εκμεταλλεύεται

τις αδυναμίες και τα κενά τους.

Το τίμημα των παραβιάσεων ασφαλείας μέσω των

φορητών συσκευών και των κινητών τηλεφώνων είναι

βαρύ. Σύμφωνα με την έρευνα για την κατάσταση

της φορητότητας, που διεξήγαγε η Symantec για το

2012, το μέσο ετήσιο κόστος περιστατικών παραβί-

ασης μέσω φορητών συσκευών, που περιελάμβαναν

μεταξύ άλλων τη απώλεια δεδομένων, τη δυσφήμιση

της εμπορικής επωνυμίας τους, τη πτώση της παρα-

γωγικότητας και την απώλεια της εμπιστοσύνης των

πελατών, έφτανε τα 429.000 δολάρια για τις μεγάλες

επιχειρήσεις. Το αντίστοιχο ποσό για τις μι ρές επι-

χειρήσεις ανερχόταν στα 126.000 ολάρια. Εξάλλου,

αυτές οι αραβιάσεις ασφαλείας μπορούν να προκαλέ

σουν και αν πολόγιστη ζημιά στη φήμη μιας εταιρ ίας

Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ επιβάλλει στις

εταιρείες να προβαίνουν ε δημόσι ς ανα οινώσει

για ενδεχόμενη μη εξ υσιοδο ημένη αποκάλυψη μπ

στευτικών πληροφοριών, είτε μέσω μη π οστατευμέ-

νων συσκευών, είτε μη έμ ιστων εφαρμογών, είτε λόγω

μηλού επιπέδου ασφάλειας τ ν υπηρεσιών νέφους,

ε περίπτωση που οι πληροφορίες αυτές ενδέχεται να

ε η εάσουν τ ν τιμή των μετοχών τους.

Πηγές: Michael Finneran, “2013 State of Mobility Survey”,

Information Week

,

Ιούνιος 2013. Symantec Corporation,“State of Mobility Global Results”, 2013. Dan

Goodin, “Google Strengthens Android Security Muscle with SELinux Protection,

ArsTechnica, 24 Ιουλίου 2013. Acronis, “Top 5 Security Threats for the Mobile

Enterprise and How to Address Them, 2013. Karen A. Frenkel, “Best Practices of

Mobile Technology Leaders”,

CIO Insight

, 24 Ιουλίου 2013. Don Reisinger, “Mobile

Security: Why It’s Your Biggest Threat.”

CIO Insight

. Quentin Hardy, “Where Apps

Meet Work, Secret Data Is at Risk”,

New York Times

, 3 Μαρτίου 2013. Ponemon

Institute, “Global Study on Mobility Risks”, Φεβρουάριος 2012. Matthew G. Cook,

Bruce Wiatrak και Keith Olsen, 5 Top BYOD Threats for 2013.

Information Week

,

Ιανουάριος 2013. Zach Epstein και Sara Gates, “iPhone Malware: Kaspersky Expects

Apple’s IOS to Be Under Attack By Next Year”,

Huffington Post

, 15 Μαΐου 2012.

1.

Κάποιοι υποστηρίζουν ότι το «έξυπνο τηλέφωνο»

είναι ένας μικρός υπολογιστής στην παλάμη μας.

Να συζητήσετε τις συνέπειες αυτής της δήλωσης

όσον αφορά την ασφάλεια.

2.

Ποιοι νθρώπινοι, οργανωσιακοί και τεχνολογι-

κοί παράγοντες πρέπει να αντιμετω ιστού στην

ασφάλεια των «έξυπνων τηλεφώνων»;

3.

Ποια προβλήματα προκαλούν στις επιχειρήσεις

οι αδυναμίες των «έξυπνων τηλεφώνων» όσον

αφορά την ασφάλεια;

4.

Ποια μέτρα πρέπει να λάβουν οι μεμονωμένοι

χρήστες και οι επιχειρήσεις ώστε να καταστήσουν

πιο ασφαλή τα «έξυπνα τηλέφωνά» τους;

Ερωτήσεις Περιπτωσιολογικής Μελέτης

Laudon_ESS11_Chap8_GR.indd 398

10/13/14 1:22 PM

κλείνει με σχετικές ερωτήσεις. Οι ερωτήσεις προσφέρουν θέματα για συζήτηση

μέσα στην τάξη ή για δια ικτυακή συζήτηση, καθώς και για γραπτές εργασίες.

•

Εργασίες ξάσκησης.

Σ ο τέλ κάθε κεφαλαίου υπάρχει η ενότητα των Εργα-

σιών εξάσκησης στα Πληροφοριακά Συστήματα Διοίκησης, η οποία περιλαμ-

βάνει τρία είδη εργασιών: δύο Προβλήματα Λήψης Αποφάσεων, μια πρακτική

άσκηση με χρήση λογισμικού όπως το Microsoft Excel, η Microsoft Access, ή

εργαλεία δημιουργίας ιστοσελίδων ή ιστολογίων, καθώς και μια εργασία που

εξασκεί επιχειρημα ικές δεξιότητες οι οποίες σχετίζονται με το Διαδίκ υο. Σε

κάθε κεφάλαιο, η εξελισσόμενη περιπτωσιολογική μελέτη της εικονικής εται-

ρείας Dirt Bikes USA που περιέχεται στο ηλεκτρονικό συνοδευτικό υλικό περι-

λαμβάνει επιπλέον πρακτικές εργασίες.

70

Μέρος Ι: Τα πληροφορι κά συστήματα στην ψηφιακή εποχή

Ερωτήσεις για συζήτη η

1-6

Ποιες είναι οι συνέπειες της παγκο-

σμιοποίησης στην αναζήτηση εργα-

ίας; Τι μπορείτε να κάνετε προκει-

μένου ν προετοιμαστ ίτε γι να

αντιμετωπίσετε τον ανταγωνισμό σε

έ π γκοσμιοποιημένο επιχειρημα-

τικό περιβάλλον; Πώς θα σας βοη-

θούσε στον ανταγωνισμό η γνώση

των πληροφοριακών συστημάτων;

1-7

Αν αναλαμβάνατε τη δημιουργία της

τοποθεσίας Ιστού των San Francisco

Giants, ποια ανθρώπινα, οργανωσι-

ακά και τεχνολογικά ζητήματα είναι

πιθανό να συναντούσατε;

1-8

Να προσδιορίσετε μερικά από τα

ανθρώπινα, οργανωσιακά και τεχνο-

λογικά ζητήματα που χρειάστηκε να

αντιμετωπίσει η UPS κατά τη δημι-

ουργία των ε ιτυχημένων πληροφο-

ριακών συστημάτων της.

Εργασίες εξάσκησης

Με τις ε γασίες αυτής της ενότητας θα αποκτήσετε πρακτική πείρ στην ανάλυση

προβλημάτων κατάρτισης οικονομικών αναφορών και διαχείρισης αποθεμάτων, χρησι-

μοποιώντας λογισμικό διαχείρισης δεδομένων για να βελτιώσετε τη διαδικασία λήψης

διοικητικών αποφάσεων οι οποίες προσβλέπουν στην αύξηση των πω ήσεων, αλλά και

λογισμικό του Διαδικτύ υ για να διερευνήσετε τις απαιτήσε ς των θέ εων εργασίας.

ΠΡΟΒΛΗΜΑΤΑ ΛΗΨΗΣ ΑΠΟΦΑΣΕΩΝ

1-9

Στο παρελθόν, το οικονομικό τμήμα της εταιρείας Snyders of Hanover, η οποία

πουλά περίπου 80 εκατομμύρια συσκευασίες λ υρών ειδών (κουλου άκι , τσι ς

και βιολογικές τροφές) κατ’ έτος, χρησιμοποιούσε λογιστικά φύλλα και χειρόγρα-

φες διαδι

ίες σε πο λές από τις απαιτούμενες εργασίες συγκέντρωσης δεδομέ-

νων και κατάρτισης αναφορών. Ο οικονομι ός αναλυτής της Hanover χρειαζόταν

ολόκληρη την τελευταία εβδομάδα κάθε μήνα για να συγκεντρώσει τα απαραί-

τητα λογιστικά φύλλα από τους διευθυντές των 50 και πλέον τμημάτων ανά τον

κόσμο. Μετά συνάθροιζε όλα τα δεδ μένα και τα καταχώριζε εκ νέου σε άλλο

λογιστικό φύλλο, το οποίο θα αποτελού ε τη μηνιαία κατάσταση αποτελεσμάτων

χρήσης της εταιρείας. Αν κάποιο τμήμα χρειαζόταν να ενημερώσει τα δεδομένα

του αφού είχε παραδώσει το λογιστικό φύλλο του στα κεντρικά της εταιρείας, ο

αναλυτής έπρεπε να επιστρέψει στο αρχικό λογιστικό φύλλο, μετά να περιμένει

το συγκεκριμένο τμήμα να υποβάλει ξ νά τα δεδομένα του και ύστ ρα να κατα-

χωρίσει ξανά ενημερω να στοιχεία στο ενιαί έγγραφο. Ν αξιολογήσετε τι

αντίκτυπο είχε αυτή η διαδικασία στην απόδ ση της επιχείρησης, αλλά και τη

λήψη διοικητικών αποφάσεων.

1-10

Η εταιρεία Dollar General Corporation έχει εκπτωτικά καταστήματα τα οποία

διαθέτουν είδη σπιτιού, καθαρισμού, ένδυσης, περιποίησης και συσκευασμένες

τροφές, τα περισσότερα από τα οποία πωλούνται στην τιμή του 1 δολαρίου. Στο

πλαίσιο του επιχειρηματικού μοντέλου της, τα έξοδα της εταιρείας πρέπει να είναι

όσο λιγότερα γίνεται. Η εταιρεία δεν διαθέτει αυτοματοποιημένη μέθοδο παρακο-

λούθησης του αποθέματος κάθε καταστήματος. Τα διοικητικά στελέχη γνωρίζουν

κατά προσέγγιση πόσα κιβώτια κάθε προϊόντος υποτίθεται ότι πρέπει να λάβει

κάθε κατάστημα σε κάθε παραλαβή, αλλά τα καταστήματα δεν έχουν τεχνολο-

γικό εξοπλισμό που να τους επιτρέπει να σαρώνουν ηλεκτρονικά τα κιβώτια ή να

επιβεβαιώνουν το πλήθος των περιεχομένων τους. Έχει παρατηρηθεί μια ανοδική

τάση στην απώλεια εμπορευμάτων, είτε από κλοπή είτε από άλλα ατυχή συμβά-

ντα. Οι απώλειες αυτές φτάνουν πλέον στο 3% του συνόλου των πωλήσεων. Ποιες

αποφάσεις πρέπει να ληφθούν προτού η εταιρεία επενδύσει σε μια λύση πληροφο-

ριακού συστήματος;

Σε κάθε κεφάλαιο,

υπάρχουν δύο επιχειρη-

ματικά «σενάρια» από

τον πραγματικό κόσμο,

τα οποία δίνουν την

ευκαιρία στους φοιτητές

να εφαρμόσουν τις

έννοιες του κεφαλαίου

και να εξασκηθούν

στη λήψη διοικητικών

αποφάσεων.