Η πληροφορία, σε οποιαδήποτε μορφή και αν αυτή υφίσταται, αποτελεί σημαντικό περιουσιακό στοιχείο και διαδραματίζει πρωταρχικό ρόλο στην επίτευξη των επιχειρησιακών στόχων κάθε Οργανισμού, δημιουργώντας την ανάγκη ύπαρξης ενός επαρκούς συστήματος προστασίας για τη διασφάλιση της αξιοπιστίας της.

Προσδιορισμός Ασφάλειας Πληροφοριών
Σήμερα, η πληροφορία πηγάζει από την επεξεργασία ψηφιακά αποθηκευμένων δεδομένων σε πληροφοριακά συστήματα, όπου μπορούν να έχουν πρόσβαση πολλοί χρήστες από διάφορες γεωγραφικές περιοχές. Σε ένα τέτοιο λειτουργικό περιβάλλον εισάγονται κίνδυνοι μη εξουσιοδοτημένης πρόσβασης ή αποκάλυψης πληροφοριών, εισαγωγής λανθασμένων δεδομένων, καθώς και αλλοίωσης ή / και καταστροφής των πληροφοριών.

Παραδοσιακά, η έννοια της Ασφάλειας Πληροφοριών προσδιορίζεται από τρεις (3) συνιστώσες:

  • Εμπιστευτικότητα – Απόκρυψη εμπιστευτικών πληροφοριών από μη εξουσιοδοτημένους χρήστες, ακόμα και μέσα στον ίδιο τον Οργανισμό. Η εμπιστευτικότητα των δεδομένων επιτυγχάνεται με την επιβολή ειδικών μηχανισμών και συγκεκριμένων διαδικασιών.
  • Ακεραιότητα – Εξασφάλιση της Πληρότητας, Ακρίβειας και Εγκυρότητας των επιχειρησιακών πληροφοριών. Μηχανισμοί και διαδικασίες εξασφαλίζουν την προστασία τους από πιθανή τροποποίηση, που προέρχεται από μη εξουσιοδοτημένους χρήστες.
  • Διαθεσιμότητα – Οι επιχειρησιακές πληροφορίες – και κατ’ επέκταση τα συστήματα και οι υπηρεσίες που προσφέρονται μέσω αυτών – πρέπει να είναι πάντα διαθέσιμες για χρήση. Εξασφαλίζεται έτσι η συνεχής και γρήγορη διανομή των πληροφοριών, καθώς και η συνεχής και γρήγορη απόκριση των πληροφοριακών συστημάτων. Αυτό επιτυγχάνεται με διαδικασίες και μηχανισμούς, που αυξάνουν τη διαθεσιμότητα των πληροφοριακών πόρων και προβλέπουν ανάκτηση των πληροφοριών σε περιπτώσεις όπου τα πληροφοριακά συστήματα υποστούν σοβαρές βλάβες.

Καθώς το ψηφιακό λειτουργικό περιβάλλον ολοένα και μεγαλώνει σε όγκο και σε κρισιμότητα για κάθε Οργανισμό, καθώς η ασφάλεια πληροφοριών ταυτίζεται και αποτελεί μέρος των επιχειρηματικών δραστηριοτήτων και καθώς η νομοθεσία επιβάλλει κανόνες που αφορούν στην ασφάλεια της πληροφορίας, οι παραπάνω συνιστώσες εμπλουτίζονται από έννοιες όπως η έμπρακτη απόδοση ευθυνών αναφορικά με τη προστασία των πληροφοριών (accountability). Η προτεραιότητα αλλά και το επίπεδο διασφάλισης κάθε μίας από τις παραπάνω συνιστώσες, εξαρτάται από την κρισιμότητα που έχουν τα δεδομένα για κάθε οργανισμό, δηλαδή από το ποσοστό εξάρτησης της κάλυψης των επιχειρησιακών στόχων, από την επεξεργασία των ψηφιακά αποθηκευμένων δεδομένων.

Διαχείριση Ασφάλειας Πληροφοριών: Μία διαρκής διαδικασία διαχείρισης κινδύνων
Η ασφάλεια πληροφοριών είναι μία συνεχής και επαναλαμβανόμενη διαδικασία, με κεντρικό σημείο τη διαχείριση των σχετικών κινδύνων. Η διαχείριση οποιασδήποτε μορφής κινδύνων περιλαμβάνει στάδια προσδιορισμού και αξιολόγησής τους και στη συνέχεια προτάσεις για την υλοποίηση των κατάλληλων δικλείδων ασφαλείας, προκειμένου να επιτευχθεί η ελαχιστοποίηση των κινδύνων. Επίσης, περιλαμβάνει ενημέρωση του προσωπικού σε θέματα που αφορούν στη μείωση των κινδύνων, καθώς και τακτικό έλεγχο τήρησης και αποτελεσματικότητας των υφιστάμενων δικλείδων ασφαλείας. Ο κίνδυνος που αφορά στην ασφάλεια πληροφοριών (είτε χρησιμοποιούνται ποσοτικά είτε ποιοτικά κριτήρια) προσδιορίζεται από το γινόμενο της πιθανότητας εκδήλωσης μιας απειλής, επί την επίδραση της απειλής στην επιχειρηματική δραστηριότητα του οργανισμού.

Κίνδυνος = (Πιθανότητα εκδήλωσης Απειλής Ασφάλειας) Χ (Επίδραση της Απειλής)

Ως Απειλή (Threat), ορίζεται ένα σύνολο γεγονότων, η εκδήλωση των οποίων μειώνει τη δυνατότητα του οργανισμού να πετύχει τους επιχειρηματικούς του στόχους (παραδείγματα απειλών είναι η μη εξουσιοδοτημένη πρόσβαση, η μη εξουσιοδοτημένη τροποποίηση δεδομένων κ.λπ.).
Ως κυριότερες κατηγορίες απειλών ασφάλειας πληροφοριών μπορούμε να θεωρήσουμε τις ακόλουθες:

  • Απώλεια Εμπιστευτικότητας των πληροφοριών που διακινούνται, καθώς και των πληροφοριών που αφορούν στα προσωπικά δεδομένα πελατών & συνεργατών.
  • Απώλεια Ακεραιότητας των πληροφοριών κατά τη διακίνησή τους, με πιθανό αποτέλεσμα τη μη εξουσιοδοτημένη τροποποίησή τους (π.χ. τροποποίηση χρηματικών ποσών ή ποσοτήτων παραγγελιών, καθώς και τροποποίηση των αποδεκτών κάποιων πληρωμών).
  • Απώλεια Διαθεσιμότητας λόγω (ακούσιας ή ηθελημένης) δυσλειτουργίας των δικτύων επικοινωνίας ή λόγω ηθελημένης ενέργειας, με σκοπό τη διακοπή παροχής των συγκεκριμένων υπηρεσιών. Αποτέλεσμα μιας τέτοιας απειλής είναι πιθανή αδυναμία λειτουργίας των παρεχόμενων υπηρεσιών, καθώς και αδυναμία αναζήτησης δεδομένων που αφορούν κάποιες συναλλαγές.
  • Επανάληψη της διενέργειας προηγούμενης συναλλαγής, χρησιμοποιώντας τα ίδια ακριβώς δεδομένα (διπλές καταχωρήσεις, διπλές εγγραφές).
  • Άρνηση κάποιου από τα συναλλασσόμενα μέρη ότι διενέργησε ή συμμετείχε σε συναλλαγή.
  • Εξαπάτηση του Οργανισμού μέσω πλαστοπροσωπίας.
  • Απάτη μέσω εκμετάλλευσης διαφόρων αδυναμιών ασφάλειας, με αποτέλεσμα την εξαπάτηση συνεργατών ή πελατών από τρίτους ή την εξαπάτηση του Οργανισμού από άτομα του περιβάλλοντός του.

Οι απειλές ασφάλειας πληροφοριών είναι αποτέλεσμα της εκδήλωσης διαφόρων υφιστάμενων αδυναμιών ασφάλειας (vulnerabilities, κενά ασφάλειας) σε τεχνικό και οργανωτικό επίπεδο. Οι απειλές υφίστανται σε κάθε επιχειρηματική δραστηριότητα, η εκδήλωσή τους εξαρτάται από την ύπαρξη και αποτελεσματικότητα των κατάλληλων δικλείδων ασφαλείας, οι οποίες περιορίζουν την πιθανότητα κάποιας αδυναμίας να εκδηλωθεί και με τη σειρά της να εκδηλώσει την αντίστοιχη απειλή για το επιχειρηματικό περιβάλλον. Κάθε απειλή είναι συνυφασμένη με μία ή και περισσότερες αδυναμίες ασφάλειας.

Ως Αδυναμία Ασφάλειας Πληροφοριών (information security vulnerability) ορίζεται η οποιαδήποτε ανεπάρκεια ή αδύνατο σημείο:

  • των υφιστάμενων διαδικασιών διαχείρισης ασφάλειας,
  • των υφιστάμενων διαδικασιών ασφάλειας που ακολουθεί ένα πληροφοριακό σύστημα,
  • του σχεδιασμού ή/και των εσωτερικών δικλείδων ασφαλείας του πληροφοριακού συστήματος,
  • της αποτελεσματικότητας των υφιστάμενων τεχνικών και οργανωτικών δικλείδων ασφαλείας,
  • της εναρμόνισης με νομικές και θεσμικές απαιτήσεις.

Κάθε αδύνατο σημείο εκδηλώνεται (τυχαία ή εκούσια) και έχει ως αποτέλεσμα την παραβίαση της Εμπιστευτικότητας, Ακεραιότητας και Διαθεσιμότητας των πληροφοριών του Οργανισμού.

Η επιχειρησιακή αναγκαιότητα της Ασφάλειας Πληροφοριών
Η ασφάλεια πληροφοριών ξεκίνησε από το χώρο της πληροφορικής. Έγινε γρήγορα αντιληπτό ότι δεν πρόκειται για ένα αμιγώς τεχνικό θέμα, αλλά υπάρχει άμεση σχέση με την επιχειρησιακή δραστηριότητα και τη λογική του κάθε Οργανισμού. Η επίδραση της εκδήλωσης των απειλών ασφάλειας για τον εκάστοτε Οργανισμό, προσδιορίζεται από τα ακόλουθα:

  • Αδυναμία υλοποίησης των στρατηγικών του στόχων
  • Αδυναμία εκτέλεσης των κρίσιμων επιχειρησιακών διεργασιών
  • Μείωση του εμπορικού κέρδους
  • Κόστος ανάκτησης συστημάτων & υπηρεσιών, μετά από μερική ή ολική ζημία
  • Πλήγμα στη φήμη και αξιοπιστία
  • Μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες
  • Αδυναμία τήρησης νομικών διατάξεων για την ασφάλεια των δεδομένων
  • Αποκάλυψη προσωπικών δεδομένων πελατών / συνεργατών.

Τα ανωτέρω έχουν ως αποτέλεσμα την αδυναμία εκπλήρωσης των επιχειρησιακών στόχων του κάθε Οργανισμού. Η ασφάλεια πληροφοριών δεν αφορά μόνο στα πληροφοριακά συστήματα, αλλά είναι ένα καθαρά επιχειρησιακό θέμα και ως τέτοιο πρέπει να αντιμετωπίζεται. Ο αντικειμενικός στόχος της ασφάλειας πληροφοριών είναι η προστασία των συμφερόντων όλων, όσων οι επαγγελματικές τους δραστηριότητες βασίζονται στις διακινούμενες και επεξεργασμένες από τον Οργανισμό πληροφορίες. Οι πελάτες απαιτούν διαβεβαίωση επαρκούς προστασίας των προσωπικών τους στοιχείων. Οι συνεργάτες, όταν η επιχειρησιακή συνεργασία βασίζεται στην επικοινωνία των πληροφοριακών συστημάτων, απαιτούν διαβεβαίωση ότι οι αδυναμίες και τα κενά ασφάλειας του Οργανισμού δεν θα επηρεάσουν την ασφάλεια των δικών τους συστημάτων. Τέλος, οι μέτοχοι ζητούν διαβεβαίωση ότι πιθανές παραβιάσεις της ασφάλειας δεν θα έχουν αρνητική επίπτωση στην αύξηση των κερδών τους.

Ασφάλεια Πληροφοριών & Τεχνολογία
Η ασφάλεια πληροφοριών αρχικά αντιμετωπίσθηκε ως καθαρά τεχνικό θέμα, που αφορά στην ασφάλεια των πληροφοριακών πόρων (συστήματα, δίκτυο, εφαρμογές). Η αντιμετώπιση αυτή οδήγησε στην υιοθέτηση και εφαρμογή σχετικών τεχνολογικών μέτρων προστασίας. Η συγκεκριμένη λογική αποτελεί προέκταση της νοοτροπίας της Πληροφορικής, δηλαδή ”πες μου ποιο είναι το πρόβλημα και θα σου φτιάξω ένα μηχανισμό, ο οποίος θα το αποφεύγει”. Τέτοιοι μηχανισμοί έχουν ως αποτέλεσμα επιπρόσθετες δαπάνες και την άρνηση ανάπτυξης νέων επιχειρησιακών δραστηριοτήτων (συναλλαγές μέσω internet), με πρόσχημα τον κίνδυνο στον οποίο εκτίθεται η εταιρεία.
Η προσέγγιση αυτή δεν αποτελεί ορθή αντιμετώπιση των κινδύνων που αφορούν στην ασφάλεια πληροφοριών, αφού η εξελικτική πορεία των πραγμάτων δείχνει ότι ενώ οι τεχνολογίες ασφάλειας ολοένα πληθαίνουν και βελτιώνονται, τα κρούσματα παραβίασης της ασφάλειας, τόσο από το internet όσο και εσωτερικά ενός Οργανισμού, πληθαίνουν. Καμία τεχνική δικλείδα ασφαλείας από μόνη της δεν μπορεί να προσφέρει το απαιτούμενο επίπεδο ασφάλειας. Τα διάφορα websites τα οποία κατά καιρούς γίνονται πρωτοσέλιδα λόγω της παρείσδυσης σε αυτά ”Hackers”, διέθεταν μηχανισμούς προστασίας. Η ασφάλεια πληροφοριών μπορεί να επιτευχθεί με το συνδυασμό μεθόδων, πρακτικών και μηχανισμών ασφάλειας, σε συνδυασμό με τη συμμετοχή και ενεργό δράση του ανθρώπινου παράγοντα, τόσο από την πλευρά του επαγγελματία της Ασφάλειας Πληροφοριών, όσο και από την πλευρά του καθημερινού χρήστη.

Νομικές & Θεσμικές Απαιτήσεις
Εκτός από την επιχειρησιακή αναγκαιότητα για την ασφάλεια πληροφοριών, υπάρχουν Νομικές & Θεσμικές απαιτήσεις που αφορούν στη διαμόρφωση ενός πλαισίου Διαχείρισης Κινδύνων ασφάλειας και στην υλοποίηση των αντίστοιχων δικλείδων, οι οποίες ως σκοπό έχουν την ελαχιστοποίηση των κινδύνων. Όσον αφορά στον ελληνικό χώρο, ξεχωρίζουμε: Το νόμο 2472/1997 για την «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα», το νόμο 2774/1999 για την «Προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα», το νόμο 2672/1998 για τη «Διακίνηση εγγράφων με ηλεκτρονικά μέσα, (Fax & E-mail)», το Προεδρικό Διάταγμα 150/2001 για την «Προσαρμογή στην οδηγία 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές» και την απόφαση 248/71 σχετικά με τον «Κανονισμό παροχής υπηρεσιών πιστοποίησης ηλεκτρονικής υπογραφής», τις αποφάσεις και τους κανονισμούς της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών που αφορούν στην «προστασία του απορρήτου των επιστολών, της ελεύθερης ανταπόκρισης & επικοινωνίας, καθώς και στην ασφάλεια των δικτύων και πληροφοριών».
Κανόνες σχετικά με την ασφάλεια πληροφοριών θεσπίζονται και από την Ευρωπαϊκή Ένωση στα πλαίσια του σχεδίου «e-Europe». Η Ευρωπαϊκή Ένωση έχει ήδη δρομολογήσει σφαιρική στρατηγική, βασισμένη στις ανακοινώσεις για την ασφάλεια των δικτύων, τις αξιόποινες πράξεις στον κυβερνοχώρο και την ισχύουσα προστασία δεδομένων στις ηλεκτρονικές επικοινωνίες. Διάφοροι διεθνείς Οργανισμοί, ιδιαίτερα στο χρηματοπιστωτικό χώρο, όπως ο OECD (Organization for Economic Co-operation & Development, η Επιτροπή της Βασιλείας (Basel Committee on Banking Supervision) και η Ευρωπαϊκή Επιτροπή για τα Τραπεζικά Πρότυπα ECBS (European Committee for Banking Standards), έχουν εκδώσει οδηγίες για τήρηση σχετικών κανόνων.
Το ίδιο ισχύει και στις ΗΠΑ, όπου ξεχωρίζουν κανονιστικές και θεσμικές διατάξεις, όπως το SOX (Sarbanes Oxley) που αφορά στη διασφάλιση της ακεραιότητας των οικονομικών καταστάσεων ενός Οργανισμού ή το GRAHAM-LEACH-BLILEY ACT (GLBA) που αφορά στους χρηματοπιστωτικούς οργανισμούς. Επίσης, οι οργανισμοί Visa & MasterCard έχουν θεσπίσει συγκεκριμένους κανόνες για την ασφάλεια των πληροφοριών και την προστασία των δεδομένων των κατόχων των καρτών (PCI DSS), οι οποίοι πρέπει να τηρούνται από τους εμπόρους που κάνουν χρήση υποδομών για πληρωμές μέσω καρτών.
Κοινός παρανομαστής όλων των ανωτέρω είναι η διαρκής διαχείριση των κινδύνων ασφάλειας πληροφοριών, η προστασία των προσωπικών δεδομένων των πελατών και η υλοποίηση επαρκών δικλείδων ασφαλείας, προκειμένου να υπάρχει αποτελεσματική μείωση των κινδύνων ασφάλειας πληροφοριών.

Διαχείριση Ασφάλειας Πληροφοριών. Μία διαρκής διαδικασία
Η ασφάλεια πληροφοριών είναι μία διαρκής διαδικασία, η οποία αποτελείται από συγκεκριμένα στάδια ανάπτυξης. Κάθε στάδιο αποτελεί ισότιμο μέρος της διαδικασίας και αποτελείται από επαναλαμβανόμενα επιμέρους στάδια, με σκοπό τη διαμόρφωση, διατήρηση και βελτίωση του κατάλληλου επιπέδου ασφάλειας:

  • Στάδιο-1: Αξιολόγηση κινδύνων & προσδιορισμός απαιτήσεων ασφάλειας. Προσδιορισμός των απαιτήσεων ασφάλειας δεδομένων του Οργανισμού, ανάλογα με την κρισιμότητα των δεδομένων. Μετατροπή αυτών σε προδιαγραφές ασφάλειας.
  • Στάδιο-2: Διαμόρφωση Εταιρικού πλαισίου Διαχείρισης Ασφάλειας Πληροφοριών. Τεκμηρίωση των διαδικασιών, κανόνων και πολιτικών, οι οποίες θα υποδείξουν τις κατάλληλες δικλείδες ασφαλείας. Διαμόρφωση του συστήματος διαχείρισης ασφάλειας πληροφοριών (information security management system), το οποίο αποτελείται από μια σειρά από έντυπα, που αναθεωρούνται συνεχώς σύμφωνα με τις αλλαγές της εγκατεστημένης τεχνολογικής βάσης, τις μεταβαλλόμενες επιχειρησιακές δραστηριότητες και τις εκάστοτε απαιτήσεις ασφάλειας της εταιρείας.
  • Στάδιο-3: Επιβολή της Πολιτικής & των οδηγιών Ασφάλειας, Επιλογή & Υλοποίηση των καταλλήλων Δικλείδων Ασφαλείας. Υλοποίηση των προδιαγραφών ασφάλειας και επιβολή όλων των κανόνων, όπως έχουν προδιαγραφεί στο προηγούμενο στάδιο. Επιλογή των τεχνικών δικλείδων ασφαλείας.
  • Στάδιο-4: Διαρκής Παρακολούθηση και αποτίμηση του επιπέδου ασφάλειας. Διαρκής παρακολούθηση τήρησης της Πολιτικής Ασφάλειας & συνεχής αξιολόγηση της αποτελεσματικότητας των υφιστάμενων δικλείδων και της επάρκειας του υφιστάμενου Επιπέδου Ασφάλειας.
  • Στάδιο-5: Ενημέρωση και ευαισθητοποίηση του προσωπικού σε θέματα ασφάλειας πληροφοριών. Η εμπειρία αποδεικνύει ότι ο σωστά ενημερωμένος, εκπαιδευμένος και σε εγρήγορση χρήστης, αποτελεί την καλύτερη δικλείδα ασφαλείας των επιχειρησιακών πληροφοριών.

Σε επόμενα άρθρα θα έχουμε τη δυνατότητα να ασχοληθούμε με κάθε ένα από τα παραπάνω στάδια αναλυτικά. Το σημείο εκκίνησης και ταυτόχρονα το κρισιμότερο στάδιο της παραπάνω διαδικασίας, είναι η αξιολόγηση των κινδύνων που αφορούν στην Ασφάλεια Πληροφοριών. Η Αξιολόγηση κινδύνων ασφάλειας πληροφοριών είναι η διεργασία κατά την οποία αναγνωρίζονται οι κίνδυνοι που αφορούν στην ασφάλεια πληροφοριών ενός οργανισμού, ενώ ταυτόχρονα προσδιορίζεται η πιθανότητα εκδήλωσης του κινδύνου, η αρνητική επίδραση που θα προκληθεί σε περίπτωση εκδήλωσής του και οι δικλείδες ασφαλείας, οι οποίες θα ελαχιστοποιήσουν την αρνητική επίδραση από την εκδήλωση του κινδύνου. Κατά τη διαδικασία αξιολόγησης κινδύνων συλλέγονται πληροφορίες σχετικά με τα δεδομένα (τα οποία αποτελούν μέρος των περιουσιακών στοιχείων της εταιρείας) και τους πληροφοριακούς πόρους, στους οποίους αυτά αποθηκεύονται και επεξεργάζονται. Οι πληροφορίες αφορούν στην κρισιμότητα των δεδομένων για τη λειτουργία της εταιρείας και στις απειλές στις οποίες εκτίθενται. Ο συνδυασμός και η ανάλυση των παραπάνω πληροφοριών έχει σαν στόχο τον προσδιορισμό και την αξιολόγηση του κινδύνου στον οποίο εκτίθεται η εταιρεία, τόσο κατά την καθημερινή της λειτουργία, όσο και στο πλαίσιο ανάπτυξης ενός έργου ή κατά τη φάση υλοποίησης και σχεδιασμού νέων υπηρεσιών και δραστηριοτήτων.
Σημαντικό σημείο της διαδικασίας αποτελεί ο προσδιορισμός των πληροφοριών που χρήζουν προστασίας, οι οποίες, αφού προσδιορισθούν πρέπει να αξιολογηθούν ως προς την κρισιμότητά τους για τον Οργανισμό.

Ο προσδιορισμός & αξιολόγηση των πληροφοριών είναι πολύ σημαντική διαδικασία. Με τον τρόπο αυτό γίνονται αντιληπτές οι αλληλεπιδράσεις μεταξύ των πληροφορικών πόρων. Επίσης, προσδιορίζεται η επίδραση που μπορεί να έχει για τον οργανισμό πιθανή απώλεια της Εμπιστευτικότητας, Ακεραιότητας & Διαθεσιμότητας των υπό αξιολόγηση πληροφοριών. Το επόμενο βήμα αφορά στη διενέργεια της αξιολόγησης κινδύνων. Η εν λόγω διαδικασία χρειάζεται τόσο ποιοτικές όσο και ποσοτικές πληροφορίες, προκειμένου να διενεργηθεί. Υπάρχουν πολλά εργαλεία τα οποία αυτοματοποιούν τη διενέργεια της αξιολόγησης κινδύνων, όμως τα ποιοτικά στοιχεία τα οποία χρειάζονται, είναι δύσκολο να συλλεχθούν με αυτοματοποιημένες μεθόδους. Για το λόγο αυτό υπάρχει ανάγκη τόσο για τη διενέργεια συνεντεύξεων, όσο και για τη διενέργεια ελέγχων από εξειδικευμένο προσωπικό. Μετά την αξιολόγηση των περιουσιακών στοιχείων, ακολουθεί ο προσδιορισμός των απειλών και η ζημιά η οποία μπορεί να προκληθεί στον Οργανισμό σε περίπτωση που εκδηλωθούν.

Απόδοση της Επένδυσης στην Ασφάλεια των Πληροφοριών (Return of Investment)
Οι συνηθισμένοι τρόποι προσδιορισμού του Οφέλους μιας Επένδυσης δεν εφαρμόζονται με ευκολία σε υπηρεσίες και προϊόντα ασφάλειας πληροφοριών. Για τις δικλείδες ασφαλείας προληπτικού χαρακτήρα (preventive security controls), το μόνο που μπορεί να ειπωθεί είναι ότι το κόστος μιας δικλείδας ασφαλείας πρέπει να είναι μικρότερο ή ίσο με το κόστος της αρνητικής επίδρασης που έχει για τον Οργανισμό η εκδήλωση της απειλής, από την οποία η εκάστοτε δικλείδα ασφαλείας προστατεύει τον οργανισμό. Επίσης πρέπει να συνυπολογισθεί και το κόστος ανάκαμψης του Οργανισμού από τη ζημιά που θα προκληθεί. Οι δικλείδες ασφαλείας πρέπει να ταυτίζονται με την προστασία των βασικών διεργασιών της εταιρείας, έτσι ώστε να προκύπτει και το όφελος χρήσης τους.
Η έννοια της απόδοσης της επένδυσης έχει πεδίο εφαρμογής και στην περίπτωση του επιχειρησιακού κινδύνου (operational risk). Οι κίνδυνοι οι οποίοι είναι συνυφασμένοι με την ασφάλεια πληροφοριών, συχνά αποτελούν άγνωστη παράμετρο, η οποία δεν είναι ποσοτικά μετρήσιμη. Οι Οργανισμοί προβαίνουν προαιρετικά σε υλοποίηση δικλείδων ασφαλείας πληροφοριών και ακολουθούν διεθνώς αναγνωρισμένες πρακτικές, με στόχο την ελαχιστοποίηση του λειτουργικού κινδύνου και της αρνητικής επίδρασης αυτού στην επιχειρησιακή δραστηριότητα.
Η ασφάλεια πληροφοριών μπορεί να αποτελέσει εργαλείο marketing για έναν οργανισμό, να προάγει τη φήμη & την αξιοπιστία του, να αποτελέσει κινητήριο μοχλό ανάπτυξης νέων δραστηριοτήτων. Όλα τα προηγούμενα αυξάνουν την κερδοφορία του οργανισμού. Άρα, η ασφάλεια πληροφοριών συνδέεται και με την αύξηση της κερδοφορίας. Η απόδοση της επένδυσης στην ασφάλεια πληροφοριών θα μας απασχολήσει και σε επόμενα άρθρα, που θα αφορούν στο συγκεκριμένο θέμα και θα παρουσιάσουν διάφορα μοντέλα υπολογισμού της.

Συμπέρασμα
Η ασφάλεια πληροφοριών είναι μία συνεχής διαδικασία προσδιορισμού, ελαχιστοποίησης & πρόληψης των κινδύνων ασφάλειας μέσα από μια δομημένη και επαναλαμβανόμενη διαδικασία αξιολόγησης κινδύνων. Η διαδικασία αυτή υποδεικνύει συνεχώς την υλοποίηση (αν δεν υπάρχουν ήδη) των κατάλληλων δικλείδων ασφαλείας ή/και προσδιορίζει τρόπους βελτίωσης της αποτελεσματικότητας των υπαρχουσών δικλείδων ασφαλείας. Η χρήση των νέων τεχνολογιών προσφέρει στους Οργανισμούς πολλές δυνατότητες, με στόχο την αποδοτικότερη λειτουργία τους. Η ασφάλεια πληροφοριών προσθέτει αξία στην επιχειρησιακή πραγματικότητα, συμβάλλοντας σε τομείς όπως η ασφαλής επικοινωνία με τους επιχειρησιακούς συνεργάτες, η στενότερη επικοινωνία με τους πελάτες, η βελτίωση της δημόσιας εικόνας του Οργανισμού και η προσφορά ανταγωνιστικού πλεονεκτήματος. Μπορεί επίσης να αποτελέσει τροχοπέδη για νέες μεθόδους επεξεργασίας ηλεκτρονικών συναλλαγών και να λειτουργήσει θετικά, όσον αφορά στην εμπιστοσύνη και την αποδοχή χρήσης των νέων μεθόδων, από τους χρήστες. Η Ασφάλεια Πληροφοριών είναι μία μόνιμη & συνεχής πρόκληση, η οποία δεν αφορά μόνο στη χρήση της τεχνολογίας, αλλά αποτελεί ένα πρώτιστο επιχειρησιακό ζήτημα – η αδυναμία υλοποίησης του επιθυμητού επιπέδου ασφαλείας μπορεί να αποβεί μοιραία για τη βιωσιμότητα ενός Οργανισμού. Η διασφάλιση του κατάλληλου επιπέδου εμπιστευτικότητας, ακεραιότητας & διαθεσιμότητας των πληροφοριών, είναι βασικό συστατικό για την επιτυχή ανάπτυξη οποιουδήποτε Οργανισμού.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM