Οι δείκτες μέτρησης αποτελεσματικότητας της ασφάλειας πληροφοριών πρέπει να βασίζονται σε μετρήσιμους στόχους και αντίστοιχα προσδοκώμενα αποτελέσματα.
Η πιο συχνή ερώτηση που απευθύνεται σε επιχειρηματικό επίπεδο στους επαγγελματίες που ασχολούνται με την ασφάλεια πληροφοριών, είναι η ακόλουθη: Είμαστε ασφαλείς;
Φυσικά, απάντηση δεν υπάρχει. Υπάρχει όμως απάντηση σε ερωτήσεις που ακολουθούν:
- Από τι κινδυνεύουμε και πόσο;
- Πού χρειάζεται να επενδύσουμε;
- Έχει αποδώσει η επένδυση στην ασφάλεια (πόροι και συστήματα, λύσεις);
- Πόσο αποτελεσματική είναι η υποδομή ασφάλειας πληροφοριών και πού χρειάζεται βελτιώσεις;
Οι παραπάνω ερωτήσεις ακούγονται με ιδιαίτερη συχνότητα, ειδικά σε περιόδους οικονομικής ύφεσης όπως αυτή που διανύουμε. Ο μόνος τρόπος για να απαντήσουμε και ταυτόχρονα να προωθήσουμε τους στόχους της ασφάλειας πληροφοριών είναι μόνο μέσα από τεκμηριωμένα στοιχεία, τα οποία προκύπτουν από δείκτες μέτρησης της αποτελεσματικότητας και της απόδοσης της διεργασίας της ασφάλειας πληροφοριών.
Οι δείκτες μέτρησης αποτελεσματικότητας είναι εργαλεία, σκοπός των οποίων είναι να διευκολύνουν στη λήψη αποφάσεων, να βελτιώσουν την απόδοση και να συμβάλουν στον καταμερισμό ευθυνών, μέσω μιας διαδικασίας συλλογής, ανάλυσης και αναφοράς των σχετικών με την απόδοση δεδομένων.
Όσον αφορά στην ασφάλεια πληροφοριών, οι δείκτες μέτρησης αποτελεσματικότητας πρέπει να βασίζονται σε μετρήσιμους στόχους και αντίστοιχα προσδοκώμενα αποτελέσματα. Οι παραπάνω δείκτες αποτελούν τα επιθυμητά αποτελέσματα της υλοποίησης της διεργασίας της ασφάλειας πληροφοριών.
Οι εκάστοτε στόχοι απόδοσης που αφορούν στην ασφάλεια πληροφοριών επιτρέπουν την επίτευξη των στόχων που έχουν τεθεί μέσω του προσδιορισμού πρακτικών και κανόνων που απορρέουν από την πολιτική ασφάλειας, καθώς και μέσω διαδικασιών που αφορούν στην υλοποίηση συγκεκριμένων δικλείδων ασφαλείας.
Οι δείκτες μέτρησης αποτελεσματικότητας αφορούν στην παρακολούθηση της επίτευξης των στόχων μέσω μιας διαδικασίας ποσοτικοποίησης του βαθμού υλοποίησης των δικλείδων ασφαλείας, αλλά και μέτρησης της αποτελεσματικότητας των συγκεκριμένων δικλείδων ασφαλείας. Ο τρόπος με τον οποίο γίνεται αυτό, είναι μέσα από αξιολόγηση της επάρκειας και πληρότητας των δικλείδων ασφαλείας (διαδικασίες & τεχνικές δικλείδες ασφαλείας) και του προσδιορισμού των απαραίτητων διορθωτικών ενεργειών.
Οι δείκτες μέτρησης αποτελεσματικότητας είναι τριών ειδών:
- Δείκτες υλοποίησης, που αφορούν στο ποσοστό υλοποίησης της πολιτικής ασφάλειας.
- Δείκτες αποτελεσματικότητας, που αφορούν στην αποτελεσματικότητα των υλοποιημένων δικλείδων ασφαλείας.
- Δείκτες αρνητικής επίδρασης, που αφορούν στην επίδραση των περιστατικών ασφάλειας στην επιχειρηματική δραστηριότητα του Οργανισμού.
Χρησιμότητα και προσδοκώμενα οφέλη
Οι δείκτες μέτρησης αποτελεσματικότητας δεν αντιπροσωπεύουν απλά νούμερα, αλλά αφορούν στη μέτρηση της αποδοτικότητας της διεργασίας της ασφάλειας πληροφοριών στον Οργανισμό.
Στο σημερινό επιχειρηματικό περιβάλλον η μέτρηση της αποτελεσματικότητας της ασφάλειας πληροφοριών δεν αποτελεί θεωρία, αλλά αναγκαιότητα η οποία επιβάλλεται τόσο από τον ίδιο τον Οργανισμό (αιτιολόγηση δαπανών, επίπεδο ασφάλειας) όσο και από το κανονιστικό πλαίσιο και τα διεθνή πρότυπα (ISO 27004: Information technology – Security techniques – Information security management – Measurement).
Μερικοί από τους λόγους που μας οδηγούν στην υλοποίηση μιας συνεχούς διεργασίας για τη μέτρηση της αποτελεσματικότητας, είναι οι ακόλουθοι:
- Η εκάστοτε Διοίκηση προσδιορίζει μετρήσιμους στόχους για να μπορεί να ελέγχει την απόδοση αλλά και την αποτελεσματικότητα της κάθε επένδυσης.
- Όλοι μας είμαστε υπόλογοι και αξιολογούμαστε σχετικά με την απόδοση και την αποτελεσματικότητά μας. Είναι καλύτερα οι σχετικοί δείκτες να προσδιορισθούν από τους επαγγελματίες της ασφάλειας πληροφοριών και όχι από τις λοιπές επιχειρηματικές μονάδες.
- Κάθε Οργανισμός (αργά ή γρήγορα) αξιολογεί και αξιολογείται σε θέματα απόδοσης βάσει προκαθορισμένων δεικτών. Η ασφάλεια πληροφοριών δεν αποτελεί εξαίρεση.
- Είναι αναγκαίο να μπορούμε να απαντήσουμε τεκμηριωμένα στην ερώτηση ΄΄πόσο ασφαλείς είμαστε΄΄. Όσον αφορά στον κίνδυνο, υπάρχει μέτρηση μέσω της διαδικασίας αξιολόγησης κινδύνων. Κατ’ επέκταση, πρέπει να αξιολογείται και η αποτελεσματικότητα των δικλείδων που χρησιμοποιούνται για την ελαχιστοποίηση των κινδύνων.
- Απαίτηση για μέτρηση της αποτελεσματικότητας από το κανονιστικό πλαίσιο και τα διεθνή πρότυπα για την ασφάλεια πληροφοριών.
Η μέτρηση αποτελεσματικότητας της διεργασίας της ασφάλειας πληροφοριών αποτελεί μια συνεχή διαδικασία, η οποία μπορεί να αποφέρει σημαντικά οφέλη στον Οργανισμό. Οφέλη που αφορούν στην αποτελεσματικότητα της ίδιας της διεργασίας της ασφάλειας πληροφοριών καθώς και οικονομικά οφέλη (αιτιολόγηση δαπανών).
Η διαδικασία της συλλογής των απαραίτητων στοιχείων και της δημιουργίας των σχετικών αναφορών θα βοηθήσει τη Διοίκηση να προσδιορίσει τις συγκεκριμένες διαχειριστικές, λειτουργικές και τεχνικές δικλείδες ασφαλείας, οι οποίες είτε δεν έχουν υλοποιηθεί είτε έχουν υλοποιηθεί αναποτελεσματικά.
Οι δείκτες μέτρησης αποτελεσματικότητας της ασφάλειας πληροφοριών μπορούν να υλοποιηθούν με τρόπο έτσι ώστε να αξιολογείται κάθε έκφανση της ασφάλειας πληροφοριών μέσα στον Οργανισμό. Για παράδειγμα, τα αποτελέσματα των αξιολογήσεων κινδύνων, των penetration testing και άλλων συναφών δραστηριοτήτων, μπορούν να ποσοστικοποιηθούν και να χρησιμοποιηθούν ως πηγή για τη θέσπιση δεικτών μέτρησης της αποτελεσματικότητας.
Η ανάλυση των αποτελεσμάτων των μετρήσεων αποτελεσματικότητας μπορεί να δώσει χρήσιμα στοιχεία προκειμένου να προσδιοριστούν σημαντικά προβλήματα που αφορούν στην υλοποίηση των δικλείδων ασφαλείας, να αιτιολογηθούν οι επενδύσεις για την ασφάλεια πληροφοριών και να εγκριθούν δαπάνες για συγκεκριμένες περιοχές όπου υπάρχει ανάγκη για αποτελεσματικότερη υλοποίηση. Η χρήση των δεικτών μέτρησης αποτελεσματικότητας ως μέσου αιτιολόγησης δαπανών σχετικά με την ασφάλεια πληροφοριών, μπορεί να φέρει βέλτιστα αποτελέσματα τόσο όσον αφορά στην έγκριση των σχετικών δαπανών, όσο και στη διάθεση των λοιπών πόρων.
Δημιουργώντας τα κατάλληλα metrics
Η θέσπιση των δεικτών μέτρησης αποτελεσματικότητας που αφορούν στην ασφάλεια πληροφοριών, στοχεύει στη μεγιστοποίηση της αποτελεσματικότητας της υποδομής ασφάλειας πληροφοριών ενός Οργανισμού. Για το λόγο αυτό η ίδια η διεργασία δημιουργίας των δεικτών και της ανάλυσης των αποτελεσμάτων πρέπει να είναι αποτελεσματική.
Για να γίνει αυτό χρειάζεται συγκεκριμένη προσέγγιση, η οποία περιλαμβάνει τις παρακάτω δύο σημαντικές δραστηριότητες:
- Προσδιορισμό και αναγνώριση του υφιστάμενου επίπεδου ασφάλειας πληροφοριών.
- Υλοποίηση και επιλογή συγκεκριμένων δεικτών μέτρησης, μέσω των οποίων θα αξιολογείται και θα αποτιμάται η πρόοδος υλοποίησης, η αποτελεσματικότητα και η επίδραση των δικλείδων ασφαλείας.
Μερικές ιδέες που αφορούν στους δείκτες μέτρησης, είναι οι ακόλουθες:
- Δείκτες Οργάνωσης & απόδοσης
- Απόδοση εργαζομένων.
- Ακρίβεια στον προϋπολογισμό και υλοποίηση των σχετικών δαπανών.
- Αποτελεσματικότητα επικοινωνίας των στόχων.
- Δείκτες λειτουργικότητας
- Αριθμός περιστατικών ασφάλειας.
- Αριθμός κρίσιμων συμβάντων.
- Κόστος λειτουργίας μονάδας ασφάλειας πληροφοριών.
- Δείκτες που αφορούν στην τεχνολογία
- Αριθμός ‘security events’ που καταγράφονται από τους μηχανισμούς καταγραφής των πληροφοριακών συστημάτων.
- Αριθμός patches & fixes που έχουν εγκατασταθεί, σε σχέση με τα όσα θα έπρεπε να είχαν εγκατασταθεί.
- Αριθμός τεχνικών αδυναμιών ασφάλειας που έχουν προσδιοριστεί.
- Δείκτες που αφορούν στις επιχειρηματικές διεργασίες
- Χρόνος που χρειάζεται για να εγκριθούν – υλοποιηθούν δικαιώματα πρόσβασης.
- Σύγκριση προϋπολογισμένου σε σχέση με το πραγματικό κόστος των υλοποιημένων δικλείδων ασφαλείας (διαχειριστικές, τεχνικές).
- Κόστος τήρησης – υλοποίησης δικλείδων ασφαλείας για τις επιχειρηματικές μονάδες του Οργανισμού.
- Δείκτες μέτρησης επιχειρηματικής αξίας
- Επίπτωση στη φήμη και την αξιοπιστία του Οργανισμού.
- Επίπτωση στην απόδοση και παραγωγικότητα των εργαζομένων.
- Επιπτώσεις και πιθανά οφέλη για τους έχοντες επιχειρηματικό συμφέρον από τη λειτουργία του Οργανισμού.
- Δείκτες που αφορούν στην κανονιστική συμμόρφωση
- Αριθμός δικλείδων ασφαλείας που αφορούν στην κάλυψη κανονιστικών απαιτήσεων.
- Αριθμός εξαιρέσεων που έχουν ζητηθεί από τα κανονιστικά όργανα, σε σχέση με τις απαιτήσεις τους.
- Αριθμός εξαιρέσεων που έχουν εγκριθεί.
Οι παραπάνω δείκτες αφορούν στην πλειοψηφία τους τη συλλογή ποσοτικών μονάδων μέτρησης. Εναλλακτικό τρόπο μέτρησης της αποτελεσματικότητας της ασφάλειας πληροφοριών αποτελεί η χρήση της μεθόδου Balanced Scorecards. Ο τρόπος αυτός κάνει χρήση κυρίως ποιοτικών δεικτών. Η βασική θεωρία της συγκεκριμένης μεθόδου η οποία έχει προσδιοριστεί από τους Kaplan & Norton Kaplan στο έντυπο Harvard Business School Press το 1996, αφορά στη μέτρηση απόδοσης & εναρμόνισης με την Επιχειρηματική Στρατηγική (διάγραμμα 1).
Αντίστοιχα, η χρήση της μεθόδου στον τομέα της ασφάλειας πληροφοριών (διάγραμμα 2) αφορά στην εναρμόνιση των ενεργειών για την Ασφάλεια Πληροφοριών με την Επιχειρηματική Στρατηγική (Μετατροπή σε διεργασίες με μετρήσιμα αποτελέσματα). Χρήσιμες πληροφορίες σχετικά με τη μεθοδολογία μπορείτε να βρείτε στο www.balanedscorecard.org.
Χρήσιμες διαπιστώσεις
Στο σημερινό επιχειρηματικό περιβάλλον η μέτρηση της αποτελεσματικής υλοποίησης της ασφάλειας πληροφοριών δεν αποτελεί θεωρία, αλλά αναγκαιότητα. Οι δείκτες μέτρησης αποτελεσματικότητας δεν αντιπροσωπεύουν απλά νούμερα – αφορούν στη μέτρηση της αποδοτικότητας της διεργασίας της ασφάλειας πληροφοριών στον Οργανισμό και προσδιορίζουν ανάγκες και σημεία βελτίωσης.
Η αποτελεσματικότητα της διαδικασίας θέσπισης των σχετικών δεικτών αλλά και συλλογής των απαραίτητων δεδομένων, αποτελεί σημαντικό παράγοντας επιτυχίας (διάγραμμα 3, κρίσιμοι παράγοντες επιτυχίας) και οι παρακάτω διαπιστώσεις μπορούν να βοηθήσουν προς την κατεύθυνση αυτή:
- Δεν χρειάζεται να υιοθετήσουμε πολλούς δείκτες. Λίγοι και συγκεκριμένοι, για τους οποίους θα συλλέγουμε τακτικά στοιχεία, είναι προτιμότεροι και πιο αποτελεσματικοί.
- Η συχνότητα συλλογής των στοιχείων είναι σημαντική διεργασία. Χρειαζόμαστε στοιχεία ακριβή και πρόσφατα.
- Η έγκριση της Διοίκησης σχετικά με τους δείκτες είναι σημαντική, διότι τα αποτελέσματα στη Διοίκηση θα προσκομισθούν.
- Πριν τη συλλογή στοιχείων και δεικτών χρειάζεται να σκεφτούμε το σκοπό τον οποίο θα εξυπηρετήσουν οι δείκτες. Με τον τρόπο αυτό θα επιλεγούν οι σωστοί δείκτες και θα αποφέρουν και την προσδοκώμενη αξία.
Σκοπός των δεικτών μέτρησης αποτελεσματικότητας της ασφάλειας πληροφοριών είναι να προσδιοριστεί η αξία της όλης επένδυσης. Αυτό γίνεται με το να αποδειχθεί η εναρμόνιση των στόχων της ασφάλειας πληροφοριών, με αυτούς της επιχειρηματικής λειτουργίας του Οργανισμού – και πώς η επίτευξή τους υποβοηθείται από τις υφιστάμενες τεχνικές και διαχειριστικές δικλείδες ασφαλείας. Χρήσιμα συμπεράσματα που προκύπτουν από την ανάλυση των δεικτών, αφορούν και στις περιοχές που χρειάζεται να ενισχυθούν περισσότερα. Χρησιμοποιώντας τα εν λόγω αποτελέσματα ως εφαλτήριο, μπορούμε να αιτιολογήσουμε τις σχετικές δαπάνες για την ασφάλεια πληροφοριών.
Σημαντικό όφελος από τη μελέτη των δεικτών μέτρησης αποτελεσματικότητας, αφορά στο στρατηγικό σχεδιασμό της ασφάλειας πληροφοριών και στη μέτρηση της προόδου σε σχέση με τους στόχους που έχουν τεθεί.
Επιπροσθέτως, σημαντικές διαπιστώσεις μπορούν να εξαχθούν σε σχέση με τους κινδύνους και τον τρόπο αντιμετώπισής τους. Συγκεκριμένα, μπορούμε να δούμε τις τάσεις εσωτερικά και εξωτερικά του Οργανισμού, ενώ μπορεί να προσδιορισθεί ο εναπομένων κίνδυνος.
Θεωρία, αναγκαιότητα ή ουτοπία; Η θέσπιση και ανάλυση των δεικτών μέτρησης αποτελεσματικότητας της ασφάλειας πληροφοριών, είναι αναγκαιότητα. Αποτελεί βασικό παράγοντα επιτυχίας και προώθησης των στόχων της ασφάλειας πληροφοριών. Η εποχή το απαιτεί και η θεωρία είναι ώριμη να μετουσιωθεί σε πράξη. Καλή επιτυχία!
References
- Developing Metrics for Effective Information Security Governance John P. Pironti, [ISACA, 2007]
- Measuring Security, Abe Kleinfied, nCircle, [Information Security & Risk Management 2008]
- NIST Security Metrics Guide for Information Technology Systems
- ISO 27004: Information technology – Security techniques – Information security management – Measurement
- Accounting for Value and Uncertainty in Security Metrics By C. Warren Axelrod, [ISACA, 2008]
- Accounting for Value and Uncertainty in Security Metrics By C. Warren Axelrod, [ISSA Journal 2006]
- Key Elements of an Information Security Program By John P. Pironti, [ISACA, 2005]
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.