Η διαχείριση κινδύνων αποτελεί μία διαρκή διαδικασία με στάδια κατά τα οποία οι κίνδυνοι προσδιορίζονται και αξιολογούνται, ενώ στη συνέχεια υλοποιούνται οι κατάλληλες δικλείδες ασφαλείας, προκειμένου οι κίνδυνοι αυτοί και οι αρνητικές επιπτώσεις τους να μειωθούν.

Προσδιορισμός Διαχείρισης Κινδύνων Ασφάλειας Πληροφοριών
Στη σημερινή επιχειρησιακή πρακτική όπου οι αποφάσεις λαμβάνονται με βάση τον κίνδυνο στον οποίο εκτίθεται η κάθε εταιρεία ή οργανισμός, η διαχείριση των κινδύνων ασφάλειας πληροφοριών έχει σημαντικό ρόλο στη διαδικασία λήψης αποφάσεων αναφορικά με τον ορθό διαμοιρασμό των πόρων σε περιοχές, οι οποίες έχουν αξιολογηθεί ως υψηλού κινδύνου. Η χρησιμότητα της διαχείρισης κινδύνων ασφάλειας πληροφοριών υπογραμμίζεται από το γεγονός ότι στη σημερινή εποχή οι πληροφορίες αποτελούν βασικό περιουσιακό στοιχείο κάθε εταιρείας, ενώ τα πληροφοριακά συστήματα είναι το κύριο εργαλείο διεκπεραίωσης των καθημερινών δραστηριοτήτων των εταιρειών.

Η ασφάλεια πληροφοριών είναι μία συνεχής επαναλαμβανόμενη διαδικασία, κεντρικό σημείο της οποίας αποτελεί η διαχείριση των κινδύνων ασφάλειας. Ως Διαχείριση Κινδύνων ορίζεται η διαδικασία κατά την οποία αναγνωρίζονται, αναλύονται, αξιολογούνται, κοινοποιούνται και περιορίζονται οι εκάστοτε κίνδυνοι. Η διαχείριση της οποιασδήποτε μορφής κινδύνων είναι μία διαρκής διαδικασία, η οποία περιλαμβάνει στάδια, κατά τα οποία οι κίνδυνοι προσδιορίζονται και αξιολογούνται και στη συνέχεια υλοποιούνται οι κατάλληλες δικλείδες ασφαλείας, προκειμένου να μειωθούν οι κίνδυνοι και κατ’ επέκταση η αρνητική επίπτωση που έχουν. Μέρος της διαδικασίας αποτελεί και η ενημέρωση του προσωπικού για θέματα που αφορούν στη μείωση των κινδύνων. Η διαδικασία ολοκληρώνεται με το συνεχή έλεγχο της τήρησης και επάρκειας των δικλείδων ασφαλείας. Ο κίνδυνος είναι συνυφασμένος με τις έννοιες των απειλών και των αδυναμιών ασφάλειας πληροφοριών. Συγκεκριμένα, ο κίνδυνος που αφορά στην ασφάλεια πληροφοριών προσδιορίζεται από το γινόμενο της πιθανότητας εκδήλωσης μιας απειλής και της επίδρασης της απειλής στον οργανισμό.
Το πλαίσιο και η χρησιμότητα
Η χρησιμότητα της διαχείρισης κινδύνων επεκτείνεται πέρα από τον προσδιορισμό των κινδύνων και μέτρων προστασίας των υψηλής σημασίας επιχειρηματικών πόρων και υπηρεσιών. Η διαχείριση κινδύνων αποτελεί σημαντικό εργαλείο κατανόησης της χρησιμότητας και της προστιθέμενης αξίας της ασφάλειας πληροφοριών στην εκάστοτε εταιρεία, σε σχέση με την επιχειρηματική της δραστηριότητα. Παράλληλα, βοηθά στον προσδιορισμό των προτεραιοτήτων και την εξασφάλιση των απαραίτητων πόρων για τον περιορισμό και τη μείωση των κινδύνων.
Προσδιορισμός κινδύνου στην ασφάλεια πληροφοριών
Κίνδυνος Ασφάλειας Πληροφοριών (Information Security Risk) ορίζεται η αρνητική επίδραση που μπορεί να έχει για την εταιρεία η εκδήλωση μίας ή περισσότερων απειλών ασφάλειας πληροφοριών, λαμβάνοντας υπόψη

  • την πιθανότητα εκδήλωσης της απειλής (δηλαδή την πιθανότητα κάποια εστία απειλών να υποκινήσει την εκδήλωση μιας αδυναμίας ασφάλειας, που αφορά στις πληροφορίες της εταιρείας),
  • την επίδραση που έχει η εκδήλωση του αποτελέσματος της συγκεκριμένης απειλής, για τη λειτουργία της εταιρείας.

Προκειμένου να κατανοήσουμε τον παραπάνω ορισμό, ας προσδιορίσουμε κάθε μία από τις συνιστώσες του. Ως Απειλή (threat) ασφάλειας πληροφοριών, ορίζουμε την πιθανότητα εκμετάλλευσης μιας αδυναμίας ασφάλειας των πληροφοριακών συστημάτων ή των διαδικασιών διαχείρισης της ασφάλειας πληροφοριών, από μία συγκεκριμένη εστία απειλών, ικανή να υποκινήσει την εκδήλωση μιας αδυναμίας ασφάλειας και να εκμεταλλευθεί το αποτέλεσμά της. Σύμφωνα με τον παραπάνω ορισμό, η απειλή ασφάλειας είναι αποτέλεσμα της εκμετάλλευσης των εκάστοτε αδυναμιών (κενών) ασφάλειας.
Αδυναμίες Ασφάλειας Πληροφοριών ορίζουμε μια ανεπάρκεια, ευπάθεια ή αδύνατο σημείο, το οποίο αφορά στα ακόλουθα:

  • Λογισμικό με κενά ασφάλειας
  • Ελλιπή παραμετροποίηση των πληροφοριακών συστημάτων
  • Ελλιπή επιτήρηση των πληροφοριακών συστημάτων για μη εξουσιοδοτημένες ενέργειες
  • Έλλειψη πολιτικής ασφάλειας & οδηγιών
  • Πρόσβαση σε πληροφορίες οι οποίες δεν είναι αναγκαίες για τη διεκπεραίωση των καθηκόντων
  • Το προσωπικό δεν γνωρίζει την αξία των επιχειρησιακών δεδομένων
  • Αυτοματοποιημένα εργαλεία εκδήλωσης επιθέσεων
  • Εγγενείς αδυναμίες ασφάλειας σε πρωτόκολλα επικοινωνίας.

Κάθε αδύνατο σημείο μπορεί εκδηλωθεί (τυχαία ή εκούσια) με αποτέλεσμα την παραβίαση της ασφάλειας πληροφοριών του οργανισμού. Οι αδυναμίες ασφάλειας δεν εκδηλώνονται από μόνες τους, αλλά υποκινούνται από εστίες απειλών, ικανές να υποκινήσουν την εκδήλωση των αδυναμιών, με αποτέλεσμα την πραγματοποίηση των απειλών ασφάλειας. Οι εστίες απειλών μπορεί να είναι ο ανθρώπινος παράγοντας, κάποια τεχνολογική δυσλειτουργία είτε φυσικά φαινόμενα και διάφορες περιβαλλοντικές απειλές. Οι εστίες απειλών υποκινούν την εκδήλωση των αδυναμιών ασφάλειας, μέσω ενός συνόλου ενεργειών, πράξεων, δράσεων και μηχανισμών.
Η σχέση εστίας απειλών, αδυναμιών και απειλών ασφάλειας, προσδιορίζεται ως εξής:
Η Εστία Απειλών εκμεταλλεύεται την ύπαρξη, έχει κίνητρο και υποκινεί την εκδήλωση με συγκεκριμένες ενέργειες των Αδυναμιών Ασφάλειας. Η πιθανότητα εκδήλωσης των αδυναμιών ασφάλειας και η εκδήλωση του αποτελέσματός τους, προσδιορίζουν την Απειλή, η οποία, σε συνδυασμό με την αρνητική επίδραση στην εταιρεία, προσδιορίζει τον υφιστάμενο Κίνδυνο.

Κίνδυνος = Πιθανότητα εκδήλωσης αδυναμίας ασφάλειας (Απειλή) Χ Επίδραση της Απειλής

Η πιθανότητα εκδήλωσης της κάθε αδυναμίας ασφάλειας εξαρτάται από την υλοποίηση ή μη των κατάλληλων δικλείδων ασφαλείας, καθώς και από το βαθμό πληρότητας και αποτελεσματικότητας της κάθε δικλείδας ασφαλείας. Για τον προσδιορισμό της πιθανότητας εκδήλωσης μιας αδυναμίας ασφάλειας, απαιτείται λεπτομερής εξέταση της υλοποίησης ή μη των κατάλληλων δικλείδων ασφαλείας (οι οποίες πρέπει να είναι ανάλογες της κρισιμότητας της επιχειρησιακής δραστηριότητας την οποία προστατεύουν), καθώς και επιθεώρηση της πληρότητας των δικλείδων ασφαλείας που υπάρχουν.

Προσδιορισμός Εύρους & Επιχειρηματικές Απαιτήσεις
Η διεργασία – διαδικασία της διαχείρισης κινδύνων αφορά τουλάχιστον σε όλο το εύρος υλοποίησης του συστήματος διαχείρισης ασφάλειας πληροφοριών (ΣΔΑΠ) μιας εταιρείας, καθώς και στα νέα συστήματα / υπηρεσίες που εντάσσονται σε αυτό (σχεδιασμός, υλοποίηση). Οι εκάστοτε Νομικές & Θεσμικές απαιτήσεις αποτελούν επίσης σημαντικό μέρος της Διαχείρισης Κινδύνων και πλέον αναπόσπαστο μέρος του εύρους της διαδικασίας.
Η ταύτιση της διαχείρισης κινδύνων με την επιχειρηματική δραστηριότητα, είναι στοιχείο που ενισχύει την αποτελεσματικότητα της διεργασίας. Αυτό πρακτικά σημαίνει ότι πρέπει να προσδιορίζεται η επιχειρηματική επίδραση των κινδύνων ασφάλειας πληροφοριών, καθώς και επίδρασή τους στην κάθε επιχειρηματική οργανωτική μονάδα.

Η Συνεχής Διεργασία της Διαχείρισης Κινδύνων Ασφάλειας Πληροφοριών
Η Διαχείριση των κινδύνων ασφάλειας πληροφοριών είναι μια διαρκής διαδικασία, η οποία για να λειτουργήσει ως τέτοια, χρειάζεται να δημιουργηθεί και να εφαρμοσθεί συγκεκριμένο πλαίσιο. Το εν λόγω πλαίσιο χρειάζεται να είναι τεκμηριωμένο, να επιβάλλεται και να προσδιορίζει συγκεκριμένους επιχειρηματικούς ρόλους, οι οποίοι θα το εφαρμόζουν. Ένα τέτοιο πλαίσιο πρέπει να συμβαδίζει με τους στόχους και τη κουλτούρα της κάθε εταιρείας, που αφορά στη διαχείριση κινδύνων ασφάλειας πληροφοριών. Στην περίπτωση που η Εταιρεία έχει ήδη υιοθετήσει ένα ευρύτερο πλαίσιο για τη Διαχείριση των Κινδύνων, τότε η Διαχείριση των κινδύνων ασφάλειας πληροφοριών πρέπει να ενταχθεί στο πλαίσιο αυτό. Έτσι ώστε να υπάρχει κοινή αντιμετώπιση, τόσο ως προς την εκτίμηση του κινδύνου, αλλά και την ενημέρωση της Διοίκησης για το σύνολο των εταιρικών κινδύνων, από όπου και να προέρχονται αυτοί.
Αναφορικά με τη διαχείριση των κινδύνων ασφάλειας πληροφοριών, υπάρχουν διάφορα πρότυπα, νέα υπό-διαμόρφωση πρότυπα, καθώς και πολλές οδηγίες και πρακτικές, που αφορούν στα επιμέρους στάδια της Διαχείρισης Κινδύνων Ασφάλειας Πληροφοριών. Γενικότερα, όπως και για οτιδήποτε αποτελεί μόδα, ανάγκη, επιβάλλεται από κανονιστικό πλαίσιο ή / και αποτελεί αναγκαιότητα, υπάρχουν διάφορα πρότυπα και οδηγίες, που προέρχονται (από τους συνήθεις ύποπτους) τόσο από την Ακαδημαϊκή κοινότητα όσο και από διάφορους Παγκόσμιους Οργανισμούς. Ενδεικτικά παραδείγματα αναφέρονται στον πίνακα 1.

Πρότυπα – Οδηγίες Διαχείρισης Κινδύνων

  1. Committee of Sponsoring Organizations of the Treadway Commission (COSO)’s
  2. Enterprise Risk Management (ERM)
  3. ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
  4. BS 7799-3:2006 Information security management systems – Part 3: Guidelines for information security risk management
  5. ISO/IEC TR 13335-3, Information technology – Guidelines for the management of IT Security -Techniques for the management of IT Security
  6. ISO/IEC TR 2705: 2008, Information risk management
 ΠρότυπαΟδηγίεςΑξιολόγησης Κινδύνων

  1. AUSTRIAN IT SECURITY HANDBOOK
  2. CRAMM
  3. DUTCH A&K ANALYSIS
  4. EBIOS
  5. ISF METHODS FOR RISK ASSESSMENT AND RISK MANAGEMENT
  6. ISO/IEC IS 13335-2 (ISO/IEC IS 27005)
  7. ISO/IEC IS 17799:2005
  8. ISO/IEC IS 27001 (BS7799-2:2002)
  9. IT-GRUNDSCHUTZ (IT BASELINE PROTECTION MANUAL)
  10. MARION
  11. MEHARI
  12. OCTAVE V2.0 (AND OCTAVE-S V1.0 FOR SMALL & MEDIUM BUSINESSES)
  13. SP800-30 (NIST)
πίνακας 1

Επίσης υπάρχουν πρότυπα και Οδηγίες υπό Ανάπτυξη, όπως το IT-ERM (IT-Enterprise Risk Management) που συντάσσεται από τον οργανισμό IT Governance Institute (ITGI), με σκοπό τη διαμόρφωση ενός πλαισίου για τη διαχείριση των κινδύνων που αφορούν στα πληροφοριακά συστήματα (και φυσικά τη διείσδυση του οργανισμού στη διαχείριση των κινδύνων, σε συνέχεια των Control Objectives for Information & related Technology COBIT και των επαγγελματικών πιστοποιήσεων CISA, CISM, IT Governance – και μη μας φανεί περίεργο εάν υπάρξει και νέα πιστοποίηση που θα αφορά στη διαχείριση των κινδύνων στα πληροφοριακά συστήματα από τον εν λόγω οργανισμό, μετά την ολοκλήρωση του πλαισίου IT-ERM.
Στο κέντρο λοιπόν του συνοθυλεύματος προτύπων και οδηγιών, βρίσκονται οι επαγγελματίες που ασχολούνται με την ασφάλεια πληροφοριών, οι οποίοι καλούνται να επιλέξουν, να εκπαιδευτούν, να αγοράσουν και τέλος να εφαρμόσουν κάποιο από τα πρότυπα ή τις μεθοδολογίες. Όσον αφορά στην επιλογή, οι διαφορές στις περισσότερες περιπτώσεις είναι μικρές και πολλές φορές βρισκόμαστε μπροστά σε πανομοιότυπες μεθοδολογίες, οι οποίες χρησιμοποιούν διαφορετική ορολογία.
Όποια μεθοδολογία και αν επιλέξουμε, τα βασικά της συστατικά – στάδια είναι αυτά που φαίνονται στο σχήμα 1. Η αποτελεσματικότητα της κάθε μεθοδολογίας έγκειται στον τρόπο εφαρμογής αυτής και όχι στην ίδια τη μεθοδολογία. Είναι επίσης συνυφασμένη με το βάθος στο οποίο θα εφαρμοσθεί η κάθε μεθοδολογία, με σκοπό το προσδιορισμό των πραγματικών αδυναμιών ασφάλειας πληροφοριών και όχι «δειγμάτων» αδυναμιών ασφάλειας, τα οποία υπάρχουν σαν παραδείγματα τις περισσότερες φορές στην τεκμηρίωση της κάθε μεθοδολογίας. Παράλληλα, είναι άρρηκτα συνδεδεμένη με τον ανθρώπινο παράγοντα που θα εφαρμόσει την κάθε μεθοδολογία και την προσαρμογή της μεθοδολογίας στο υπό έλεγχο λειτουργικό περιβάλλον. Στη συνέχεια, αναλύουμε τα βασικά συστατικά σημεία κάθε φάσης, τα οποία πρέπει να υπάρχουν ανεξάρτητα από τη μεθοδολογία που θα ακολουθήσουμε.

Έναρξη της Διαδικασίας, Προσδιορισμός Εύρους & Προσδιορισμός Επιπέδου Αποδοχής Κινδύνου
Κατά την έναρξη της διαδικασίας είναι σημαντικό να προσδιορίσουμε το πλαίσιο στο οποίο θα κινηθεί η διεργασία της Διαχείρισης των Κινδύνων.
Κατά την έναρξη της διαδικασίες προσδιορίζονται τα ακόλουθα:

  • Τεκμηρίωση μεθοδολογίας αξιολόγησης κινδύνων, η οποία θα περιλαμβάνει τα βήματα που πρέπει να ακολουθηθούν, ποιοι πρέπει να εμπλακούν σε κάθε βήμα, αλλά και ποιος ο τρόπος υπολογισμού του κινδύνου.
  • Προσδιορισμός του εύρους που εντάσσεται στην εν λόγω διαδικασία. Το εύρος περιλαμβάνει όλο το περιβάλλον στο οποίο λειτουργούν οι τεχνικές υποδομές (ανθρώπινο δυναμικό, διαδικασίες, τεχνολογικό περιβάλλον).
  • Κριτήρια αποδοχής κινδύνου – προσδιορισμός των περιστάσεων – περιπτώσεων κατά τις οποίες ο οργανισμός αποδέχεται τον κίνδυνο. Για παράδειγμα, η εταιρεία μπορεί να ορίσει ότι κατά τη διάρκεια ανάπτυξης ενός πολύ σημαντικού project θα υπάρχει μεγαλύτερη ανεκτικότητα που αφορά στην αποδοχή συγκεκριμένων κινδύνων.
  • Ανεκτό επίπεδο κινδύνου – προσδιορισμός του επιπέδου κινδύνου, το οποίο ο οργανισμός μπορεί να αποδεχθεί. Η συγκεκριμένη απόφαση είναι απόφαση της διοίκησης της εταιρείας.

Αξιολόγηση κινδύνων
Η Αξιολόγηση Κινδύνων Ασφάλειας Πληροφοριών (information security risk assessment) είναι η διαδικασία κατά την οποία αναγνωρίζονται οι κίνδυνοι που αφορούν στους πληροφοριακούς πόρους (information assets) του Οργανισμού, ενώ ταυτόχρονα προσδιορίζεται η πιθανότητα εκδήλωσης του κινδύνου, η αρνητική επίδραση που θα επιφέρει και οι δικλείδες ασφάλειας οι οποίες πρέπει να εφαρμοστούν, ώστε τόσο να ελαχιστοποιηθεί ο κίνδυνος στο επιθυμητό επίπεδο, όσο και η αρνητική επίδρασή του σε περίπτωση που εκδηλωθεί. Κατά τη διαδικασία αξιολόγησης κινδύνων, συλλέγονται πληροφορίες σχετικά με τα δεδομένα (τα οποία αποτελούν μέρος των περιουσιακών στοιχείων της εταιρείας) και τους πληροφοριακούς πόρους στους οποίους αυτά αποθηκεύονται και επεξεργάζονται. Οι πληροφορίες αφορούν στην κρισιμότητα των δεδομένων για τη λειτουργία της εταιρείας και στις απειλές στις οποίες εκτίθενται. Ο συνδυασμός και η ανάλυση των παραπάνω πληροφοριών, έχει σαν στόχο τον προσδιορισμό και την αξιολόγηση του κινδύνου στον οποίο εκτίθεται η εταιρεία, τόσο κατά την καθημερινή της λειτουργία, όσο και στο πλαίσιο ανάπτυξης ενός έργου ή κατά τη φάση υλοποίησης και σχεδιασμού νέων υπηρεσιών και δραστηριοτήτων.
Η φάση της Αξιολόγησης των Κινδύνων Ασφάλειας Πληροφοριών, είναι η σημαντικότερη φάση της διαδικασίας. Για το λόγο αυτό, θα ασχοληθούμε εκτενέστερα σε επόμενο τεύχος.

Τα προσδοκώμενα αποτελέσματα της αξιολόγησης κινδύνων είναι τα ακόλουθα:

  • Προσδιορισμός των Απειλών & Αδυναμιών Ασφάλειας, που αφορούν στις Επιχειρησιακές Πληροφορίες.
  • Εκτίμηση Κινδύνου & Επιχειρησιακής Επίδρασης.
  • Προσδιορισμός των κατάλληλων δικλείδων ασφαλείας για την ελαχιστοποίηση των κινδύνων.

Βασικά βήματα διαδικασίας Αξιολόγησης Κινδύνων
Για την αξιολόγηση κινδύνων, όπως αναφέρθηκε παραπάνω, υπάρχουν διάφορες μεθοδολογίες και πρότυπα. Τόσα, που πρόσφατα ο Ευρωπαϊκός οργανισμός για την Ασφάλεια Πληροφοριών ENISA (European Network and Information Security Agency) διενήργησε έρευνα με στόχο τη συλλογή και σύγκριση των διαφόρων μεθοδολογιών (Inventory of risk assessment and risk management methods).
Τα βασικά βήματα της διαδικασίας για την αξιολόγηση κινδύνων όπως προσδιορίζονται από τις περισσότερες μεθοδολογίες, είναι τα ακόλουθα:

  • Προσδιορισμός Πληροφοριών & της αξίας τους για τον οργανισμό.
  • Προσδιορισμός αδυναμιών ασφάλειας & απειλών.
  • Εκτίμηση κινδύνου.
  • Σχέδιο δράσης για την ελαχιστοποίηση των κινδύνων.

Βασικές περιοχές ελέγχου
Στον πίνακα 2 παρατίθενται ενδεικτικές περιοχές ελέγχου, οι οποίες κατ’ ελάχιστο θα πρέπει να αποτελούν μέρος της αξιολόγησης κινδύνων:

Περιοχές Ελέγχου Υπό αξιολόγηση δικλείδες ασφαλείας
Διαχείριση Ασφάλειας Πληροφοριών
  • Πολιτική ασφάλειας
  • Διαδικασίες και πρότυπα
  • Αξιολόγηση & Διαχείριση Κινδύνων
  • Ρόλοι και αρμοδιότητες
Δικλείδες Ασφαλείας που αφορούν στη Λειτουργία των Πληροφοριακών Συστημάτων
  • Ασφάλεια Προσωπικού
  • Φυσική Ασφάλεια
  • Εξωτερικοί συνεργάτες
  • Σχέδιο επιχειρηματικής συνέχειας
  • Διαμόρφωση συστημάτων
  • Διαχείριση περιστατικών ασφάλειας
  • Διαχείριση αλλαγών
  • Ενημέρωση, εκπαίδευση
  • Ακεραιότητα συστημάτων και δεδομένων
  • Προστασία αποθηκευτικών μέσων
Τεχνικές δικλείδες ασφαλείας
  • Πιστοποίηση ταυτότητας χρηστών
  • Έλεγχος πρόσβασης
  • Accountability
  • Log files
  • Κρυπτογράφηση
  • Δικλείδες ασφαλείας εφαρμογών
  • Ασφάλεια δικτύου
  • Προστασία από κακόβουλο λογισμικό
πίνακας 2

Από τα κυριότερα και πιο εξειδικευμένα σημεία της αξιολόγησης κινδύνων, είναι ο προσδιορισμός των Τεχνικών Αδυναμιών Ασφάλειας Πληροφοριών. Στο συγκεκριμένο σημείο, στόχος είναι η αναγνώριση αδυναμιών οι οποίες αφορούν στα εξής:

  • Έμφυτες (εγγενείς) αδυναμίες σχεδίασης, που αφορούν στο λογισμικό ή υλισμικό (design vulnerabilities).
  • Λανθασμένη υλοποίηση ενός σχεδιαστικά καλού συστήματος (implementation vulnerabilities).
  • Λάθη παραμετροποίησης ή / και διαχείρισης (configuration vulnerabilities).

Τεχνικές και μέθοδοι που μπορούν να χρησιμοποιηθούν για το σκοπό αυτό, είναι τα έξης:

  • Χρήση εξειδικευμένων εργαλείων ανίχνευσης ευπαθειών (vulnerability assessment tools).
  • Χρήση εμπορικά διαθέσιμων & free source εργαλείων.
  • Αξιολόγηση της αποτελεσματικότητας των εγκατεστημένων τεχνικών δικλείδων ασφαλείας.
  • Αξιολόγηση του βαθμού δυσκολίας για κάποιο χρήστη να παρακάμψει τις δικλείδες ασφαλείας του εκάστοτε συστήματος.
  • Έλεγχος παραμετροποίησης πληροφοριακών πόρων.
  • Penetration testing.

Εκτίμηση κινδύνων ασφάλειας πληροφοριών
Έχοντας ολοκληρώσει τους ελέγχους, απομένει η αξιολόγηση των αποτελεσμάτων και ο προσδιορισμός του κινδύνου για κάθε μία από τις αδυναμίες ασφάλειας που εντοπίσθηκαν.

  • Αξιολόγηση αποτελεσμάτων & εκτίμηση του κινδύνου – Εκτίμηση του επιπέδου κινδύνου για κάθε ζεύγος απειλής και αδυναμίας ασφάλειας, που έχει προκύψει από το προηγούμενο στάδιο.
  • Προσδιορισμός δικλείδων ασφαλείας & διορθωτικών ενεργειών – Οι διορθωτικές ενέργειες αφορούν στον προσδιορισμό νέων δικλείδων ασφαλείας ή στη βελτιστοποίηση της αποτελεσματικότητας αυτών που υπάρχουν, με στόχο την ελαχιστοποίηση ή την εξάλειψη των κινδύνων που έχουν προσδιορισθεί.

Κύριος στόχος των διορθωτικών ενεργειών είναι ο περιορισμός του κινδύνου σε επίπεδο το οποίο να είναι αποδεκτό για την εταιρεία. Αυτό σημαίνει ότι οι προτεινόμενες διορθωτικές ενέργειες είναι ικανές να διαμορφώσουν επίπεδο ασφάλειας ανάλογο της κρισιμότητας των δεδομένων στα οποία απευθύνονται και να περιορίσουν τον υφιστάμενο κίνδυνο σε επίπεδο ανεκτό για τη λειτουργία της εταιρείας και την επίτευξη των επιχειρησιακών της στόχων

Προσδιορισμός Τρόπου Διαχείρισης Κινδύνων
Έχοντας ολοκληρώσει τον προσδιορισμό και την αξιολόγηση των κινδύνων, χρειάζεται να προσδιοριστεί και ο τρόπος διαχείρισης των κινδύνων. Ο αποτελεσματικότερος τρόπος για να γίνει αυτό, είναι να τεκμηριωθεί συγκεκριμένο Σχέδιο Διαχείρισης των Κινδύνων, στο οποίο θα περιγράφεται ο τρόπος αντιμετώπισης των κινδύνων, η σειρά αντιμετώπισής τους -και το σημαντικότερο, ποιος θα είναι ο υπεύθυνος υλοποίησης των διορθωτικών ενεργειών και ποιος ο χρόνος υλοποίησης αυτών.
Τα περιεχόμενα Σχεδίου Διαχείρισης Κινδύνων είναι τουλάχιστον τα ακόλουθα:

  • Τρόπος διαχείρισης κινδύνων – για κάθε κίνδυνο που έχει προσδιορισθεί & αξιολογηθεί, χρειάζεται να προσδιορισθεί ο τρόπος διαχείρισής του. Η αντιμετώπιση ενός κινδύνου εμπίπτει σε μία από τις παρακάτω περιπτώσεις: Αντιμετώπιση (υλοποίηση συγκεκριμένων διορθωτικών ενεργειών), Αποδοχή (σύμφωνα με κριτήρια για την αποδοχή του κινδύνου και το ανεκτό επίπεδο κινδύνου), Αποφυγή, Μεταβίβαση κινδύνων (σε τρίτα μέρη & συνεργάτες).
  • Προσδιορισμός προτεραιοτήτων για υλοποίηση, προσδιορισμός της σειράς υλοποίησης των διορθωτικών ενεργειών με βάση την κρισιμότητα του αλλά και τις απαιτήσεις σε πόρους και χρόνο.
  • Χρονοδιάγραμμα υλοποίησης, στόχοι, συμφωνημένος χρόνος υλοποίησης – όλα αυτά θα πρέπει να συμφωνούνται με τους εκάστοτε υπεύθυνους για την υλοποίηση.
  • Προσδιορισμός απαιτούμενων πόρων, Εξοικονόμηση πόρων.
  • Διαδικασία ελέγχου τρόπου & χρόνου υλοποίησης – Επανέλεγχος για την υλοποίηση των διορθωτικών ενεργειών με το συμφωνημένο τρόπο και στο συμφωνημένο χρονικό πλαίσιο.
  • Εναπομένων κίνδυνος – Υπολογισμός του επιπέδου κινδύνου, το οποίο συνεχίζει να υφίσταται και μετά την υλοποίηση των διορθωτικών ενεργειών. Πολύ σημαντική ενέργεια, διότι ενημερώνει τη Διοίκηση για την πραγματική διάσταση των κινδύνων.
    Η αποτελεσματικότητα του σχεδίου διαχείρισης των κινδύνων εξαρτάται και επηρεάζεται από διάφορους παράγοντες, οι οποίοι χρήζουν διαφορετικής αντιμετώπισης, ανάλογα με το λειτουργικό περιβάλλον στο οποίο αναφέρονται.

Οι εν λόγω παράγοντες, είναι οι ακόλουθοι:

  • Ευκολία / δυσκολία υλοποίησης των προτεινόμενων διορθωτικών ενεργειών. H γνώμη των τεχνικών πρέπει να λαμβάνεται σοβαρά υπόψη, αναφορικά με την εφαρμοσιμότητα των προτεινόμενων διορθωτικών ενεργειών.
  • Διαθεσιμότητα πόρων στο δεδομένο χρονικό διάστημα.
  • Εσωτερική επικοινωνία & κουλτούρα της Εταιρείας.
  • Επιχειρηματικές – τεχνολογικές προτεραιότητες της Εταιρείας.

Συνεχής Παρακολούθηση, Έλεγχος Αποτελεσματικότητας
Η αποτελεσματική διαχείριση των κινδύνων ολοκληρώνεται με το συνεχή έλεγχο, τόσο της υλοποίησης των διορθωτικών ενεργειών που έχουν προκύψει, αλλά και με τον έλεγχο της αποτελεσματικής λειτουργίας των υφιστάμενων δικλείδων ασφάλειας.
Για το λόγο αυτό, κρίνεται επιβεβλημένη η υιοθέτηση ενός πλαισίου συνεχούς ελέγχου, το οποίο περιλαμβάνει τα έξης:

  • Έλεγχος αποτελεσματικής λειτουργίας υφιστάμενων δικλείδων ασφαλείας ανά τακτά χρονικά διαστήματα. Προτεραιότητα δίδεται στις δικλείδες ασφαλείας που αφορούν στις κρίσιμες επιχειρηματικές διεργασίες.
  • Επιθεώρηση υλοποίησης του σχεδίου διαχείρισης κινδύνων.
  • Αξιολόγηση κινδύνων ασφάλειας στις νέες τεχνολογίες που πρόκειται να χρησιμοποιηθούν.
  • Ανεξάρτητος έλεγχος για το υφιστάμενο επίπεδο ασφάλειας πληροφοριών.
  • Δημιουργία αναφορών, κοινοποίηση αποτελεσμάτων, ενημέρωση Διοίκησης.
  • Διαδικασία συνεχών ελέγχων, μέτρηση αποτελεσματικής λειτουργίας δικλείδων ασφαλείας.

Συμπεράσματα:
Η διαχείριση των κινδύνων ασφάλειας πληροφοριών είναι μια διαρκής διαδικασία, η οποία για να λειτουργήσει ως τέτοια, χρειάζεται να δημιουργηθεί και να εφαρμοσθεί συγκεκριμένο πλαίσιο. Το εν λόγω πλαίσιο χρειάζεται να είναι τεκμηριωμένο, να επιβάλλεται και να προσδιορίζει συγκεκριμένους επιχειρηματικούς ρόλους, οι οποίοι θα το εφαρμόζουν. Ένα τέτοιο πλαίσιο πρέπει να συμβαδίζει με τους στόχους και την κουλτούρα της κάθε εταιρείας, που αφορά στη διαχείριση κινδύνων ασφάλειας πληροφοριών. Όποια μεθοδολογία και αν επιλεγεί να εφαρμοσθεί, η αποτελεσματικότητά της έγκειται στον τρόπο εφαρμογής αυτής και όχι στην ίδια τη μεθοδολογία. Η αποτελεσματικότητα είναι συνυφασμένη με το βάθος στο οποίο θα εφαρμοσθεί η κάθε μεθοδολογία, με σκοπό τον προσδιορισμό των πραγματικών αδυναμιών ασφάλειας πληροφοριών, όπου και αυτές βρίσκονται. Η αποτελεσματικότητα είναι συνυφασμένη με τον ανθρώπινο παράγοντα που θα εφαρμόσει την κάθε μεθοδολογία και την προσαρμογή της μεθοδολογίας στο υπό έλεγχο λειτουργικό περιβάλλον. Για να προσθέσει αξία και να βοηθήσει την εταιρεία να πετύχει τους στόχους της, πρέπει να υπάρχει σύνδεση των κινδύνων ασφάλειας με τους επιχειρησιακούς στόχους. Η διαχείριση κινδύνων είναι συνεχής διαδικασία, η οποία πρέπει να είναι τεκμηριωμένη και να είναι ανάλογη της λειτουργίας της κάθε εταιρείας, έτσι ώστε να μπορεί να εφαρμοστεί.

References

  • Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT Security.
  • Aligning an information risk management approach to BS 7799-3:2005 G7799 Gold Certification
  • Author: Ken Biery, 2006
  • New Framework for Enterprise Risk Management in IT By Urs Fischer, 2008
  • ISO/IEC 27006: Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.