Διαχείριση επικινδυνότητας στις τηλεπικοινωνίες

Abstract

Μέχρι πρόσφατα, η εστίαση της προστασίας ήταν στα συστήματα IT, που επεξεργάζονται και αποθηκεύουν την πλειοψηφία των πληροφοριών και όχι στην ίδια την πληροφορία. Αυτή η προσέγγιση όμως, δεν είναι αρκετή για να επιτευχθεί το επιθυμητό επίπεδο ολοκλήρωσης και η συνολική ασφάλεια που απαιτείται σήμερα. Η ασφάλεια των πληροφοριών επιβάλει ότι το περιεχόμενο, οι πληροφορίες και οι γνώσεις που βασίζονται σε αυτές, πρέπει να προστατεύονται επαρκώς, ανεξάρτητα από το πώς έχει γίνει η επεξεργασία, η, μεταφορά και η αποθήκευση των δεδομένων. Και αυτό αποτελεί πρωτίστως ευθύνη του διοικητικού συμβουλίου και του executive management. Το θέμα της ασφάλειας των πληροφοριών, αναλύεται λεπτομερειακά στο δεύτερο κεφάλαιο παρουσιάζοντας τα εμπλεκόμενα σε αυτή μέρη. Στην πορεία του κεφαλαίου αυτού, γίνεται σαφές ότι η πολιτική ασφάλειας είναι ταυτισμένη με την έννοια της συμμόρφωσης και των μετρήσεων. Η πολιτική ασφάλειας είναι ένα σημαντικό κείμενο, όχι μόνο επειδή θέτει τα όρια, αλλά και επειδή είναι ενδεικτική της γενικότερης φιλοσοφίας και κουλτούρας ενός οργανισμού που διαθέτει τηλεπικοινωνιακό δίκτυο. Και μπορεί η ασφάλεια πληροφοριών να χρειάζεται σε όλους όσους έχουν πληροφοριακό δίκτυο, το περιεχόμενό της όμως διαφοροποιείται και προσαρμόζεται στην κάθε περίπτωση. Η ασφάλεια είναι μια πολύ-παραγοντική διαδικασία που αφορά τους πάντες στο Internet: τον πάροχο δικτύου, τον οργανισμό, τους μόνιμους χρήστες, τους επισκέπτες. Στο τρίτο κεφάλαιο της εργασίας αυτής αναπτύσσεται η έννοια της διαχείρισης επικινδυνότητας. Η διαχείριση επικινδυνότητας είναι το απόλυτο εργαλείο όλων των δραστηριοτήτων της ασφάλειας πληροφοριών και όλων των προσπαθειών διασφάλισης του εκάστοτε οργανισμού. Κάθε επιτυχημένο πρόγραμμα διαχείρισης επικινδυνότητας μπορεί να οριστεί ως ένα πρόγραμμα που ανταποκρίνεται στις προσδοκίες και επιτυγχάνει συγκεκριμένους στόχους του οργανισμού αποδοτικά, αποτελεσματικά και με συνέπεια. Αναλύονται λοιπόν η στρατηγική, τα εμπλεκόμενα μέρη, η υλοποίηση και οι μεθοδολογίες κατά την διεξαγωγή της ανάλυσης των κινδύνων στους εκάστοτε οργανισμούς. Στο τέταρτο κεφάλαιο αναλύεται η μεθοδολογία που χρησιμοποιήθηκε κατά την διεξαγωγή της διαχείρισης επικινδυνότητας σε οργανισμό - επιχείρηση παροχής υπηρεσιών κινητής τηλεφωνίας. Καταγράφονται οι κίνδυνοι - ευπάθειες - τρωτά σημεία που διαπιστώθηκαν στις φάσεις έναρξης, ανάπτυξης ή απόκτησης, υλοποίησης, λειτουργίας ή συντήρησης και διάθεσης ενός νέου συστήματος για την εξυπηρέτηση υπηρεσιών προπληρωμένης κινητής τηλεφωνίας. Στην συνέχεια παρουσιάζονται τα φύλλα κινδύνου με τους κινδύνους καταγεγραμμένους και ομαδοποιημένους ανάλογα με τους τομείς που εμφανίζονται και επηρεάζουν. Τέλος, αναλύονται οι μελλοντικές επεκτάσεις ενός προγράμματος ασφαλείας σε έναν πάροχο κινητών επικοινωνιών .