Διακυβέρνηση, Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση. είναι τα στοιχεία αυτά που συνιστούν την έννοια του Governance Risk & Compliance – GRC, που πλέον καθίσταται ιδιαίτερα σημαντική για την ασφάλεια των εταιρικών πληροφοριών.

Οι Επιχειρήσεις του σήμερα λειτουργούν σε ένα ιδιαίτερα πολύπλοκο και δυναμικό περιβάλλον.
Η αναγκαιότητα τήρησης των νομικών, κανονιστικών απαιτήσεων, η εξέλιξη και εξάρτηση από τη τεχνολογία αλλά και τα σύγχρονα επιχειρηματικά μοντέλα, αυξάνουν τη πολυπλοκότητα και την έκταση των διεργασιών που αφορούν στη Διακυβέρνηση, Διαχείριση Κινδύνων και Κανονιστική Συμμόρφωση των εταιρικών πληροφοριών (Governance Risk & Compliance – GRC).

Λόγω του ότι η τεχνολογία παίζει κυρίαρχο ρόλο στην επιχείρηση αλλά και στη διαχείριση του επιχειρηματικού κινδύνου, οι μονάδες/τμήματα πληροφορικής βρίσκονται στη μοναδική θέση να είναι η κινητήρια δύναμη στο να είναι αρωγός στην ευθυγράμμιση και συντονισμό των λειτουργικών απαιτήσεων της επιχείρησης και του ταχέως μεταβαλλόμενου πλαισίου διακυβέρνησης και κανονιστικής συμμόρφωσης.

Αποτελεσματικοί τρόποι στο να γίνει αυτό είναι οι ακόλουθοι:

  • Στήριξη από την εταιρεία σχετικά με την χάραξη και υλοποίηση στρατηγικής για τη συνολική αντιμετώπιση της Διακυβέρνησης, τη Διαχείριση Κινδύνων και Κανονιστική Συμμόρφωση των εταιρικών πληροφοριών (Governance Risk & Compliance – GRC)
  • Προώθηση και στήριξη των οργανωτικών και λειτουργικών αλλαγών που απαιτούνται προκειμένου να διασφαλιστεί η μακροπρόθεσμη επιτυχία της παραπάνω στρατηγικής.
  • Ανάδειξη της αξίας ενός προγράμματος GRC, μέσω ενημέρωσης για το τρόπο το εν λόγω πρόγραμμα, με τη μορφή μιας διαρκούς διεργασίας, υποστηρίζει την επίτευξη της εταιρικής στρατηγικής και των εταιρικών στόχων.
  • Ενσωμάτωση των διεργασιών αξιολόγησης κινδύνου και κανονιστικής συμμόρφωσης στης επιχειρηματικές δραστηριότητες της επιχείρησης. Ταυτόχρονη ενημέρωση και εκπαίδευση του προσωπικού/
  • Χρήση και αξιοποίηση υφιστάμενων εργαλείων και τεχνολογιών σχετικές με την αξιολόγηση και μέτρηση του κινδύνου, παρακολούθηση του επιπέδου συμμόρφωσης κτλ με σκοπό συλλογή των απαραίτητων πληροφοριών αλλά και την αυτοματοποίηση των σχετικών διεργασιών.
  • Σταδιακή και μεθοδική μετάβαση από την αποσπασματική υλοποίηση προγραμμάτων Διακυβέρνησης, τη Διαχείριση Κινδύνων και Κανονιστική Συμμόρφωση των εταιρικών πληροφοριών, σε μία ενιαία και συνεχόμενη διεργασία.

Διαδικασία Αποτελεσματικής Υλοποίησης
Οι εκάστοτε απαιτήσεις που αφορούν στη Διακυβέρνηση, Διαχείριση Κινδύνων & Κανονιστική Συμμόρφωση (GRC) σε σχέση με την ασφάλεια πληροφοριών, πρέπει να εφαρμοστούν και να αποτελέσουν μέρος της λειτουργίας του Οργανισμού.

Κατά τη προσπάθεια αυτή τίθενται δύο σημαντικά ζητήματα: ο τρόπος με τον οποίο θα εφαρμοστούν στο σύνολο τους οι απαιτήσεις μια συνεχούς διεργασίας GRC και πώς o συγκεκριμένος τρόπος εφαρμογής θα μπορεί να λειτουργεί αποτελεσματικά μέσα στο εταιρικό περιβάλλον.

H μεθοδολογία που ακολουθεί αποτυπώνει μια προσέγγιση με σκοπό τη δημιουργία μιας αποτελεσματικής συνεχούς διεργασίας GRC που αφορά στην ασφάλεια πληροφοριών και που μακροπρόθεσμα μπορεί να συνεισφέρει στο ανταγωνιστικό πλεονέκτημα του Οργανισμού.

1ο Βήμα: Επιλογή πλαισίου Διακυβέρνησης
Ο αριθμός των κανονιστικών απαιτήσεων που πρέπει να πληρούν οι Οργανισμοί είναι ήδη σημαντικός και συνεχώς αυξάνεται. Όλες όμως οι απαιτήσεις συμμόρφωσης, αποτελούν υποσύνολο των απαιτήσεων που προσδιορίζονται από τα διάφορα ευρέως διαδεδομένα πλαίσια διακυβέρνησης της πληροφορικής, είτε αυτά αφορούν στην υλοποίηση δικλείδων εσωτερικού ελέγχου, είτε ασφάλειας πληροφοριών, είτε διαχείρισης υπηρεσιών πληροφορικής.

Ταυτόχρονα, τα παραπάνω πλαίσια Διακυβέρνησης, αναγνωρίζουν και χρησιμοποιούν τη διαχείριση κινδύνων ως το βασικότερο συστατικό τους για την επιλογή των τεχνικών και διαχειριστικών δικλείδων ασφάλειας.

Πλαίσια όπως τα παρακάτω, μπορούν αν χρησιμοποιηθούν ως η βάση της διεργασίας GRC ενός Οργανισμού.

  • COSO (Committee for the Sponsoring Organizations of the Treadway Commission) που δίνει έμφαση στην υλοποίηση εσωτερικών δικλείδων ελέγχου
  • ISO 27001 που αφορά στην διαχείριση της ασφάλειας πληροφοριών,
  • ITIL (IT Infrastructure Library framework) που αφορά στις καλές πρακτικές κατά την παροχή υπηρεσιών πληροφορικής
  • COBIT (Control Objectives for Information and related Technology) το οποίο αφορά στη διακυβέρνηση της πληροφορικής.

Οι Οργανισμοί θα επωφεληθούν από τη χρήση ενός από τα παραπάνω πλαίσια διότι μέσα από αυτό θα αναγνωρίσουν πολλές από τις (κοινές) απαιτήσεις που αφορούν στην ασφάλεια πληροφοριών, οι οποίες υπάρχουν σε περισσότερες από μια κανονιστικές απαιτήσεις. Ταυτόχρονα η διεργασία της αξιολόγησης κινδύνων θα διερευνήσει τόσο τους κινδύνους από τη μη τήρηση των κανονιστικών απαιτήσεων, αλλά και τους κινδύνους από τη υλοποίηση των δικλείδων που προσδιορίζονται από το πλαίσιο διακυβέρνηση που έχει επιλεχθεί.

Τα πλεονεκτήματα από τη χρήση ενός ευρύτερου πλαισίου με σκοπό τη διαμόρφωση μιας συνεχούς διεργασίας GRC, είναι τα ακόλουθα:

  • Δομημένη προσέγγιση η οποία είναι τεκμηριωμένη και είναι εύκολο να ακολουθηθεί
  • Η τήρηση των κανονιστικών απαιτήσεων και η συνεχής αξιολόγηση κινδύνων, αποτελούν βασικές συνιστώσες των παραπάνω πλαισίων
  • Η συμμετοχή των Επιχειρηματικών οντοτήτων (εκτός πληροφορικής) είναι αναγκαία
  • Υπάρχει προηγούμενη γνώση από συνεργάτες και πελάτες και ως εκ τούτου ευκολότερη κατανόηση των απαιτήσεων υλοποίησης
  • Υπάρχει συσσωρευμένη γνώση από άλλους οργανισμούς με αποτέλεσμα την ευκολότερη επίλυση προβλημάτων υλοποίησης μέσω ανταλλαγής παρόμοιων εμπειριών

2ο Βήμα: Επιλογή κατάλληλης μεθοδολογίας Αξιολόγησης Κινδύνων
Η κρισιμότητα της διεργασίας αξιολόγησης και διαχείρισης κινδύνων, απαιτεί την επιλογή της κατάλληλης μεθοδολογίας η οποία θα μπορεί να εφαρμοσθεί στον εκάστοτε Οργανισμό. Όσον αφορά στην αξιολόγηση κινδύνων, δεν υπάρχει κάποια μεθοδολογία η οποία να θεωρείτε η ιδανική. Ο Κάθε Οργανισμός πρέπει να επιλέξει ή να διαμορφώσει τη μεθοδολογία που μπορεί να υποστηρίξει, μια μεθοδολογία ανάλογη του λειτουργικού του περιβάλλοντος και των δυνατοτήτων διενέργειάς της.

Η κανονιστική συμμόρφωση θα πρέπει να θεωρηθεί ως ένας ακόμα κίνδυνος για τον Οργανισμό, που πρέπει να αντιμετωπιστεί με τον ίδιο τρόπο που αντιμετωπίζονται και οι υπόλοιποι κίνδυνοι που αφορούν στην Ασφάλεια Πληροφοριών. Συνεπώς, οι κίνδυνοι από τη μη συμμόρφωση πρέπει να αξιολογηθούν, να αποτιμηθεί η επίδραση της μη συμμόρφωσης στον Οργανισμό και στη συνέχεια να ελαχιστοποιηθούν σύμφωνα με τις επιταγές και προτεραιότητες της Διοίκησης.

Η αδυναμία εκπλήρωσης των απαιτήσεων ασφάλειας πληροφοριών που προκύπτουν από τη μη συμμόρφωση είναι πιθανόν να οδηγήσει σε κινδύνους, όπως:

  • Περιστατικά παραβίασης της ασφάλειας και ενδεχόμενη απώλεια της αξιοπιστίας του Οργανισμού
  • Οικονομικές κυρώσεις ως αποτέλεσμα της μη συμμόρφωσης με το κανονιστικό πλαίσιο
  • Απώλεια ευκαιριών συνεργασίας με πελάτες σαν αποτέλεσμα τη μη συμμόρφωσης με κανονιστικές και συμβατικές απαιτήσεις με πελάτες.

3ο Βήμα: Οι Απαιτήσεις κανονιστικής συμμόρφωσης μέρος της εταιρικής στρατηγικής
Η κανονιστική συμμόρφωση (compliance) αποτελεί μεγάλο μέρος της διεργασίας GRC ενός Οργανισμού. Με το όρο κανονιστική συμμόρφωση εννοούμαι το κάθε μορφής κανόνα ή απαίτηση που μπορεί να προκύπτει τόσο από το Θεσμικό & Νομικό πλαίσιο, όσο και από συμβάσεις που περιέχουν όρους σχετικούς με τη προστασία των πληροφοριών. Κανένας Οργανισμός δε μπορεί να συμμορφωθεί άμεσα με όλες τις απαιτήσεις ασφάλειας πληροφοριών που τον αφορούν. Για το λόγο αυτό, η συμμόρφωση πρέπει να γίνει μέρος της εταιρικής στρατηγικής και να αποτελεί κομμάτι των ετήσιων στρατηγικών πλάνων του Οργανισμού.

Σε αρχικό στάδιο, χρειάζεται να αποτιμηθεί το υφιστάμενο επίπεδο συμμόρφωσης και ταυτόχρονα να προσδιορισθεί το επιθυμητό επίπεδο συμμόρφωσης που προσδοκά ο Οργανισμός. Το επιθυμητό επίπεδο συμμόρφωσης δε σημαίνει απαραίτητα πλήρη συμμόρφωση.

Στο επόμενο στάδιο η συμμόρφωση γίνεται μέρος των Επιχειρηματικών στόχων και ενσωματώνεται στη στρατηγική που ακολουθεί ο Οργανισμός και για άλλα συστήματα Διαχείρισης, όπως το ISO27001 & το ISO20000, ISO90001.

4ο Βήμα: Ενσωμάτωση διεργασίας GRC στο εταιρικό πλαίσιο Διακυβέρνησης
Η αποτελεσματική διαχείριση της ασφάλειας πληροφοριών χρειάζεται ανάπτυξη οργανωτικών δομών διαχείρισης, καθώς και δομών ελέγχου τόσο της τήρησης των απαιτήσεων ασφάλειας πληροφοριών, αλλά και της διαχείρισης των σχετικών κινδύνων.

Η αποτελεσματική διακυβέρνηση της ασφάλειας πληροφοριών αποτελεί έναν από τους κύριους παράγοντες επιτυχίας της διεργασίας GRC.

Αυτό που χρειάζεται να γίνει κατανοητό, είναι ότι όλα τα συστατικά της διεργασίας GRC είναι άρρηκτα συνδεδεμένα μεταξύ τους και αλληλεπιδρούν. Για το λόγο αυτό χρειάζεται να αποτελέσουν μέρος της συνολικότερης στρατηγικής και πλαισίου εταιρικής διακυβέρνησης.

5ο Βήμα : Δείκτες Μέτρησης Αποτελεσματικότητας
Η αποτελεσματική υλοποίηση της διεργασίας GRC, θα ωφεληθεί ιδιαίτερα από τη δημιουργία υποδομής μέτρησης της αποτελεσματικότητα της εν λόγο διεργασίας. Η μέτρηση αποτελεσματικότητας επιτυγχάνεται με το προσδιορισμό συγκεκριμένων δεικτών οι οποίοι αποτιμώνται ανά τακτά χρονικά διαστήματα, ενώ ταυτόχρονα συλλέγονται στατιστικά στοιχεία που αφορούν στους συγκεκριμένους δείκτες.

Ενδεικτικά κάποιοι από τους δείκτες μπορεί να είναι οι ακόλουθοι:

  • Απόκλιση μεταξύ υφιστάμενου & απαιτούμενου βαθμού συμμόρφωσης
  • Μέτρηση ωριμότητας των δικλείδων ασφάλειας που αφορούν στις απαιτήσεις συμμόρφωσης και στις απαιτήσεις μείωσης του επίπεδου επικινδυνότητας
  • Τήρηση των απαιτήσεων συμμόρφωσης από την εταιρεία
  • Αξιολόγηση κινδύνων για τις περιπτώσεις μη συμμόρφωσης και μη τήρησης των βασικών δικλείδων ασφάλειας, όπως αυτές ορίζονται από τη πλαίσια Διακυβέρνησης της Ασφάλειας Πληροφοριών

6ο Βήμα: Συμμετοχή των επιχειρηματικών μονάδων
Ο σκοπός της συμμετοχής των επιχειρηματικών μονάδων είναι η κατανόηση των απαιτήσεων του εταιρικού πλαισίου GRC και ο προσδιορισμός του τρόπου συμμετοχής τους στην εν λόγω διεργασία.

Για να γίνει αυτό χρειάζεται να ακολουθηθούν τα παρακάτω βήματα:

  • Ενημέρωση των επιχειρηματικών μονάδων για τις διαδικασίες και απαιτήσεις Διακυβέρνησης & Συμμόρφωσης, καθώς και για το δικό τους ρόλο στις συγκεκριμένες διαδικασίες.
  • Ενημέρωση για τη σημασία της διαδικασίας συμμόρφωσης και διαχείρισης κινδύνων για τον Οργανισμό
  • Ενημέρωση για τη πρόοδο των όποιων εργασιών αφορούν στις απαιτήσεις GRC
  • Δημιουργία διαδικασίας αυτό-αξιολόγησης (της κάθε επιχειρηματικής μονάδας) σχετικά με τη τήρηση των απαιτήσεων συμμόρφωσης & τήρησης του πλαισίου Διακυβέρνησης
  • Ενημέρωση σχετικά με υποχρεώσεις και ρόλους σε σχέση με όλες τις διαδικασίες της διεργασίας GRC.

Απώτερος σκοπός είναι η αυτοματοποίηση της διεργασίας GRC και η δημιουργία αντίστοιχης κουλτούρας στον Οργανισμό που θα αφορά στην Ασφάλεια Πληροφοριών, στη συμμόρφωση με τις κανονιστικές απαιτήσεις.

7ο Βήμα: Ενημέρωση & Εκπαίδευση
Η εταιρική κουλτούρα έχει αντίκτυπο στη επιτυχία και στο κόστος της διεργασίας GRC. Η διαμόρφωση της κουλτούρας ασφάλειας, συμμόρφωσης και συνεχούς διαχείρισης κινδύνων επιτυγχάνεται μέσα από την ενημέρωση και την εκπαίδευση του προσωπικού.

Η ενημέρωση του προσωπικού περιλαμβάνει την σημασία της απαιτήσεων συμμόρφωσης, προστασίας των επιχειρηματικών πληροφοριών και ελαχιστοποίησης των σχετικών κινδύνων. για τον Οργανισμό είναι απαραίτητη διαδικασία. Μία τέτοια ενημέρωση περιλαμβάνει και εκπαίδευση αναφορικά με τις εταιρικές διαδικασίες & ρόλους σε θέματα GRC.

8ο Βήμα: Δημιουργία πλαισίου συνεχούς βελτίωσης
Η διεργασία που αποτυπώθηκε στα πλαίσια του συγκεκριμένου άρθρου δεν είναι στατική και κυρίως δεν είναι δυνατόν να υλοποιηθεί αποτελεσματικά από την αρχή της εφαρμογής της. Χρειάζεται να βελτιώνεται συνεχώς και να ενσωματώνεται ολοένα και περισσότερο στο λειτουργικό περιβάλλον του Οργανισμού.

Log off …
Οι ταχείες αλλαγές των επιχειρηματικών μοντέλων, της τεχνολογίας, του κανονιστικού πλαισίου και οι κίνδυνοι σε σχέση με την ασφάλεια πληροφοριών, αυξάνουν τις δυσκολίες αποτελεσματικής υλοποίηση μια συνεχούς διεργασίας GRC. Η υιοθέτηση μιας συνεχούς διεργασίας GRC, παρέχει ολοκληρωμένη εικόνα για το επίπεδο συμμόρφωσης και διαχείρισης κινδύνων αλλά και το βαθμό υλοποίηση του πλαισίου διακυβέρνησης της ασφάλειας πληροφοριών. Ταυτόχρονα, η μετατροπή των απαιτήσεων GRC σε μια συνεχή διεργασία, μπορεί να αποτελέσει εργαλείο λήψης αποφάσεων και εργαλείο αποτελεσματικής υλοποίησης των όλων των συστατικών της διεργασίας GRC.

Για να γίνει αυτό χρειάζονται τα ακόλουθα:

  • Συγκεκριμένη στρατηγική και πλαίσιο GRC το οποίο θα συμπορεύεται με την εταιρική και τεχνολογική στρατηγική του Οργανισμού
  • Χρήση κατάλληλης τεχνολογίας με σκοπό την αυτοματοποίηση μέρους της διεργασίας GRC
  • Συνολική και όχι αποσπασματική υλοποίηση του συνόλου της διεργασίας.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com