Ασφάλεια πληροφορίας και ανάλυση κινδύνων στα πληροφοριακά συστήματα - Μελέτη περίπτωσης με χρήση του EBIOS

Abstract

Οι οργανισμοί που βασίζονται στα πληροφοριακά τους συστήματα για την εκτέλεση τόσο της αποστολής τους όσο και των επιχειρησιακών λειτουργιών τους, αντιμετωπίζουν τον κίνδυνο σοβαρών απειλών, οι οποίες μπορούν να εκμεταλλευθούν γνωστές αλλά και άγνωστες αδυναμίες των συστημάτων αυτών. Μεταξύ των απειλών συγκαταλέγονται στοχευμένες επιθέσεις, διακοπές στη λειτουργία των οργανισμών που οφείλονται σε φυσικές καταστροφές, ανθρώπινα λάθη ή λάθη συστήματος και διαρθρωτικές αδυναμίες. Αυτές οι δυνητικά επιβλαβείς δραστηριότητες μπορούν να θέσουν σε κίνδυνο την εμπιστευτικότητα, ακεραιότητα ή διαθεσιμότητα της πληροφορίας που επεξεργάζεται, αποθηκεύεται ή μεταδίδεται από τα πληροφοριακά συστήματα, με αποτέλεσμα να προκύπτουν αρνητικές επιπτώσεις στον οργανισμό, στις λειτουργίες του, στα αγαθά και στους ανθρώπους του, αλλά και να θέτουν παράλληλα σε κίνδυνο άλλους οργανισμούς ακόμα και εθνικά συμφέροντα. Οι άνθρωποι σε όλα τα επίπεδα ενός οργανισμού έχουν ένα ρόλο στη διαχείριση των κινδύνων ασφάλειας πληροφορίας που αφορά την αποστολή του οργανισμού, τις επιχειρησιακές λειτουργίες του και τα πληροφοριακά συστήματα που τις υποστηρίζουν. Η διαχείριση του κινδύνου είναι μία ολοκληρωμένη και πολύπλοκη διαδικασία που περιλαμβάνει πολλές δραστηριότητες και λειτουργίες ενός οργανισμού (προγράμματα, επενδύσεις, προϋπολογισμός, νομικά και ζητήματα ασφάλειας). Μία ολοκληρωμένη προσέγγιση για τη διαχείριση του κινδύνου συγκεντρώνει τις καλύτερες αποφάσεις των ατομικών και ομαδικών οργάνων του οργανισμού, που είναι υπεύθυνα για το στρατηγικό σχεδιασμό, την εποπτεία, τη διαχείριση και τις καθημερινές εργασίες του. Η ανάλυση επικινδυνότητας είτε αφορά την ασφάλεια πληροφορίας είτε άλλα είδη κινδύνου θα πρέπει να πραγματοποιείται σε μία συνεχή βάση, διότι αποτελεί το μέσο παροχής της απαραίτητης πληροφορίας σε αυτούς που λαμβάνουν τις αποφάσεις για να κατανοήσουν του παράγοντες που μπορούν να επηρεάσουν αρνητικά τις δραστηριότητες και τα αποτελέσματα αυτών, με στόχο τη λήψη ενημερωμένων αποφάσεων αναφορικά με την έκταση των απαιτούμενων ενεργειών για τη μείωση του κινδύνου. Οι οργανισμοί μπορούν να διενεργούν αναλύσεις επικινδυνότητας κατά τη διάρκεια της ανάπτυξης του κύκλου ζωής των συστημάτων και σε όλα τα επίπεδα της ιεραρχίας διαχείρισης επικινδυνότητας, σύμφωνα με τις αποφάσεις της διοίκησης που αφορούν τη συχνότητα τους και τους απαιτούμενους πόρους. Αυτή η μεταπτυχιακή διατριβή ασχολείται με την ασφάλεια της πληροφορίας και την ανάλυση των κινδύνων που αντιμετωπίζουν τα πληροφοριακά συστήματα των οργανισμών. Αρχικά, μετά από μία σύντομη εισαγωγή, στο κεφάλαιο 2, παρουσιάζεται αναλυτικά το Διεθνές Πρότυπο ISO/IEC 27002:2005 το οποίο θεσπίζει μία σειρά από οδηγίες και βέλτιστες πρακτικές για τη διαχείριση της ασφάλειας πληροφορίας. Εν συνέχεια, στο κεφάλαιο 3, παρουσιάζεται η διαχείριση επικινδυνότητας στα πληροφοριακά συστήματα και ορισμένες από τις κυριότερες και πιο χαρακτηριστικές μεθοδολογίες που χρησιμοποιούνται στην ανάλυση κινδύνων των πληροφοριακών συστημάτων. Στο κεφάλαιο 4, παρουσιάζεται αναλυτικά η μεθοδολογία EBIOS και το αντίστοιχο εργαλείο μέσα από τη μελέτη ανάλυσης κινδύνων σε μία Βιβλιοθήκη Πανεπιστημίου. Τέλος, στο κεφάλαιο 5, αναφέρονται τα συμπεράσματα αυτής της μελέτης και ορισμένες προτάσεις για μελλοντική επέκταση της μελέτης και περαιτέρω έρευνα.