THEPOWERGAME
Νίκος Πέππας
O Νίκος Πέππας είναι Principal, Risk Advisory της Deloitte
Είναι γεγονός ότι η έννοια της ψηφιακής ταυτότητας (Digital Identity) γίνεται θεμέλιο μιας ταχέως αναπτυσσόμενης οικονομίας και κοινωνίας που βασίζεται στην τεχνολογία και στο μεγάλο όγκο δεδομένων. Φυσικά, δε μιλάμε για τη νέα ψηφιακή αστυνομική ταυτότητα που σχεδιάζεται αυτή τη στιγμή από την Κυβέρνηση για τους Έλληνες πολίτες, αλλά για το μηχανισμό που χρησιμοποιούν τα ψηφιακά συστήματα πληροφορικής για να ταυτοποιήσουν ένα χρήστη, μια εφαρμογή ή μια ηλεκτρονική συσκευή.
Υπάρχει όμως ένα μεγάλο εμπόδιο που θα πρέπει να ξεπεραστεί. Πολλοί οργανισμοί αποτυγχάνουν να θέσουν την ψηφιακή ταυτότητα στο επίκεντρο του επιχειρηματικού τους μοντέλου με κίνδυνο να χαθούν τα οφέλη μιας «υπεύθυνης» ψηφιοποίησης. Είναι ξεκάθαρο ότι η πολυπλοκότητα των οντοτήτων που καλούνται να ταυτοποιηθούν έχει πολλαπλασιαστεί. Κάποτε, θεωρούσαμε χρήστες τους υπαλλήλους μιας εταιρίας ενώ πλέον έχουμε συνεργάτες ή άλλα τρίτα μέρη, πελάτες, καταναλωτές, συσκευές και σε πολλές περιπτώσεις μικροσυσκευές ως συστατικά στοιχεία του Διαδικτύου των Πραγμάτων (Internet of Things).
Η ψηφιακή ταυτότητα παραδοσιακά βρίσκει εφαρμογή τόσο στους εργαζόμενους και εξωτερικούς συνεργάτες ενός οργανισμού, αλλά και στους πελάτες του. Στην πρώτη περίπτωση το ζητούμενο είναι να μπορέσουν να αποδοθούν τα ελάχιστα δυνατά δικαιώματα καθ’ όλη τη διάρκεια του κύκλου ζωής ενός υπαλλήλου ή συνεργάτη (πρόσληψη – μετάθεση – αποχώρηση) ώστε να μπορεί να εκτελεί τις αρμοδιότητές του, ενώ ταυτόχρονα να επιτυγχάνεται ο μέγιστος βαθμός προστασίας στα εκάστοτε δεδομένα.
Ταυτόχρονα, η ευκολία εγγραφής, χρήσης, πληρωμής, προσωποποίησης μια υπηρεσίας ή ενός προϊόντος ή αλλιώς αυτό που ονομάζουμε «ψηφιακή εμπειρία», φαίνεται ότι αποτελεί σημαντικό κριτήριο επιλογής για ένα καταναλωτή, φαινόμενο το οποίο ενισχύθηκε σημαντικά κατά τη διάρκεια της πανδημίας. Σε αυτό το πλαίσιο, δομικός παράγοντας για την υψηλού επιπέδου «ψηφιακή εμπειρία» ενός πελάτη είναι ο μηχανισμός διαχείρισης των ψηφιακών ταυτοτήτων (Identity Μanagement).
Όλα αυτά συμβαίνουν όμως σε ένα περιβάλλον στο οποίο από τη μία μεριά οι κυβερνοεγκληματίες αναπτύσσουν όλο και πιο έξυπνες τεχνικές επίθεσης καθιστώντας τον απλό χρήστη εύκολο στόχο και από την άλλη οι κανονιστικές υποχρεώσεις σε θέματα προστασίας δεδομένων και ιδιωτικότητας γίνονται ολοένα και πιο αυστηρές.
Επίσης, με τη νέα τάση στο χώρο της Κυβερνοασφάλειας που ονομάζεται «Zero-Trust» κάθε οντότητα καλείται να αποδείξει κάθε φορά την ταυτότητά της. Με άλλα λόγια δεν υπάρχουν πια «έμπιστοι» χρήστες ή συσκευές. Είναι προφανές ότι οι απαιτήσεις είναι τέτοιες που η χειρωνακτική διαχείριση των ψηφιακών ταυτοτήτων δεν είναι εφικτή και απαιτούνται τα κατάλληλα τεχνολογικά εργαλεία.
Μια επιτυχημένη υλοποίηση μηχανισμού Identity Μanagement έχει πολλαπλά οφέλη όπως εμπιστοσύνη, προστασία της εταιρικής εικόνας, αύξηση πωλήσεων, μειωμένα λειτουργικά κόστη αλλά θα πρέπει να διέπεται από τα εξής κύρια χαρακτηριστικά:
- Ασφάλεια στη λειτουργία και στη διαχείριση ενσωματώνοντας τις διεθνείς βέλτιστες πρακτικές Κυβερνοασφάλειας.
- Ευελιξία και προσαρμογή σε πιθανές νέες επιχειρησιακές ανάγκες.
- Επεκτασιμότητα ώστε να είναι εύκολη η εξυπηρέτηση νέων χρηστών.
- Διαλειτουργικότητα με υφιστάμενες υποδομές και πληροφοριακά συστήματα.
- Ανθεκτικότητα ώστε να εξασφαλίζεται η αδιάλειπτη λειτουργία.
Φυσικά, η έλλειψη επαγγελματιών Κυβερνοασφάλειας και η αφοσίωση του υφιστάμενου προσωπικού στη συντήρηση των παλαιών πληροφοριακών συστημάτων, καθιστούν την όποια καινοτομία δύσκολη υπόθεση. Για αυτό το λόγο, ενισχύεται η τάση για υιοθέτηση νέων τεχνολογιών με τη μορφή υπηρεσίας (as-a-service). Σύμφωνα με πρόσφατη μελέτη της Deloitte, το 71% των οργανισμών αναφέρει ότι οι μισές διαδικασίες πληροφορικής προσφέρονται πλέον με τη μορφή υπηρεσίας από εξειδικευμένους συνεργάτες (XaaS). Το «Identity as a service» είναι χαρακτηριστικό παράδειγμα αυτής της προσέγγισης το οποίο παρουσιάζει επιτυχία σε παγκόσμιο επίπεδο.
Ο οδικός χάρτης για την ομαλή υιοθέτηση ενός πλαισίου διαχείρισης ψηφιακών ταυτοτήτων αποτελείται συνήθως από τα ακόλουθα:
- Κατανόηση του επιπέδου ωριμότητας Κυβερνοασφάλειας του οργανισμού. Η διαχείριση ψηφιακών ταυτοτήτων θα πρέπει να αποτελεί μέρος μιας ολιστικής στρατηγικής Κυβερνοασφάλειας και όχι ένα «πυροτέχνημα» ανάμεσα σε άλλα έργα τεχνολογίας.
- Προσδιορισμός επιχειρησιακών στόχων που επιτυγχάνονται μέσα από ένα έργο Identity Management.
- Αξιολόγηση και επιλογή της επιθυμητής προσέγγισης υλοποίησης (εσωτερική υλοποίηση ή προμήθεια ως υπηρεσία).
- Επιλογή προμηθευτή που πληροί τις απαραίτητες προδιαγραφές.
- Εκπαίδευση προσωπικού τόσο για τη χρήση όσο και τη συντήρηση ενός προγράμματος Identity Management.
Σε κάθε περίπτωση, κύριο συστατικό της επιτυχίας είναι η ενεργή υποστήριξη της Ανώτερης Διοίκησης και η συμμετοχή όλων των επιχειρησιακών μονάδων. Ένα τέτοιο έργο δεν αποτελεί ακόμα μια τεχνική υλοποίηση αλλά μια θεμελιώδη πρωτοβουλία ψηφιακού μετασχηματισμού.
Σημαντική επιρροή δύνανται να έχουν και οι κυβερνήσεις μέσα από τη δημιουργία ενός υποστηρικτικού νομικού, κανονιστικού και τεχνικού περιβάλλοντος. Η Ευρωπαϊκή Ένωση, για παράδειγμα, έχει δημιουργήσει μια υποδομή ψηφιακής ταυτότητας και ταυτοποίησης για τις δημόσιες υπηρεσίες της. Αντίστοιχα, στην Ελλάδα ενθαρρυντική είναι η κεντρικοποίηση των υπηρεσιών μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr), κάνοντας χρήση ενιαίας ψηφιακής ταυτότητας. Είναι πλέον η σειρά του ιδιωτικού τομέα να κινηθεί προς αυτή την κατεύθυνση.
Ακολουθήστε το Powergame.gr στο Google News για άμεση και έγκυρη οικονομική ενημέρωση!
