IT Professional Security - ΤΕΥΧΟΣ 40
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
GRC | Η αποτελεσματική υλοποίηση της διεργασίας<br />
Αυτό που χρειάζεται να γίνει κατανοητό, είναι ότι όλα τα συστατικά<br />
της διεργασίας GRC είναι άρρηκτα συνδεδεμένα<br />
μεταξύ τους και αλληλεπιδρούν. Για το λόγο αυτό χρειάζεται<br />
να αποτελέσουν μέρος της συνολικότερης στρατηγικής και<br />
πλαισίου εταιρικής διακυβέρνησης.<br />
5ο Βήμα : Δείκτες Μέτρησης Αποτελεσματικότητας<br />
Η αποτελεσματική υλοποίηση της διεργασίας GRC, θα ωφεληθεί<br />
ιδιαίτερα από τη δημιουργία υποδομής μέτρησης της<br />
αποτελεσματικότητα της εν λόγο διεργασίας. Η μέτρηση αποτελεσματικότητας<br />
επιτυγχάνεται με το προσδιορισμό συγκεκριμένων<br />
δεικτών οι οποίοι αποτιμώνται ανά τακτά χρονικά<br />
διαστήματα, ενώ ταυτόχρονα συλλέγονται στατιστικά στοιχεία<br />
που αφορούν στους συγκεκριμένους δείκτες.<br />
Ενδεικτικά κάποιοι από τους δείκτες μπορεί να είναι οι α-<br />
κόλουθοι:<br />
• Απόκλιση μεταξύ υφιστάμενου & απαιτούμενου βαθμού<br />
συμμόρφωσης<br />
• Μέτρηση ωριμότητας των δικλείδων ασφάλειας που αφορούν<br />
στις απαιτήσεις συμμόρφωσης και στις απαιτήσεις<br />
μείωσης του επίπεδου επικινδυνότητας<br />
• Τήρηση των απαιτήσεων συμμόρφωσης από την εταιρεία<br />
• Αξιολόγηση κινδύνων για τις περιπτώσεις μη συμμόρφωσης<br />
και μη τήρησης των βασικών δικλείδων ασφάλειας,<br />
όπως αυτές ορίζονται από τη πλαίσια Διακυβέρνησης της<br />
Ασφάλειας Πληροφοριών<br />
6ο Βήμα: Συμμετοχή των επιχειρηματικών μονάδων<br />
Ο σκοπός της συμμετοχής των επιχειρηματικών μονάδων<br />
είναι η κατανόηση των απαιτήσεων του εταιρικού πλαισίου<br />
GRC και ο προσδιορισμός του τρόπου συμμετοχής τους στην<br />
εν λόγω διεργασία. Για να γίνει αυτό χρειάζεται να ακολουθηθούν<br />
τα παρακάτω βήματα:<br />
• Ενημέρωση των επιχειρηματικών μονάδων για τις διαδικασίες<br />
και απαιτήσεις Διακυβέρνησης & Συμμόρφωσης,<br />
καθώς και για το δικό τους ρόλο στις συγκεκριμένες διαδικασίες.<br />
• Ενημέρωση για τη σημασία της διαδικασίας συμμόρφωσης<br />
και διαχείρισης κινδύνων για τον Οργανισμό<br />
• Ενημέρωση για τη πρόοδο των όποιων εργασιών αφορούν<br />
στις απαιτήσεις GRC<br />
• Δημιουργία διαδικασίας αυτό-αξιολόγησης (της κάθε ε-<br />
πιχειρηματικής μονάδας) σχετικά με τη τήρηση των α-<br />
παιτήσεων συμμόρφωσης & τήρησης του πλαισίου Διακυβέρνησης<br />
• Ενημέρωση σχετικά με υποχρεώσεις και ρόλους σε σχέση<br />
με όλες τις διαδικασίες της διεργασίας GRC.<br />
Απώτερος σκοπός είναι η αυτοματοποίηση της διεργασίας<br />
GRC και η δημιουργία αντίστοιχης κουλτούρας στον Οργανισμό<br />
που θα αφορά στην Ασφάλεια Πληροφοριών, στη συμμόρφωση<br />
με τις κανονιστικές απαιτήσεις.<br />
7ο Βήμα: Ενημέρωση & Εκπαίδευση<br />
Η εταιρική κουλτούρα έχει αντίκτυπο στη επιτυχία και στο<br />
κόστος της διεργασίας GRC. Η διαμόρφωση της κουλτούρας<br />
ασφάλειας, συμμόρφωσης και συνεχούς διαχείρισης κινδύνων<br />
επιτυγχάνεται μέσα από την ενημέρωση και την εκπαίδευση<br />
του προσωπικού.<br />
Η ενημέρωση του προσωπικού περιλαμβάνει την σημασία<br />
της απαιτήσεων συμμόρφωσης, προστασίας των επιχειρηματικών<br />
πληροφοριών και ελαχιστοποίησης των σχετικών<br />
κινδύνων. για τον Οργανισμό είναι απαραίτητη διαδικασία.<br />
Μία τέτοια ενημέρωση περιλαμβάνει και εκπαίδευση αναφορικά<br />
με τις εταιρικές διαδικασίες & ρόλους σε θέματα GRC.<br />
8ο Βήμα: Δημιουργία πλαισίου συνεχούς βελτίωσης<br />
Η διεργασία που αποτυπώθηκε στα πλαίσια του συγκεκριμένου<br />
άρθρου δεν είναι στατική και κυρίως δεν είναι δυνατόν<br />
να υλοποιηθεί αποτελεσματικά από την αρχή της εφαρμογής<br />
της. Χρειάζεται να βελτιώνεται συνεχώς και να ενσωματώνεται<br />
ολοένα και περισσότερο στο λειτουργικό περιβάλλον<br />
του Οργανισμού.<br />
Log off ...<br />
Οι ταχείες αλλαγές των επιχειρηματικών μοντέλων, της τεχνολογίας,<br />
του κανονιστικού πλαισίου και οι κίνδυνοι σε σχέση<br />
με την ασφάλεια πληροφοριών, αυξάνουν τις δυσκολίες<br />
αποτελεσματικής υλοποίηση μια συνεχούς διεργασίας GRC.<br />
Η υιοθέτηση μιας συνεχούς διεργασίας GRC, παρέχει ολοκληρωμένη<br />
εικόνα για το επίπεδο συμμόρφωσης και διαχείρισης<br />
κινδύνων αλλά και το βαθμό υλοποίηση του πλαισίου<br />
διακυβέρνησης της ασφάλειας πληροφοριών. Ταυτόχρονα,<br />
η μετατροπή των απαιτήσεων GRC σε μια συνεχή διεργασία,<br />
μπορεί να αποτελέσει εργαλείο λήψης αποφάσεων και εργαλείο<br />
αποτελεσματικής υλοποίησης των όλων των συστατικών<br />
της διεργασίας GRC.<br />
Για να γίνει αυτό χρειάζονται τα ακόλουθα:<br />
• Συγκεκριμένη στρατηγική και πλαίσιο GRC το οποίο θα<br />
συμπορεύεται με την εταιρική και τεχνολογική στρατηγική<br />
του Οργανισμού<br />
• Χρήση κατάλληλης τεχνολογίας με σκοπό την αυτοματοποίηση<br />
μέρους της διεργασίας GRC<br />
• Συνολική και όχι αποσπασματική υλοποίηση του συνόλου<br />
της διεργασίας. iT<strong>Security</strong><br />
security<br />
15