IT Professional Security - ΤΕΥΧΟΣ 36

τηγικής που σχεδιάζεται από επαγγελματίες της ασφάλειας πληροφοριών,
οι οποίοι συχνά υποπίπτουν σε σημαντικά λάθη, τα
οποία στοιχίζουν σε αποτελεσματικότητα και αξιοπιστία.
Στις επόμενες παραγράφους προσδιορίζονται τα σημαντικότερα
λάθη τα οποία γίνονται κατά το σχεδιασμό της στρατηγικής
αλλά και την εφαρμογή των βασικών άρχων της Α-
σφάλειας Πληροφοριών. Λάθη τα οποία ξεκινούν και καταλήγουν
στον ανθρώπινο παράγοντα.
Απουσία συνολικής στρατηγικής διαχείρισης της
ασφάλειας πληροφοριών
Η Στρατηγική πρέπει να είναι προσαρμοσμένη στον συγκεκριμένο
Οργανισμό και αφορά στη συγκεκριμένη κουλτούρα και ανάγκες
για προστασία των πληροφοριών. Τα κυριότερα λάθη τα οποία α-
φορούν στη διαμόρφωση της στρατηγικής είναι τα ακόλουθα:
Σε πολλές περιπτώσεις δεν υπάρχει στρατηγική και η διαμόρφωση
του πλαισίου διαχείρισης της Ασφάλειας Πληροφοριών
ξεκινά από την ανάγκη της κανονιστικής συμμόρφωσης
είτε από τη ματαιοδοξία της πιστοποίησης με κάποιο
πρότυπο.
Η στρατηγική δεν έχει γίνει επίσημα αποδεκτή και δε στηρίζεται
από τη Διοίκηση.
Στρατηγική πέρα και πάνω από πιστοποιήσεις, πρότυπα,
κανονιστικές απαιτήσεις. Στρατηγική η οποία περιλαμβάνει
όλα τα προηγούμενα, αλλά τα υλοποιεί, τα εφαρμόζει
αφού προηγουμένως έχει κατανοήσει τις ανάγκες ασφάλειας
του Οργανισμού όπως αυτές προσδιορίζονται από
αξιολογήσεις κινδύνων, αξιολογήσεις αδυναμιών ασφάλειας
αλλά και αξιολόγηση της κρισιμότητας των υφιστάμενων
πληροφοριών. Δε πρέπει, επίσης, να παραβλέψουμε
την ανάγκη για προσδιορισμό της ροής των κρίσιμων
πληροφοριών εσωτερικά αλλά και εξωτερικά του Οργανισμού,
συνεπικουρούμενης από την αξιολόγηση των δικλείδων
ασφάλειας κατά τη ροή και χρήση των κρίσιμων
εταιρικών πληροφοριών.
Η στρατηγική είναι αναγκαίο να περιλαμβάνει συγκεκριμένα βήματα
υλοποίησης, χρόνο-προγραμματισμό αλλά και παραμέτρους
μέτρησης της αποτελεσματικότητάς της έτσι ώστε να
μπορεί να αναπροσαρμοσθεί.
Πολιτικές και διαδικασίες που είναι εφικτό να ε-
φαρμοστούν
Η θέσπιση και τεκμηρίωση των κανόνων προστασίας είναι από
τους ακρογωνιαίους λίθους της Ασφάλειας Πληροφοριών. Συχνά
αντιμετωπίζεται ως μια διαδικασία συλλογής και αποτύπωσης
κανόνων οι οποίοι δεν ανταποκρίνονται στο Επιχειρηματικό
περιβάλλον, επαναλαμβάνονται και πολλοί από αυτούς δε
μπορούν να εφαρμοστούν.
Τα συχνότερα λάθη που συναντούμε είναι τα ακόλουθα:
Αντιγραφή από διάφορες πήγες χωρίς επεξεργασία και προσαρμογή
στο υφιστάμενο περιβάλλον και κουλτούρα.
Μεταφορά αυτούσιων φράσεων από πρότυπα, κανονιστικές
διατάξεις και βέλτιστες πρακτικές.
Μη εμπλοκή αντιπροσώπων άλλων Επιχειρηματικών οντοτήτων
του Οργανισμού. Των οντοτήτων, δηλαδή, που καλούνται
να εφαρμόσουν πολιτικές και διαδικασίες.
Δεν είναι επικαιροποιημένες, δεν αντιστοιχούν είτε στην υ-
φιστάμενη οργανωτική δομή, είτε στην υφιστάμενη τεχνολογική
υποδομή.
Απουσία διεργασίας συνεχούς αξιολόγησης κινδύνων
Η αξιολόγηση κινδύνων, τις περισσότερες φορές, αντιμετωπίζεται
ως αναγκαιότητα στο πλαίσιο κανονιστικών απαιτήσεων αλλά
και τήρησης απαιτήσεων εναρμόνισης με κάποια πρότυπα.
Το συχνότερο λάθος αφορά στην προετοιμασία της εν λόγο
διαδικασίας. Η προετοιμασία είναι ελλιπής και στις περισσότερες
περιπτώσεις οι συμμετέχοντες, έκτος των τμημάτων ασφάλειας
πληροφοριών, ειδοποιούνται την τελευταία στιγμή και δεν
έχουν τη δυνατότητα ορθής προετοιμασίας και κατανόησης του
αντικειμένου των ελέγχων.
Η συχνότητα και το εύρος που καλύπτουν οι αξιολογήσεις κινδύνων
είναι ένα ακόμα σημείο που χρήζει προσοχής. Ο κάθε
Οργανισμός έχει ανάγκη μια διεργασίας συνεχούς αξιολόγησης
κινδύνων. Είναι κατανοητό πως η διενέργεια πλήρους
αξιολόγησης κινδύνων κάθε χρόνο είναι ουτοπία. Είναι
όμως εφικτό να υπάρχει καλύτερη οργάνωση της διεργασίας
έτσι ώστε ανά τακτά χρονικά διαστήματα να διενεργείται α-
ξιολόγηση κινδύνων σε διαφορετικές Επιχειρηματικές υποδομές
κατά τη διάρκεια ενός έτους. Επίσης, εβδομαδιαίοι και
μηνιαίοι επαναλαμβανόμενοι έλεγχοι σε κρίσιμες επιχειρηματικές
δραστηριότητες είναι αναγκαίοι. Αυτό που χρειάζεται να
security | 15