Σημαντικός αριθμός επιχειρήσεων έχουν υποστεί ζημιές λόγω επισφαλούς λειτουργίας των εφαρμογών λογισμικού. Ο προληπτικός έλεγχος είναι αναμφισβήτητα μέρος της λύσης.
Ο έλεγχος του περιβάλλοντος λειτουργίας των εφαρμογών έχει στόχο να παρέχει τη διαβεβαίωση ότι οι δικλείδες ασφαλείας των εφαρμογών λειτουργούν αποτελεσματικά και προασπίζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών. Η απαίτηση αυτή διασφαλίζεται με τη θωράκιση σε τρία διαφορετικά επίπεδα:
- Το τεχνολογικό επίπεδο το οποίο περιλαμβάνει το δίκτυο, το κεντρικό σύστημα (host), το middleware κ.λπ.
- Το λειτουργικό επίπεδο όπου ανήκουν οι βάσεις δεδομένων και τα λειτουργικά συστήματα.
- Το επίπεδο των ίδιων των εφαρμογών, όπου μεταξύ άλλων περιλαμβάνονται το σύστημα διαχείρισης πρόσβασης χρηστών και ο έλεγχος πρόσβασης βάσει εγκεκριμένων αρμοδιοτήτων.
Ο συστηματικός έλεγχος των εφαρμογών πρέπει να περιλαμβάνει και τα τρία παραπάνω επίπεδα, αλλά στο παρόν θα επικεντρωθούμε μόνο στον έλεγχο του περιβάλλοντος εφαρμογών, παρέχοντας γενικές κατευθύνσεις για τον έλεγχο των εφαρμογών καθώς και βασικές ασφαλιστικές δικλείδες που πρέπει να ελεγχθούν οπωσδήποτε για να επιτευχθεί υψηλό επίπεδο ασφάλειας.
Τι Πρέπει να Γνωρίζουμε πριν την Έναρξη του Ελέγχου
Μεγάλη σημασία για τον ελεγκτή είναι να αποκτήσει σαφή αντίληψη της επιχειρηματικής διαδικασίας για την οποία έχει σχεδιαστεί η εφαρμογή. Είναι επίσης σημαντικό να προσδιορίσει τις διαφορετικές πηγές δεδομένων που τροφοδοτούν την εφαρμογή (input) καθώς και πού οδεύουν τα εξαγόμενα (output). Πρέπει επίσης να κατανοήσει τις διασυνδέσεις με άλλες εφαρμογές (interface) ώστε να εντοπίσει τις ροές δεδομένων. Ορισμένες εφαρμογές απαιτούν ξεχωριστό userid και password για να επιτρέψουν την πρόσβαση, αλλά η τεχνική του single-sing-on -δηλαδή η χρήση ενός μόνον userid και password για όλες τις εφαρμογές μιας πλατφόρμας- έχει κερδίσει έδαφος δεδομένου του τεράστιου όγκου των εφαρμογών σε ένα επιχειρηματικό περιβάλλον.
Το επόμενο βήμα είναι η κατανόηση του τρόπου με τον οποίο η εφαρμογή διαχειρίζεται τους χρήστες της. Αυτό εξαρτάται από το πώς αυτή έχει αρχικά σχεδιαστεί. Μερικές εφαρμογές διαθέτουν εργαλείο διαχείρισης χρηστών, άλλες χρησιμοποιούν το σύστημα διαχείρισης χρηστών του λειτουργικού, ενώ στον αντίποδα ορισμένες έχουν τους λογαριασμούς των χρηστών ενσωματωμένους στον κώδικα της εφαρμογής. Εξυπακούεται ότι σε κάθε περίπτωση ο σχεδιασμός του ελέγχου είναι διαφορετικός.
Οι διαφορετικοί ρόλοι, τα χαρακτηριστικά μοναδικών χρηστών ή ομάδων που δημιουργούνται στις εφαρμογές συμπεριλαμβανομένων των διαχειριστικών λογαριασμών, των λογαριασμών διαχείρισης ασφάλειας, όσων έχουν ειδικά προνόμια και όσων χρησιμοποιούνται για συντήρηση, πρέπει να είναι στη διάθεση των ελεγκτών. Επίσης ζητείται και εξετάζεται η πολιτική της επιχείρησης που περιγράφει τις διαδικασίες παραχώρησης και ελέγχου των προσβάσεων, ώστε να προσδιοριστεί η σαφήνεια και η πληρότητα των οδηγιών καθώς και να εκτιμηθεί το εύρος των πολιτικών και προτύπων ασφάλειας που έχουν ενσωματωθεί στο επίπεδο της εφαρμογής.
Αφού ο ελεγκτής αποκτήσει ικανοποιητική γνώση των συστημάτων, των πολιτικών, των διαδικασιών και των λειτουργιών που ισχύουν στο περιβάλλον της προς εξέταση εφαρμογής, είναι σε θέση να αρχίσει τον έλεγχο ασφάλειας όπως περιγράφεται πιο κάτω.
Επίπεδα Ασφάλειας Εφαρμογών
Θα προσεγγίσουμε την ασφάλεια των εφαρμογών κατηγοριοποιώντας τις δικλείδες ασφάλειας σε τρία διαφορετικά επίπεδα, ξεκινώντας από το κατώτερο, ως εξής:
- Λειτουργικό επίπεδο. Πρόκειται για τον πυρήνα της ασφάλειας και συνήθως ελέγχεται από το σύστημα ασφάλειας της ίδιας της εφαρμογής.
- Διαδικαστικό επίπεδο. Το αμέσως παραπάνω επίπεδο, που περιλαμβάνει υποστηρικτικές λειτουργίες όπως διαχείριση ασφάλειας, διαχείριση κινδύνου IT, ενημέρωση της εφαρμογής με διορθώσεις και αλλαγές κ.λπ.
- Στρατηγικό επίπεδο. Το ανώτερο επίπεδο περιλαμβάνει τη στρατηγική ασφάλειας της επιχείρησης, την ενημέρωση του προσωπικού για θέματα ασφάλειας και κινδύνων, τα πρότυπα και τις πολιτικές ασφάλειας καθώς και το συνολικό πλαίσιο διαχείρισης των κινδύνων ΙΤ.
Για να τα εξετάσουμε πιο αναλυτικά…
- Λειτουργικό Επίπεδο
Αυτό περιλαμβάνει:- Λογαριασμούς χρηστών και δικαιώματα πρόσβασης. Η δημιουργία μοναδικών λογαριασμών χρηστών και η παροχή δικαιωμάτων πρόσβασης σύμφωνα με τις αρμοδιότητές τους, αποτελεί τη βέλτιστη πρακτική για την ασφάλεια της εφαρμογής. Ο ελεγκτής πρέπει πάντα να εξασφαλίζει – στο μέτρο των αρμοδιοτήτων του – τη χρήση μοναδικών userid τα οποία να αντιστοιχούν σε ένα μόνο άτομο. Η ύπαρξη και χρήση guest ή test λογαριασμών πρέπει να ελέγχεται, ως επίσης και οι διπλοί ή πολλαπλοί λογαριασμοί που μοιράζονται στους ίδιους χρήστες. Ομοίως και οι λογαριασμοί των παρόχων της εφαρμογής και των εξωτερικών συνεργατών.
Λογαριασμοί αυξημένων προνομίων (π.χ. System Administration) ή όσων χρησιμοποιούνται για τη συντήρηση της εφαρμογής (interface, batch, maintenance κ.λπ.) δεν πρέπει να έχουν μυστικά από τον ελεγκτή. Αυτός οφείλει να ελέγξει τις δικλείδες ασφάλειας που τους προστατεύουν, να παρακολουθήσει τη χρήση τους καθώς και να εξετάσει πώς, γιατί, πότε και σε ποιους ανατέθηκαν αυτές οι προνομιακές αρμοδιότητες.
Η διαμόρφωση του προφίλ των χρηστών συνήθως δημιουργείται στην αρχή. Το προφίλ του χρήστη είναι η περιγραφή των δικαιωμάτων πρόσβασης, η οποία έχει μία συγκεκριμένη θέση (π.χ. Διευθυντής Λογιστηρίου). Στη συνέχεια δημιουργούνται οι λογαριασμοί των χρηστών αντιγράφοντας για καθέναν το αντίστοιχο προφίλ στην εφαρμογή. Αυτό εμπεριέχει τον κίνδυνο να κληρονομηθούν αυξημένα δικαιώματα σε νέους χρήστες, χωρίς αυτό να δικαιολογείται από τη θέση τους, από λάθος κατά τη διαδικασία δημιουργίας νέου χρήστη. Για να αποφευχθεί αυτό, ο ελεγκτής διασφαλίζει ότι η δημιουργία των διαφορετικών προφίλ έχει βασιστεί στην αρχή των ελάχιστων δικαιωμάτων πρόσβασης.
Το βασικό ελεγκτικό βήμα στο επίπεδο αυτό είναι η τακτική ανασκόπηση της ορθότητας ανάθεσης αρμοδιοτήτων καθώς και των εξουσιοδοτήσεων που έχουν ανατεθεί στους χρήστες. - Διαχείριση κωδικών ασφάλειας (password). Η πολιτική διαχείρισης των password που εφαρμόζεται στην επιχείρηση πρέπει να είναι σαφώς περιγεγραμμένη και να περιλαμβάνει όλα τα διαφορετικά επίπεδα του τεχνολογικού περιβάλλοντος. Το ελάχιστο που απαιτείται ώστε τα password να προστατεύονται κατά το δυνατόν από παράνομη χρήση είναι να απαρτίζονται από συνδυασμούς αριθμών και γραμμάτων, κεφαλαίων και πεζών, να έχουν ελάχιστο δυνατό μήκος, ημερομηνία λήξης, αποφυγή επανάληψής τους μετά τη λήξη καθώς και αυτόματο κλείδωμα μετά από τρεις έως πέντε λανθασμένες προσπάθειες εισαγωγής τους. Μερικές εφαρμογές -ειδικά όσες απευθύνονται σε ευρεία καταναλωτική μάζα και πωλούνται χωρίς ειδικές προδιαγραφές- δεν διαθέτουν ισχυρό σύστημα ασφάλειας των password. Σε τέτοιες περιπτώσεις ο ελεγκτής ψάχνει για συμπληρωματικούς ελέγχους (π.χ. αρχικό login στο δίκτυο και μετά στην εφαρμογή) ή άλλους μηχανισμούς όπου τα password είναι καλά προστατευμένα. Η κρυπτογράφηση των password είναι επίσης βασικό στοιχείο ελέγχου, ειδικά για ευαίσθητες κρίσιμες μεταφοράς κεφαλαίων ή ευαίσθητων πληροφοριών.
Μην ξεχάσουμε και τους μηχανισμούς login από φορητές συσκευές (wireless), από απομακρυσμένα σημεία, το σπίτι ή άλλες θέσεις, οι οποίοι πρέπει να εξεταστούν από ελεγκτική σκοπιά. Σε κάθε περίπτωση τα μέτρα προστασίας, όπως ασφαλής σύνδεση, κρυπτογράφηση και παρακολούθηση της δραστηριότητας των απομακρυσμένων χρηστών πρέπει να εξεταστούν. - Διαχωρισμός αρμοδιοτήτων. Η αρχή του διαχωρισμού αρμοδιοτήτων απέκτησε πάλι τη σημασία της για τη συμβολή της στην ασφαλή χρήση των εφαρμογών μετά από συγκεκριμένα συμβάντα στο διεθνή χώρο. Θυμηθείτε την υπόθεση της Societe General τον Ιανουάριο του 2007. Στον έλεγχο της ασφάλειας των εφαρμογών, η αρχή του διαχωρισμού των αρμοδιοτήτων ελέγχεται στα παρακάτω σημεία:
- Δικαιώματα χρηστών. Το προφίλ του χρήστη μέσα στην εφαρμογή παρέχει διάφορα δικαιώματα πρόσβασης ανάλογα με τη θέση του. Ο ελεγκτής συνδυάζει τα δικαιώματα που παρέχονται σε κάθε θέση με τις απαιτήσεις της – προϋπόθεση γι’ αυτό είναι η καλή γνώση των λειτουργιών – και αποφαίνεται για το αν τα δικαιώματα αυτά είναι σύμφωνα με τις αρχές διαχωρισμού ρόλων και αρμοδιοτήτων.
- Προφίλ και λογαριασμοί χρηστών. Μερικές εφαρμογές είναι σχεδιασμένες έτσι ώστε να επιτρέπουν σε ένα χρήστη περισσότερους του ενός λογαριασμούς με διαφορετικό προφίλ, ώστε να αποτυπώνονται οι πολλαπλοί ρόλοι που αυτός επιτελεί. Αυτό συνήθως συμβαίνει σε μικρές επιχειρήσεις όπου το προσωπικό είναι περιορισμένο. Η εξέταση των δικαιωμάτων πρόσβασης σε καθένα λογαριασμό ξεχωριστά είναι επιβεβλημένη για να εξασφαλιστεί ότι δεν παραβιάζεται η αρχή του διαχωρισμού αρμοδιοτήτων.
- Πολλαπλές εφαρμογές. Σε μεγάλες επιχειρήσεις οι χρήστες έχουν πρόσβαση σε πολλές εφαρμογές, ανάλογα με τη θέση και το ρόλο τους. Για παράδειγμα, κάποιος μπορεί να έχει δικαίωμα εντολής αγοράς στην εφαρμογή προμηθειών και παράλληλα δικαίωμα έγκρισης στην εφαρμογή πληρωμών. Αυτό είναι καθαρή περίπτωση παραβίασης αρμοδιοτήτων και ο ελεγκτής πρέπει να γνωρίζει καλά τις εφαρμογές που χρησιμοποιεί η επιχείρηση καθώς και τη φύση των προφίλ των χρηστών. Επίσης θα πρέπει να εξετάσει αν τυχόν υπάρχει άλλη δικλείδα ασφαλείας που να καλύπτει τέτοιες περιπτώσεις.
- Διαχείριση ασφάλειας και άλλες λειτουργίες. Σε μεγάλες και ανεπτυγμένες επιχειρήσεις, την επιμέλεια των εξουσιοδοτήσεων και των αναθέσεων αρμοδιοτήτων στους χρήστες έχει ο διαχειριστής ασφάλειας. Οι μικρές επιχειρήσεις όμως δεν αντέχουν το κόστος μιας ξεχωριστής τέτοιας θέσης και κατά συνέπεια ο διαχειριστής ασφάλειας συχνά εκτελεί και χρέη διαχειριστή εφαρμογών και η αρχή διαχωρισμού αρμοδιοτήτων δεν εφαρμόζεται. Σε ανάλογες περιπτώσεις αναζητείται άλλος συμπληρωματικός έλεγχος που θα διασφαλίζει την τήρηση των κανόνων και πολιτικών ασφάλειας.
- Λογαριασμούς χρηστών και δικαιώματα πρόσβασης. Η δημιουργία μοναδικών λογαριασμών χρηστών και η παροχή δικαιωμάτων πρόσβασης σύμφωνα με τις αρμοδιότητές τους, αποτελεί τη βέλτιστη πρακτική για την ασφάλεια της εφαρμογής. Ο ελεγκτής πρέπει πάντα να εξασφαλίζει – στο μέτρο των αρμοδιοτήτων του – τη χρήση μοναδικών userid τα οποία να αντιστοιχούν σε ένα μόνο άτομο. Η ύπαρξη και χρήση guest ή test λογαριασμών πρέπει να ελέγχεται, ως επίσης και οι διπλοί ή πολλαπλοί λογαριασμοί που μοιράζονται στους ίδιους χρήστες. Ομοίως και οι λογαριασμοί των παρόχων της εφαρμογής και των εξωτερικών συνεργατών.
- Διαδικαστικό Επίπεδο
Αυτό περιλαμβάνει:- Διαχείριση Ασφάλειας. Η ταχύτητα με την οποία γίνονται οι αναθέσεις αρμοδιοτήτων σε χρήστες είναι σημαντική στη σημερινή επιχείρηση. Ο ελεγκτής πρέπει να διασφαλίσει ότι η δημιουργία λογαριασμών κάθε χρήστη και η οποιαδήποτε αλλαγή των εξουσιοδοτήσεων ανεξαρτήτως του επείγοντος, γίνεται κατόπιν έγκρισης του προϊσταμένου και τηρείται αρχείο. Επίσης η διακοπή πρόσβασης ενός χρήστη στις εφαρμογές πρέπει να είναι άμεση, ειδικά σε περιπτώσεις απολύσεων ή αποχωρήσεων. Συμπληρωματική ασφάλεια παρέχει η απενεργοποίηση των δικαιωμάτων πρόσβασης στο επίπεδο δικτύου καθώς και η ανάκληση αυτών στα άλλα επίπεδα (λειτουργικό σύστημα, host, middleware κ.λπ.) για πρόσθετη προστασία από μη εξουσιοδοτημένη πρόσβαση. Οι διαδικασίες διαχείρισης ασφάλειας των εφαρμογών πρέπει να είναι τεκμηριωμένες και διαθέσιμες για μελλοντική αναφορά.
- Διαχείριση κινδύνων IT. Μερικές βασικές λειτουργίες που γίνονται από το IT για τη διαχείριση κινδύνων από τις εφαρμογές είναι:
- Εκτίμηση κινδύνου. Πριν δημιουργηθούν οι ελεγκτικοί μηχανισμοί σε κάποια εφαρμογή γίνεται εκτίμηση του κινδύνου που πιθανόν αυτοί να προκαλέσουν (π.χ. αύξηση του χρόνου λειτουργίας, υπερβολική χρήση πόρων). Η εκτίμηση κινδύνων αναγνωρίζει τους κινδύνους αυτούς και στη συνέχεια λαμβάνονται μέτρα για τη μείωσή τους.
- Ενημέρωση χρηστών. Όσο καλό και να είναι το σύστημα ασφάλειας παύει να είναι χρήσιμο αν οι άνθρωποι που θα το εφαρμόσουν δεν είναι ενήμεροι για θέματα κινδύνων και ασφάλειας. Η συνειδητοποίηση από τους χρήστες για τα προβλήματα και τις επιπτώσεις τους, αυξάνει τη συμμόρφωσή τους με τους κανόνες, καθιστώντας τη λειτουργία των εφαρμογών ασφαλέστερη. Ενημερωτικά φυλλάδια ή το εταιρικό portal είναι τα κατεξοχήν εργαλεία για εκπαίδευση και ενημέρωση.
- Self-Assessment. Συνήθης πηγή αξιολόγησης ενός συστήματος είναι οι ίδιοι οι χρήστες του, οι οποίοι συμπληρώνουν ερωτηματολόγια και αναφέρουν την άποψή τους για το επίπεδο ασφάλειας της εφαρμογής που χρησιμοποιούν. Τα ερωτηματολόγια αυτά είναι πολύτιμα και για τον ελεγκτή ο οποίος αποκομίζει χρήσιμες πληροφορίες για την εφαρμογή την οποία ελέγχει.
- Application log files και patch management. Η δραστηριότητα των εφαρμογών καταγράφεται σε ημερολόγια (log files) τα οποία γρήγορα αποκτούν τεράστιο μέγεθος και είναι δύσκολο να ελεγχθούν. Γι’ αυτό επιλέγονται οι σημαντικές εφαρμογές και οι κρίσιμες λειτουργίες τους, ώστε η παρακολούθησή τους να είναι εφικτή. Όσον αφορά στην ενημέρωση των εφαρμογών με τις διορθώσεις/ενημερώσεις (patches) από τον πάροχο, πρέπει αυτές να εξετάζονται πριν την εφαρμογή τους.
- Περιφερειακή ασφάλεια. Παρακολούθηση της ασφάλειας των περιφερειακών συστημάτων και διατήρηση του αποδεκτού επιπέδου ασφάλειας π.χ. ενημέρωση του antivirus.
Ο ελεγκτής εντοπίζει τους κινδύνους που σχετίζονται με καθεμιά εφαρμογή είτε μέσω αναφορών συμβάντων και λαθών είτε από τη γνώμη των χρηστών ή ακόμα και από περιοδικές εκτιμήσεις κινδύνων και συμμόρφωσης. - Διαχείριση ενημερώσεων των εφαρμογών. Συνήθως οι επιχειρήσεις επικεντρώνονται στη διαχείριση των ενημερώσεων των βάσεων δεδομένων ή των λειτουργικών συστημάτων, παραμερίζοντας την ενημέρωση των εφαρμογών με αλλαγές και διορθώσεις. Είναι όμως σημαντικό να εξασφαλίζεται ότι οι εφαρμογές είναι πάντα συμβατές με την τελευταία έκδοση που υποστηρίζει ο πάροχος, διότι με βάση την έκδοση αυτή θα δημιουργηθούν και οι διορθώσεις στο σύστημα ασφάλειας.
- Ασφάλεια διασύνδεσης μεταξύ εφαρμογών(interface). Ο ελεγκτής πρέπει να κατανοήσει τη ροή των δεδομένων από και προς την εφαρμογή. Η ασφάλεια των δεδομένων που διακινούνται μεταξύ των εφαρμογών είναι σημαντική, ειδικά όταν η μετάδοσή τους γίνεται χωρίς κρυπτογράφηση. Ο κατάλογος των χρηστών που σχετίζονται με τα interface πρέπει να ελεγχθεί ώστε να εντοπιστεί τυχόν παράνομη πρόσβαση στα δεδομένα.
- Καταγραφή και παρακολούθηση των ελεγκτικών ημερολογίων (audit logs). Σε μεγάλες επιχειρήσεις δεν είναι πρακτικό να παρακολουθούνται οι κινήσεις όλων των χρηστών και των συναλλαγών. Συνεπώς ο ελεγκτής επιλέγει μόνο τα κρίσιμα δεδομένα που σχετίζονται με κάθε εφαρμογή. Η καταγραφή αυτών γίνεται στο επίπεδο της εφαρμογής ή της βάσης δεδομένων. Συχνά παρατηρείται το φαινόμενο να καταγράφονται κανονικά οι κρίσιμες δραστηριότητες αλλά να παρακολουθούνται σπάνια, καθιστώντας έτσι τον έλεγχο αυτό μάταιο.
- Στρατηγικό επίπεδο
Αυτό περιλαμβάνει το διοικητικό, οργανωτικό και επιχειρησιακό πλαίσιο το οποίο υποστηρίζει το σχέδιο ασφάλειας πληροφοριών.
Ως σχέδιο ασφάλειας πληροφοριών μπορεί να θεωρηθεί ο συνδυασμός τεχνικών, λειτουργικών και διαδικαστικών μέτρων καθώς και διοικητικών δομών οι οποίες έχουν δημιουργηθεί για να διασφαλίζουν την αξιοπιστία, ακεραιότητα και διαθεσιμότητα των πληροφοριών, βασισμένες στις επιχειρηματικές απαιτήσεις και σε ανάλυση κινδύνων. Το σχέδιο αυτό περιλαμβάνει σαφή ανάθεση αρμοδιοτήτων, οργανωτική διάρθρωση και διοικητικές αναφορές. Ένα αναλυτικό σχέδιο ασφάλειας πληροφοριών υποστηριζόμενο από την ανώτερη διοίκηση και με οποίο έχει ενημερωθεί το προσωπικό, είναι κεφαλαιώδους σημασίας για την επιτυχία της διασφάλισης των πληροφοριών.
Η πολιτική ασφάλειας, εμπλουτισμένη με αναλυτικά πρότυπα και οδηγίες ενισχύει την ασφάλεια στο επίπεδο των εφαρμογών, των βάσεων δεδομένων και των λειτουργικών συστημάτων. Ομοίως το πλαίσιο διαχείρισης κινδύνων ΙΤ που περιλαμβάνει σχέδιο διαχείρισης κινδύνων από παραβιάσεις της ασφάλειας, είναι βασικό για την υποστήριξη του συνολικού προγράμματος ασφάλειας πληροφοριών της επιχείρησης.
Κανένα σύστημα όμως δεν είναι αποτελεσματικό αν δεν μπορεί να μετρηθεί. Πολύ δημοφιλή είναι τα συστήματα αξιολόγησης του επιπέδου ασφάλειας τα οποία βασίζονται σε δείκτες που μπορούμε να μετρήσουμε. Αν για παράδειγμα έχουμε θέσει ως προϋπόθεση για τη δημιουργία λογαριασμών χρηστών την έγκριση του προϊσταμένου τους και ορίσουμε ως δείκτη τον αριθμό των λογαριασμών χρηστών που δημιουργήθηκαν χωρίς τις απαραίτητες εγκρίσεις, έχουμε μια εικόνα για το επίπεδο ασφάλειας της εφαρμογής και για το κατά πόσον τηρείται η διαδικασία ελέγχου. Αν επιπλέον καταγράφουμε τον αριθμό αυτό κάθε μήνα, έχουμε μια ένδειξη για την εξέλιξη του δείκτη – θετική ή αρνητική – σε βάθος χρόνου. Αυτό μας επιτρέπει να τον επανεξετάσουμε και αν δεν κρίνεται αποτελεσματικός να τον αλλάξουμε. Έτσι το σχέδιο ασφάλειας παραμένει ζωντανό και επίκαιρο και η Διοίκηση λαμβάνει αξιόπιστη πληροφόρηση.
Συμπέρασμα
Η ασφάλεια των εφαρμογών είναι ένα μακρύ ταξίδι. Ο ελεγκτής συνεισφέρει στην επιτυχία του ταξιδιού υιοθετώντας προληπτική προσέγγιση στην ανάλυση και στον έλεγχο. Τα βασικά ελεγκτικά σημεία που προαναφέρθηκαν πρέπει να εξεταστούν ώστε η Διοίκηση, οι Εποπτικές Αρχές και η Επιτροπή Ελέγχου να λάβουν σωστή και ακριβή πληροφόρηση για το επίπεδο ασφάλειας των εφαρμογών στην επιχείρηση.
Ανεξάρτητα από τις τεχνολογικές εξελίξεις – οι οποίες έχουν μετατρέψει τις εφαρμογές από απλές και στατικές σε δυναμικούς πυλώνες της συνολικής εμπορικής δραστηριότητας – ο αντικειμενικός στόχος και οι αρχές του ελέγχου ασφάλειας των εφαρμογών παραμένουν οι ίδιες.
Πηγές: ISACA Journal, Foundstone (www.foundstone.com), CORE Security Technologies (www.corest.com).
Της Ελένης Σωτηρίου
CISA, CISM