IT Professional Security - ΤΕΥΧΟΣ 61
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
T<strong>61</strong>08/09/010.2019<br />
Cover Issue<br />
Οι κανόνες που αφορούν στην ασφάλεια των πληροφοριών<br />
χρειάζεται να ενσωματωθούν στις επιχειρηματικές διεργασίες,<br />
π.χ. προμήθειες, διαχείριση προσωπικού, εκπαίδευση,<br />
διαχείριση εξωτερικών συνεργατών, ανάπτυξη νέων υπηρεσιών,<br />
διαχείριση τεχνολογίας από επιχειρηματικές μονάδες<br />
διαφορετικές της πληροφορικής.<br />
Οι κίνδυνοι ασφάλειας των πληροφοριών πρέπει να προσδιορίζονται<br />
ολιστικά και να λαμβάνουν υπόψη τους διαφορετικούς<br />
τύπους ασκήσεων αξιολόγησης κινδύνου.<br />
Είναι επίσης σημαντικό η αξιολόγηση και διαχείριση κινδύνων<br />
να εναρμονιστεί με την ευρύτερη διεργασία για τη διαχείριση<br />
των επιχειρηματικών κινδύνων, έτσι ώστε η εκτίμηση του<br />
κινδύνου να γίνεται με κριτήρια που αφορούν στο σύνολο του<br />
οργανισμού και να λαμβάνει υπ’ όψη του τον επιχειρηματικό<br />
αντίκτυπο σε σχέση με την απώλεια του απαιτούμενου επιπέδου<br />
προστασίας των πληροφοριών.<br />
Η συνεχής παρακολούθηση της αποτελεσματικότητας των<br />
δικλείδων ασφάλειας μέσα από μία διαδικασία συνεχούς παρακολούθησης<br />
του κινδύνου.<br />
Αποτελεσματικότητα<br />
Η αποτελεσματικότητα του όλου οικοδομήματος παρακολουθείται<br />
και ενισχύεται μέσα από μία διαδικασία συνεχούς βελτίωσης.<br />
Η εν λόγω διαδικασία χρησιμοποιείται να αποτυπώσει<br />
τις ανάγκες για βελτίωση, για προτεραιοποίηση των σχετικών<br />
επενδύσεων, και για τον εντοπισμό περιοχών που χρειάζονται<br />
περισσότερη προσοχή ως προς την αποτελεσματικότητα των<br />
δικλείδων ασφάλειας που εφαρμόζονται.<br />
Πρόκειται για την προσέγγιση της διεργασίας βελτίωσης ολιστικά,<br />
μέσω «τομέων / θεματικών περιοχών» (domains) της<br />
ασφάλειας πληροφοριών που αντιμετωπίζουν ολιστικά συγκεκριμένες<br />
ενότητες αναγκών. Για παράδειγμα αντιμετωπίζουν<br />
ολιστικά τη βελτίωση όλων των πτυχών της διαχείρισης<br />
των περιστατικών ασφάλειας, όλες τις πτυχές του ελέγχου<br />
πρόσβασης των χρηστών, όλες τις πτυχές της διαχείρισης<br />
κινδύνου, όλες τις πτυχές της διαρροής κρίσιμων δεδομένων.<br />
Αντιμετωπίζουν δηλαδή το πρόβλημα σε όλα τα επίπεδα και<br />
όχι μέρος του προβλήματος.<br />
Πρόκειται για τη βελτίωση του οτιδήποτε σχετίζεται με τη προστασία<br />
κρίσιμων πληροφοριών, ανεξάρτητα από τη τεχνολογία,<br />
τα ενδιαφερόμενα μέρη και τις οργανωτικές δομές. Βελτίωση<br />
όλων των διαδικασιών και όλων των τεχνολογικών και<br />
διαχειριστικών δικλείδων ασφάλειας που αφορούν στη παρακολούθηση,<br />
πρόληψη και ανίχνευση, του οτιδήποτε μπορεί να<br />
μειώσει το απαιτούμενο επίπεδο ασφάλειας των πληροφοριών,<br />
συμπεριλαμβανομένου του ανθρώπινου παράγοντα και<br />
της εταιρικής κουλτούρας.<br />
Απόκριση & ετοιμότητα<br />
Η απόκριση και η ετοιμότητα για αντιμετώπιση οποιουδήποτε<br />
είδους περιστατικού που ενδέχεται να επηρεάσει την<br />
προστασία των πληροφοριών και να μειώσει το απαιτούμενο<br />
επίπεδο ασφάλειας.<br />
Δεν πρόκειται για την αντιμετώπιση περιστατικών που αφορούν<br />
μόνο στις απόπειρες παρείσδυσης, αλλά και στην αντιμετώπιση<br />
οργανωτικών και τεχνολογικών αλλαγών, αλλαγών<br />
στα επιχειρηματικά μοντέλα και στρατηγικές, καθώς και για<br />
την απόκριση στις αλλαγές στο ευρύτερο τοπίο των απειλών,<br />
καθώς και κοινωνικές και πολιτιστικές αλλαγές.<br />
Υλοποίηση και εφαρμογή της προσέγγισης<br />
Information Resilience<br />
Η εφαρμογή της νέας προσέγγισης Information Resilience,<br />
απαιτεί τη δημιουργία ενός πλαισίου ολιστικής προσέγγισης<br />
για την ασφάλεια πληροφοριών και προστασία της πληροφορίας<br />
όπου και αν αυτή βρίσκεται. Το πως ο κάθε οργανισμός<br />
θα δομήσει το συγκεκριμένο πλαίσιο, εξαρτάται από το επιχειρηματικό<br />
και τεχνολογικό περιβάλλον στο οποίο έχει επιλέξει<br />
να λειτουργεί. Επίσης, εξαρτάται από το βαθμό ωριμότητας,<br />
την κουλτούρα και την προσέγγιση του κάθε οργανισμού που<br />
αφορά στην Επιχειρηματική βιωσιμότητα & ανθεκτικότητα.<br />
Ο βαθμός ωριμότητας είναι αυτός που θα ορίσει το πότε ο<br />
Οργανισμός θα είναι έτοιμος για το επόμενο βήμα, το οποίο<br />
αφορά στη σύγκλιση των διεργασιών Φυσικής Ασφάλειας,<br />
Ψηφιακής Ασφάλειας και Ασφάλειας Πληροφοριών (<strong>Security</strong><br />
Resilience), ώστε να διαχειριζόμαστε τους κινδύνους που<br />
αφορούν την ασφάλεια, ελέγχοντας ολιστικά τον τρόπο διαχείρισης<br />
των σημαντικών συμβάντων ασφάλειας.<br />
Φυσική εξέλιξη του παραπάνω θα είναι η μετάβαση από τον<br />
Chief Information <strong>Security</strong> Officer στον Chief <strong>Security</strong><br />
Officer ο οποίος θα ελέγχει πλέον και τις εσωτερικές διαδικασίες,<br />
για το περιορισμό των κινδύνων ασφαλείας ψηφιακών<br />
και φυσικών πόρων, των λειτουργικών διεργασιών αλλά και<br />
του προσωπικού.<br />
22 security
Change language