Η Διαχείριση Ασφάλειας είναι μια συνεχής και συστηματική διαδικασία προσδιορισμού, ανάλυσης, χειρισμού και παρακολούθησης των επιχειρησιακών κινδύνων ενός οργανισμού

Δρ. Θεόδωρος Ντούσκας,

ISO 27001 LA, ISO 22301 LI, Certified DPO
Managing Director, ICT PROTECT

Τα πιο κρίσιμα δεδομένα των οργανισμών (π.χ. προσωπικά δεδομένα, οικονομικά δεδομένα, στρατηγικής σημασίας δεδομένα, κλπ.) φιλοξενούνται στα Πληροφοριακά τους Συστήματα (ΠΣ). Πιθανή υποβάθμιση, δυσλειτουργία ή διακοπή των ΠΣ έχει σημαντικές επιπτώσεις στην ασφάλεια, στην απώλεια δεδομένων, στην απώλεια φήμης και στην απώλεια διαθεσιμότητας των υπηρεσιών με αποτέλεσμα η ασφάλεια ενός ΠΣ να είναι ένα από τα πιο σημαντικά θέματα που πρέπει να λάβουν υπόψη τους οι οργανισμοί.

Τα σημερινά ΠΣ χαρακτηρίζονται από πολυπλοκότητα (πολύπλοκες αρχιτεκτονικές, κατανεμημένα σε πολλές διαφορετικές τοποθεσίες), κατανεμημένη φύση και διασπορά όλων των συστατικών τους (δίκτυα, λογισμικό, υλικό, εφαρμογές, υπηρεσίες και ανθρώπινο δυναμικό), αλληλεξαρτώνται από ΠΣ συνεργαζόμενων φορέων καλούνται να εξυπηρετήσουν ταυτόχρονα πολλούς χρήστες (εσωτερικούς χρήστες, συνεργάτες, πελάτες) έχοντας να αντιμετωπίσουν τον υψηλό ανταγωνισμό και την οικονομική κρίση. Καλούνται να καλύψουν τις υψηλές απαιτήσεις των χρηστών για ασφαλείς, έμπιστες η-υπηρεσίες, οικονομικές, με σεβασμό της ιδιωτικότητας τους. Τα χαρακτηριστικά αυτά λοιπόν των Σημερινών ΠΣ δημιουργούν στη Διαχείριση Ασφάλειας μια μεγάλη πρόκληση.

Η Διαχείριση Ασφάλειας είναι μια συνεχής και συστηματική διαδικασία προσδιορισμού, ανάλυσης, χειρισμού και παρακολούθησης των επιχειρησιακών κινδύνων ενός οργανισμού. Στόχο έχει την προστασία των ΠΣ από εσωτερικούς και εξωτερικούς κινδύνους που θα μπορούσαν να επηρεάσουν αρνητικά την επίτευξη των επιχειρησιακών στόχων του οργανισμού και την ομαλή λειτουργία του. Υπάρχουν διάφορα πρότυπα διαχείρισης ασφάλειας με πιο σημαντικό το ISO / IEC 27001:2013, το οποίο καθορίζει τις βασικές αρχές για το σχεδιασμό, υλοποίηση, παρακολούθηση, αξιολόγηση, διατήρηση και βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ). Ταυτόχρονα, ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) καθορίζει τις βασικές αρχές για την επεξεργασία των προσωπικών δεδομένων και απαιτεί από τους οργανισμούς την υλοποίηση των απαραίτητων τεχνικών και οργανωτικών μέτρων προστασίας τους.

Επομένως, καθίσταται αναγκαία η ύπαρξη αυτοματοποιημένων συνεργατικών εργαλείων τα οποία ενσωματώνουν πρότυπα ασφάλειας, μεθοδολογίες ανάλυσης και διαχείρισης επικινδυνότητας και οδηγίες για τους χρήστες των οργανισμών ώστε να είναι σε θέση:

  • να προσδιορίζουν, αξιολογούν και κατηγοριοποιούν τις περιοχές επικινδυνότητας του οργανισμού,
  • να αναγνωρίζουν τις επιπτώσεις που θα έχει ένα σοβαρό περιστατικό στην λειτουργία των οργανισμών,
  • να διεξάγουν αποτίμηση επικινδυνότητας,
  • να επιλέγουν κατάλληλα και αξιόπιστα μέτρα προστασίας ώστε να επιτυγχάνεται η διαθεσιμότητα και η ακεραιότητα των δεδομένων,
  • να διεξάγουν εσωτερικές επιθεωρήσεις (ως προς τις απαιτήσεις του ISO 27001 αλλά και του ΓΚΠΔ)
  • να υλοποιούν και να επικαιροποιούν όλες τις απαραίτητες διαδικασίες και πολιτικές ασφάλειας.

Το περιβάλλον STORM, αποτελεί ένα αυτοματοποιημένο εργαλείο για τη διαχείριση ασφάλειας πληροφοριών προσφέροντας υπηρεσίες οι οποίες διευκολύνουν τη συνεργατική διαχείριση της ασφάλειας πληροφοριών & προστασίας δεδομένων. Το STORM μπορεί να παραμετροποιηθεί και να καλύψει τις ανάγκες τόσο πολύπλοκων οργανισμών όσο και μικρών και μικρομεσαίων επιχειρήσεων και να αποτελέσει ένα ολιστικό εργαλείο συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ και του ISO 27001:2013. Συγκεκριμένα, οι υπηρεσίες οι οποίες παρέχονται από το περιβάλλον STORM είναι:

  • Υπηρεσίες Ανάλυσης και Διαχείρισης Επικινδυνότητας (Risk Management Services):
    • Αποτύπωση των υπηρεσιών και διαδικασιών του οργανισμού.
    • Δημιουργία και ανανέωση της Λίστας Αγαθών και Αλληλεξαρτήσεων (Asset Model).
    • Δημιουργία και ανανέωση του Αρχείου Δραστηριοτήτων (GDPR Records of processing activities).
    • Διεξαγωγή Αποτίμησης Επιπτώσεων Ασφάλειας (Data Protection Impact Assessment & Business Impact Assessment).
    • Διεξαγωγή Αποτίμησης Απειλών (Threat Assessment).
    • Διεξαγωγή Αποτίμησης Αδυναμιών (Vulnerability Assessment).
    • Διεξαγωγή Διαχείρισης Επικινδυνότητας, επιλέγοντας τα απαραίτητα τεχνικά & οργανωτικά μέτρα προστασίας βάσει ISO 27002 & GDPR.
  • Υπηρεσίες Διαχείρισης Εγγράφων ασφάλειας (Security Documents Services):
    • Δημιουργία και ανανέωση των Πολιτικών Ασφάλειας (βάσει των προτύπων ασφάλειας ISO 27001 και ISO 27002).
    • Δημιουργία και ανανέωση των Διαδικασιών Ασφάλειας (βάσει των προτύπων ασφάλειας ISO 27001 και ISO 27002).
    • Υλοποίηση διαδικασιών με τη βοήθεια Workflow Mechanism.
    • Δημιουργία και ανανέωση του Statement Of Applicability (SOA).
    • Αναφορά και διαχείριση των Περιστατικών Ασφάλειας.
    • Καταγραφή όλων των ευρημάτων των εσωτερικών επιθεωρήσεων (internal audits).
    • Ανάθεση διορθωτικών ενεργειών στους κατάλληλους χρήστες προς υλοποίηση μέσω του μηχανισμού Ticketing.
    • Αναφορά των πρακτικών των συναντήσεων ανασκόπησης του Συστήματος Διαχείρισης Ασφάλειας (ISMS Review Meetings).
    • Δημιουργία αξιολόγησης ασφάλειας συνεργατών / προμηθευτών (3rd Party Security Assessments).
  • Υπηρεσίες Εκπαίδευσης και Επαγρύπνησης Ασφάλειας (Security Awareness):
    • Wiki/ Forum
    • Εκπαιδευτικά ερωτηματολόγια

Η ICT PROTECT

Η ομάδα της ICT PROTECT αποτελείται από ειδικούς με υψηλό μορφωτικό επίπεδο (MSc, PhD) και χρόνια επαγγελματικής εμπειρίας στον τομέα της ασφάλειας πληροφοριών, οι οποίοι εκπαιδεύονται συνεχώς διευρύνοντας τις γνώσεις και ικανότητές τους μέσα από διαρκή ενασχόληση με ερευνητικές δραστηριότητες, έτσι ώστε να είναι συνεχώς στην αιχμή της τεχνολογίας και των ραγδαίων εξελίξεων. Στόχος της εταιρίας είναι η παροχή συμβουλευτικών υ­πηρεσιών υψηλής ποι­ό­τητας και τεχνολογικής αι­χ­μής, σε εθνικό και διεθνές επίπεδο, στο δη­­μό­σιο και στον ιδι­ω­τι­κό το­­μέα.

Πιστοποιήσεις: Η Ασφάλεια Πληροφοριών αποτελεί προτεραιότητα της ICT PROTECT και για το λόγο αυτό έχει αναπτύξει Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών και έχει πιστοποιηθεί κατά ISO 27001:2013, για όλες τις δραστηριότητες της.

Ταυτόχρονα, μέσω του πιστοποιημένου με ISO 9001:2015 Συστήματος Διαχείρισης Ποιότητας χρησιμοποιεί αποτελεσματικές μεθόδους σχεδίασης και παρακολούθησης της ποιότητας, σε όλα τα στάδια παροχής υπηρεσιών.

Δραστηριότητες εταιρίας:Η ICT PROTECT παρέχει εξειδικευμένες υπηρεσίες ασφάλειας πληροφοριών και προστασίας δεδομένων:

  • παροχή συμβουλευτικών υπηρεσιών συμμόρφωσης με νομοθετικές / κανονιστικές απαιτήσεις (π.χ. GDPR, ΑΔΑΕ) και διεθνή πρότυπα (π.χ. ISO 27001, ISO 22301, ISO 20000),
  • παροχή συμβουλευτικών υπηρεσιών διαχείρισης ασφάλειας πληροφοριών και προστασίας δεδομένων
  • διεξαγωγή Τεχνικών Ελέγχων Ασφάλειας (Technical Vulnerability Assessments) και Δοκιμές Διείσδυσης (Penetration Tests) σε πληροφοριακά συστήματα, δίκτυα και διαδικτυακές εφαρμογές
  • διεξαγωγή εκπαιδευτικών σεμιναρίων σε θέματα ασφάλειας πληροφοριών & προστασίας δεδομένων