Η ασφάλεια της πληροφορίας ως επιχειρηματικό μοντέλο

Abstract

Σε έναν οργανισμό, ανάμεσα στα στελέχη του business και στα όργανα της Ασφάλειας της Πληροφορίας, βρίσκονται πάντα οι λειτουργίες της Πληροφορικής. Το μεν business έχει ως αποστολή την επίτευξη των επιχειρηματικών του στόχων με ευκολία και αποδοτικότητα ενώ το Security Office έχει ως αποστολή την διασφάλιση της επίτευξης των στόχων αυτών με ασφάλεια. Τις περισσότερες φορές οι δύο αυτές μονάδες έχουν αντικρουόμενες προτεραιότητες, δημιουργώντας λειτουργικά προβλήματα στη ροή εργασιών της Πληροφορικής τα οποία ξεκινούν από το έλλειμμα επικοινωνίας μεταξύ των τριών οντοτήτων. Στα πλαίσια αυτά πραγματοποιείται έρευνα πάνω στα Οικονομικά της Ασφάλειας με σκοπό την εξεύρεση μεθόδων υπολογισμού της βέλτιστης επενδυτικής απόδοσης των security controls. Ωστόσο, το συγκεκριμένο πεδίο αντιμετωπίζεται με σκεπτικισμό αναφορικά με την αξιοπιστία των μελετών που παράγει. Μία άλλη άποψη, με εξίσου μεγάλο ενδιαφέρον, είναι αυτή που προσεγγίζει την Ασφάλεια της Πληροφορίας ως έναν επιπλέον επιχειρηματικό στόχο και όχι ως μία παράλληλη λειτουργία της Πληροφορικής, θέτοντάς την στα χέρια της υψηλής Διοίκησης. Βασική προϋπόθεση ωστόσο είναι η υψηλή Διοίκηση να αντιλαμβάνεται πλήρως τις απαιτήσεις ασφάλειας και τις πιθανές επιπτώσεις από τη μη επίτευξη αυτών. Με βάση αυτή την προσέγγιση, έχουν ξεκινήσει να αναπτύσσονται επιχειρηματικά μοντέλα τα οποία θέτουν στον πυρήνα τους την Ασφάλεια της Πληροφορίας και που μπορούν να αξιοποιηθούν από κάθε οργανισμό ο οποίος στηρίζεται σε σύνθετα πληροφοριακά αγαθά. Στην εισαγωγή της υπάρχουσας μελέτης, αναλύεται το επικοινωνιακό πρόβλημα μεταξύ των οργανωτικών οντοτήτων σχετικά με την ασφάλεια ενώ έπειτα γίνεται και μία αναφορά στις προσπάθειες επίλυσής του μέσω των Οικονομικών της Ασφάλειας. Στη συνέχεια παρουσιάζεται μία επίκαιρη εικόνα των περιστατικών ασφάλειας σε παγκόσμια κλίμακα προκειμένου να γίνει αντιληπτή η ανάγκη για περισσότερη συμμετοχή της Διοίκησης στην Ασφάλεια της Πληροφορίας. Έπειτα παρουσιάζεται η πρόταση του ISACA για την Ασφάλεια της Πληροφορίας ως επιχειρηματικό μοντέλο και πάνω σε αυτήν την πρόταση πραγματοποιούνται τρεις μελέτες περίπτωσης πάνω σε ελληνικό όμιλο εταιρειών ο οποίος δραστηριοποιείται κυρίως στον τραπεζικό τομέα.