Το πρώτο βήμα προς την ενίσχυση της ασφάλειας των πληροφοριών μιας επιχείρησης είναι η θέσπιση μιας λεπτομερειακής και παράλληλα εφαρμόσιμης πολιτικής ασφάλειας, η οποία θα ενημερώνει το προσωπικό για τις ευθύνες του, για την αποδεκτή χρήση των πληροφοριακών πόρων και θα εξηγεί τον τρόπο χειρισμού των ευαίσθητων πληροφοριών.

1. Τι είναι η Πολιτική Ασφάλειας Πληροφοριών;

Η πολιτική ασφάλειας πληροφοριών είναι ένα σύνολο κειμένων στα οποία αναφέρονται οι κρίσιμοι πληροφοριακοί πόροι της επιχείρησης και περιγράφονται οι τρόποι που αυτοί μπορούν και πρέπει να προστατευτούν. Για το σκοπό αυτό προσδιορίζονται διαδικασίες, οδηγίες και πρακτικές, οι οποίες διαμορφώνουν και διαχειρίζονται το περιβάλλον ασφάλειας της επιχείρησης.
Οπωσδήποτε, η πολιτική ασφάλειας πρέπει να εκφράζει τη γενικότερη φιλοσοφία της επιχείρησης καθώς και τις απαιτήσεις για τη διασφάλιση των πληροφοριακών πόρων.
Σημαντικό είναι να περιγράφεται το πώς η πολιτική αυτή θα εφαρμοστεί στους εργαζόμενους, στη ροή των διαδικασιών – αν θα μεταβληθούν οι υπάρχουσες ή θα προστεθούν νέες – και στα επιμέρους περιβάλλοντα, ως επίσης και ποιες θα είναι οι συνέπειες στην περίπτωση μη συμμόρφωσης.

2. Ποιον σκοπό εξυπηρετεί;

Ο πρωταρχικός σκοπός της πολιτικής ασφάλειας είναι η προστασία των δεδομένων της επιχείρησης, ορίζοντας διαδικασίες για τη διαμόρφωση και διαχείριση της ασφάλειας στο επιχειρηματικό περιβάλλον.
Αν όμως η επιχείρηση κατορθώσει να εφαρμόσει με επιτυχία μια σαφή και ρεαλιστική πολιτική ασφάλειας, τα οφέλη θα είναι πολλαπλά.
Καταρχήν θα είναι σίγουρο ότι έχουν εντοπιστεί τρωτά σημεία στα πληροφοριακά συστήματα και έχουν ληφθεί μέτρα για την κάλυψή τους. Έτσι κατοχυρώνεται η επιχειρησιακή συνέχεια και ενισχύεται η πληροφοριακή υποδομή.
Επίσης, αν οι εργαζόμενοι ακολουθούν την πολιτική ασφάλειας στις καθημερινές τους συναλλαγές με συναδέλφους, πελάτες και συνεργάτες, διασφαλίζεται ότι οι πληροφορίες ανταλλάσσονται με ασφαλή τρόπο και έτσι μειώνονται οι επιχειρηματικοί κίνδυνοι.
Και τελευταίο, αλλά πολύ σημαντικό στοιχείο, είναι η επίγνωση των κινδύνων που αποκτά ο καθένας εργαζόμενος στην επιχείρηση όταν υπάρχει και εφαρμόζεται η πολιτική ασφάλειας, αυξάνοντας έτσι την πιθανότητα συμμόρφωσής του με τους κανόνες της.

3. Δημιουργία Πολιτικής Ασφάλειας

Το κλειδί για την επιτυχία του έργου δημιουργίας αποτελεσματικής πολιτικής ασφάλειας είναι η δέσμευση και η έγκριση της Διοίκησης. Οι εργαζόμενοι πρέπει να αισθάνονται ότι η Διοίκηση υποστηρίζει αυτή την προσπάθεια, ώστε να συμμετέχουν ενεργά στην υλοποίηση και την εφαρμογή της.
Το επόμενο στάδιο είναι η δημιουργία της ομάδας που θα καταρτίσει την πολιτική και η οποία πρέπει να έχει «πολυφυλετικό» χαρακτήρα. Εκτός από τους κατεξοχήν συμμετέχοντες – υπεύθυνοι ασφάλειας, τεχνικοί επικοινωνιών και γενικά ειδικοί στην Πληροφορική – η ομάδα πρέπει να απαρτίζεται και από εκπροσώπους της Διοίκησης, της Οργάνωσης, του Ανθρώπινου Δυναμικού, της Νομικής Υπηρεσίας, της Επικοινωνίας, της Εκπαίδευσης και του Εσωτερικού Ελέγχου. Ο καθένας τους θα καταθέσει τη δική του άποψη και εμπειρία στο έργο, έτσι ώστε να είναι ολοκληρωμένο και αποτελεσματικό.
Γιατί, βέβαια, ο στόχος δεν είναι απλά να δημιουργηθεί μια πολιτική ασφάλειας, αλλά αυτή να είναι κατανοητή από τους εργαζόμενους, χωρίς ασάφειες και κενά, εύκολη στην εφαρμογή της, συμβατή με νόμους και κανονισμούς και σύμφωνη με τη θέση της Διοίκησης αναφορικά με την ασφάλεια των πληροφοριακών πόρων.

Δεν υπάρχει μαγική συνταγή για την επιτυχία, αλλά μπορούμε συνοπτικά να αναφέρουμε 10 βήματα, τα οποία αποτελούν μια προσέγγιση κοινής λογικής στη δημιουργία και εφαρμογή μιας εύλογης και κυρίως εφαρμόσιμης πολιτικής ασφάλειας.

Βήμα 1: Εντοπίστε τους κινδύνους

Ποιοι είναι οι κίνδυνοι από κακή χρήση των πληροφοριών; Υπάρχουν ευαίσθητα αρχεία όπου πρέπει να περιορίζεται η πρόσβαση; Στέλνονται ή λαμβάνονται πολλά επισυναπτόμενα αρχεία μέσω e-mail; Διακινούνται αρχεία με προσβλητικό περιεχόμενο;
Μπορεί τα παραπάνω να μην αποτελούν πρόβλημα, αλλά μπορεί και να σας κοστίσουν χιλιάδες ευρώ το μήνα από μείωση παραγωγικότητας, μη διαθεσιμότητα συστημάτων ή νομικές διεκδικήσεις.
Εντοπίστε λοιπόν τα κρίσιμα πληροφοριακά συστήματα, αναγνωρίστε τους κινδύνους που τα απειλούν και προσαρμόστε ανάλογα την πολιτική ασφάλειας.

Βήμα 2: Μην ανακαλύψετε τον τροχό

Μάθετε από τους άλλους! Υπάρχουν πολλοί «τύποι» πολιτικών ασφάλειας και ο καθένας ταιριάζει σε διαφορετικό εταιρικό αντικείμενο. Δείτε τι κάνουν επιχειρήσεις αντίστοιχες με τη δική σας και διαθέστε λίγο χρόνο στο Internet αναζητώντας πληροφορίες είτε on-line είτε στη σχετική βιβλιογραφία.

Βήμα 3: Βεβαιωθείτε ότι η πολιτική καλύπτει τις νομικές απαιτήσεις

Ανάλογα με την τοποθεσία που τηρείτε τα αρχεία των δεδομένων ή την έδρα σας, μπορεί να πρέπει να συμμορφωθείτε με συγκεκριμένες νομικές διατάξεις ή ελάχιστες απαιτήσεις που διασφαλίζουν την προστασία και ακεραιότητα των πληροφοριών, ειδικά αν πρόκειται για προσωπικά δεδομένα. Η εφαρμογή τεκμηριωμένης πολιτικής ασφάλειας είναι ένας τρόπος να μειώσετε τυχόν διεκδικήσεις από τρίτους, σε περίπτωση παραβίασης της ασφάλειας των συστημάτων σας.

Βήμα 4: Επίπεδο ασφάλειας – επίπεδο κινδύνου. Βρείτε τη χρυσή τομή

Μην το παρακάνετε! Η υπερβολική ασφάλεια μπορεί να είναι το ίδιο αναποτελεσματική όσο και η ανεπαρκής. Στην προσπάθειά σας να κρατήσετε τους κακούς μακριά από τα συστήματά σας, μπορεί να δυσκολέψετε τη ζωή στους νόμιμους χρήστες, ειδικά αν αυτοί είναι συνεπείς και τηρούν ευλαβικά τους κανόνες. Η ανάλυση κινδύνων που έχει προηγηθεί, σας υποδεικνύει το βαθμό ασφάλειας που πρέπει να εφαρμόσετε σε κάθε πληροφοριακό σύστημα.

Βήμα 5: Συμμετοχή του προσωπικού στη δημιουργία της πολιτικής

Σε κανένα δεν αρέσουν οι πολιτικές που υπαγορεύονται ‘από καθέδρας’. Εμπλέξτε το προσωπικό στη διαδικασία προσδιορισμού των βέλτιστων πρακτικών. Η γνώμη τους μπορεί να αποτρέψει λάθη και η συμμετοχή τους θα βοηθήσει στη συμμόρφωσή τους όταν έρθει η στιγμή της εφαρμογής της πολιτικής.

Βήμα 6: Εκπαιδεύστε το προσωπικό

Συνήθως υποτιμάμε την αξία της εκπαίδευσης του προσωπικού ή ακόμα χειρότερα την παραλείπουμε τελείως. Αλλά στην πραγματικότητα η εκπαίδευση είναι ίσως το πιο σημαντικό και χρήσιμο τμήμα της όλης διαδικασίας, γιατί, όχι μόνο βοηθά στην ενημέρωση και κατανόηση των διαδικασιών, αλλά παρέχει βήμα για συζητήσεις σε πρακτικά ζητήματα εφαρμογής της πολιτικής που οι χρήστες αντιμετωπίζουν στον «πραγματικό κόσμο». Οι τελικοί χρήστες κατά τη διάρκεια της εκπαιδευτικής διαδικασίας κάνουν ενδιαφέρουσες ερωτήσεις, δίνουν παραδείγματα – και αυτό είναι εξαιρετικά χρήσιμο για τη διόρθωση της πολιτικής ή την προσαρμογή της στις πραγματικές συνθήκες.

Βήμα 7: Έλαβα γνώση και αποδέχομαι. Υπογραφή

Φροντίστε να λάβει γνώση όλο το προσωπικό και να αποδεχθεί ενυπόγραφα την πολιτική ασφάλειας. Μεριμνήστε ώστε και οι νέοι υπάλληλοι να κάνουν το ίδιο κατά την πρόσληψή τους. Αν τυχόν κάνετε αλλαγές ή διορθώσεις στην πολιτική, μην ξεχνάτε να επαναλάβετε τη διαδικασία. Στην περίπτωση μεγάλων επιχειρήσεων σκεφτείτε να χρησιμοποιήσετε αυτοματοποιημένα εργαλεία που ελέγχουν τη διανομή και υπογραφή των εντύπων.

Βήμα 8: Ορίστε τις κυρώσεις για τη μη συμμόρφωση

Η ασφάλεια των δικτύων και πληροφοριών δεν είναι αστεία υπόθεση. Η πολιτική ασφάλειας δεν είναι προαιρετικές οδηγίες, αλλά μια εργασιακή σύμβαση. Προσδιορίστε ακριβώς τις ποινές σε περιπτώσεις παραβίασης της πολιτικής ασφάλειας και επιβάλετέ τις. Η πολιτική ασφάλειας χωρίς οργανωμένη εφαρμογή είναι σχεδόν τόσο κακή όσο και η ανύπαρκτη πολιτική.

Βήμα 9: Επικοινωνία και ενημέρωση

Η πολιτική ασφάλειας είναι ένα δυναμικό έγγραφο, γιατί το αντικείμενό της – τα συστήματα πληροφορικής – εξελίσσεται και ανανεώνεται συνεχώς. Άνθρωποι έρχονται και φεύγουν, βάσεις δεδομένων δημιουργούνται και καταστρέφονται, νέες απειλές εμφανίζονται στον ορίζοντα. Η ενημέρωση της πολιτικής είναι δύσκολη υπόθεση, αλλά η πληροφόρηση των χρηστών με τα νέα δεδομένα που αλλάζουν την καθημερινή τους εργασία, είναι ακόμα δυσκολότερη. Το κλειδί της επιτυχίας είναι η διαρκής και ανοιχτή ενημέρωση των εμπλεκομένων. Χρησιμοποιήστε το εσωτερικό δίκτυο της επιχείρησης ή το διαδίκτυο, φτιάξτε φυλλάδια, μοιράστε ενημερωτικά έντυπα, στέλνετε e-mail σε τακτή βάση και κρατήστε το κανάλι επικοινωνίας ανοικτό.

Βήμα 10: Εγκαταστήστε τα κατάλληλα εργαλεία

Το να έχετε πολιτική ασφάλειας είναι το πρώτο στάδιο για τη διασφάλιση της ακεραιότητας και εμπιστευτικότητας των πληροφοριών της επιχείρησης. Το επόμενο και δυσκολότερο στάδιο είναι η σωστή εφαρμογή της. Υπάρχουν διαθέσιμα εργαλεία που ελέγχουν αν η πολιτική ασφάλειας τηρείται από το προσωπικό σας, όσο πολύπλοκή και αυστηρή κι αν είναι. Μη διστάσετε να προχωρήσετε σ’ αυτήν την επένδυση, που μπορεί να αποδειχθεί ως η πιο επικερδής που έχετε κάνει ποτέ.

Πηγές: ISACA Journal, Stephen B. Page: Achieving 100% Compliance of Policies & Procedures, Process Improvement Publishing, 2004.

Της Ελένης Σωτηρίου
CISA, CISM