Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
1
Πληροφοριακά συστήματα διοίκησης
PATRICIA WALLACE Πληροφοριακά συστήματα διοίκησης Άνθρωποι, τεχνολογία, διαδικασίες
2
Κεφάλαιο10: Ζητήματα ηθικής, προστασίας της ιδιωτικής ζωής και ασφάλειας
Σε αυτό το κεφάλαιο διερευνάται η υποχρέωση τόσο των οργανισμών όσο και των ατόμων να διαχειρίζονται τα δεδομένα προσωπικού χαρακτήρα με προσοχή, να λαμβάνουν ηθικές αποφάσεις ως προς τη χρήση τους και να τα προστατεύουν από τις αμέτρητες απειλές. Παράλληλα, ερευνούνται τα ηθικά διλήμματα που ανακύπτουν σχετικά με τη συλλογή και χρήση των πληροφοριών, ενώ διερευνάται η αόριστη έννοια της προστασίας των προσωπικών δεδομένων και συζητείται η κρισιμότητα της ασφάλειας των πληροφοριών σε όλους τους οργανισμούς.
3
Μαθησιακοί στόχοι Ηθική Προκλήσεις Προστασία της ιδιωτικής ζωής
Ασφάλεια Ανθρώπινη συμπεριφορά Το κεφάλαιο περιλαμβάνει τις ακόλουθες θεματικές ενότητες: Ορισμός της ηθικής, περιγραφή των δύο πλαισίων της ηθικής και επεξήγηση της σχέσης μεταξύ ηθικής και νομοθεσίας. Περιγραφή των προκλήσεων που δημιουργούν η πνευματική ιδιοκτησία και η λογοκλοπή στην πληροφοριακή ηθική, καθώς και των τεχνολογιών που χρησιμοποιούνται για την αντιμετώπισή τους. Περιγραφή της ασφάλειας των πληροφοριών και των στρατηγικών που εφαρμόζονται για την προστασία τους. Ανάλυση των λόγων που οδηγούν τους οργανισμούς στην εφαρμογή συστημάτων παρακολούθησης. Επεξήγηση των μέτρων που λαμβάνουν οι οργανισμοί για τη διαχείριση των κινδύνων που αφορούν την ασφάλεια, την αναγνώριση των απειλών, την εκτίμηση των τρωτών σημείων και την ανάπτυξη διοικητικών και τεχνικών μηχανισμών ελέγχου. Επεξήγηση των λόγων που καθιστούν συχνά την ανθρώπινη συμπεριφορά τον πιο αδύναμο κρίκο στα ζητήματα που άπτονται της ηθικής, της προστασίας της ιδιωτικής ζωής και της ασφάλειας. Παράθεση παραδειγμάτων στρατηγικών που μπορούν να εφαρμοστούν για την εξουδετέρωση των αδυναμιών αυτών.
4
Wikipedia Ελευθερία του λόγου Ηθικά διλήμματα
Ο Jimmy Wales, ιδρυτής της Wikipedia υποστηρίζει με σθένος την ελευθερία του λόγου, συμπεριλαμβανομένης και της αρχής ότι οποιοσδήποτε μπορεί να συνεισφέρει οποιαδήποτε πληροφορία σε αυτή τη μεγαλύτερη παγκοσμίως ανοικτού κώδικα πηγή πληροφόρησης. Ορισμένες φορές, όμως, οι περιστάσεις ροκανίζουν τις ηθικές δεσμεύσεις. Όταν ο ρεπόρτερ των New York Times David Rohde απήχθη από τους Ταλιμπάν, οι συντάκτες της εφημερίδας παρακάλεσαν τον Wales να αποτρέψει την ανάρτηση σχετικών αναφορών στη Wikipedia, φοβούμενοι ότι έτσι θα μειώνονταν οι πιθανότητες του Rohde να επιζήσει. Ο Wales ζήτησε από την ομάδα του να καθαρίζει (sanitize) τις ενημερώσεις που ανέφεραν κάτι για την απαγωγή, αμέσως μόλις εμφανίζονταν. Όταν η στρατηγική αυτή απέτυχε, αναγκάστηκε να μπλοκάρει τα λήμματα της Wikipedia για τον Rohde, αποτρέποντας με τον τρόπο αυτό οποιαδήποτε δυνατότητα επεξεργασίας τους. Οι συντάκτες της Wikipedia διχάστηκαν από την απόφαση του Wales να λογοκρίνει τις αναρτήσεις. Ενώ ορισμένοι από αυτούς επικρότησαν τη στάση του, άλλοι αντέτειναν ότι δεν θα είχε ενδώσει στις πιέσεις εάν το θύμα της απαγωγής ήταν άλλο. (Τελικά ο Rohde κατάφερε να αποδράσει και είναι ασφαλής.) Μια ακόμα περίπτωση ηθικού διλήμματος ανάγκασε τελικά τον Wales να αποσυρθεί. Ο Larry Sanger, συνιδρυτής της Wikipedia, με τον οποίο ο Wales είχε αποξενωθεί, κατήγγειλε στο FBI ότι ορισμένα από τα λήμματα της εγκυκλοπαίδειας περιλάμβαναν υλικό παιδικής πορνογραφίας. Χωρίς πρώτα να το συζητήσει με τους διαχειριστές της ιστοσελίδας, ο Wales έσπευσε να διαγράψει τις εικόνες. Εξαιτίας της αναταραχής που επακολούθησε, ο Wales επέλεξε να παραιτηθεί από τα πλήρη δικαιώματα πρόσβασης που είχε και να υποβαθμίσει το λογαριασμό του σε διαχειριστή χαμηλού επιπέδου (low-level administrator), ώστε το σύστημα ασφαλείας του λογισμικού να μην του επιτρέπει να διαγράφει τίποτα. Τα ζητήματα ηθικής, προστασίας της ιδιωτικής ζωής και ασφάλειας καταδεικνύουν πόσο άρρηκτα συνδεδεμένος είναι ο ανθρώπινος παράγοντας με τα υπόλοιπα τρία βασικά συστατικά στοιχεία των πληροφοριακών συστημάτων: την τεχνολογία, τις διαδικασίες και τα δεδομένα. Ελευθερία του λόγου Ηθικά διλήμματα
5
Ηθικά πλαίσια Φυσικοί νόμοι και δικαιώματα Ωφελιμισμός
Η ηθική (ethics) αναφέρεται σε ένα σύνολο ηθικών αρχών, τις οποίες οι άνθρωποι χρησιμοποιούν για να κρίνουν τι είναι σωστό και τι λάθος και να αναπτύξουν κανόνες δεοντολογίας. Αμέτρητα πλαίσια ηθικής έχουν εμφανιστεί καθ’ όλη τη διάρκεια της ανθρώπινης ιστορίας και στους διάφορους πολιτισμούς, αλλά δύο από αυτά έχουν υιοθετηθεί ευρύτερα (Πίνακας 10-1). Το πρώτο από τα δύο πλαίσια εστιάζει στους φυσικούς νόμους και τα δικαιώματα (natural laws and rights). Η ηθική υπόσταση κάθε πράξης κρίνεται με βάση το πόσο καλά ανταποκρίνεται σε κοινά αποδεκτούς κανόνες, ανεξάρτητα από τις συνέπειές της. Το «οὐ κλέψεις», λόγου χάρη, είναι μία από τις Δέκα Εντολές του χριστιανισμού. Οι θρησκευτικές αρχές, μάλιστα, αποτελούν τη βάση για πολλούς από τους υπάρχοντες κανόνες. Άλλες, όπως τα «να τηρείς τις υποσχέσεις σου», «να προστατεύεις την ιδιωτική περιουσία» και «να υπερασπίζεσαι την ελευθερία του λόγου», προκύπτουν από πεποιθήσεις για τα θεμελιώδη και αυτονόητα δικαιώματα των ανθρώπων. Για παράδειγμα, η Διακήρυξη της Ανεξαρτησία των ΗΠΑ (U.S. Declaration of Independence) αναφέρει τη ζωή, την ελευθερία και την αναζήτηση της ευτυχίας ως αναφαίρετα ανθρώπινα δικαιώματα. Ένα δεύτερο πλαίσιο, το οποίο ονομάζεται ωφελιμισμός (utilitarianism), εστιάζει στις συνέπειες μιας πράξης, σταθμίζοντας τα καλά από τα κακά αποτελέσματά της. «Πρώτα απ’ όλα, να μην κάνεις κακό» είναι μια από τις αρχές της ιατρικής δεοντολογίας, η οποία διασφαλίζει ότι οι ιατροί θα συνυπολογίσουν τις πιθανές αρνητικές συνέπειες κάθε θεραπείας. Όταν κανείς προσπαθεί να αξιολογήσει ποια πράξη θα κάνει το μεγαλύτερο καλό στον μεγαλύτερο αριθμό ατόμων, τότε ακολουθεί το ωφελιμιστικό σχήμα. Σε πολλές περιπτώσεις και οι δύο ηθικές προσεγγίσεις οδηγούν τους ανθρώπους στο ίδιο συμπέρασμα αναφορικά με το ποια είναι η σωστή ενέργεια. Τα ηθικά διλήμματα, όμως, προκύπτουν όταν η εφαρμογή διαφορετικών συστημάτων οδηγεί σε διαφορετικά συμπεράσματα για το τι είναι ηθικά σωστό να πράξει κανείς.
6
Ηθική και νομοθεσία Ηθικές αρχές Πολιτικές πιέσεις Νόμιμο vs. ηθικό
Οι νόμοι συχνά βασίζονται σε ηθικές αρχές, όπως η απαγόρευση της δολοφονίας και της κλοπής ή η προστασία της ιδιωτικής περιουσίας και της ελευθερίας του λόγου. Η Χάρτα των Δικαιωμάτων του Ανθρώπου των ΗΠΑ (U.S. Bill of Rights) ενσωματώνει πολλές ηθικές αρχές στο Σύνταγμα, όπως η ανεξιθρησκία, η ελευθερία του Τύπου και το δικαίωμα της δίκης με ενόρκους. Η Τέταρτη Τροπολογία (Fourth Amendment) του, που αφορά την προστασία έναντι της αυθαίρετης έρευνας και σύλληψης, βοηθά στον καθορισμό των προσδοκιών αναφορικά με την προστασία των προσωπικών δεδομένων. Παρ’ όλα αυτά, ορισμένοι νόμοι σχετίζονται λιγότερο με την ηθική και τη δεοντολογία, αλλά προκύπτουν ως αποτέλεσμα της άσκησης πίεσης από διάφορες ομάδες συμφερόντων και άλλες πολιτικές πιέσεις. Καθώς η νομοθεσία δεν καλύπτει όλες τις ηθικές αρχές, μια πράξη που δεν είναι παράνομη δεν είναι απαραίτητα και ηθική. Ανάλογα με την περίσταση, το να πει κανείς ψέμα μπορεί να είναι νόμιμο, αλλά την ίδια στιγμή εξαιρετικά ανήθικο.
7
Ζητήματα ηθικής στις τεχνολογίες πληροφοριών και επικοινωνιών
Νέες παράμετροι Ελευθερία του λόγου Λήψη αποφάσεων Οι τεχνολογίες πληροφοριών και επικοινωνιών προσθέτουν νέες παραμέτρους στη λήψη ηθικών αποφάσεων. Πρώτα απ’ όλα αλλάζουν το εύρος της επίδρασης, ιδιαίτερα ως προς τις συνέπειες μιας πράξης. Το γεγονός ότι εκτείνονται σε ολόκληρο τον κόσμο επιτείνει το όποιο καλό ή κακό προξενούν, καθιστώντας αυτό που σε άλλη περίπτωση θα ήταν ένα μικρό σφάλμα σε κάτι εξαιρετικά μεγαλύτερο. Οι τεχνολογίες πληροφοριών και επικοινωνιών επηρεάζουν επίσης και τη λήψη αποφάσεων, κυρίως λόγω του τρόπου με τον οποίο ο κόσμος του Διαδικτύου επιδρά στην ανθρώπινη συμπεριφορά. Οι άνθρωποι έχουν την τάση να αίρουν τις αναστολές τους όταν αλληλεπιδρούν διαδικτυακά, όπου η μεταξύ τους ψυχολογική απόσταση είναι μεγαλύτερη. Αυτά τα χαρακτηριστικά μπορεί να έχουν ως αποτέλεσμα την υποτίμηση της πιθανής βλάβης που μπορούν να προκαλέσουν με τις πράξεις τους – όταν κάτι δεν το βλέπουμε μπροστά μας, εύκολα το ξεχνάμε ή το θεωρούμε ασήμαντο. Για παράδειγμα, σχετικές έρευνες δείχνουν ότι οι φοιτητές αξιολογούν τις πράξεις διαφορετικά, ανάλογα με τον εάν εμπλέκεται με κάποιον τρόπο η τεχνολογία. Θεωρούν την αντιγραφή στα διαγωνίσματα, τη λογοκλοπή στις εργασίες και την παράνομη αντιγραφή πνευματικής ιδιοκτησίας σχετικά πιο αποδεκτές πρακτικές, στην περίπτωση που χρησιμοποίησαν υπολογιστή και το Διαδίκτυο για να τα κάνουν.
8
Πληροφοριακή ηθική Τα ζητήματα ηθικής και δεοντολογίας που είναι πιο κρίσιμα για τη διαχείριση των πληροφοριακών συστημάτων άπτονται κυρίως της αποθήκευσης, της μετάδοσης και της χρήσης των ψηφιοποιημένων δεδομένων. Όσο αυξάνεται ο όγκος των δεδομένων, αυξάνεται και το εύρος του πεδίου εφαρμογής της πληροφοριακής ηθικής (information ethics), αλλά και οι αντιπαραθέσεις. Παράδειγμα αποτελεί η πνευματική ιδιοκτησία, η οποία πλέον στην συντριπτική πλειονότητά της είναι ψηφιοποιημένη. Ορισμένοι θεωρούν ότι η προστασία της πνευματικής ιδιοκτησίας είναι φυσικό δικαίωμα. Άλλοι πάλι ισχυρίζονται ότι το κοινό καλό εξυπηρετείται όταν οι πληροφορίες διαχέονται όσο το δυνατόν ευρύτερα.
9
Πνευματική ιδιοκτησία και λογοκλοπή
Πνευματική ιδιοκτησία και λογοκλοπή Πνευματική ιδιοκτησία Διαχείριση ψηφιακών δικαιωμάτων Λογοκλοπή Η πνευματική ιδιοκτησία (intellectual property – IP) περιλαμβάνει τα άυλα περιουσιακά στοιχεία, όπως η μουσική, τα γραπτά έργα, το λογισμικό, τα έργα τέχνης, τα σχέδια, οι ταινίες, οι δημιουργικές ιδέες, οι ανακαλύψεις, οι εφευρέσεις και άλλες εκφράσεις της ανθρώπινης διανόησης. Οι περισσότερες κοινωνίες έχουν αναπτύξει ένα λαβύρινθο από νόμους περί πνευματικής ιδιοκτησίας, διπλωμάτων ευρεσιτεχνίας και άλλα νομοθετήματα για να προστατεύσουν τα δικαιώματα της πνευματικής ιδιοκτησίας. Η εφαρμογή όλων αυτών των νόμων, όμως, είναι σχεδόν αδύνατη, όταν η πνευματική ιδιοκτησία είναι σε ψηφιακή μορφή. Η Business Software Alliance (BSA – μη κερδοσκοπικός οργανισμός του κλάδου της πληροφορικής) αναφέρει σε εκθέσεις της ότι υπάρχουν τεράστιες οικονομικές απώλειες για τις επιχειρήσεις εξαιτίας της πειρατείας λογισμικού – για την ακρίβεια, περισσότερα από 50 δισεκατομμύρια δολάρια για το Η BSA υπολογίζει ότι για κάθε λογισμικό αξίας 100 δολαρίων που πωλήθηκε εκείνη τη χρονιά, λογισμικό αξίας 75 δολαρίων εγκαταστάθηκε παράνομα. Ο όρος διαχείριση ψηφιακών δικαιωμάτων (digital rights management – DRM) αναφέρεται στις τεχνολογίες που χρησιμοποιούν οι δημιουργοί λογισμικού, οι εταιρείες μέσων μαζικής ενημέρωσης και άλλοι κάτοχοι πνευματικής ιδιοκτησίας προκειμένου να ελέγχουν την πρόσβαση στο ψηφιακό τους περιεχόμενο. Καθώς, όμως, οι τεχνολογίες ωριμάζουν, θα είναι σε θέση να προσφέρουν στους κατόχους πνευματικών δικαιωμάτων προστασία για τα έργα τους, χωρίς να δυσκολεύουν τους πελάτες τους. Το είδος της κλοπής της πνευματικής ιδιοκτησίας που εκτινάχθηκε λόγω της δυνατότητας εύκολης αντιγραφής και επικόλλησης που προσφέρουν οι επεξεργαστές κειμένου είναι η λογοκλοπή (plagiarism), η οποία περιλαμβάνει την αναπαραγωγή των γραφομένων ή λεγομένων κάποιου άλλου και την παρουσίασή τους ως πρωτότυπο έργο, χωρίς την απαραίτητη αναφορά στην πηγή. H ιστοσελίδα Turnitin.com από την iParadigms, λόγου χάρη, προσφέρει μια υπηρεσία «ελέγχου πρωτοτυπίας» (originality checking), όπου τα κείμενα που υποβάλλονται κωδικοποιούνται με χρώμα, δείχνοντας έτσι από ποιες πηγές προέρχονται τα επιμέρους αποσπάσματα.
10
Προστασία της ιδιωτικής ζωής (1:2) Ασαφής έννοια
Τι είναι η προστασία της ιδιωτικής ζωής; Προστασία των προσωπικών δεδομένων Ο ορισμός της έννοιας προστασία της ιδιωτικής ζωής παραμένει ασαφής. Σε μια συνηθισμένη μέρα, μπορεί κανείς να επισκεφθεί εκατοντάδες ιστοσελίδες, να πληκτρολογήσει δεκάδες όρους αναζήτησης, να κατεβάσει μια δωρεάν εφαρμογή προστασίας οθόνης, να συλλέξει δεκάδες cookies, να κάνει προσφορά σε μια δημοπρασία, να ανεβάσει μερικές φωτογραφίες και να κάνει κλικ σε διαφημίσεις. Οι κάμερες ασφαλείας τραβούν φωτογραφίες ανθρώπων κατ’ εξακολούθησιν και οι πιστωτικές κάρτες σαρώνονται σε κάθε συναλλαγή. Οι εταιρικές ταυτότητες των εργαζομένων, τα συστήματα ηλεκτρονικής πληρωμής διοδίων, τα κινητά τηλέφωνα, τα διαβατήρια και οι συσκευές GPS καταγράφουν κάθε κίνηση. Περισσότερα από τα δύο τρίτα των ενηλίκων Αμερικανών λένε ότι ανησυχούν για την πιθανότητα να υποκλαπεί η ταυτότητά τους. Η ευκολία με την οποία τα πληροφοριακά συστήματα είναι σε θέση να συλλέγουν και να συνδέουν μεταξύ τους τα δεδομένα καθιστά την προστασία της ιδιωτικής ζωής κορυφαίο ηθικό ζήτημα. Τι ακριβώς όμως είναι η προστασία της ιδιωτικής ζωής; Τα Ηνωμένα Έθνη αναγνώρισαν την προστασία της ιδιωτικής ζωής ως θεμελιώδες ανθρώπινο δικαίωμα το 1999, αλλά ο ορισμός της έννοιας αυτής παραμένει ασαφής. Κυβερνήσεις, νομικά πρόσωπα και υποστηρικτές της προστασίας της ιδιωτικότητας αναφέρουν πλειάδα στοιχείων που μπορεί να συμπεριληφθούν στον ορισμό (Σχήμα 10-1), ενώ υπάρχουν διαφορές ανάμεσα στα κράτη ως προς το βαθμό του σεβασμού που δείχνουν σε καθένα από τα στοιχεία αυτά. Το Κοράνι, η Βίβλος και ο Εβραϊκός νόμος κάνουν αναφορές στην προστασία της ιδιωτικής ζωής. Η προστασία των προσωπικών δεδομένων (information privacy), η οποία αναφέρεται στην προστασία των δεδομένων που αφορούν τα άτομα, σχετίζεται άμεσα με την τεχνολογία πληροφοριών και επικοινωνιών. Όταν όλα αυτά τα δεδομένα υπήρχαν μόνο στα χαρτιά ή και καταχωρημένα σε αυτόνομα συστήματα με προβληματικές διασυνδέσεις, η προστασία των προσωπικών δεδομένων ήταν ευκολότερο να επιτευχθεί. Τώρα πλέον επαφίεται κυρίως στις αποφάσεις που άνθρωποι, οργανισμοί και κυβερνήσεις λαμβάνουν σχετικά με το ποια δεδομένα θα συλλέγουν, θα χρησιμοποιούν και θα δημοσιοποιούν.
11
Προστασία της ιδιωτικής ζωής (2:2)
Προστασία της ιδιωτικής ζωής (2:2) Παροχή διευκολύνσεων Ανωνυμία Παρακολούθηση Όλως περιέργως οι άνθρωποι προτίθενται να αποκαλύψουν τα προσωπικά τους δεδομένα σε εμπορικές επιχειρήσεις με αντάλλαγμα μικρές διευκολύνσεις, ένα εκπτωτικό κουπόνι ή ένα δωρεάν δείγμα ψηφιακού προϊόντος. Επιτρέποντας κανείς σε μια ιστοσελίδα να αφήνει cookies, λόγου χάρη, σημαίνει ότι στην επόμενη επίσκεψή του η ιστοσελίδα θα είναι πιο δυναμική, περιλαμβάνοντας πληροφορίες, προϊόντα και προωθητικό υλικό προσαρμοσμένα στις ανάγκες του συγκεκριμένου χρήστη. Οι οργανισμοί, για να μπορέσουν να κερδίσουν την εμπιστοσύνη των πελατών τους, θα πρέπει να αναφέρουν ρητά στις πολιτικές προστασίας απορρήτου ποια δεδομένα συλλέγουν και γιατί. Επιπλέον, θα πρέπει να φροντίζουν να προστατεύουν τα δεδομένα που τελικά συλλέγουν και να συμμορφώνονται με τις πολιτικές που οι ίδιοι θεσπίζουν. Ο όρος ανωνυμία αναφέρεται στην συνθήκη κατά την οποία η ταυτότητα ενός ατόμου παραμένει άγνωστη. Από τη θετική του πλευρά, η ανωνυμία είναι σημαντική για τα άτομα που καταγγέλλουν παρανομίες των επιχειρήσεων (whistleblowers), πληροφοριοδότες της αστυνομίας, δημοσιογραφικές πηγές και πολιτικούς ακτιβιστές σε απολυταρχικά καθεστώτα. Προστατεύει, επίσης, ανθρώπους που συμμετέχουν σε διαδικτυακές ομάδες υποστήριξης, όπου αποκαλύπτουν προσωπικά στοιχεία χωρίς να φοβούνται ότι θα δημοσιοποιηθούν. Η ανωνυμία, όμως, προστατεύει και τους εγκληματίες και τους αποστολείς ανεπιθύμητης αλληλογραφίας (spammers), όπως και όσους αναρτούν κακόβουλες ειδήσεις και σχόλια, προκαλώντας σοβαρές βλάβες ή αντίποινα. Οι χρήστες του Διαδικτύου είναι σε θέση να αποκρύπτουν την πραγματική τους ταυτότητα χρησιμοποιώντας ψεύτικα ονόματα, ψευδώνυμα, δωρεάν υπηρεσίες ηλεκτρονικού ταχυδρομείου και υπολογιστές δημόσιας χρήσης. Παρ’ όλα αυτά, το να σβήσει κανείς εντελώς τα ψηφιακά του ίχνη δεν είναι και τόσο εύκολο. Οι οργανισμοί έχουν στη διάθεσή τους τεχνολογίες για την παρακολούθηση του ηλεκτρονικού ταχυδρομείου, της περιήγησης στον ιστό και άλλων επικοινωνιών, ενώ οι σχετικές έρευνες δείχνουν ότι πολλοί τις έχουν ήδη υιοθετήσει. Μολονότι οι λόγοι για παρακολούθηση είναι εύλογοι, τα μειονεκτήματα αυτής της πρακτικής δεν είναι αμελητέα. Παρ’ όλες τις ανησυχίες για τη χρήση του Διαδικτύου εν ώρα εργασίας, η παρακολούθηση μπορεί να προκαλέσει κάποιες φορές μείωση της παραγωγικότητας. Ορισμένοι μάλιστα ισχυρίζονται ότι η πρακτική αυτή δείχνει έλλειψη εμπιστοσύνης εκ μέρους του εργοδότη.
12
Ασφάλεια πληροφοριών Διαχείριση κινδύνου
Ο όρος ασφάλεια πληροφοριών (information security) περιλαμβάνει γενικά την προστασία των πληροφοριακών περιουσιακών στοιχείων (information assets) ενός οργανισμού ενάντια στην κακόβουλη χρήση, τη δημοσιοποίηση, τη μη εξουσιοδοτημένη πρόσβαση ή την καταστροφή τους. Οι κίνδυνοι για την ασφάλεια των πληροφοριών μπορεί να προκύψουν τόσο εκτός όσο και εντός του οργανισμού. Μπορεί να είναι φυσικά φαινόμενα ή γεγονότα προκαλούμενα από τους ανθρώπους, τυχαία ή σκόπιμα. Εξαιτίας, όμως, των αμέτρητων απειλών και των μειωμένων προϋπολογισμών, οι οργανισμοί δεν είναι σε θέση να εξαλείψουν όλους τους κινδύνους, και γι’ αυτό θα πρέπει να τους αξιολογούν με μεγάλη προσοχή για να μπορούν να τους διαχειριστούν. Οι διαχειριστές κινδύνου (risk managers) λαμβάνουν υπόψη τους πολλά διαφορετικά ζητήματα, ξεκινώντας από τον σαφή προσδιορισμό των πληροφοριακών περιουσιακών στοιχείων που χρήζουν προστασίας. Η νομοθεσία παίζει σημαντικό ρόλο στα ζητήματα αυτά, καθώς υποχρεώνει τους οργανισμούς να προστατεύουν τα ιατρικά αρχεία, τα οικονομικά στοιχεία, τα ΑΜΚΑ, τα αρχεία των φοιτητών και άλλα ευαίσθητα δεδομένα. Οι κρατικές υπηρεσίες, από την πλευρά τους, υποχρεούνται να προστατεύουν απόρρητα έγγραφα, ενώ οι επιχειρήσεις πρέπει να διασφαλίζουν τα εμπορικά τους μυστικά.
13
Αναγνώριση απειλών Κακόβουλο λογισμικό και κακόβουλα δίκτυα
Συνδυασμένη παρακώλυση της προσφοράς συγκεκριμένης υπηρεσίας Ηλεκτρονικό «ψάρεμα» Διαρροή πληροφοριών Απειλές που προέρχονται από τους ανθρώπους οι οποίοι πραγματοποιούν μπαράζ επιθέσεων καθημερινά σε διακομιστές και υπολογιστές, κάνοντας αυτοματοποιημένες προσπάθειες να εγκαταστήσουν διάφορους τύπους κακόβουλου λογισμικού (malware) – λογισμικό το οποίο έχει σχεδιαστεί για να επιτίθεται σε υπολογιστικά συστήματα. Πολλές επιθέσεις προέρχονται από εγκληματικές συμμορίες που δημιουργούν και διαχειρίζονται χιλιάδες κακόβουλα δίκτυα (botnets). Ο αγγλικός όρος botnets προέρχεται από το συνδυασμό των λέξεων «robot» (ρομπότ) και «network» (δίκτυο) και αναφέρεται σε ένα σύνολο υπολογιστών τα οποία έχουν καταλειφθεί από κακόβουλο λογισμικό, συχνά εξαιτίας κάποιων τρωτών σημείων στα λογισμικά ή στο λειτουργικό τους σύστημα. Οι συμμορίες ενεργοποιούν τα κακόβουλα δίκτυά τους με σκοπό να υποκλέψουν κωδικούς χρήστη, συνθηματικά, αριθμούς πιστωτικών καρτών, ΑΜΚΑ, ΑΦΜ και άλλες ευαίσθητες πληροφορίες. Μια ακόμη σοβαρότατη απειλή που προέρχεται από τα κακόβουλα δίκτυα είναι η συνδυασμένη παρακώλυση της προσφοράς συγκεκριμένης υπηρεσίας (distributed denial of service – DDoS), όπου οι υπολογιστές-ζόμπι καθοδηγούνται ώστε να πλημμυρίσουν το διακομιστή μιας ιστοσελίδας με καταιγισμό αιτημάτων για το άνοιγμα ιστοσελίδων, κάνοντάς τον να είναι αργός, να σέρνεται ή απλώς να σταματήσει τελείως να λειτουργεί. Οι επιθέσεις αυτού του είδους προκαλούν στους οργανισμούς απώλειες πολλών εκατομμυρίων δολαρίων, εξαιτίας της διακοπής της λειτουργίας, των χαμένων συναλλαγών, καθώς και της απώλειας φήμης και πελατείας. Καθώς τα κακόβουλα δίκτυα αποκρύπτουν την πραγματική προέλευση εκατομμυρίων εισερχόμενων μηνυμάτων, χρησιμοποιούνται πολύ συχνά για επιθέσεις ηλεκτρονικού «ψαρέματος» (phishing). Αυτού του είδους οι επιθέσεις ξεκινούν, συνήθως, με ένα μήνυμα ηλεκτρονικού ταχυδρομείου, το οποίο παρασύρει με έξυπνο τρόπο τους φορολογούμενους να πατήσουν επάνω σε ένα σύνδεσμο. Οι παραλήπτες του μηνύματος οδηγούνται σε μια φαινομενικά αυθεντική ιστοσελίδα, στην οποία εισάγουν το ΑΦΜ τους και άλλα προσωπικά στοιχεία. Ο κίνδυνος της διαρροής πληροφοριών δεν προέρχεται αποκλειστικά από τους εγκληματίες του κυβερνοχώρου. Οι εργαζόμενοι μπορεί να χάσουν φορητούς υπολογιστές και έξυπνα κινητά τηλέφωνα, ηλεκτρονικό ταχυδρομείο το οποίο περιέχει αντίγραφα ασφαλείας μπορεί να λοξοδρομήσει και κάποιοι μπορεί να πετάξουν διαβαθμισμένα έγγραφα στα σκουπίδια, χωρίς προηγουμένως να τα περάσουν από τον καταστροφέα εγγράφων.
14
Εκτίμηση των τρωτών σημείων
Αξιολόγηση του κινδύνου Έλεγχοι Πίνακας κινδύνου Η αξιολόγηση του κινδύνου που κάνει ένας οργανισμός θα πρέπει να εκτιμά και τα τρωτά του σημεία, προκειμένου να καθορίσει την αποτελεσματικότητα των μέτρων ασφαλείας που εφαρμόζει. Μόλις ολοκληρωθεί η ανάλυση των τρωτών σημείων, ο οργανισμός είναι πλέον σε θέση να αξιολογήσει τους ελέγχους που καλύπτουν τα κενά ασφαλείας και τον προστατεύουν από συγκεκριμένες απειλές. Συχνά στη φάση αυτή χρησιμοποιούνται πρότυπα του εκάστοτε κλάδου. Το πόσο ευάλωτος είναι ένας οργανισμός εξαρτάται εν μέρει και από το πόσο πιθανό είναι να συμβεί ένα συγκεκριμένο γεγονός. Το επίπεδο του κινδύνου διαφέρει επίσης ανάλογα με την απειλή. Στον πίνακας κινδύνου (risk matrix) καταγράφονται τα τρωτά σημεία και οι μάνατζερ αξιολογούν το επίπεδο κινδύνου που αυτά συνεπάγονται, σε περιοχές όπως το απόρρητο, η φήμη της επιχείρησης, τα οικονομικά, η διαθεσιμότητα του συστήματος και η λειτουργία του. Ο πίνακας περιλαμβάνει επίσης μια εκτίμηση της πιθανότητας να συμβεί ένα συγκεκριμένο γεγονός, ενώ οι μάνατζερ μπορούν να προσθέσουν και δικούς τους δείκτες προκειμένου να επεκτείνουν την ανάλυση, ανάλογα με τις ανάγκες του εκάστοτε οργανισμού. Ο πίνακας βοηθά στο να εστιαστεί η προσοχή στα τρωτά σημεία που μπορεί να προκαλέσουν τους μεγαλύτερους πιθανούς κινδύνους.
15
Διαχειριστικοί έλεγχοι ασφάλειας
Διαδικασίες Πολιτικές Σχέδιο αντιμετώπισης των επιπτώσεων των συμβάντων Οι διαχειριστικοί έλεγχοι ασφάλειας (administrative security controls) περιλαμβάνουν όλες τις διαδικασίες, τις πολιτικές και το σχεδιασμό που κάνει ένας οργανισμός για να ενισχύσει την ασφάλεια των πληροφοριών και να διασφαλίσει ότι θα μπορέσει να επανακάμψει σε περίπτωση που κάτι προκύψει. Ορισμένοι έλεγχοι μπορεί να καθορίζουν πολιτικές ασφάλειας των πληροφοριών, οι οποίες περιορίζουν τις ιστοσελίδες τις οποίες μπορούν να επισκέπτονται οι εργαζόμενοι, ή ακόμα και να απαγορεύουν πλήρως την πρόσβαση στο Διαδίκτυο. Αυτές οι πολιτικές προσφέρουν προστασία, καθώς απαγορεύουν στους εργαζομένους να κατεβάζουν δεδομένα και να τα αποθηκεύουν στα έξυπνα κινητά τους τηλέφωνα ή στα στικάκια τους. Όσοι κλάδοι χειρίζονται ευαίσθητα δεδομένα θα πρέπει να θεσπίσουν αυστηρές πολιτικές και να λαμβάνουν μέτρα για την εφαρμογή τους. Οι διαδικασίες και οι πολιτικές που ελέγχουν την πρόσβαση των εργαζομένων στο σύστημα είναι από τις πιο σημαντικές. Για να αποφευχθούν οι χαοτικές καταστάσεις και οι λάθος κινήσεις σε περίπτωση που κάτι συμβεί, ο οργανισμός θα πρέπει να διαθέτει σαφές σχέδιο αντιμετώπισης των επιπτώσεων των συμβάντων (incidence response plan), βάσει του οποίου το προσωπικό θα αξιολογεί την εκάστοτε απειλή, θα καθορίζει τα αίτια εμφάνισής της, θα διαφυλάσσει οποιαδήποτε αποδεικτικά στοιχεία και θα επαναφέρει το σύστημα, ώστε ο οργανισμός να μπορεί να συνεχίσει κανονικά τη λειτουργία του.
16
Τεχνικοί έλεγχοι ασφάλειας
Στρατηγικές ελέγχου (πιστοποίησης) ταυτότητας Κρυπτογράφηση Αποτροπή εισβολών Οι τεχνικοί έλεγχοι που εφαρμόζονται για την αποτροπή της παράνομης πρόσβασης βασίζονται σε τεχνολογίες που είναι σε θέση να ταυτοποιήσουν τα άτομα και να καθορίσουν ποια προνόμια πρόσβασης θα τους χορηγηθούν. Οι στρατηγικές ελέγχου ταυτότητας (authentication) βασίζονται ως επί το πλείστον σε: κάτι που ο χρήστης γνωρίζει, κάτι που ο χρήστης έχει στην κατοχή του, όπως δελτίο ταυτότητας εργαζομένου, ή κάτι που ο χρήστης είναι. Τα βιομετρικά αναγνωριστικά στοιχεία χρησιμοποιούνται επίσης ευρύτατα, κυρίως για τη φυσική ασφάλεια (physical security), καθώς είναι πιο δύσκολο να παραβιαστούν, να πλαστογραφηθούν ή να αντιγραφούν. Ο πολλαπλός έλεγχος ταυτότητας (multifactor authentication) συνδυάζει δύο ή περισσότερες στρατηγικές ελέγχου ταυτότητας, ενισχύοντας σημαντικά την ασφάλεια έναντι της παράνομης πρόσβασης σε ευαίσθητα δεδομένα. Ένας από τους ισχυρότερους τεχνικούς ελέγχους για την προστασία των ευαίσθητων δεδομένων είναι η κρυπτογράφηση (encryption). Με τη διαδικασία αυτή τα δεδομένα μετασχηματίζονται μέσω μαθηματικών τύπων, ώστε να μην μπορεί κανείς να τα διαβάσει, εκτός εάν γνωρίζει το κλειδί αποκρυπτογράφησής τους. Όσον αφορά τη μετάδοση δεδομένων στο Διαδίκτυο, μια πολύ δημοφιλής στρατηγική είναι η κρυπτογράφηση με χρήση δημόσιου κλειδιού (public key encryption), στην οποία χρησιμοποιείται ένα σετ δύο κλειδιών, το ένα για την κρυπτογράφηση και το άλλο για την αποκρυπτογράφηση των δεδομένων. Το ένα κλειδί είναι δημόσιο (public), το γνωρίζουν όλοι, ενώ το άλλο είναι ιδιωτικό (private) και το γνωρίζει μόνο ο παραλήπτης. Σήμερα διατίθενται πολύ περισσότερα εργαλεία για την αποτροπή της παράνομης εισόδου σε ένα δίκτυο και για τον εντοπισμό των εισβολέων που τελικά καταφέρνουν να εισχωρήσουν. Η πιο σημαντική γραμμή άμυνας είναι το τείχος προστασίας (firewall). Πρόκειται για έναν τεχνικό έλεγχο που επιθεωρεί την κυκλοφορία εισερχόμενων και εξερχόμενων δεδομένων και είτε την επιτρέπει είτε την εμποδίζει, ανάλογα με τους κανόνες που έχει καθορίσει ο οργανισμός. Τα συστήματα τειχών προστασίας περιλαμβάνουν επίσης λειτουργικά χαρακτηριστικά για τον εντοπισμό ύποπτων γεγονότων και για να ειδοποιούνται άμεσα οι μάνατζερ. Καθώς η ανεπιθύμητη αλληλογραφία (spam) αποτελεί, σύμφωνα με υπολογισμούς, το 90% της συνολικής κυκλοφορίας μηνυμάτων ηλεκτρονικού ταχυδρομείου, χρειάζονται πλέον συστήματα αποτροπής εισβολών για τον έλεγχο αυτής της δαπανηρής απειλής.
17
Ασφάλεια πληροφοριών και υπολογιστικά νέφη
Ανησυχία για την ασφάλεια Πρότυπα και βέλτιστες πρακτικές Η τάση που επικρατεί πλέον στις επιχειρήσεις να στρέφονται προς τα υπολογιστικά νέφη, όπου σημαντικές για την αποστολή τους εφαρμογές και δεδομένα φιλοξενούνται από μια υπηρεσία εκτός των τειχών τους και η πρόσβαση σε αυτά γίνεται μέσω Διαδικτύου, έχει ως βασικό κίνητρο τη μείωση του κόστους και την ευκολία. Οι διευθυντές των τμημάτων πληροφορικής ανησυχούν για την ασφάλεια στα υπολογιστικά νέφη και το κατά πόσο οι προμηθευτές των υπηρεσιών αυτών είναι σε θέση να παρέχουν επαρκή προστασία στα πολυτιμότερα περιουσιακά στοιχεία του οργανισμού. Έχει ξεκινήσει μια δράση για την ανάπτυξη προτύπων ασφαλείας και βέλτιστων πρακτικών για τα υπολογιστικά νέφη, παράλληλα με διαφανείς μηχανισμούς ελέγχων, που θα βοηθούν στην παροχή διαβεβαιώσεων σε πιθανούς πελάτες ότι οι πληροφορίες τους θα είναι ασφαλείς. Ο Cloud Security Alliance είναι ένας μη κερδοσκοπικός οργανισμός στον οποίο συμμετέχουν ειδικοί με σκοπό την ανάπτυξη προτύπων και ελέγχων, που θα είναι εφάμιλλα αυτών που ισχύουν ήδη για το ηλεκτρονικό εμπόριο και τα ιατρικά αρχεία. Οι ειδικοί της πληροφορικής, πάντως, έχουν διάφορες απόψεις σχετικά με το πόσο ασφαλή θα είναι τα δεδομένα στα υπολογιστικά νέφη. Η μοίρα αυτής της αρχιτεκτονικής τάσης είναι πολύ πιθανό να εξαρτηθεί από το πόσο ισχυρή θα είναι η ασφάλειά της.
18
Ο ανθρώπινος παράγοντας (1:2) Ζητήματα γνωστικής λειτουργίας
Κωδικοί πρόσβασης Η εξαιρετική πολυπλοκότητα των υπολογιστών και των πληροφοριακών συστημάτων προκαλούν δυσκολίες ακόμα και στους εξυπνότερους ανθρώπους. Επομένως, δεν αποτελεί έκπληξη το γεγονός ότι αρκετοί θα απενεργοποιήσουν τα συστήματα ασφαλείας του υπολογιστή τους προκειμένου να καταφέρουν να εγκαταστήσουν ένα λογισμικό. Οι άνθρωποι συνήθως προτιμούν να χρησιμοποιούν τις γνωστικές τους δεξιότητες για πιο παραγωγικούς στόχους, και όταν οι πολιτικές ασφαλείας και οι διαδικασίες στέκονται εμπόδιο, μπορεί και να τις παρακάμψουν. Τα όρια της ανθρώπινης μνήμης (και υπομονής) έχουν καταστήσει τους κωδικούς πρόσβασης, την πιο συχνά χρησιμοποιούμενη στρατηγική ελέγχου ταυτότητας, πολύ ευάλωτο στοιχείο. Οι άνθρωποι από μόνοι τους έχουν την τάση να δημιουργούν πολύ αδύναμους κωδικούς πρόσβασης, διότι είναι πιο εύκολο να τους θυμούνται· είναι, όμως, και εξίσου εύκολο να παραβιαστούν. Παρότι οι τεχνικοί έλεγχοι μπορούν να επιβάλλουν στους χρήστες να προσθέτουν στους κωδικούς τους αριθμούς και άλλους μη αλφαβητικούς χαρακτήρες, καθώς και να τους αλλάζουν συχνά, δεν έχουν ακόμη αποδώσει τα επιθυμητά αποτελέσματα. Οι χρήστες, επίσης, έχουν την τάση να σημειώνουν σε διάφορα σημεία τους κωδικούς τους, αλλά και να χρησιμοποιούν τον ίδιο κωδικό σε περισσότερα από ένα συστήματα, ακόμα και σε πολύ λιγότερο ασφαλή συστήματα, όπως τα διαδικτυακά παιχνίδια και οι ιστοσελίδες ενημέρωσης. Το γνωστικό εμπόδιο στη δημιουργία δυνατών κωδικών πρόσβασης είναι απλώς οι περιορισμένες δυνατότητες της ανθρώπινης μνήμης. Προκειμένου να μειωθεί το γνωστικό φορτίο που σχετίζεται με την απομνημόνευση πολλαπλών κωδικών πρόσβασης, πολλοί οργανισμοί χρησιμοποιούν τη μοναδική σύνδεση (single sign-on). Πρόκειται για μια υπηρεσία πρόσβασης, η οποία επιτρέπει στους χρήστες να συνδέονται μία φορά χρησιμοποιώντας ένα μοναδικό όνομα χρήστη και έναν κωδικό για να έχουν πρόσβαση σε πολλές εφαρμογές λογισμικού.
19
Ο ανθρώπινος παράγοντας (2:2)
Ο ανθρώπινος παράγοντας (2:2) Κοινωνική μηχανική Προγράμματα ευαισθητοποίησης σε θέματα ασφάλειας Τα άτομα χειραγωγούνται μέσω της κοινωνικής μηχανικής (social engineering) ώστε να παρακάμψουν τις τυπικές διαδικασίες ασφαλείας ή να αποκαλύψουν απόρρητες πληροφορίες. Οι άνθρωποι είναι δελεαστικοί στόχοι για όσους έχουν δόλιους σκοπούς και κατανοούν αυτού του είδους τη συμπεριφορά. Ένα από τα αδύναμα σημεία είναι πολύ απλά η επιθυμία των ανθρώπων να παρέχουν βοήθεια. Πολύ συχνά τα άτομα προωθούν μηνύματα γεμάτα ιούς σε φίλους και γείτονες, προσπαθώντας να φανούν χρήσιμοι. Οι εισβολείς εκμεταλλεύονται μια ακόμα κοινή τάση των ανθρώπων, το σεβασμό στα πρόσωπα εξουσίας, χρησιμοποιώντας στολές, τίτλους ή απλώς προφορικές υποδείξεις, όπως ότι ο πρόεδρος της εταιρείας θέλει να γίνει κάτι. Είναι πολύ εύκολο να αποσπάσει κανείς κωδικούς πρόσβασης από κάποιον εργαζόμενο, αρκεί να χρησιμοποιήσει το τηλέφωνο του διευθύνοντα συμβούλου, όταν αυτός βγει από το γραφείο του. Καθώς οι άνθρωποι δεν είναι απρόσβλητοι από την απληστία, οι απατεώνες χρησιμοποιούν αυτό τους το ευάλωτο σημείο για να τους πείσουν να αποκαλύψουν απόρρητες πληροφορίες. Οι οργανισμοί θα πρέπει να διαθέτουν προγράμματα ευαισθητοποίησης σε θέματα ασφάλειας, ώστε να ενημερώνουν και να υπενθυμίζουν συνεχώς στους εργαζομένους τους κινδύνους που ελλοχεύουν από τη χαλάρωση της ασφάλειας. Το πρόγραμμα θα πρέπει να παρουσιάζει όλες τις πολιτικές και τις διαδικασίες που έχει καθιερώσει ο ίδιος οργανισμός, καθώς και τους εφαρμοζόμενους νόμους και κανονισμούς που αφορούν τη διαχείριση των πληροφοριών, ώστε να διασφαλίζεται η κανονιστική συμμόρφωση. Πέραν της συμμόρφωσης με τις νομικές υποχρεώσεις, ένα πρόγραμμα ευαισθητοποίησης σε θέματα ασφάλειας θα πρέπει να προειδοποιεί τους ανθρώπους για τους τρόπους με τους οποίους η κοινωνική μηχανική μπορεί να εκμεταλλευτεί την τάση των ανθρώπων να είναι ευγενικοί, εξυπηρετικοί ή και άπληστοι, καθώς και την επιθυμία τους να είναι παραγωγικοί. Θα πρέπει μάλιστα να προσφέρει εκπαίδευση στη χρήση εργαλείων κρυπτογράφησης, για παράδειγμα, και να βοηθά τους ανθρώπους να εντοπίζουν τομείς στους οποίους είναι πιθανό να παραβιαστεί η ασφάλεια. Τέλος, θα πρέπει να ενισχύει την αρχή που υποστηρίζει ότι ο οργανισμός έχει την ηθική υποχρέωση να διατηρεί την ασφάλεια των πληροφοριών.
20
Λήψη αποφάσεων με γνώμονα την ηθική
Λήψη αποφάσεων με γνώμονα την ηθική Αντιπρόσωπος πωλήσεων Μαθητής της έκτης τάξης Υπάλληλος του πανεπιστημίου Συνάδελφος Οικονομικός διευθυντής Ας αναλογιστούμε το εύρος της βλάβης που μπορεί να προκαλέσουν οι πράξεις που περιγράφονται παρακάτω, σε διάφορες κατηγορίες ατόμων, από πελάτες, εργαζομένους και φοιτητές έως μετόχους και πολίτες. Πώς κρίνεται τις πράξεις αυτών των ανθρώπων; • Μια αντιπρόσωπος πωλήσεων κάνει ένα αντίγραφο του αρχείου πελατών, το αποθηκεύει στο έξυπνο κινητό της τηλέφωνο και το βάζει γρήγορα στην τσέπη ενός σακακιού. Παρότι η πολιτική της εταιρείας απαγορεύει την απομάκρυνση απόρρητων εγγράφων από το κτίριο, εκείνη θέλει να τα πάρει σπίτι γιατί έχει μείνει λίγο πίσω στη δουλειά. Ξεχνά όμως το σακάκι της μέσα στο μετρό, αλλά δεν ενημερώνει τον προϊστάμενό της για το συμβάν. • Ένας μαθητής της έκτης τάξης βρίσκει ένα στικάκι USB σε έναν από τους υπολογιστές του σχολείου, στο οποίο υπάρχουν τα ονόματα και οι διευθύνσεις όλων των μαθητών και των δασκάλων του σχολείου. Κατόπιν, ανεβάζει όλα τα στοιχεία στο λογαριασμό που έχει σε ιστοσελίδα κοινωνικής δικτύωσης, ώστε να συμπληρώσει τα στοιχεία επικοινωνίας όλων των φίλων του. •Ένας υπάλληλος του πανεπιστημίου ψάχνει τα παλιά αρχεία φοιτητών που είναι υποψήφιοι στις τρέχουσες εκλογές και στέλνει μερικές πικάντικες ειδησούλες στις εφημερίδες. • Ένας εργαζόμενος υποψιάζεται ότι ένας συνάδελφός του επισκέπτεται παράνομες ιστοσελίδες εν ώρα εργασίας, αλλά διστάζει να το αναφέρει φοβούμενος ότι μπορεί να προκαλέσει προβλήματα στον εν λόγω συνάδελφο ή ακόμα και την απόλυσή του. • Ένας οικονομικός διευθυντής, φοβούμενος ότι ορισμένα από τα μηνύματα ηλεκτρονικού ταχυδρομείου που αντάλλαξε με έναν από τους προμηθευτές της εταιρείας μπορεί να συνιστούν σύγκρουση συμφερόντων και να προκαλέσουν στην επιχείρηση νομικής φύσης προβλήματα, ζητά από κάποιον στο τμήμα πληροφορικής να διαγράψει ολόκληρο το λογαριασμό ηλεκτρονικού ταχυδρομείου του από το διακομιστή και από τα αντίγραφα ασφαλείας της εταιρείας.
21
Περίληψη Ηθική Προκλήσεις Προστασία της ιδιωτικής ζωής Ασφάλεια
Ανθρώπινη συμπεριφορά Ηθική είναι το σύστημα των ηθικών αρχών που χρησιμοποιούν οι άνθρωποι για να διακρίνουν το σωστό από το λάθος. Ένα από τα υπάρχοντα ηθικά πλαίσια εστιάζει στους φυσικούς νόμους και στα δικαιώματα. Ένα δεύτερο, που αποκαλείται ωφελιμισμός, δίνει έμφαση στις συνέπειες των πράξεων. Η πληροφοριακή ηθική εστιάζει στην αποθήκευση και στη μετάδοση ψηφιακών δεδομένων και άπτεται τόσο ηθικών όσο και νομικών ζητημάτων. Η προστασία των προσωπικών δεδομένων δέχεται μεγάλες πιέσεις εξαιτίας του συνεχώς αυξανόμενου όγκου των προσωπικών στοιχείων που υπάρχουν στο Διαδίκτυο, της περιπλοκότητας των ρυθμίσεων και των πολιτικών απορρήτου, καθώς και της προθυμίας των ανθρώπων να παραχωρήσουν τα προσωπικά τους δεδομένα με αντάλλαγμα την παροχή διευκολύνσεων. Η ασφάλεια των πληροφοριών διασφαλίζει την προστασία των πληροφοριακών περιουσιακών στοιχείων ενός οργανισμού ενάντια στην κακόβουλη χρήση, τη δημοσιοποίηση, τη μη εξουσιοδοτημένη πρόσβαση ή την καταστροφή τους. Οι οργανισμοί χρησιμοποιούν τη διαχείριση κινδύνου για να προσδιορίσουν τα περιουσιακά στοιχεία που χρειάζονται προστασία, να αναγνωρίσουν τις απειλές, τα τρωτά σημεία των περιουσιακών στοιχείων και να καθορίσουν τις επιπτώσεις των κινδύνων. 5. Καθώς οι άνθρωποι δίνουν μεγάλο βάρος στην παραγωγικότητα, μπορεί να παραμελήσουν την ασφάλεια, σε περίπτωση που αποτελεί εμπόδιο στην επίτευξή της. Η κοινωνική μηχανική εκμεταλλεύεται τις συμπεριφορικές τάσεις των ανθρώπων με στόχο να τους χειραγωγήσει στο να αποκαλύψουν ευαίσθητες πληροφορίες ή να παρακάμψουν τα μέτρα ασφαλείας. Η εκπαίδευση στην ευαισθητοποίηση γύρω από τα θέματα ασφάλειας, καθώς και η συνειδητοποίηση της σχέσης μεταξύ ασφάλειας, ηθικής και προστασίας των προσωπικών δεδομένων μπορεί να βοηθήσουν στην αντιμετώπιση των τάσεων αυτών.
22
Μελέτη περίπτωσης 1: Criteo
Retargeting («επαναληπτική στόχευση») Ανησυχίες για την προστασία των προσωπικών δεδομένων Διαφάνεια Η εταιρεία Criteo, που ιδρύθηκε το 2005, βοηθά τις ιστοσελίδες ηλεκτρονικού εμπορίου να βελτιώσουν την απόδοση των επενδύσεών τους στο μάρκετινγκ, μετατρέποντας τους επισκέπτες σε κερδοφόρα πελατεία. Όντας ο ηγέτης του εξατομικευμένου retargeting («επαναληπτική στόχευση») σε παγκόσμιο επίπεδο, η εν λόγω επιχείρηση εστιάζει στους επισκέπτες που περιηγήθηκαν στην ιστοσελίδα του πελάτη της, αλλά έφυγαν χωρίς να προβούν σε κάποια αγορά. Χρησιμοποιώντας cookies τρίτων, η τεχνολογία που εφαρμόζει η Criteo ακολουθεί τον επισκέπτη και του εμφανίζει διαφημίσεις τύπου πανό σε πραγματικό χρόνο. Οι διαφημίσεις αυτές αφορούν τα προϊόντα για τα οποία είχε δείξει προηγουμένως ενδιαφέρον ο χρήστης, καθώς περιηγούνταν στην ιστοσελίδα του πελάτη της – ή και προϊόντα που να μοιάζουν πολύ με αυτά. Το retargeting επισκεπτών μέσω της παρουσίασης απόλυτα σχετικών διαφημίσεων είναι πολύ αποτελεσματική πρακτική, σύμφωνα με έρευνες του κλάδου. Σε μια από τις μελέτες αυτές, που περιλάμβανε 139 διαφημιστικές καμπάνιες 39 διαφορετικών εταιρειών, το retargeting υπερτερούσε σημαντικά των άλλων στρατηγικών. Παρ’ όλα αυτά, οι υπέρμαχοι της προστασίας των προσωπικών δεδομένων εκφράζουν σοβαρές ανησυχίες τόσο για το retargeting όσο και για άλλες στρατηγικές μάρκετινγκ. Οι καταναλωτές δεν κατανοούν τον τρόπο λειτουργίας της τεχνολογίας και μπορεί να τους δημιουργείται η αίσθηση ότι καταδιώκονται. Οι κυβερνήσεις εξετάζουν την πιθανότητα λήψης νομικών μέτρων για τον έλεγχο αυτής της πρακτικής, καθώς έχουν θορυβηθεί από το συνεχώς διευρυνόμενο σύστημα εμπορικής παρακολούθησης και την ενισχυόμενη δυνατότητα εξατομίκευσης των διαφημίσεων. Η Criteo προσπαθεί επίσης να διασκεδάσει τους φόβους των καταναλωτών για το ζήτημα της παρακολούθησης, σε μια προσπάθεια να οικοδομήσει εμπιστοσύνη. Κάτω από κάθε διαφήμιση που εμφανίζει, η εταιρεία προσθέτει το σύμβολο «Ι», το οποίο παραπέμπει το χρήστη σε ένα κείμενο που εξηγεί για ποιο λόγο εμφανίζεται η διαφήμιση, ποιες πληροφορίες που αφορούν τον πελάτη χρησιμοποιήθηκαν για να δημιουργηθεί η διαφήμιση και με ποιον τρόπο ο χρήστης μπορεί να ζητήσει να εξαιρεθεί (opt out).
23
Μελέτη περίπτωσης 2: Ο Spamhaus
Αποστολή «Κατάλογος αποκλεισμού» (block list) Νομικά ζητήματα Προστατεύοντας σιωπηρά τα εισερχόμενα περισσότερων από 1,4 δισεκατομμυρίων ανθρώπων παγκοσμίως, ο Spamhaus είναι ένας διεθνής μη κερδοσκοπικός οργανισμός, του οποίου η αποστολή συνίσταται στις εξής τέσσερις δράσεις: Καταγραφή της οργανωμένης αποστολής ανεπιθύμητης αλληλογραφίας (spam operations) του Διαδικτύου. Παροχή αξιόπιστης προστασίας για τα διαδικτυακά δίκτυα ενάντια στην ανεπιθύμητη αλληλογραφία σε πραγματικό χρόνο. Συνεργασία με αστυνομικές αρχές για τον εντοπισμό και την καταδίωξη των αποστολέων ανεπιθύμητης αλληλογραφίας (spammers) σε παγκόσμιο επίπεδο. Άσκηση πιέσεων στις κυβερνήσεις για τη θέσπιση αποτελεσματικής νομοθεσίας ενάντια στην αποστολή ανεπιθύμητης αλληλογραφίας. Ο Spamhaus έχει δημιουργήσει έναν «κατάλογο αποκλεισμού» (block list) που περιέχει τις διευθύνσεις IP από τις οποίες θεωρείται ότι προέρχεται ανεπιθύμητη αλληλογραφία. Πολλά κράτη, επιχειρήσεις, πανεπιστήμια και άλλοι οργανισμοί ελέγχουν τον κατάλογο αυτό, προτού παραδώσουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου, μπλοκάροντας τα μηνύματα των οποίων ο αποστολέας είναι καταγεγραμμένος στον εν λόγω κατάλογο. SpΟ Spamhaus θεωρεί ανεπιθύμητη αλληλογραφία οποιοδήποτε μήνυμα αποστέλλεται αυτόκλητα (unsolicited) και μαζικά (bulk). Τα μηνύματα ηλεκτρονικού ταχυδρομείου που πληρούν τις προϋποθέσεις με βάση τον ορισμό αυτό σε πολλές χώρες, όπως στις ΗΠΑ, δεν θεωρούνται παράνομα, με αποτέλεσμα ο Spamhaus να αποτελεί στόχο αγωγών, για τη διεκδίκηση αποζημιώσεων για απώλειες κερδών από τις επιχειρήσεις.
24
Απαγορεύεται η αναδημοσίευση ή αναπαραγωγή του παρόντος έργου με οποιονδήποτε τρόπο χωρίς γραπτή άδεια του εκδότη, σύμφωνα με το Ν. 2121/1993 και τη Διεθνή Σύμβαση της Βέρνης (που έχει κυρωθεί με τον Ν. 100/1975)
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.