Η Διαχείριση Ασφάλειας είναι μια συνεχής και συστηματική διαδικασία προσδιορισμού, ανάλυσης, χειρισμού και παρακολούθησης των επιχειρησιακών κινδύνων ενός οργανισμού. Στόχο έχει την προστασία των Πληροφοριακών Συστημάτων (ΠΣ) από εσωτερικούς και εξωτερικούς κινδύνους που θα μπορούσαν να επηρεάσουν αρνητικά την επίτευξη των επιχειρησιακών στόχων του οργανισμού και την ομαλή λειτουργία του.
Δρ. Θεόδωρος Ντούσκας,
Managing Director, ICT PROTECT
www.ictprotect.com
Οι απαιτήσεις συμμόρφωσης συνεχώς αυξάνονται και προέρχονται πλέον όχι μόνο από νέους κανονισμούς και οδηγίες αλλά και από τους ίδιους τους πελάτες εξαιτίας της νέας πραγματικότητας στο η-επιχειρείν, αλλά και την αλματώδη αύξηση του ανταγωνισμού.
Πιο αναλυτικά, ανάλογα με το business sector στο οποίο δραστηριοποιείται ένας οργανισμός καλείται να διαχειριστεί διαφορετικής πολυπλοκότητας απαιτήσεις όπως:
Απαιτήσεις Cloud Providers:
- απαιτήσεις των προτύπων ISO/IEC 27001, ISO/IEC 27018 και ISO/IEC 27019 τα οποία έχουν ως στόχο τη διαχείριση της ασφάλειας και την προστασία των προσωπικών δεδομένων που επεξεργάζονται μέσω των Cloud υπηρεσιών,
- SOC (Service Organization Controls) –AICPA / ISAE 3402/ ISAE 3000: ένα σύνολο απαιτήσεων πέντε ομάδων (Security, Availability, Processing Integrity, Confidentiality και Privacy) προκειμένου να προστατεύσουν τις πληροφορίες και τα δεδομένα που αποθηκεύονται σε cloud-based υποδομές,
- CloudSecurityAlliance (CSA): ένα σύνολο τεχνικών & οργανωτικών μέτρων βάσει των βέλτιστων πρακτικών προς όφελος των πελατών τους,
Απαιτήσεις Προστασίας Προσωπικών Δεδομένων:
- General Data Protection Regulation (GDPR),
- California Consumer Privacy Act (CCPA),
- Canada Digital Charter Implementation Act κλπ.
Απαιτήσεις ναυτιλιακών εταιριών:
- ΙΜΟ: MCS-FAL.1-Circ.3 «Guidelines on Maritime Cyber Risk Management»
- OCIMF: Tanker Management Self-Assessment
- BIMCO: Guidelines on Cyber Security Onboard Ships v4
- Απαιτήσεις προερχόμενες από τους νηογνώμονες, κλπ
Όλες οι παραπάνω κατευθυντήριες γραμμές και απαιτήσεις μπορούν να καλυφθούν από γνωστά διεθνή πρότυπα και κανονισμούς όπως NIST CSF, ISO/IEC 27001 κ.λπ., και ο πιο αποτελεσματικός τρόπος συμμόρφωσης με αυτές τις πολύπλοκες απαιτήσεις είναι η υιοθέτηση ενός αυτοματοποιημένου συνεργατικού εργαλείου Διαχείρισης Ασφάλειας (Governance, Risk & Compliance Tool – GRC Tool) προκειμένου να αξιολογείται και να βελτιώνεται συνεχώς το επίπεδο ασφάλειας πληροφοριών των οργανισμών.
Το περιβάλλον STORM GRC, αποτελεί ένα αυτοματοποιημένο εργαλείο για τη Διαχείριση Ασφάλειας Πληροφοριών προσφέροντας υπηρεσίες οι οποίες διευκολύνουν τη συνεργατική διαχείριση της ασφάλειας πληροφοριών & προστασίας δεδομένων. Ενσωματώνει πρότυπα ασφάλειας, μεθοδολογίες ανάλυσης και διαχείρισης επικινδυνότητας και οδηγίες για τους χρήστες των οργανισμών ώστε να είναι σε θέση:
- να προσδιορίζουν, αξιολογούν και κατηγοριοποιούν τις περιοχές επικινδυνότητας του οργανισμού,
- να αναγνωρίζουν τις επιπτώσεις που θα έχει ένα σοβαρό περιστατικό στην λειτουργία των οργανισμών,
- να διεξάγουν αποτίμηση επικινδυνότητας,
- να επιλέγουν κατάλληλα και αξιόπιστα μέτρα προστασίας ώστε να επιτυγχάνεται η διαθεσιμότητα και η ακεραιότητα των δεδομένων,
- να διεξάγουν εσωτερικές επιθεωρήσεις (ως προς τις απαιτήσεις των προτύπων ISO 27001 / NIST αλλά και του GDPR)
- να αναπτύσουν και να επικαιροποιούν όλες τις απαραίτητες διαδικασίες και πολιτικές ασφάλειας.
Το STORM GRC μπορεί να παραμετροποιηθεί και να καλύψει τις ανάγκες τόσο πολύπλοκων οργανισμών όσο και μικρών και μικρομεσαίων επιχειρήσεων και να αποτελέσει ένα ολιστικό εργαλείο συμμόρφωσης με τις απαιτήσεις του GDPR και των ISO 27001 / NIST “families”. Οι υπηρεσίες οι οποίες παρέχονται από το περιβάλλον STORM είναι:
1.Υπηρεσίες Ανάλυσης και Διαχείρισης Επικινδυνότητας (Risk Management Services):
- Αποτύπωση των υπηρεσιών και διαδικασιών του οργανισμού.
- Δημιουργία και ανανέωση της Λίστας Αγαθών και Αλληλεξαρτήσεων (Asset Model).
- Δημιουργία και ανανέωση του Αρχείου Δραστηριοτήτων (GDPR Records of Processing Activities).
- Διεξαγωγή Αποτίμησης Επιπτώσεων Ασφάλειας (Data Protection Impact Assessment & Business Impact Assessment).
- Διεξαγωγή Αποτίμησης Απειλών (Threat Assessment).
- Διεξαγωγή Αποτίμησης Αδυναμιών (Vulnerability Assessment).
- Διεξαγωγή Διαχείρισης Επικινδυνότητας, επιλέγοντας τα απαραίτητα τεχνικά & οργανωτικά μέτρα προστασίας βάσει ISO 27002, NIST & GDPR.
2.Υπηρεσίες Διαχείρισης Εγγράφων ασφάλειας (Security Documents Services):
- Δημιουργία και ανανέωση των Πολιτικών Ασφάλειας (βάσει των προτύπων ασφάλειας ISO 27001 και ISO 27002).
- Δημιουργία και ανανέωση των Διαδικασιών Ασφάλειας (βάσει των προτύπων ασφάλειας ISO 27001 και ISO 27002).
- Υλοποίηση διαδικασιών με τη βοήθεια του Workflow Mechanism.
- Εισαγωγή των αποτελεσμάτων Τεχνικών Ελέγχων Αδυναμιών (Technical Vulnerability Assessments & Penetration Tests) με στόχο τη διαχείριση των απαραίτητων διορθωτικών ενεργειών μέσω του Ticketing Module
- Δημιουργία και ανανέωση του Statement Of Applicability (SOA).
- Αναφορά και διαχείριση των Περιστατικών Ασφάλειας.
- Καταγραφή όλων των ευρημάτων των εσωτερικών επιθεωρήσεων (Internal Audits).
- Ανάθεση διορθωτικών ενεργειών στους κατάλληλους χρήστες προς υλοποίηση μέσω του Ticketing Module.
- Καταγραφή των πρακτικών των συναντήσεων ανασκόπησης του Συστήματος Διαχείρισης Ασφάλειας (ISMS Review Meetings Minutes).
- Δημιουργία αξιολόγησης ασφάλειας συνεργατών / προμηθευτών (3rd Party Security Assessments) βάσει συγκεκριμένων απαιτήσεων (ISO 27001, ISO 27017, ISO 27018, GDPR, NIST CSF, SOC 2).
3.Υπηρεσίες Εκπαίδευσης και Επαγρύπνησης Ασφάλειας (Security Awareness):
- Wiki/ Forum
- Εκπαιδευτικά ερωτηματολόγια