IT Professional Security - ΤΕΥΧΟΣ 32
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
σκοπούς την εξακρίβωση ότι το σύστημα υπάρχει, λειτουργεί<br />
και είναι αποτελεσματικό. Με την επιτυχή ολοκλήρωση του<br />
σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο<br />
επόμενο βήμα.<br />
5. Έκδοση του Πιστοποιητικού. Το πιστοποιητικό έχει τριετή<br />
διάρκεια ισχύος, με την προϋπόθεση ότι θα διεξάγεται με ε-<br />
πιτυχία μια επιτόπια επιθεώρηση ανά έτος.<br />
6. Διενέργεια της 1 ης επιθεώρησης επιτήρησης: Η επιθεώρηση<br />
αυτή διεξάγεται το αργότερο 1 χρόνο μετά από το 2 ο στάδιο<br />
της επιθεώρησης πιστοποίησης και έχει σκοπό τον έ-<br />
λεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση<br />
του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου<br />
αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του.<br />
7. Διενέργεια της 2 ης επιθεώρησης επιτήρησης: Η επιθεώρηση<br />
αυτή διεξάγεται το αργότερο 2 χρόνια μετά από το 2 ο<br />
στάδιο της επιθεώρησης πιστοποίησης και έχει ως σκοπό<br />
τον έλεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση<br />
του συστήματος. Με την επιτυχή ολοκλήρωση του<br />
σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό<br />
του.<br />
Τι γίνεται στην επιθεώρηση<br />
Ένα από τα σημεία στα οποία πολλοί έχουν απορίες, είναι το<br />
τι ακριβώς γίνεται στην επιθεώρηση. Κατά τη διάρκεια της επιθεώρησης,<br />
ο επιθεωρητής προσπαθεί να συλλέξει τεκμήρια ό-<br />
τι πράγματι το σύστημα που έχει δημιουργήσει ο Οργανισμός<br />
λειτουργεί, εφαρμόζεται και βελτιώνεται σύμφωνα με τις απαιτήσεις<br />
του προτύπου.<br />
Η συλλογή των αντικειμενικών αυτών αποδείξεων μπορεί να γίνει<br />
με διάφορους τρόπους:<br />
1. Με παρατήρηση από την πλευρά του επιθεωρητή: Π.χ., ας υ-<br />
ποθέσουμε ότι μέρος του σχεδίου επιχειρησιακής συνέχειας<br />
ενός Οργανισμού είναι η τήρηση ενός δευτερεύοντος<br />
site, το οποίο είναι σε κατάσταση “hot”. Ο επιθεωρητής θα<br />
πρέπει να δει τόσο τις προβλέψεις για το συγχρονισμό από<br />
την πλευρά του αρχικού / παραγωγικού site, αλλά και να επισκεφθεί<br />
το δευτερεύον site προκειμένου να λάβει και από ε-<br />
κεί τεκμήρια ότι υπάρχει και βρίσκεται σε ετοιμότητα.<br />
2. Με συζητήσεις με το προσωπικό: Για ένα σύστημα επιχειρησιακής<br />
συνέχειας, ο άνθρωπος έχει ιδιαίτερη σημασία και<br />
παίζει καθοριστικό ρόλο στην ορθή λειτουργία και αποτελεσματικότητά<br />
του. Σε αυτήν την περίπτωση, ο επιθεωρητής<br />
θα πρέπει με σωστές ερωτήσεις που θα διευκολύνουν τη<br />
συζήτηση και θα παραβλέπουν το άγχος, να λάβει πληροφορίες<br />
σχετικά με το αν το άτομο αυτό γνωρίζει το ρόλο<br />
του στο σύστημα και έχει εξασκηθεί στη διενέργεια των καθηκόντων<br />
αυτών.<br />
3. Με ανασκόπηση εγγράφων και έλεγχο αρχείων: Π.χ., ακρογωνιαίος<br />
λίθος ενός συστήματος επιχειρησιακής συνέχειας<br />
είναι η ανάλυση επιχειρησιακών επιπτώσεων. Ο επιθεωρητής<br />
θα πρέπει να ελέγξει τον τρόπο με τον οποίο δημιουργήθηκε<br />
η ανάλυση αυτή, αλλά και να κρίνει την ορθότητα και πληρότητά<br />
του.<br />
Πότε προκύπτουν προβλήματα και τι γίνεται σε<br />
αυτήν την περίπτωση<br />
Ένα από τα πιο συνηθισμένα προβλήματα που προκύπτουν<br />
στην επιθεώρηση, αφορά στην ύπαρξη διαφοράς ανάμεσα σε<br />
αυτό που θα ήθελε ο Οργανισμός να γίνεται και σε αυτό που<br />
τελικά αποδεικνύεται μέσω της επιθεώρησης ότι γίνεται.<br />
Υπάρχουν δηλαδή περιπτώσεις όπου στη διάρκεια της επιθεώρησης<br />
αποκαλύπτεται ότι, ενώ μια διαδικασία είναι αποτυπωμένη<br />
με έναν τρόπο, υλοποιείται διαφορετικά ή ότι κάτι που θα<br />
έπρεπε να γνωρίζει κάποιος, στην πραγματικότητα δεν το γνωρίζει.<br />
Ειδικά το τελευταίο, όταν αφορά σε εργασίες που πρέπει<br />
- σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο - να<br />
υλοποιηθούν και μπορεί να επηρεάζουν και την υγεία και α-<br />
σφάλεια του ατόμου, η επίπτωση λανθασμένης ή καθυστερημένης<br />
ενέργειας μεγιστοποιείται. Σε περίπτωση όπου κατά τη<br />
διάρκεια της επιθεώρησης παρατηρηθούν αποκλίσεις οι οποίες<br />
κριθούν σημαντικές και ότι επηρεάζουν την αποτελεσματικότητα<br />
του συστήματος, εκφράζονται Μη Συμμορφώσεις. Τις<br />
Μη Συμμορφώσεις ο Οργανισμός πρέπει να τις αντιμετωπίσει<br />
άμεσα και με επιτυχία, για να μπορεί το πιστοποιητικό του να<br />
εκδοθεί (στην περίπτωση της επιθεώρησης πιστοποίησης) ή να<br />
διατηρηθεί η ισχύς του (στην περίπτωση επιθεώρησης επιτήρησης).<br />
Εκπαίδευση<br />
Η ΤÜV AUSTRIA HELLAS αποτελεί το μοναδικό Οργανισμό<br />
στην Ελλάδα που προσφέρει εκπαίδευση στις πρακτικές οι ο-<br />
ποίες σχετίζονται με την επιχειρησιακή συνέχεια και που οδηγούν<br />
στην πιστοποίηση ως Business Continuity Practitioner του<br />
ISEB Αγγλίας, καθώς και στην πιστοποίηση Certificate of the<br />
BCI του διεθνούς Business Continuity Institute. Επιπλέον, η<br />
ΤÜV AUSTRIA HELLAS προσφέρει εκπαίδευση και σε όλα τα<br />
αντικείμενα που πλαισιώνουν και υποστηρίζουν την επιχειρησιακή<br />
συνέχεια, όπως είναι η ετοιμότητα για περιστατικά, το<br />
ICT continuity, η ανάλυση κινδύνου, η αποτίμηση επιχειρησιακών<br />
επιπτώσεων, η ασφάλεια κ.ά. Όλα τα παραπάνω σεμινάρια<br />
είναι αναγνωρισμένα από τον ISACA και προσφέρουν CPEs.<br />
Περισσότερες πληροφορίες μπορούν να αντληθούν και από<br />
τον εκπαιδευτικό οδηγό στο: http://www.tuvaustriahellas.gr/gr/educational-2013.htm.<br />
Λίγα λόγια για την TÜV AUSTRIA HELLAS<br />
Η ΤÜV AUSTRIA HELLAS, 100% θυγατρική εταιρεία του Αυστριακού Οργανισμού ΤÜV AUSTRIA GROUP, προσφέρει τις υπηρεσίες της από το<br />
1994, αξιοποιώντας την τεχνογνωσία και την επιστημονική υποστήριξη του ΤÜV AUSTRIA GROUP και κατέχει σήμερα μία από τις πρώτες θέσεις<br />
στον τομέα της επιθεώρησης, της πιστοποίησης και των τεχνικών ελέγχων στη χώρα μας. Διαθέτει στην Ελλάδα παραρτήματα στη Θεσσαλονίκη<br />
και στο Ηράκλειο της Κρήτης, ενώ στο εξωτερικό δραστηριοποιείται με αποκλειστικούς αντιπροσώπους σε Κύπρο, Ιορδανία, Τουρκία, Αλβανία,<br />
Ισραήλ, Αίγυπτο, Υεμένη, Κατάρ, Πακιστάν και Κορέα. Ειδικά στο χώρο της επιχειρησιακής συνέχειας και της πληροφορικής, κατέχει την<br />
ηγετική θέση στην Ελλάδα, έχοντας αποδώσει περισσότερο από το 70% των πιστοποιητικών στην αγορά.Η ΤÜV AUSTRIA HELLAS είναι διαπιστευμένος<br />
φορέας για τα παραπάνω αντικείμενα, από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) και κατέχει τη διαπίστευση για την επιχειρησιακή<br />
συνέχεια, αρχικά με την έκδοση του BSI, BS 25999 και εν συνεχεία με την έκδοση του προτύπου από τον ISO, στο ISO 22301.<br />
security | 23