IT Professional Security - ΤΕΥΧΟΣ 40
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Του Νότη Ηλιόπουλου<br />
Msc Infosec, ISO 27001 LA, CISA, CISM<br />
piliopou@me.com<br />
• Ενσωμάτωση των διεργασιών αξιολόγησης κινδύνου και<br />
κανονιστικής συμμόρφωσης στης επιχειρηματικές δραστηριότητες<br />
της επιχείρησης. Ταυτόχρονη ενημέρωση και<br />
εκπαίδευση του προσωπικού.<br />
• Χρήση και αξιοποίηση υφιστάμενων εργαλείων και τεχνολογιών<br />
σχετικές με την αξιολόγηση και μέτρηση του κινδύνου,<br />
παρακολούθηση του επιπέδου συμμόρφωσης κτλ με<br />
σκοπό συλλογή των απαραίτητων πληροφοριών αλλά και<br />
την αυτοματοποίηση των σχετικών διεργασιών.<br />
• Σταδιακή και μεθοδική μετάβαση από την αποσπασματική<br />
υλοποίηση προγραμμάτων Διακυβέρνησης, τη Διαχείριση<br />
Κινδύνων και Κανονιστική Συμμόρφωση των εταιρικών<br />
πληροφοριών, σε μία ενιαία και συνεχόμενη διεργασία.<br />
Διαδικασία Αποτελεσματικής Υλοποίησης<br />
Οι εκάστοτε απαιτήσεις που αφορούν στη Διακυβέρνηση,<br />
Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση (GRC)<br />
σε σχέση με την ασφάλεια πληροφοριών, πρέπει να εφαρμοστούν<br />
και να αποτελέσουν μέρος της λειτουργίας του Οργανισμού.<br />
Κατά τη προσπάθεια αυτή τίθενται δύο σημαντικά ζητήματα:<br />
ο τρόπος με τον οποίο θα εφαρμοστούν στο σύνολο τους οι<br />
απαιτήσεις μια συνεχούς διεργασίας GRC και πώς o συγκεκριμένος<br />
τρόπος εφαρμογής θα μπορεί να λειτουργεί αποτελεσματικά<br />
μέσα στο εταιρικό περιβάλλον.<br />
H μεθοδολογία που ακολουθεί αποτυπώνει μια προσέγγιση<br />
με σκοπό τη δημιουργία μιας αποτελεσματικής συνεχούς διεργασίας<br />
GRC που αφορά στην ασφάλεια πληροφοριών και<br />
που μακροπρόθεσμα μπορεί να συνεισφέρει στο ανταγωνιστικό<br />
πλεονέκτημα του Οργανισμού.<br />
1ο Βήμα: Επιλογή πλαισίου Διακυβέρνησης<br />
Ο αριθμός των κανονιστικών απαιτήσεων που πρέπει να<br />
πληρούν οι Οργανισμοί είναι ήδη σημαντικός και συνεχώς<br />
αυξάνεται. Όλες όμως οι απαιτήσεις συμμόρφωσης, αποτελούν<br />
υποσύνολο των απαιτήσεων που προσδιορίζονται από<br />
τα διάφορα ευρέως διαδεδομένα πλαίσια διακυβέρνησης της<br />
πληροφορικής, είτε αυτά αφορούν στην υλοποίηση δικλείδων<br />
εσωτερικού ελέγχου, είτε ασφάλειας πληροφοριών, είτε<br />
διαχείρισης υπηρεσιών πληροφορικής.<br />
Ταυτόχρονα, τα παραπάνω πλαίσια Διακυβέρνησης, αναγνωρίζουν<br />
και χρησιμοποιούν τη διαχείριση κινδύνων ως το<br />
βασικότερο συστατικό τους για την επιλογή των τεχνικών και<br />
διαχειριστικών δικλείδων ασφάλειας.<br />
Πλαίσια όπως τα παρακάτω, μπορούν αν χρησιμοποιηθούν<br />
ως η βάση της διεργασίας GRC ενός Οργανισμού.<br />
• COSO (Committee for the Sponsoring Organizations of<br />
the Treadway Commission) που δίνει έμφαση στην υλοποίηση<br />
εσωτερικών δικλείδων ελέγχου<br />
• ISO 27001 που αφορά στην διαχείριση της ασφάλειας πληροφοριών,<br />
• <strong>IT</strong>IL (<strong>IT</strong> Infrastructure Library framework) που αφορά<br />
στις καλές πρακτικές κατά την παροχή υπηρεσιών πληροφορικής<br />
• COB<strong>IT</strong> (Control Objectives for Information and related<br />
Technology) το οποίο αφορά στη διακυβέρνηση της πληροφορικής.<br />
Οι Οργανισμοί θα επωφεληθούν από τη χρήση ενός από τα<br />
παραπάνω πλαίσια διότι μέσα από αυτό θα αναγνωρίσουν<br />
πολλές από τις (κοινές) απαιτήσεις που αφορούν στην ασφάλεια<br />
πληροφοριών, οι οποίες υπάρχουν σε περισσότερες α-<br />
πό μια κανονιστικές απαιτήσεις. Ταυτόχρονα η διεργασία της<br />
αξιολόγησης κινδύνων θα διερευνήσει τόσο τους κινδύνους<br />
από τη μη τήρηση των κανονιστικών απαιτήσεων, αλλά και<br />
τους κινδύνους από τη υλοποίηση των δικλείδων που προσδιορίζονται<br />
από το πλαίσιο διακυβέρνηση που έχει επιλεχθεί.<br />
Τα πλεονεκτήματα από τη χρήση ενός ευρύτερου πλαισίου<br />
με σκοπό τη διαμόρφωση μιας συνεχούς διεργασίας GRC,<br />
είναι τα ακόλουθα:<br />
• Δομημένη προσέγγιση η οποία είναι τεκμηριωμένη και είναι<br />
εύκολο να ακολουθηθεί<br />
• Η τήρηση των κανονιστικών απαιτήσεων και η συνεχής α-<br />
ξιολόγηση κινδύνων, αποτελούν βασικές συνιστώσες των<br />
παραπάνω πλαισίων<br />
• Η συμμετοχή των Επιχειρηματικών οντοτήτων (εκτός πληροφορικής)<br />
είναι αναγκαία<br />
• Υπάρχει προηγούμενη γνώση από συνεργάτες και πελάτες<br />
και ως εκ τούτου ευκολότερη κατανόηση των απαιτήσεων<br />
υλοποίησης<br />
• Υπάρχει συσσωρευμένη γνώση από άλλους οργανισμούς<br />
με αποτέλεσμα την ευκολότερη επίλυση προβλημάτων υ-<br />
λοποίησης μέσω ανταλλαγής παρόμοιων εμπειριών<br />
2ο Βήμα: Επιλογή κατάλληλης μεθοδολογίας Αξιολόγησης<br />
Κινδύνων<br />
Η κρισιμότητα της διεργασίας αξιολόγησης και διαχείρισης<br />
κινδύνων, απαιτεί την επιλογή της κατάλληλης μεθοδολογίας<br />
η οποία θα μπορεί να εφαρμοσθεί στον εκάστοτε Οργανισμό.<br />
Όσον αφορά στην αξιολόγηση κινδύνων, δεν υπάρχει<br />
κάποια μεθοδολογία η οποία να θεωρείτε η ιδανική. Ο Κάθε<br />
Οργανισμός πρέπει να επιλέξει ή να διαμορφώσει τη μεθοδολογία<br />
που μπορεί να υποστηρίξει, μια μεθοδολογία ανάλογη<br />
του λειτουργικού του περιβάλλοντος και των δυνατοτήτων<br />
διενέργειάς της.<br />
security<br />
13