Η συμμόρφωση με τα πρότυπα ασφάλειας και γενικότερα η επίτευξη και διατήρηση των κανονιστικών απαιτήσεων μπορεί να θεωρηθεί ως ο θεμέλιος λίθος σε μια εταιρική πολιτική ασφάλειας.
Απαιτήσεις Συμμόρφωσης & Δυσκολίες υλοποίησής τους
Οι νόμοι και το ευρύτερο κανονιστικό πλαίσιο αποτελούν τη κωδικοποίηση ορθών πρακτικών στις οποίες κατέληξαν οι αρχές που διοικούν τη κοινωνία. Το κανονιστικό πλαίσιο εκφράζει τη συναίνεση που απαιτείται μεταξύ εκείνων που νομοθετούν, εκείνων που εφαρμόζουν και εκείνων που παρακολουθούν και επιβάλουν το νόμο. Εκτός από τους νομικούς και θεσμικούς κανόνες χρειάζονται και οι διάφορες πολιτικές οι οποίες είναι αναγκαίες προκειμένου να αποσαφηνιστούν οι τομείς στους οποίους η νομοθεσία δεν παρέχει επαρκή καθοδήγηση, ειδικά όσον αφορά στο τρόπο εφαρμογής των απαιτήσεων συμμόρφωσης στο Επιχειρηματικό περιβάλλον.
Οι πολιτικές αποτελούν ένα υπερσύνολο των νομικών και κανονιστικών απαιτήσεων που χρειάζεται να εφαρμοσθούν σε έναν οργανισμό. Έχοντας σαν βασική παραδοχή το παραπάνω, η όλη διεργασία της συμμόρφωσης μπορεί να θεωρηθεί ως βασικός οδηγός για μια σειρά δράσεων που αφορούν στην ασφάλεια πληροφοριών, μόνο στην περίπτωση που η εταιρική πολιτική ασφάλειας πληροφοριών είναι λιγότερο πλήρης και περιεκτική σε ότι αφορά στην προστασία των εταιρικών πληροφοριών.
Στη καθημερινή Επιχειρηματική πραγματικότητα, ο προσδιορισμός των απαιτήσεων συμμόρφωσης από τους σχετικούς νόμους, κανονισμούς και πρότυπα, είναι εξαιρετικά δύσκολη υπόθεση. Εάν προσθέσουμε σε αυτά τα διάφορα βιομηχανικά πρότυπα, τα πρότυπα ISO, τους εταιρικούς κανόνες, καθώς και την εφαρμογή των εταιρικών πολιτικών ασφάλειας, η συμμόρφωση φαντάζει απλώς αδύνατη.
Το 2006 το Security Compliance Council διενέργησε έρευνα με σκοπό να προσδιορίσει την επίδραση αυτού που ονομάζουμε Εναρμόνιση στη ψηφιακή διαχείριση της πληροφορίας.
Τα βασικότερα ευρήματα παρατίθενται στη συνέχεια:
- 75 % (3 στις 4 εταιρείες) πρέπει να εναρμονιστούν με δύο ή περισσότερους κανονισμούς
- 43% πρέπει να εναρμονιστούν με 3 ή περισσότερους κανονισμούς
- 34% του πόρων της πληροφορικής απασχολούνται σε διεργασίες που αφορούν στην συμμόρφωση
- Αύξηση των επενδύσεων σε αυτοματοποιημένες λύσεις σχετικά με τη υλοποίηση ή / και διαχείρισης απαιτήσεων συμμόρφωσης
- Αύξηση των κανόνων συμμόρφωσης. Μέχρι το 2012 θα έχουν διπλασιασθεί οι απαιτήσεις
- Η κύρια αιτία αποτυχίας των επιθεωρήσεων συμμόρφωσης είναι η αδυναμία κατανόησης των απαιτήσεων και η αντίστοιχη υλοποίηση των τεχνικών δικλείδων ασφάλειας
- Οι πλειοψηφία των ενεργειών που αφορούν στη κάλυψη απαιτήσεων συμμόρφωσης δεν εντάσσεται στα πλαίσια ενός ευρύτερου πλαισίου διαχείρισης της ασφάλειας πληροφοριών
- Μη αποτελεσματική διαχείριση των τεχνικών και διαχειριστικών αλλαγών (change management). Δυσκολία κατανόησης του υφιστάμενου επιπέδου συμμόρφωσης
Προσδοκίες Αποτελεσματικής Υλοποίησης
Η διεργασία της συμμόρφωσης πρέπει να μπορεί να λειτουργεί σε ένα συνεχώς μεταβαλλόμενο και δυναμικό τεχνολογικό περιβάλλον. Μερικές φορές, το μόνο που απαιτείται προκειμένου να επιτύχουμε τη συμμόρφωση είναι ένα αναθεωρημένο κείμενο κάποιας σχετικής Πολιτικής ή διαδικασίας. Σε άλλες περιπτώσεις, η συμμόρφωση μπορεί να σημαίνει την τροποποίηση του τρόπου αποθήκευσης των πληροφοριών, τη τροποποίηση των κανόνων ασφαλείας ή την εισαγωγή νέων τεχνολογιών στον Οργανισμό.
Χρειάζεται μια συγκεκριμένη διεργασία που αφορά στη συμμόρφωση και όχι αντιμετώπιση του θέματος περιστασιακά όταν υπάρχει ο κίνδυνος προστίμων ή απώλεια κάποιας πιστοποίησης ως αποτέλεσμα της μη συμμόρφωσης.
Η συγκεκριμένη διεργασία αποτελεί οργανωμένη αντιμετώπιση των θεμάτων συμμόρφωσης του Οργανισμού με σκοπό να προσφέρει τα ακόλουθα:
- Παρόλο που οι απαιτήσεις συμμόρφωσης αυξάνονται, μειώνεται η αρνητικής τους επίδραση στον Οργανισμό
- Άμεση μετατροπή των απαιτήσεων συμμόρφωσης σε συγκεκριμένες ενέργειες και δικλείδες ασφάλειας
- Συνεχή παρακολούθηση των απαιτήσεων συμμόρφωσης
- Άμεση υλοποίηση των κρίσιμων απαιτήσεων & σχεδιασμός υλοποίησης των λιγότερο κρίσιμων
- Σύνδεση με τους επιχειρηματικούς στόχους
- Αυτοματοποίηση διαδικασίας ελέγχου συμμόρφωσης
Μια τέτοια διαδικασία παρατίθεται στη συνέχεια.
Διαδικασία Αποτελεσματικής Υλοποίησης
Οι εκάστοτε νομικές και κανονιστικές απαιτήσεις πρέπει να εφαρμοστούν και να αποτελέσουν μέρος της λειτουργίας του Οργανισμού. Κατά τη προσπάθεια αυτή τίθενται δύο σημαντικά ζητήματα: το πώς θα εφαρμοσθεί μια απαίτηση συμμόρφωσης στην υφιστάμενη τεχνική υποδομή και πώς o συγκεκριμένος τρόπος εφαρμογής θα μπορεί να λειτουργεί αποτελεσματικά και με τα ίδια αποτελέσματα μέσα στο περιβάλλον αυτό.
H μεθοδολογία που ακολουθεί αποτυπώνει μια προσέγγιση με σκοπό τη δημιουργία μιας αποτελεσματικής διεργασίας συμμόρφωσης που αφορά στην ασφάλεια πληροφοριών και που μακροπρόθεσμα μπορεί να συνεισφέρει στο ανταγωνιστικό πλεονέκτημα του Οργανισμού.
Τα κύρια βήματα της διεργασίας προσδιορίζονται γραφικά στο σχήμα 1 και επεξήγονται παρακάτω.
Βήμα πρώτο: Επιλογή πλαισίου ανάπτυξης
Ο αριθμός των κανονιστικών απαιτήσεων που πρέπει να πληρούν οι Οργανισμοί είναι ήδη σημαντικός και συνεχώς αυξάνεται. Όλες όμως οι απαιτήσεις συμμόρφωσης, αποτελούν υποσύνολο των απαιτήσεων που προσδιορίζονται από τα διάφορα ευρέως διαδεδομένα πλαίσια υλοποίησης δικλείδων εσωτερικού ελέγχου, διακυβέρνησης της πληροφορικής & ασφάλειας πληροφοριών.
Πλαίσια όπως τα:
- COSO (Committee for the Sponsoring Organizations of the Treadway Commission) που δίνει έμφαση στην υλοποίηση εσωτερικών δικλείδων ελέγχου
- ISO 27001 που αφορά στην ασφάλεια πληροφοριών,
- ITIL (IT Infrastructure Library framework) που αφορά στις καλές πρακτικές κατά την παροχή υπηρεσιών πληροφορικής
- COBIT (Control Objectives for Information and related Technology) το οποίο αφορά στη διακυβέρνηση της πληροφορικής,
μπορούν αν χρησιμοποιηθούν ως η βάση της διεργασίας συμμόρφωσης του Οργανισμού.
Οι Οργανισμοί θα επωφεληθούν από τη χρήση ενός από τα παραπάνω πλαίσια διότι μέσα από αυτό θα αναγνωρίσουν πολλές από τις (κοινές) απαιτήσεις που αφορούν στην ασφάλεια πληροφοριών, οι οποίες υπάρχουν σε περισσότερες από μια κανονιστικές απαιτήσεις.
Τα πλεονεκτήματα από τη χρήση ενός ευρύτερου πλαισίου με σκοπό τη συμμόρφωση είναι τα ακόλουθα:
- Δομημένη προσέγγιση η οποία είναι τεκμηριωμένη και είναι εύκολο να ακολουθηθεί
- Οι Νομικές απαιτήσεις αποτελούν βασική συνιστώσα των παραπάνω πλαισίων
- Είναι αναγκαία η εμπλοκή όλων των ενδιαφερόμενων (εσωτερικά – εξωτερικά)
- Υπάρχει προηγούμενη γνώση από συνεργάτες και πελάτες
- Υπάρχει συσσωρευμένη γνώση από άλλους οργανισμούς
Βήμα δεύτερο: Επιλογή κατάλληλης μεθοδολογίας Αξιολόγησης Κινδύνων
Η συμμόρφωση θα πρέπει να θεωρηθεί ως ένας ακόμα κίνδυνος για τον Οργανισμό, που πρέπει να αντιμετωπιστεί με τον ίδιο τρόπο που αντιμετωπίζονται και οι υπόλοιποι κίνδυνοι που αφορούν στην Ασφάλεια Πληροφοριών. Συνεπώς, οι κίνδυνοι από τη μη συμμόρφωση πρέπει να αξιολογηθούν, να αποτιμηθεί η επίδραση της μη συμμόρφωσης στον Οργανισμό και στη συνέχεια να ελαχιστοποιηθούν σύμφωνα με τις επιταγές και προτεραιότητες της Διοίκησης.
Η αδυναμία εκπλήρωσης των απαιτήσεων ασφάλειας πληροφοριών που προκύπτουν από τη μη συμμόρφωση είναι πιθανόν να οδηγήσει σε κινδύνους, όπως:
- Περιστατικά παραβίασης της ασφάλειας και ενδεχόμενη απώλεια της αξιοπιστίας του Οργανισμού
- Οικονομικές κυρώσεις ως αποτέλεσμα της μη συμμόρφωσης με το κανονιστικό πλαίσιο
- Απώλεια ευκαιριών συνεργασίας με πελάτες σαν αποτέλεσμα τη μη συμμόρφωσης με κανονιστικές και συμβατικές απαιτήσεις με πελάτες.
Βήμα τρίτο: Οι Απαιτήσεις συμμόρφωσης μέρος της εταιρικής στρατηγικής
Κανένας Οργανισμός δε μπορεί να συμμορφωθεί άμεσα με όλες τις απαιτήσεις ασφάλειας πληροφοριών που τον αφορούν. Για το λόγο αυτό η συμμόρφωση πρέπει να γίνει μέρος της εταιρικής στρατηγικής και να αποτελεί κομμάτι των ετήσιων στρατηγικών πλάνων του Οργανισμού.
Σε αρχικό στάδιο, χρειάζεται να αποτιμηθεί το υφιστάμενο επίπεδο συμμόρφωσης και ταυτόχρονα να προσδιορισθεί το επιθυμητό επιπέδου συμμόρφωσης που προσδοκά ο Οργανισμός. Το επιθυμητό επίπεδο συμμόρφωσης δε σημαίνει απαραίτητα πλήρη συμμόρφωση.
Στο επόμενο στάδιο η συμμόρφωση γίνεται μέρος των Επιχειρηματικών στόχων και ενσωματώνεται στη στρατηγική που ακολουθεί ο Οργανισμός και για άλλα συστήματα Διαχείρισης, όπως το ISO27001 & το ISO9001 – 2.
Βήμα τέταρτο: Ενσωμάτωση διαδικασίας εναρμόνισης στο εταιρικό πλαίσιο Διακυβέρνησης
Η αποτελεσματική διαχείριση της ασφάλειας πληροφοριών χρειάζεται ανάπτυξη οργανωτικών δομών διαχείρισης, καθώς και δομών ελέγχου τόσο της τήρησης των απαιτήσεων ασφάλειας πληροφοριών, αλλά και της διαχείρισης των σχετικών κινδύνων.
Η αποτελεσματική διακυβέρνηση της ασφάλειας πληροφοριών αποτελεί έναν από τους κύριους παράγοντες επιτυχίας της διεργασίας συμμόρφωσης.
Βήμα Πέμπτο: Δείκτες Μέτρησης Αποτελεσματικότητας
Η αποτελεσματική υλοποίηση της διεργασίας συμμόρφωσης, θα ωφεληθεί ιδιαίτερα από τη δημιουργία υποδομής μέτρησης της αποτελεσματικότητα της εν λόγο διεργασίας.
Η μέτρηση αποτελεσματικότητας επιτυγχάνεται με το προσδιορισμό συγκεκριμένων δεικτών οι οποίοι αποτιμώνται ανά τακτά χρονικά διαστήματα, ενώ ταυτόχρονα συλλέγονται στατιστικά στοιχεία που αφορούν στους συγκεκριμένους δείκτες.
Ενδεικτικά κάποιοι από τους δείκτες μπορεί να είναι οι ακόλουθοι:
- Απόκλιση μεταξύ υφιστάμενου & απαιτούμενου βαθμού συμμόρφωσης
- Μέτρηση ωριμότητας των δικλείδων ασφάλειας που αφορούν στις απαιτήσεις συμμόρφωσης
- Τήρηση των απαιτήσεων συμμόρφωσης από την εταιρεία
- Αξιολόγηση κινδύνων για τις περιπτώσεις μη συμμόρφωσης
Βήμα έκτο: Εμπλοκή των επιχειρηματικών μονάδων
Ο σκοπός της εμπλοκής των επιχειρηματικών μονάδων είναι η κατανόηση των απαιτήσεων συμμόρφωσης και ο προσδιορισμός του τρόπου συμμετοχής τους στη διεργασία της συμμόρφωσης.
Για να γίνει αυτό χρειάζεται να ακολουθηθούν τα παρακάτω βήματα:
- Ενημέρωση των επιχειρηματικών μονάδων για τη Διεργασία Συμμόρφωσης και για το δικό τους ρόλο στη συγκεκριμένη διεργασία
- Ενημέρωση για τη σημασία της διαδικασίας συμμόρφωσης για τον Οργανισμό
- Ενημέρωση για τη πρόοδο των όποιων εργασιών αφορούν στις απαιτήσεις συμμόρφωσης
- Δημιουργία διαδικασίας αυτό-αξιολόγησης (της κάθε επιχειρηματικής μονάδας) σχετικά με τη τήρηση των απαιτήσεων συμμόρφωσης
- Ενημέρωση σχετικά με υποχρεώσεις και ρόλους σε σχέση με τη συμμόρφωση
Απώτερος σκοπός είναι η αυτοματοποίηση της διεργασίας συμμόρφωσης και η δημιουργία αντίστοιχης κουλτούρας στον Οργανισμό που θα αφορά στην Ασφάλεια Πληροφοριών αλλά και στη συμμόρφωση με τις κανονιστικές απαιτήσεις.
Βήμα έβδομο: Ενημέρωση & Εκπαίδευση
Η εταιρική κουλτούρα έχει αντίκτυπο στη επιτυχία και στο κόστος της διαδικασίας συμμόρφωσης. Η διαμόρφωση της κουλτούρας ασφάλειας και συμμόρφωσης επιτυγχάνεται μέσα από την ενημέρωση και την εκπαίδευση του προσωπικού.
Η ενημέρωση του προσωπικού περιλαμβάνει την σημασία της απαιτήσεων συμμόρφωσης για τον Οργανισμό είναι απαραίτητη διαδικασία. Μία τέτοια ενημέρωση περιλαμβάνει και εκπαίδευση αναφορικά με τις εταιρικές διαδικασίες & ρόλους σε θέματα συμμόρφωσης.
Βήμα όγδοο: Δημιουργία πλαισίου συνεχούς βελτίωσης
Η διεργασία που αποτυπώθηκε στα πλαίσια του συγκεκριμένου άρθρου δεν είναι στατική και κυρίως δεν είναι δυνατόν να υλοποιηθεί αποτελεσματικά από την αρχή της εφαρμογής της. Χρειάζεται να βελτιώνεται συνεχώς και να ενσωματώνεται ολοένα και περισσότερο στο λειτουργικό περιβάλλον του Οργανισμού.
Συμπεράσματα
Η συμμόρφωση με τους κανονισμούς που αφορούν στην Ασφάλεια Πληροφοριών, είναι μια συνεχής διεργασία η οποία για να πετύχει χρειάζεται συστηματική προσέγγιση.
Για το Κάθε Οργανισμό η συμμόρφωση αποτελεί μια ακόμα περίπτωση κινδύνου και διαχείρισης αυτού. Αυτό συνεπάγεται συνεχής έλεγχο εφαρμογής των κανονιστικών απαιτήσεων & αξιολόγησης των κινδύνων μη συμμόρφωσης
Οι απαιτήσεις της κανονιστικής συμμόρφωσης αποτελούν υποσύνολο των διαφόρων πλαισίων που αφορούν στην Ασφάλεια Πληροφοριών & στη εφαρμογή εσωτερικών δικλείδων ελέγχων.
Μέσα από τη προσέγγιση που παρουσιάστηκε στα πλαίσια του άρθρου, δίνεται η δυνατότητα για βελτίωση των υφιστάμενων επιχειρηματικών διαδικασιών εκμεταλλευόμενοι τις διάφορες δραστηριότητες που γίνονται στα πλαίσια της κανονιστικής συμμόρφωσης και των χρημάτων που δαπανώνται προκειμένου να επιτευχθεί η συμμόρφωση. Με το τρόπο αυτό η διεργασία της συμμόρφωσης μπορεί να συνεισφέρει στη προσπάθεια δημιουργίας του ανταγωνιστικού πλεονεκτήματος του κάθε Οργανισμού.
Αναφορές
- Turning a Security Compliance Program Into a Competitive Business Advantage [Sekar Sethuraman, ISACA, 2007]
- Automating Compliance [Steven J. Ross, ISACA, 2007]
- Compliance and Beyond [Steven J. Ross, ISACA, 2007]
- If Compliance Is So Critical, Why Are We Still Failing Audits [Alex Bakman, ISACA, 2007]
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.