IT Professional Security - ΤΕΥΧΟΣ 32

More documents

Info

I SSUE Πιστοποίηση Διαχείρισης Επιχειρησιακής Συνέχειας Αργυρώ Χατζοπούλου Επικεφαλής Επιθεωρήτρια - ISO 22301, ISO 27001, ISO 20000, ISO 9001, CISA, HISP, CCSK, ISEB BCMP, PRINCE (P) Υπεύθυνη Τμήματος Ασφάλειας Πληροφοριών & Επιχειρησιακής Συνέχειας TÜV AUSTRIA HELLAS Τι είναι το Business Continuity και πώς επιτυγχάνεται; Επιχειρησιακή συνέχεια είναι η δυνατότητα συνέχισης των ε- πιχειρησιακών δραστηριοτήτων ενός Οργανισμού σε προδιαγεγραμμένο χρόνο και επίπεδο, ακόμα και αν υπάρχει περιστατικό διαταραχής. Με απλά λόγια, ακόμα και στην περίπτωση όπου ένας Οργανισμός που παρέχει πανελλαδικά υπηρεσίες από τα κεντρικά του γραφεία στην Αθήνα, χάσει τη δυνατότητα πρόσβασης στο κεντρικό του κτήριο, να συνεχίσει να δίνει τις υπηρεσίες αυτές μέσα σε αποδεκτό χρόνο και επίπεδο (π.χ. μόνο την υπηρεσία τεχνικής υποστήριξης μέσω τηλεφώνου, εντός 2 ωρών από το περιστατικό). Πώς μπορεί να επιτευχθεί αυτό; Εφαρμόζοντας ένα σύστημα διαχείρισης επιχειρησιακής συνέχειας, ο Οργανισμός θα αναλύσει τις δραστηριότητές του, θα αποτιμήσει τις επιπτώσεις διαφόρων κινδύνων στη δραστηριότητά του, θα αξιολογήσει τις επιλογές του, θα δημιουργήσει σχέδια, θα ενεργοποιήσει μηχανισμούς και θα ελέγχει, θα βελτιώνει και θα εξασκεί τα σχέδιά του, ώστε σε περίπτωση που χρειαστεί, να μπορεί να ενεργήσει άμεσα και στοχευμένα. Οι βασικοί στόχοι ενός συστήματος επιχειρησιακής συνέχειας είναι: Η προστασία του ανθρώπου Η μείωση των συνεπειών, όταν το περιστατικό λάβει χώρα και Η συνέχεια των επιχειρησιακών δραστηριοτήτων σε αποδεκτό χρόνο και επίπεδο. Η ορθή λειτουργία αλλά και αποτελεσματικότητα ενός συστήματος διαχείρισης επιχειρησιακής συνέχειας, ελέγχεται και α- ξιολογείται από ένα διαπιστευμένο φορέα πιστοποίησης. Το ε- πιστέγασμα της προσπάθειας αυτής είναι η απονομή του πιστοποιητικού. Το πιστοποιημένο σύστημα διαχείρισης έχει τα εξής επιπλέον πλεονεκτήματα: Ο Οργανισμός λαμβάνει μια ανεξάρτητη, έγκυρη και έ- μπειρη γνώμη, σε σχέση με την ορθότητα και αποτελεσματικότητα του συστήματος και των προβλέψεων για την επιχειρησιακή συνέχεια. Ο έλεγχος γίνεται σε τακτά χρονικά διαστήματα, επιβεβαιώνοντας όχι μόνο ότι το σύστημα δημιουργήθηκε, αλλά εξακολουθεί να υπάρχει, να δοκιμάζεται και να είναι γνωστό και κατανοητό στο εμπλεκόμενο προσωπικό. Το πιστοποιητικό, από τη στιγμή που απονέμεται από ένα διαπιστευμένο Οργανισμό, έχει διεθνή αναγνώριση και υ- ψηλή αξία. Επίσης, το πιστοποιητικό αποτελεί έμπρακτη απόδειξη προς οποιονδήποτε τρίτο, σχετικά με τη δέσμευση του Οργανισμού για την επιχειρησιακή συνέχεια. Ποια είναι η διαδικασία της πιστοποίησης Ο Οργανισμός που επιθυμεί να επιθεωρηθεί για τη συμμόρφωσή του με τις απαιτήσεις του προτύπου ISO 22301:2012, πρέπει να ακολουθήσει την ακόλουθη διαδικασία, αφού έχει δημιουργήσει το σύστημα: 1. Συμπλήρωση και αποστολή της σχετικής αίτησης προκειμένου να λάβει οικονομική και τεχνική προσφορά. 2. Αποδοχή της προσφοράς. 3. Διενέργεια του 1 ου σταδίου της επιθεώρησης: Το πρώτο στάδιο της επιθεώρησης περιλαμβάνει τον έλεγχο της βασικής τεκμηρίωσης του συστήματος και έχει ως βασικούς σκοπούς την εξακρίβωση ότι το σύστημα στο βασικό του σκελετό υ- πάρχει και ότι ο Οργανισμός είναι έτοιμος να προχωρήσει στο επόμενο στάδιο της επιθεώρησης. Με την επιτυχή ο- λοκλήρωση του σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο επόμενο βήμα. 4. Διενέργεια του 2 ου σταδίου της επιθεώρησης: Το δεύτερο στάδιο της επιθεώρησης περιλαμβάνει τον επιτόπιο έλεγχο στις εγκαταστάσεις του Οργανισμού και έχει ως βασικούς 22 | security
σκοπούς την εξακρίβωση ότι το σύστημα υπάρχει, λειτουργεί και είναι αποτελεσματικό. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο επόμενο βήμα. 5. Έκδοση του Πιστοποιητικού. Το πιστοποιητικό έχει τριετή διάρκεια ισχύος, με την προϋπόθεση ότι θα διεξάγεται με ε- πιτυχία μια επιτόπια επιθεώρηση ανά έτος. 6. Διενέργεια της 1 ης επιθεώρησης επιτήρησης: Η επιθεώρηση αυτή διεξάγεται το αργότερο 1 χρόνο μετά από το 2 ο στάδιο της επιθεώρησης πιστοποίησης και έχει σκοπό τον έ- λεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του. 7. Διενέργεια της 2 ης επιθεώρησης επιτήρησης: Η επιθεώρηση αυτή διεξάγεται το αργότερο 2 χρόνια μετά από το 2 ο στάδιο της επιθεώρησης πιστοποίησης και έχει ως σκοπό τον έλεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του. Τι γίνεται στην επιθεώρηση Ένα από τα σημεία στα οποία πολλοί έχουν απορίες, είναι το τι ακριβώς γίνεται στην επιθεώρηση. Κατά τη διάρκεια της επιθεώρησης, ο επιθεωρητής προσπαθεί να συλλέξει τεκμήρια ό- τι πράγματι το σύστημα που έχει δημιουργήσει ο Οργανισμός λειτουργεί, εφαρμόζεται και βελτιώνεται σύμφωνα με τις απαιτήσεις του προτύπου. Η συλλογή των αντικειμενικών αυτών αποδείξεων μπορεί να γίνει με διάφορους τρόπους: 1. Με παρατήρηση από την πλευρά του επιθεωρητή: Π.χ., ας υ- ποθέσουμε ότι μέρος του σχεδίου επιχειρησιακής συνέχειας ενός Οργανισμού είναι η τήρηση ενός δευτερεύοντος site, το οποίο είναι σε κατάσταση “hot”. Ο επιθεωρητής θα πρέπει να δει τόσο τις προβλέψεις για το συγχρονισμό από την πλευρά του αρχικού / παραγωγικού site, αλλά και να επισκεφθεί το δευτερεύον site προκειμένου να λάβει και από ε- κεί τεκμήρια ότι υπάρχει και βρίσκεται σε ετοιμότητα. 2. Με συζητήσεις με το προσωπικό: Για ένα σύστημα επιχειρησιακής συνέχειας, ο άνθρωπος έχει ιδιαίτερη σημασία και παίζει καθοριστικό ρόλο στην ορθή λειτουργία και αποτελεσματικότητά του. Σε αυτήν την περίπτωση, ο επιθεωρητής θα πρέπει με σωστές ερωτήσεις που θα διευκολύνουν τη συζήτηση και θα παραβλέπουν το άγχος, να λάβει πληροφορίες σχετικά με το αν το άτομο αυτό γνωρίζει το ρόλο του στο σύστημα και έχει εξασκηθεί στη διενέργεια των καθηκόντων αυτών. 3. Με ανασκόπηση εγγράφων και έλεγχο αρχείων: Π.χ., ακρογωνιαίος λίθος ενός συστήματος επιχειρησιακής συνέχειας είναι η ανάλυση επιχειρησιακών επιπτώσεων. Ο επιθεωρητής θα πρέπει να ελέγξει τον τρόπο με τον οποίο δημιουργήθηκε η ανάλυση αυτή, αλλά και να κρίνει την ορθότητα και πληρότητά του. Πότε προκύπτουν προβλήματα και τι γίνεται σε αυτήν την περίπτωση Ένα από τα πιο συνηθισμένα προβλήματα που προκύπτουν στην επιθεώρηση, αφορά στην ύπαρξη διαφοράς ανάμεσα σε αυτό που θα ήθελε ο Οργανισμός να γίνεται και σε αυτό που τελικά αποδεικνύεται μέσω της επιθεώρησης ότι γίνεται. Υπάρχουν δηλαδή περιπτώσεις όπου στη διάρκεια της επιθεώρησης αποκαλύπτεται ότι, ενώ μια διαδικασία είναι αποτυπωμένη με έναν τρόπο, υλοποιείται διαφορετικά ή ότι κάτι που θα έπρεπε να γνωρίζει κάποιος, στην πραγματικότητα δεν το γνωρίζει. Ειδικά το τελευταίο, όταν αφορά σε εργασίες που πρέπει - σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο - να υλοποιηθούν και μπορεί να επηρεάζουν και την υγεία και α- σφάλεια του ατόμου, η επίπτωση λανθασμένης ή καθυστερημένης ενέργειας μεγιστοποιείται. Σε περίπτωση όπου κατά τη διάρκεια της επιθεώρησης παρατηρηθούν αποκλίσεις οι οποίες κριθούν σημαντικές και ότι επηρεάζουν την αποτελεσματικότητα του συστήματος, εκφράζονται Μη Συμμορφώσεις. Τις Μη Συμμορφώσεις ο Οργανισμός πρέπει να τις αντιμετωπίσει άμεσα και με επιτυχία, για να μπορεί το πιστοποιητικό του να εκδοθεί (στην περίπτωση της επιθεώρησης πιστοποίησης) ή να διατηρηθεί η ισχύς του (στην περίπτωση επιθεώρησης επιτήρησης). Εκπαίδευση Η ΤÜV AUSTRIA HELLAS αποτελεί το μοναδικό Οργανισμό στην Ελλάδα που προσφέρει εκπαίδευση στις πρακτικές οι ο- ποίες σχετίζονται με την επιχειρησιακή συνέχεια και που οδηγούν στην πιστοποίηση ως Business Continuity Practitioner του ISEB Αγγλίας, καθώς και στην πιστοποίηση Certificate of the BCI του διεθνούς Business Continuity Institute. Επιπλέον, η ΤÜV AUSTRIA HELLAS προσφέρει εκπαίδευση και σε όλα τα αντικείμενα που πλαισιώνουν και υποστηρίζουν την επιχειρησιακή συνέχεια, όπως είναι η ετοιμότητα για περιστατικά, το ICT continuity, η ανάλυση κινδύνου, η αποτίμηση επιχειρησιακών επιπτώσεων, η ασφάλεια κ.ά. Όλα τα παραπάνω σεμινάρια είναι αναγνωρισμένα από τον ISACA και προσφέρουν CPEs. Περισσότερες πληροφορίες μπορούν να αντληθούν και από τον εκπαιδευτικό οδηγό στο: http://www.tuvaustriahellas.gr/gr/educational-2013.htm. Λίγα λόγια για την TÜV AUSTRIA HELLAS Η ΤÜV AUSTRIA HELLAS, 100% θυγατρική εταιρεία του Αυστριακού Οργανισμού ΤÜV AUSTRIA GROUP, προσφέρει τις υπηρεσίες της από το 1994, αξιοποιώντας την τεχνογνωσία και την επιστημονική υποστήριξη του ΤÜV AUSTRIA GROUP και κατέχει σήμερα μία από τις πρώτες θέσεις στον τομέα της επιθεώρησης, της πιστοποίησης και των τεχνικών ελέγχων στη χώρα μας. Διαθέτει στην Ελλάδα παραρτήματα στη Θεσσαλονίκη και στο Ηράκλειο της Κρήτης, ενώ στο εξωτερικό δραστηριοποιείται με αποκλειστικούς αντιπροσώπους σε Κύπρο, Ιορδανία, Τουρκία, Αλβανία, Ισραήλ, Αίγυπτο, Υεμένη, Κατάρ, Πακιστάν και Κορέα. Ειδικά στο χώρο της επιχειρησιακής συνέχειας και της πληροφορικής, κατέχει την ηγετική θέση στην Ελλάδα, έχοντας αποδώσει περισσότερο από το 70% των πιστοποιητικών στην αγορά.Η ΤÜV AUSTRIA HELLAS είναι διαπιστευμένος φορέας για τα παραπάνω αντικείμενα, από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) και κατέχει τη διαπίστευση για την επιχειρησιακή συνέχεια, αρχικά με την έκδοση του BSI, BS 25999 και εν συνεχεία με την έκδοση του προτύπου από τον ISO, στο ISO 22301. security | 23
Page 1: Αύγουστος - Σεπτέμβ
Page 4 and 5: CONTENTS 20 26 30 1|EDITORIAL 6|NEW
Page 6 and 7: NEWS Συνδυασμός κορυ
Page 8 and 9: NEWS Επίθεση από malware.
Page 10: NEWS Υπεύθυνοι Ασφαλ
Page 14 and 15: COVER ISSUE Διαχείριση Ε
Page 20 and 21: I SSUE το virtualization, οι λ
Page 22 and 23: I SSUE Εξασφαλίζοντας
Page 26 and 27: I SSUE Γνωριμία με το
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Software Defined Networking
Page 32 and 33: I SSUE Xαράλαμπος Γκιώ
Page 34 and 35: I SSUE Wetware και Social Engine
Page 36 and 37: I SSUE Wetware και Social Engine
Page 38 and 39: I ΝΤERVIEW Η κορυφαία π
Page 40 and 41: I ΝΤERVIEW Η Oracle Database 12c
Page 42 and 43: I ΝΤERVIEW Κομβικής ση
Page 44 and 45: I ΝΤERVIEW Κομβικής ση
Page 46 and 47: REFERENCE Ivan Straniero, Territory
Page 48 and 49: REFERENCE Λία Αργύρη, Corp

IT Professional Security - ΤΕΥΧΟΣ 32

Create successful ePaper yourself

Delete template?

Save as template?