Ανάλυση και διαχείριση κινδύνου σε συστήματα διαχείρισης πληροφοριών

Abstract

Η δημιουργία μιας αποτελεσματικής διαδικασίας διαχείρισης κινδύνων αποτελεί σημαντική συνιστώσα ενός ολοκληρωμένου προγράμματος ασφαλείας σε επίπεδο ΙΤ και ταυτόχρονα συλλογική ευθύνη της διοίκησης ενός οργανισμού. Για τον εντοπισμό και την αξιολόγηση των κενών ασφάλειας και την υλοποίηση των απαραίτητων ελέγχων, είναι απαραίτητη η διεξαγωγή δύο βασικών σταδίων, του εντοπισμού και αξιολόγησης κινδύνων (ΙΤ risk assessment) και του περιορισμού των κινδύνων (Risk Mitigation). Στην παρούσα εργασία παρουσιάζεται μια μεθοδολογία εντοπισμού και αξιολόγησης κινδύνων, που περιλαμβάνει εννέα στάδια (Χαρακτηρισμός Συστήματος, Προσδιορισμός Απειλών, Αναγνώριση Αδυναμιών, Ανάλυση Ελέγχων, Προσδιορισμός Πιθανοτήτων, Ανάλυση Επιπτώσεων, Προσδιορισμός των Κινδύνων, Συστάσεις Ελέγχων, Τεκμηρίωση Αποτελεσμάτων). Παρουσιάζεται επίσης μια μεθοδολογία περιορισμού των κινδύνων, η οποία περιλαμβάνει επτά στάδια (Προτεραιοποίηση Ενεργειών/ Δράσεων, Αξιολόγηση Επιλογών Προτεινόμενων Ελέγχων, Διεξαγωγή Ανάλυσης Κόστους – Οφέλους, Επιλογή Ελέγχων, Ανάθεση Αρμοδιοτήτων, Ανάπτυξη Πλάνου Υλοποίησης Προστασίας, Υλοποίηση Επιλεγμένων Ελέγχων). Η αντιμετώπιση και ο περιορισμός των κινδύνων αυτών, απαντάται συνήθως από ένα Οργανισμό με μία ή περισσότερες από επιλογές όπως ανάληψη, αποφυγή, περιορισμός ή μετακύληση κινδύνου. Τέλος, οι παραπάνω μεθοδολογίες για την αξιολόγηση και τον περιορισμό των κινδύνων, αποτυπώνονται σε πρακτικό επίπεδο στη μελέτη περίπτωσης που παρατίθεται στην παρούσα εργασία και αφορά σε ένα Τραπεζικό Οργανισμό.