Σχεδίαση και υλοποίηση μεθοδολογιών διαχείρισης ασφάλειας πληροφοριακών συστημάτων

Abstract

Το πρόβλημα της ασφάλειας των πληροφοριακών συστημάτων ήταν -από γενέσεως πληροφορικής- πάντα κρίσιμο. Αναμφισβήτητα, σήμερα ο κίνδυνος είναι πιο συνειδητός, καθώς τα συστήματα εκτίθενται σε ευρύ φάσμα χρηστών και συνεπώς κινδύνων. Η πληροφορία, οποιαδήποτε κι αν είναι η μορφή της, εφόσον είναι σημαντική απαιτείται να διαφυλάσσεται κατάλληλα και να είναι σωστά προστατευμένη. Αυτός είναι ο απώτερος σκοπός της ασφάλειας πληροφοριών: να προστατεύει την πληροφορία από ένα ευρύ φάσμα απειλών παρέχοντας εξασφάλιση στην επιχειρηματική κοινωνία, ελαχιστοποιώντας τη ζημία των επιχειρήσεων και αυξάνοντας το κέρδος από επενδύσεις και επιχειρηματικές ευκαιρίες. Η ασφάλεια των συστημάτων και των δεδομένων τους ορίζεται σε τρεις άξονες: διαθεσιμότητα, εμπιστευτικότητα, ακεραιότητα. Τα τελευταία χρόνια παρατηρείται ότι η αξία των περιουσιακών στοιχείων μιας εταιρείας προέρχεται κυρίως από άυλα στοιχεία. Αναπόφευκτα, η εξάρτηση πάνω στα πληροφοριακά συστήματα και υπηρεσίες σημαίνει ότι οι οργανισμοί είναι πιο ευάλωτοι στις απειλές ασφάλειας. Τα δεδομένα, οι πληροφορίες, οι υποστηρικτικές διαδικασίες, τα συστήματα και τα δίκτυα είναι σημαντικά επιχειρηματικά αγαθά, οπότε διαφυλάσσοντας τα μία εταιρεία μπορεί να αποφύγει ανυπολόγιστα προβλήματα τα οποία ενδέχεται να προκύψουν. Η αλματώδης ανάπτυξη και αύξηση των εταιρειών, έχει ως συνέπεια να γίνονται πιο “ θελκτικός ” στόχος, άρα τα συστήματα πληροφοριών και τα δίκτυα τους να έχουν να αντιμετωπίσουν απειλές από ένα ευρύ φάσμα πηγών, περιλαμβάνοντας computer-assisted fraud, espionage, sabotage, βανδαλισμό, φωτιά ή πλημμύρα. Πηγές ζημιάς, όπως ιοί υπολογιστών και computer hacking έχουν γίνει ολοένα και πιο συχνοί, πιο φιλόδοξοι και εντυπωσιακά ειδικευμένοι. Αντιλαμβανόμαστε λοιπόν την σπουδαιότητα που πρέπει να έχει η ασφάλεια των πληροφοριών σε μία επιχείρηση. Στην παρούσα μεταπτυχιακή διατριβή, γίνεται παρουσίαση μερικών από των πιο γνωστών και διεθνώς αποδεκτών μεθόδων ανάλυσης επικινδυνότητας και στη συνέχεια επιχειρείται μια αναλυτική σύγκριση των αποτελεσμάτων που προκύπτουν μεταξύ των CRAMM, MAGERIT και MEHARI για το επιλεγμένο σενάριο προσομοίωσης ενός χρηματοπιστωτικού οργανισμού που αποτελεί κρίσιμη υποδομή με στόχο την εύρεση της κατάλληλης μεθοδολογίας για την υλοποίηση ανάλυσης επικινδυνότητας σε αυτόν, όπως απαιτείται από τα διεθνή πρότυπα τα οποία διέπουν την λειτουργία αυτού.