Ανάλυση και διαχείριση επικινδυνότητας στα πληροφοριακά συστήματα - υλοποίηση μεθοδολογίας σε επιχειρησιακό περιβάλλον

Abstract

Καθώς οι περισσότεροι οργανισμοί βασίζουν πλέον ένα μεγάλο μέρος της λειτουργίας τους σε πληροφοριακά συστήματα, η ανάγκη για κατάλληλη ασφάλεια αυξάνεται. Δυστυχώς, είναι δύσκολο να γίνει επιλογή των μέτρων ασφαλείας που χρειάζονται για να επιτευχθεί ικανοποιητική ασφάλεια. Μεγάλες ποσότητες πόρων ξοδεύονται με σκοπό την αποφυγή αποτυχιών. Παρόλα αυτά, τελικά είναι αδύνατο να υπάρξει η εγγύηση ότι το ΠΣ είναι τέλειο, όπως είναι επίσης αδύνατο να προβλεφθεί και να εξαλειφθεί κάθε τι από τον εξωτερικό κόσμο που πιθανόν να απειλήσει το ΠΣ. Αυτό που όμως είναι δυνατό να επιτευχθεί, είναι η μείωση της πιθανότητας εμφάνισης κινδύνου, η οποία θα επιφέρει και ελάττωση της αβεβαιότητας. Προϋπόθεση για την επίτευξη αυτής της ελάττωσης αποτελεί η εφαρμογή μιας κατάλληλης διαχείρισης επικινδυνότητας ώστε να επιτευχθεί επαρκής αναγνώριση και αποτελεσματική αντιμετώπιση των διαφόρων κινδύνων που απειλούν το σύστημα. Αν η επικινδυνότητα θεωρηθεί ως το γενικότερο πλαίσιο που αναφέρεται σε πολιτικούς, τεχνικούς και διαχειριστικούς παράγοντες που απειλούν ένα ΠΣ ή την επιτυχία των έργων λογισμικού, η διαχείρισή της αποτελεί τη διαδικασία αναγνώρισης και ανάλυσης αυτών των απειλών, ποσοτικοποίησης των επιπτώσεών τους και εφαρμογής σχεδίων που θα ελαττώσουν ή θα εξουδετερώσουν τις αρνητικές τους συνέπειες. Αυτή η μεταπτυχιακή διατριβή ασχολείται με την ανάλυση κινδύνων, διαδικασιών και μεθοδολογιών που αναγνωρίζουν τα προβλήματα ασφαλείας, τα ταξινομούν με βάση την σημαντικότητα τους και τέλος προτείνουν λύσεις για την επίλυση τους. Παρουσιάζονται οι διαφορετικοί τρόποι ανάλυσης κινδύνων, οι κυριότερες μέθοδοι που χρησιμοποιούνται σήμερα, τα πακέτα λογισμικού που κυκλοφορούν στην αγορά. Στο τέλος, υλοποιείται μια εφαρμογή ανάλυσης κινδύνων σε πολυεθνική εταιρεία τηλεπικοινωνιών με το λογισμικό της NRisk. Μέσα από αυτή τη προσπάθεια, διαφαίνεται η αξία της διαχείρισης επικινδυνότητας για τον έλεγχο του λογισμικού, ενώ παράλληλα προκύπτουν ορισμένοι σημαντικοί παράγοντες που επηρεάζουν άμεσα το ποσοστό κινδύνου που απομένει μετά την ολοκλήρωση της φάσης, καθώς και μια συνολική διαδικασία διαχείρισης επικινδυνότητας.