IT Professional Security - ΤΕΥΧΟΣ 40

More documents

Info

T<strong>40</strong>03/04.2015 Cover Issue Η κανονιστική συμμόρφωση θα πρέπει να θεωρηθεί ως ένας ακόμα κίνδυνος για τον Οργανισμό, που πρέπει να αντιμετωπιστεί με τον ίδιο τρόπο που αντιμετωπίζονται και οι υπόλοιποι κίνδυνοι που αφορούν στην Ασφάλεια Πληροφοριών. Συνεπώς, οι κίνδυνοι από τη μη συμμόρφωση πρέπει να α- ξιολογηθούν, να αποτιμηθεί η επίδραση της μη συμμόρφωσης στον Οργανισμό και στη συνέχεια να ελαχιστοποιηθούν σύμφωνα με τις επιταγές και προτεραιότητες της Διοίκησης. Η αδυναμία εκπλήρωσης των απαιτήσεων ασφάλειας πληροφοριών που προκύπτουν από τη μη συμμόρφωση είναι πιθανόν να οδηγήσει σε κινδύνους, όπως: • Περιστατικά παραβίασης της ασφάλειας και ενδεχόμενη απώλεια της αξιοπιστίας του Οργανισμού • Οικονομικές κυρώσεις ως αποτέλεσμα της μη συμμόρφωσης με το κανονιστικό πλαίσιο • Απώλεια ευκαιριών συνεργασίας με πελάτες σαν αποτέλεσμα τη μη συμμόρφωσης με κανονιστικές και συμβατικές απαιτήσεις με πελάτες. 3ο Βήμα: Οι Απαιτήσεις κανονιστικής συμμόρφωσης μέρος της εταιρικής στρατηγικής Η κανονιστική συμμόρφωση (compliance) αποτελεί μεγάλο μέρος της διεργασίας GRC ενός Οργανισμού. Με το όρο κανονιστική συμμόρφωση εννοούμαι το κάθε μορφής κανόνα ή απαίτηση που μπορεί να προκύπτει τόσο από το Θεσμικό & Νομικό πλαίσιο, όσο και από συμβάσεις που περιέχουν όρους σχετικούς με τη προστασία των πληροφοριών. Κανένας Οργανισμός δε μπορεί να συμμορφωθεί άμεσα με όλες τις απαιτήσεις ασφάλειας πληροφοριών που τον αφορούν. Για το λόγο αυτό, η συμμόρφωση πρέπει να γίνει μέρος της εταιρικής στρατηγικής και να αποτελεί κομμάτι των ετήσιων στρατηγικών πλάνων του Οργανισμού. Σε αρχικό στάδιο, χρειάζεται να αποτιμηθεί το υφιστάμενο επίπεδο συμμόρφωσης και ταυτόχρονα να προσδιορισθεί το επιθυμητό επίπεδο συμμόρφωσης που προσδοκά ο Οργανισμός. Το επιθυμητό επίπεδο συμμόρφωσης δε σημαίνει απαραίτητα πλήρη συμμόρφωση. Στο επόμενο στάδιο η συμμόρφωση γίνεται μέρος των Επιχειρηματικών στόχων και ενσωματώνεται στη στρατηγική που ακολουθεί ο Οργανισμός και για άλλα συστήματα Διαχείρισης, όπως το ISO27001 & το ISO20000, ISO90001. 4ο Βήμα: Ενσωμάτωση διεργασίας GRC στο εταιρικό πλαίσιο Διακυβέρνησης Η αποτελεσματική διαχείριση της ασφάλειας πληροφοριών χρειάζεται ανάπτυξη οργανωτικών δομών διαχείρισης, καθώς και δομών ελέγχου τόσο της τήρησης των απαιτήσεων ασφάλειας πληροφοριών, αλλά και της διαχείρισης των σχετικών κινδύνων. Η αποτελεσματική διακυβέρνηση της ασφάλειας πληροφοριών αποτελεί έναν από τους κύριους παράγοντες επιτυχίας της διεργασίας GRC. 14 security
GRC | Η αποτελεσματική υλοποίηση της διεργασίας Αυτό που χρειάζεται να γίνει κατανοητό, είναι ότι όλα τα συστατικά της διεργασίας GRC είναι άρρηκτα συνδεδεμένα μεταξύ τους και αλληλεπιδρούν. Για το λόγο αυτό χρειάζεται να αποτελέσουν μέρος της συνολικότερης στρατηγικής και πλαισίου εταιρικής διακυβέρνησης. 5ο Βήμα : Δείκτες Μέτρησης Αποτελεσματικότητας Η αποτελεσματική υλοποίηση της διεργασίας GRC, θα ωφεληθεί ιδιαίτερα από τη δημιουργία υποδομής μέτρησης της αποτελεσματικότητα της εν λόγο διεργασίας. Η μέτρηση αποτελεσματικότητας επιτυγχάνεται με το προσδιορισμό συγκεκριμένων δεικτών οι οποίοι αποτιμώνται ανά τακτά χρονικά διαστήματα, ενώ ταυτόχρονα συλλέγονται στατιστικά στοιχεία που αφορούν στους συγκεκριμένους δείκτες. Ενδεικτικά κάποιοι από τους δείκτες μπορεί να είναι οι α- κόλουθοι: • Απόκλιση μεταξύ υφιστάμενου & απαιτούμενου βαθμού συμμόρφωσης • Μέτρηση ωριμότητας των δικλείδων ασφάλειας που αφορούν στις απαιτήσεις συμμόρφωσης και στις απαιτήσεις μείωσης του επίπεδου επικινδυνότητας • Τήρηση των απαιτήσεων συμμόρφωσης από την εταιρεία • Αξιολόγηση κινδύνων για τις περιπτώσεις μη συμμόρφωσης και μη τήρησης των βασικών δικλείδων ασφάλειας, όπως αυτές ορίζονται από τη πλαίσια Διακυβέρνησης της Ασφάλειας Πληροφοριών 6ο Βήμα: Συμμετοχή των επιχειρηματικών μονάδων Ο σκοπός της συμμετοχής των επιχειρηματικών μονάδων είναι η κατανόηση των απαιτήσεων του εταιρικού πλαισίου GRC και ο προσδιορισμός του τρόπου συμμετοχής τους στην εν λόγω διεργασία. Για να γίνει αυτό χρειάζεται να ακολουθηθούν τα παρακάτω βήματα: • Ενημέρωση των επιχειρηματικών μονάδων για τις διαδικασίες και απαιτήσεις Διακυβέρνησης & Συμμόρφωσης, καθώς και για το δικό τους ρόλο στις συγκεκριμένες διαδικασίες. • Ενημέρωση για τη σημασία της διαδικασίας συμμόρφωσης και διαχείρισης κινδύνων για τον Οργανισμό • Ενημέρωση για τη πρόοδο των όποιων εργασιών αφορούν στις απαιτήσεις GRC • Δημιουργία διαδικασίας αυτό-αξιολόγησης (της κάθε ε- πιχειρηματικής μονάδας) σχετικά με τη τήρηση των α- παιτήσεων συμμόρφωσης & τήρησης του πλαισίου Διακυβέρνησης • Ενημέρωση σχετικά με υποχρεώσεις και ρόλους σε σχέση με όλες τις διαδικασίες της διεργασίας GRC. Απώτερος σκοπός είναι η αυτοματοποίηση της διεργασίας GRC και η δημιουργία αντίστοιχης κουλτούρας στον Οργανισμό που θα αφορά στην Ασφάλεια Πληροφοριών, στη συμμόρφωση με τις κανονιστικές απαιτήσεις. 7ο Βήμα: Ενημέρωση & Εκπαίδευση Η εταιρική κουλτούρα έχει αντίκτυπο στη επιτυχία και στο κόστος της διεργασίας GRC. Η διαμόρφωση της κουλτούρας ασφάλειας, συμμόρφωσης και συνεχούς διαχείρισης κινδύνων επιτυγχάνεται μέσα από την ενημέρωση και την εκπαίδευση του προσωπικού. Η ενημέρωση του προσωπικού περιλαμβάνει την σημασία της απαιτήσεων συμμόρφωσης, προστασίας των επιχειρηματικών πληροφοριών και ελαχιστοποίησης των σχετικών κινδύνων. για τον Οργανισμό είναι απαραίτητη διαδικασία. Μία τέτοια ενημέρωση περιλαμβάνει και εκπαίδευση αναφορικά με τις εταιρικές διαδικασίες & ρόλους σε θέματα GRC. 8ο Βήμα: Δημιουργία πλαισίου συνεχούς βελτίωσης Η διεργασία που αποτυπώθηκε στα πλαίσια του συγκεκριμένου άρθρου δεν είναι στατική και κυρίως δεν είναι δυνατόν να υλοποιηθεί αποτελεσματικά από την αρχή της εφαρμογής της. Χρειάζεται να βελτιώνεται συνεχώς και να ενσωματώνεται ολοένα και περισσότερο στο λειτουργικό περιβάλλον του Οργανισμού. Log off ... Οι ταχείες αλλαγές των επιχειρηματικών μοντέλων, της τεχνολογίας, του κανονιστικού πλαισίου και οι κίνδυνοι σε σχέση με την ασφάλεια πληροφοριών, αυξάνουν τις δυσκολίες αποτελεσματικής υλοποίηση μια συνεχούς διεργασίας GRC. Η υιοθέτηση μιας συνεχούς διεργασίας GRC, παρέχει ολοκληρωμένη εικόνα για το επίπεδο συμμόρφωσης και διαχείρισης κινδύνων αλλά και το βαθμό υλοποίηση του πλαισίου διακυβέρνησης της ασφάλειας πληροφοριών. Ταυτόχρονα, η μετατροπή των απαιτήσεων GRC σε μια συνεχή διεργασία, μπορεί να αποτελέσει εργαλείο λήψης αποφάσεων και εργαλείο αποτελεσματικής υλοποίησης των όλων των συστατικών της διεργασίας GRC. Για να γίνει αυτό χρειάζονται τα ακόλουθα: • Συγκεκριμένη στρατηγική και πλαίσιο GRC το οποίο θα συμπορεύεται με την εταιρική και τεχνολογική στρατηγική του Οργανισμού • Χρήση κατάλληλης τεχνολογίας με σκοπό την αυτοματοποίηση μέρους της διεργασίας GRC • Συνολική και όχι αποσπασματική υλοποίηση του συνόλου της διεργασίας. iT<strong>Security</strong> security 15
Page 1 and 2: www.itsecuritypro.gr Μάρτιος
Page 3 and 4: T4003/04.2015 Editorial Η αξία
Page 5 and 6: McAfee Advanced Threat Defense Πρ
Page 7 and 8: Information Security by Σχεδι
Page 10 and 11: T4003/04.2015 News Νέες Τακ
Page 12 and 13: T4003/04.2015 Interview Η ιδιω
Page 14 and 15: T4003/04.2015 Cover Issue GRC | Η
Page 18 and 19: T4003/04.2015 Issue Ασφάλει
Page 20 and 21: T4002/03.2015 Issue Ασφάλει
Page 22 and 23: T4003/04.2015 Issue ΟΤΕ Informat
Page 24 and 25: T4003/04.2015 Issue Internet of Eve
Page 26 and 27: T4003/04.2015 Issue Internet of Eve
Page 28 and 29: T4003/04.2015 Issue Η αξιοπι
Page 30 and 31: T4003/04.2015 Issue Πόσο ασφ
Page 32 and 33: T4003/04.2015 Issue Αντιμετ
Page 34 and 35: T4003/04.2015 Issue Cyber Insurance
Page 36 and 37: T4003/04.2015 Issue Οι ασφαλ

IT Professional Security - ΤΕΥΧΟΣ 40

Create successful ePaper yourself

Delete template?

Save as template?