Συνεργατική πολυκριτηριακή διαχείριση ασφάλειας πληροφοριακών συστημάτων

Abstract

Η διαχείριση ασφάλειας του Πληροφοριακού Συστήματος (ΠΣ) ενός οργανισμού αποτελεί απαραίτητο συστατικό για την εύρυθμη λειτουργία του φορέα και την αδιάλειπτη παροχή υπηρεσιών. Τα σημερινά πληροφοριακά συστήματα χαρακτηρίζονται από πολυπλοκότητα (πολύπλοκες αρχιτεκτονικές, κατανεμημένα σε πολλές διαφορετικές τοποθεσίες), αλληλεξαρτώνται από ΠΣ συνεργαζόμενων φορέων και καλούνται να εξυπηρετήσουν ταυτόχρονα πολλούς χρήστες (εσωτερικούς χρήστες, συνεργάτες, πελάτες) έχοντας να αντιμετωπίσουν τον υψηλό ανταγωνισμό και την οικονομική κρίση. Από την άλλη, οι μικρές και μικρομεσαίες επιχειρήσεις (ΜΜΕ) όπου ο αντίκτυπος της οικονομικής κρίσης είναι ορατός, μη έχοντας τους οικονομικούς πόρους αλλά ούτε και την απαραίτητη τεχνογνωσία, αδιαφορούν για την εναρμόνισή τους με τα πρότυπα ασφάλειας, με αποτέλεσμα να αποτελούν αδύναμο κρίκο τόσο για την εγχώρια όσο και για την παγκόσμια οικονομία. Οι υφιστάμενες μεθοδολογίες και τα υπάρχοντα εργαλεία ανάλυσης και διαχείρισης κινδύνου δεν είναι σε θέση να ανταποκριθούν στις ανάγκες της σημερινής πραγματικότητας. είναι επιτακτική ανάγκη η ύπαρξη αναβαθμισμένων μεθοδολογιών ανάλυσης και διαχείρισης επικινδυνότητας οι οποίες θα είναι σε θέση να αντιμετωπίσουν την σημερινή πραγματικότητα της διαχείρισης ασφάλειας ΠΣ, ενώ ταυτόχρονα θα συνοδεύονται από εύχρηστα εργαλεία τα οποία θα μπορούν να αποτελέσουν σημαντικό εφόδιο για τις διοικήσεις τόσο των κρίσιμων υποδομών όσο και των ΜΜΕ. Η παρούσα διατριβή, κατανοώντας τις αδυναμίες αυτές, αντιμετωπίζει το πρόβλημα της ανάλυσης και διαχείρισης επικινδυνότητας ως ένα πολυκριτηριακό πρόβλημα όπου συμμετέχουν πολλοί χρήστες (διαχειριστές, μέλη της διοίκησης, μέλη της ομάδας ασφάλειας και τελικοί χρήστες), οι οποίοι καλούνται να λύσουν τα εξής προβλήματα: εντοπισμός και αξιολόγηση των επιπτώσεων από την απώλεια ασφάλειας (απώλεια εμπιστευτικότητας, διαθεσιμότητας, ακεραιότητας) των αγαθών του ΠΣ του οργανισμού τους, εντοπισμός και αξιολόγηση των απειλών και αδυναμιών των αγαθών του ΠΣ του οργανισμού τους, και αξιολόγηση και επιλογή των κατάλληλων μέτρων προστασίας για την εξασφάλιση της ομαλής λειτουργίας του ΠΣ, λαμβάνοντας υπόψη τα δικά τους κριτήρια (τεχνολογικά, επιχειρησιακά, νομικά) βασιζόμενοι στην εμπειρία και την τεχνογνωσία τους. Συγκεκριμένα, συνδυάζοντας τις πολυκριτηριακές μεθοδολογίες ομαδικής λήψης αποφάσεων προτείνεται μια συνεργατική, πολυκριτηριακή μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας (STORM-RM) η οποία έχει ως στόχο την συλλογή της γνώσης (η οποία είναι διασκορπισμένη στους χρήστες των ΠΣ των οργανισμών), την ελάττωση των χρονοβόρων ερωτηματολογίων και συνεντεύξεων και την εξοικονόμηση πόρων.