Πολιτικές & Διαχείριση Ασφάλειας Μέτρηση Ασφάλειας Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr
Τμήμα Ψηφιακών Συστημάτων Αρχή διοίκησης Δεν μπορείς να βελτιώσεις μια διεργασία, τα αποτελέσματα της οποίας δεν μπορείς να μετρήσεις
Τμήμα Ψηφιακών Συστημάτων Βασικές έννοιες… Μέτρηση (measurement) είναι μια συλλογή ποσοτικών δεδομένων. Οι μετρήσεις πραγματοποιούνται συγκρίνοντας μια ποσότητα με μια πρότυπη μονάδα (τη μονάδα μέτρησης).
Τμήμα Ψηφιακών Συστημάτων …Βασικές έννοιες… Μέθοδος μέτρησης είναι μια λογική ακολουθία ενεργειών, που περιγράφεται με γενικό τρόπο και χρησιμοποιείται για την ποσοτικοποίηση ενός χαρακτηριστικού σε μια συγκεκριμένη κλίμακα. Η μέθοδος μπορεί να είναι: αντικειμενική, όταν η ποσοτικοποίηση γίνεται βάσει αριθμητικών κανόνων υποκειμενική, όταν η ποσοτικοποίηση γίνεται βάσει ανθρώπινης κρίσης
Τμήμα Ψηφιακών Συστημάτων …Βασικές έννοιες… Μετρική (metric) είναι μια μεταβλητή, που παίρνει τιμή ως αποτέλεσμα μιας μέτρησης. Οι μετρικές διακρίνονται σε: βασικές, που ορίζονται βάσει ενός χαρακτηριστικού και της μεθόδου ποσοτικοποίησής του και σε παραγόμενες, που ορίζονται ως συνάρτηση δύο ή περισσότερων μετρικών Συνάρτηση μέτρησης είναι ένας αλγόριθμος που συνδυάζει δύο ή περισσότερες βασικές μετρικές για να παράξει μια παραγόμενη μετρική.
Τμήμα Ψηφιακών Συστημάτων …Βασικές έννοιες Καλές μετρικές είναι εκείνες που χαρακτηρίζονται ως: ΣΜΕΕΧ (SMART), δηλαδή Συγκεκριμένες (Specific), Μετρήσιμες (Measurable), Εφικτές (Attainable), Επαναλήψιμες (Repeatable) Χρονοεξαρτώμενες (Time-dependent).
Τύποι μετρικών ασφάλειας… Τμήμα Ψηφιακών Συστημάτων Τύποι μετρικών ασφάλειας… Ανάλογα με το επίπεδο στο οποίο παρέχουν πληροφορίες: Οι στρατηγικές μετρικές παρέχουν μια εποπτική εικόνα της κατάστασης του ΣΔΑΠ. συχνά αποτελούν συμπίλημα άλλων μετρικών που έχουν σχεδιαστεί ώστε να υποδεικνύουν αν το ΣΔΑΠ λειτουργεί όπως πρέπει, σύμφωνα με το σκοπό και τον προϋπολογισμό του και αν επιτυγχάνει τους στόχους του.
…Τύποι μετρικών ασφάλειας… Τμήμα Ψηφιακών Συστημάτων …Τύποι μετρικών ασφάλειας… Οι διαχειριστικές ή τακτικές μετρικές (κατ’ αντιπαραβολή με τις στρατηγικές), χρησιμοποιούνται για τη διαχείριση του ΣΔΑΠ και παρέχουν πληροφορίες για το βαθμό συμμόρφωσης με τις πολιτικές και τα πρότυπα, την αποτελεσματικότητα της διαχείρισης και αντιμετώπισης περιστατικών, την εκμετάλλευση ανθρώπινων και οικονομικών πόρων.
…Τύποι μετρικών ασφάλειας… Τμήμα Ψηφιακών Συστημάτων …Τύποι μετρικών ασφάλειας… Τέλος, οι επιχειρησιακές μετρικές είναι οι συνηθέστερες τεχνικές και διαδικαστικές μετρικές. Περιλαμβάνουν μετρικές που αποτυπώνουν την ασφάλεια διεργασιών, την ασφάλεια δικτύων, την ασφάλεια του προσωπικού, τις λειτουργίες ασφάλειας, τη συμμόρφωση με πρότυπα, κανονισμούς και τη νομοθεσία, το κόστος της ασφάλειας κ.α.
…Τύποι μετρικών ασφάλειας… Τμήμα Ψηφιακών Συστημάτων …Τύποι μετρικών ασφάλειας… Η επιφάνεια επίθεσης (attack surface) ενός περιβάλλοντος λογισμικού ορίζεται ως το άθροισμα των διαφορετικών σημείων (διανύσματα επίθεσης –attack vectors) από τα οποία ένας μη-εξουσιοδοτημένος χρήστης (ο επιτιθέμενος) μπορεί να προσπαθήσει να εισάγει ή να εξάγει δεδομένα από το περιβάλλον.
…Τύποι μετρικών ασφάλειας Τμήμα Ψηφιακών Συστημάτων …Τύποι μετρικών ασφάλειας Με βάση το τι μετρά η κάθε μετρική: Μετρικές υλοποίησης, οι οποίες μετρούν την υλοποίηση της πολιτικής ασφάλειας, μετρικές αποτελεσματικότητας και αποδοτικότητας, οι οποίες μετρούν τα αποτελέσματα της παροχής των υπηρεσιών ασφάλειας και μετρικές επιπτώσεων, οι οποίες μετρούν τις επιχειρησιακές επιπτώσεις των περιστατικών ασφάλειας.
Η διεργασία μέτρησης της ασφάλειας… Τμήμα Ψηφιακών Συστημάτων Η διεργασία μέτρησης της ασφάλειας… Περιλαμβάνει τη θέσπιση, το σχεδιασμό, την εκτέλεση και την αξιολόγηση μετρήσεων ασφάλειας στο οργανισμό. Ο βασικός σκοπός της είναι να υποστηρίξει τη φάση ελέγχου του κύκλου PDCA του ΣΔΑΠ, παρέχοντας πληροφορίες για το πού βρίσκεται ο οργανισμός σε σχέση με τους στόχους που έχει θέσει.
…Η διεργασία μέτρησης της ασφάλειας… Τμήμα Ψηφιακών Συστημάτων …Η διεργασία μέτρησης της ασφάλειας… Αποτελείται από τις εξής υπο-διεργασίες: ανάπτυξη μετρικών και μετρήσεων, διενέργεια των μετρήσεων, ανάλυση δεδομένων και παρουσίαση των αποτελεσμάτων των μετρήσεων και αξιολόγηση και βελτίωση της διεργασίας μέτρησης της ασφάλειας.
Τμήμα Ψηφιακών Συστημάτων Βασικοί ορισμοί Πληροφοριακή ανάγκη (information need) είναι γνώση απαραίτητη για τη διαχείριση στόχων, σκοπών, κινδύνων και προβλημάτων. Δείκτης (indicator) είναι μια μετρική που αποτελεί εκτίμηση ή αξιολόγηση συγκεκριμένων χαρακτηριστικών. Παράγεται από ένα αναλυτικό μοντέλο και αφορά καθορισμένες πληροφοριακές ανάγκες. Αναλυτικό μοντέλο είναι ένας αλγόριθμος ή υπολογισμός που συνδυάζει μία ή περισσότερες βασικές ή παραγόμενες μετρικές με κριτήρια απόφασης.
…Η διεργασία μέτρησης της ασφάλειας… Τμήμα Ψηφιακών Συστημάτων …Η διεργασία μέτρησης της ασφάλειας… Μετρητική δομή είναι μια δομή που συνδέει μια πληροφοριακή ανάγκη με τα σχετικά αντικείμενα της μέτρησης και τα χαρακτηριστικά τους. Περιγράφει πώς ποσοτικοποιούνται τα χαρακτηριστικά και πώς μετατρέπονται σε δείκτες, με βάση τους οποίους θα ληφθούν αποφάσεις. Τα αντικείμενα της μέτρησης περιλαμβάνουν σχεδιαζόμενες ή ήδη υλοποιημένες διεργασίες, διαδικασίες, έργα ή πόρους.
Μετρητικό μοντέλο ασφάλειας πληροφοριών Τμήμα Ψηφιακών Συστημάτων Μετρητικό μοντέλο ασφάλειας πληροφοριών
Ανάπτυξη μετρικών και μετρήσεων Τμήμα Ψηφιακών Συστημάτων Ανάπτυξη μετρικών και μετρήσεων Περιλαμβάνει έξι δραστηριότητες: Καθορισμός της έκτασης του πεδίου εφαρμογής των μετρήσεων, αναγνώριση των πληροφοριακών αναγκών, επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους, ανάπτυξη μετρητικών δομών, θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων και θέσπιση τρόπου διενέργειας των μετρήσεων.
Καθορισμός της έκτασης του πεδίου εφαρμογής των μετρήσεων Τμήμα Ψηφιακών Συστημάτων Καθορισμός της έκτασης του πεδίου εφαρμογής των μετρήσεων
Μέτοχοι της διεργασίας Τμήμα Ψηφιακών Συστημάτων Μέτοχοι της διεργασίας Ως μετόχους θεωρούμε τους: πελάτες της μέτρησης (πχ μέλη διοίκησης) κριτές της μέτρησης (πχ έχοντες ευθύνη επικύρωσης αποτελεσμάτων) ιδιοκτήτες πληροφοριών συλλέκτες πληροφοριών αναλυτές πληροφοριών
Αναγνώριση των πληροφοριακών αναγκών… Τμήμα Ψηφιακών Συστημάτων Αναγνώριση των πληροφοριακών αναγκών… Ανάγκη καθορισμού προτεραιοτήτων. Ως κύριο κριτήριο χρησιμοποιούμε τις προτεραιότητες αντιμετώπισης κινδύνων, τις δυνατότητες και τους πόρους του οργανισμού, τα συμφέροντα των μετόχων, την πολιτική ασφάλειας,
…Αναγνώριση των πληροφοριακών αναγκών Τμήμα Ψηφιακών Συστημάτων …Αναγνώριση των πληροφοριακών αναγκών τις πληροφορίες που απαιτείται να έχουμε στη διάθεσή μας επειδή το επιβάλλει η νομοθεσία, ή το κανονιστικό πλαίσιο ή οι συμβατικές υποχρεώσεις του οργανισμού την αξία της πληροφορίας που αναμένεται να λάβουμε σε σχέση με το κόστος της μέτρησης που θα μας παράσχει αυτήν την πληροφορία (information value vs. cost of measurement)
Επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους… Τμήμα Ψηφιακών Συστημάτων Επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους… Τα αντικείμενα μέτρησης μπορεί να είναι: προϊόντα και υπηρεσίες, διεργασίες, εγκαταστάσεις, εφαρμογές, πληροφοριακά συστήματα, επιχειρησιακές μονάδες, γεωγραφικές θέσεις λειτουργία, υπηρεσίες που ο οργανισμός λαμβάνει από τρίτους.
…Επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους… Τμήμα Ψηφιακών Συστημάτων …Επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους… Κάθε αντικείμενο μέτρησης μπορεί να έχει περισσότερα από ένα μετρήσιμα χαρακτηριστικά η επιλογή των αντικειμένων μέτρησης δεν είναι πλήρης αν δεν συνοδεύεται και από την επιλογή των προς μέτρηση χαρακτηριστικών τους.
…Επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους Τμήμα Ψηφιακών Συστημάτων …Επιλογή των αντικειμένων μέτρησης και των χαρακτηριστικών τους Δεν θα επιλέξουμε ένα χαρακτηριστικό αν… …αυτό δεν σχετίζεται με κάποια βασική μετρική, …δεν μπορούμε να προσδιορίσουμε μια κατάλληλη μετρητική μέθοδο για να το μετρήσουμε, … δεν πρόκειται να πάρουμε χρήσιμα αποτελέσματα μετρώντας το. Επιλέγουμε εκείνα τα χαρακτηριστικά που αφενός είναι εφικτό να μετρήσουμε και που αφετέρου θα μας δώσουν τα δεδομένα που χρειαζόμαστε.
Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων Ανάπτυξη μετρητικών δομών… Επιλέγουμε τις μετρικές που θα χρησιμοποιήσουμε συνεκτιμώντας: το πόσο εύκολο είναι να συλλέξουμε τα δεδομένα που απαιτεί κάθε μία μετρική, τη διαθεσιμότητα του προσωπικού που θα συλλέγει και θα διαχειρίζεται τα δεδομένα, τη διαθεσιμότητα κατάλληλων εργαλείων, το πλήθος δεικτών που υποστηρίζει η βασική μετρική,
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… την ευκολία ερμηνείας των τιμών που λαμβάνει η μετρική, το πλήθος χρηστών των αποτελεσμάτων, την καταλληλότητα της μετρικής για την ικανοποίηση της πληροφοριακής ανάγκης, το κόστος συλλογής, διαχείρισης και ανάλυσης των δεδομένων που απαιτεί η μετρική.
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Για κάθε βασική μετρική καθορίζουμε και τη μετρητική μέθοδο που θα ποσοτικοποιήσει το αντικείμενο της μέτρησης, μετασχηματίζοντας τα χαρακτηριστικά σε τιμή της μετρικής. Η μέθοδος μπορεί να είναι ποιοτική ή ποσοτική, υποκειμενική ή αντικειμενική. Στην επιλογή, μας ενδιαφέρει επίσης και η ακρίβεια της μεθόδου, όπως και η διαχρονική συνέπειά της. Επικύρωση μέσω καταγραφής της σχετικής διαδικασίας ώστε να μπορεί να είναι «επαναλήψιμη».
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Οι παραγόμενες μετρικές παράγονται από τον συνδυασμό βασικών μετρικών μέσω συναρτήσεων μέτρησης π.χ. η μέση τιμή βασικών μετρικών, η σταθμισμένη μέση τιμή βασικών μετρικών ή η αντιστοίχιση ποιοτικών αξιών στις τιμές βασικών μετρικών πριν τις συγκεντρώσουμε για να υπολογίσουμε την τιμή μιας παραγόμενης μετρικής.
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Είναι δυνατό μια συνάρτηση μέτρησης να συνδυάζει βασικές μετρικές που οι τιμές τους εκφράζονται σε διαφορετικές κλίμακες. π.χ. είναι δυνατό μια συνάρτηση μέτρησης να συνδυάζει μια μετρική που εκφράζεται σε ποσοστιαία κλίμακα και μια άλλη που είναι ποιοτική.
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Οι παραγόμενες μετρικές μέσω του αναλυτικού μοντέλου (ή και κάποιες βασικές μετρικές, απευθείας) οδηγούν στην παραγωγή δεικτών. Η ερμηνεία των τιμών που παίρνουν οι δείκτες γίνεται μέσω σχετικών κριτηρίων λήψης απόφασης, που καθορίζουμε βάσει των στόχων ασφάλειας του ΣΔΑΠ με στόχο να καθοδηγήσουμε τις ενέργειες των μετόχων της διεργασίας.
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Η καθοδήγηση συνίσταται στο να έχουν οι μέτοχοι της διεργασίας στη διάθεσή τους, μέσω των τιμών των δεικτών, πληροφόρηση… … για την πραγματική σε σχέση με την προγραμματισμένη κατάσταση της ασφάλειας αφενός και … για τα όρια εκείνα που υποδεικνύουν την ανάγκη λήψης διορθωτικών – βελτιωτικών μέτρων αφετέρου.
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Τα κριτήρια λήψης απόφασης ουσιαστικά θέτουν ένα στόχο, βάσει του οποίου μετράμε την επιτυχία ή την απόσταση που μας χωρίζει απ’ αυτόν. Τέτοιοι στόχοι τίθενται για κάθε στοιχείο που σχετίζεται με τις επιδόσεις των διεργασιών και των μέτρων ασφάλειας του ΣΔΑΠ, καθώς και για την επίτευξη των στόχων και την αποτελεσματικότητα του ΣΔΑΠ. Η επιλογή των κριτηρίων απόφασης είναι ευκολότερη εάν υπάρχουν σχετικά ιστορικά δεδομένα.
…Ανάπτυξη μετρητικών δομών… Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών… Όλα τα παραπάνω περιέχονται σε μια μετρητική δομή, που αναφέρει, χωρίς να περιγράφει αναλυτικά, κατ’ ελάχιστον, τον σκοπό της μέτρησης, τον στόχο ασφάλειας, τα μέτρα ασφάλειας ή/και τη διεργασία του ΣΔΑΠ προς μέτρηση, το αντικείμενο της μέτρησης, τα δεδομένα που θα συλλεγούν και θα χρησιμοποιηθούν,
…Ανάπτυξη μετρητικών δομών Τμήμα Ψηφιακών Συστημάτων …Ανάπτυξη μετρητικών δομών τις διαδικασίες συλλογής και ανάλυσης δεδομένων, τη διαδικασία παρουσίασης των αποτελεσμάτων της μέτρησης, καθώς και τις μορφές παρουσίασης, τους ρόλους και τις αρμοδιότητες των μετόχων της διεργασίας και τον κύκλο επανεξέτασης της μέτρησης.
Θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων… Τμήμα Ψηφιακών Συστημάτων Θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων… Καθορίζουμε: τις διαδικασίες για τη συλλογή και την ανάλυση των αποτελεσμάτων των μετρήσεων, τα κατάλληλα εργαλεία, τον εξοπλισμό και τις τεχνολογίες που θα χρησιμοποιηθούν για τους σκοπούς αυτούς και τη συχνότητα, τη μορφή και τις μεθόδους παρουσίασης των αποτελεσμάτων των μετρήσεων, όπως και τα εργαλεία που θα χρειαστούμε για την παρουσίαση.
…Θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων… Τμήμα Ψηφιακών Συστημάτων …Θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων… Η μορφή της παρουσίασης δεν είναι ενιαία, αλλά εξαρτάται τόσο από το σε ποιους απευθύνεται η παρουσίαση, όσο και από τη φύση των αποτελεσμάτων που παρουσιάζονται. Οι παρουσιάσεις των αποτελεσμάτων γίνονται με οδηγό το ακροατήριο, δηλ. επίπεδο που κατέχουν στη διοίκηση, εμπειρία στο αντικείμενο, ανάγκη ή/και δικαίωμα λήψης απόφασης, κ.ά..
…Θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων Τμήμα Ψηφιακών Συστημάτων …Θέσπιση διαδικασιών και εργαλείων συλλογής και ανάλυσης δεδομένων Μερικές επιλογές είναι: οι κάρτες βαθμολογίας (scorecards), για την παρουσίαση πληροφοριών στρατηγικής φύσης, ταμπλό (dashboards), για την παρουσίαση πληροφοριών εκτελεστικής ή επιχειρησιακής φύσης, εκθέσεις, για την παρουσίαση ανεπεξέργαστων δεδομένων σε ευανάγνωστη μορφή και μετρητές (gauges), για την παρουσίαση μεταβαλλόμενων ποσοτήτων.
Θέσπιση τρόπου διενέργειας και τεκμηρίωσης των μετρήσεων Τμήμα Ψηφιακών Συστημάτων Θέσπιση τρόπου διενέργειας και τεκμηρίωσης των μετρήσεων Σχέδιο υλοποίησης, που περιέχει, κατ’ ελάχιστον: προδιαγραφές μετρήσεων, που περιλαμβάνουν το υπόδειγμα μετρητικής δομής που χρησιμοποιούμε, τις μετρητικές δομές που έχουμε αναπτύξει και εφαρμόζουμε, τις διαδικασίες συλλογής και ανάλυσης δεδομένων, ημερολογιακό προγραμματισμό των μετρητικών δραστηριοτήτων, αρχεία μετρήσεων και τις μορφές παρουσίασης των αποτελεσμάτων των μετρήσεων.
Τμήμα Ψηφιακών Συστημάτων Ένα παράδειγμα… Θέλουμε να μετρήσουμε τη θέση μας σε σχέση με την πρόοδο του σχεδίου κατάρτισης του προσωπικού σε θέματα ασφάλειας.
Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Έστω ότι το ΣΔΑΠ του οργανισμού μας περιέχει τις εξής πολιτικές: «Π1: Η διοίκηση απαιτεί από το προσωπικό, τους εργολάβους και άλλους χρήστες να εφαρμόζουν τα μέτρα ασφάλειας, σύμφωνα με τα οριζόμενα στις πολιτικές και τις διαδικασίες του οργανισμού» και «Π2: Όλο το προσωπικό του οργανισμού και, όπου είναι απαραίτητο, οι εργολάβοι και άλλοι τρίτοι θα συμμετάσχουν σε κατάλληλα προγράμματα κατάρτισης και επίγνωσης επί των οργανωσιακών πολιτικών και διαδικασιών που σχετίζονται με την εργασία τους».
Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Η Π1 υλοποιείται με το μέτρο ασφάλειας «ΜΑ1: Όλο το προσωπικό που σχετίζεται με το ΣΔΑΠ οφείλει να καταρτιστεί σε θέματα ασφάλειας πριν αποκτήσει δικαιώματα πρόσβασης σε κάποιο πληροφοριακό σύστημα». Η Π2 υλοποιείται με το μέτρο ασφάλειας «ΜΑ2: Όλο το προσωπικό που σχετίζεται με το ΣΔΑΠ οφείλει να υπογράψει σύμβαση χρήσης του πληροφοριακού συστήματος πρν αποκτήσει δικαιώματα πρόσβασης σ’ αυτό».
Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Τα αντικείμενα της μέτρησης που σχετίζονται με την Π1 είναι τα Α1.1: Το σχέδιο κατάρτισης και Α1.2: Το προσωπικό που έχει ολοκληρώσει ή βρίσκεται στη διαδικασία ολοκλήρωσης της κατάρτισης. Τα αντικείμενα της μέτρησης που σχετίζονται με την Π2 είναι τα Α2.1: Το σχέδιο για την υπογραφή των συμβάσεων χρήσης και Α2.2: Το προσωπικό που έχει υπογράψει τις συμβάσεις.
…Ένα παράδειγμα… Τα χαρακτηριστικά: Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Τα χαρακτηριστικά: για το Α1.1 (Χ1.1) είναι το προσωπικό που έχει προσδιοριστεί στο σχέδιο ότι θα καταρτιστεί, για το Α1.2 (Χ1.2) η κατάσταση του προσωπικού σε σχέση με την κατάρτιση, για το Α2.1 (Χ2.1) το προσωπικό που έχει προσδιοριστεί στο σχέδιο ότι θα υπογράψει σύμβαση χρήσης και για το Α2.2 (Χ2.2) η κατάσταση του προσωπικού σε σχέση με την υπογραφή της σύμβασης.
…Ένα παράδειγμα… Η μέθοδος μέτρησης: Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Η μέθοδος μέτρησης: (Μ1) του Χ1.1 είναι να μετρήσουμε πόσα άτομα έχει προγραμματιστεί να υπογράψουν σύμβαση και να έχουν ολοκληρώσει την κατάρτιση μέχρι σήμερα. (Μ2) του Χ1.2 είναι να ρωτήσουμε τον υπεύθυνο για την κατάρτιση τι ποσοστό αυτών που έχουν υπογράψει σύμβαση έχει ολοκληρώσει την κατάρτιση. (Μ3) του Χ2.1 είναι να μετρήσουμε το πλήθος αυτών που έχει προγραμματιστεί να υπογράψουν σύμβαση μέχρι σήμερα, (Μ4) του Χ2.2 είναι να μετρήσουμε το πλήθος αυτών που έχουν υπογράψει σύμβαση μέχρι σήμερα.
…Ένα παράδειγμα… Βασικές μετρικές Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Βασικές μετρικές (ΒΜ1) για το Α1.1 είναι το πλήθος των ατόμων που έχει προγραμματιστεί να υπογράψουν σύμβαση και να καταρτιστούν μέχρι σήμερα (ΒΜ2) για το Α1.2 είναι το ποσοστό ολοκλήρωσης της κατάρτισης αυτών που έχουν υπογράψει σύμβαση (ΒΜ3) για το Α2.1 είναι το πλήθος των ατόμων που έχει προγραμματιστεί να υπογράψουν σύμβαση μέχρι σήμερα (ΒΜ4) για το Α2.2 είναι το πλήθος των ατόμων που έχουν υπογράψει σύμβαση μέχρι σήμερα.
…Ένα παράδειγμα… Παραγόμενες μετρικές: Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Παραγόμενες μετρικές: Για το Α1.1 δεν χρειαζόμαστε παραγόμενες μετρικές. Για το Α1.2, χρησιμοποιώντας ως συνάρτηση μέτρησης (ΣΜ1) την πρόσθεση της κατάστασης όλων όσοι έχουν υπογράψει σύμβαση και είχε προγραμματιστεί να ολοκληρώσουν την κατάρτιση μέχρι σήμερα, μπορούμε να υπολογίσουμε, ως παραγόμενη μετρική (ΠΜ1), την πρόοδο του προγράμματος μέχρι σήμερα.
Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Αντίστοιχα, εφαρμόζοντας ως συνάρτηση μέτρησης (ΣΜ2) το πηλίκο του πλήθους του προσωπικού που έχει υπογράψει σύμβαση μέχρι σήμερα διά του πλήθους των ατόμων που είχε προγραμματιστεί να υπογράψουν σύμβαση μέχρι σήμερα, υπολογίζουμε ως παραγόμενη μετρική (ΠΜ2) την πρόοδο που έχουμε κάνει με τις υπογραφές σύμβασης μέχρι σήμερα.
Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Στη συνέχεια, χρησιμοποιώντας ως αναλυτικό μοντέλο (ΑΜ1) την ποσότητα (ΠΜ1/ΒΜ1)*100 σε συνδυασμό με την ΠΜ2, οδηγούμαστε σε ένα δείκτη (Δ1) της θέσης μας. Ανάλογα, χρησιμοποιώντας ως αναλυτικό μοντέλο (ΑΜ2) τη σύγκριση της τωρινής με προγενέστερες τιμές του Δ1, οδηγούμαστε σε έναν άλλο δείκτη (Δ2), της τάσης του οργανισμού.
Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Ένα κριτήριο απόφασης (ΚΑ1) θα μπορούσε να είναι ότι αν 0,9<ΠΜ1/ΒΜ1<1,1 και 0,99<ΠΜ2<1,09, συμπεραίνουμε ότι ο στόχος έχει επιτευχθεί, αλλιώς χρειάζεται κάποια ενέργεια της διοίκησης. Ένα άλλο κριτήριο απόφασης (ΚΑ2) θα μπορούσε να είναι ότι η τάση (Δ2) είναι αυξητική ή σταθερή, αλλιώς πάλι χρειάζεται κάποια ενέργεια της διοίκησης.
…Ένα παράδειγμα… Συμπερασματικά: Τμήμα Ψηφιακών Συστημάτων …Ένα παράδειγμα… Συμπερασματικά: το πρώτο αποτέλεσμα της μέτρησης (Α1) θα μπορούσε να είναι ότι τα κριτήρια που έχουμε θέσει για συμμόρφωση με την πολιτική κατάρτισης και επίγνωσης έχουν ικανοποιηθεί, αφού ισχύει ότι 0,9<ΠΜ1/ΒΜ1<1,1 και 0,99<ΠΜ2<1,09 το δεύτερο αποτέλεσμα θα μπορούσε να είναι ότι η κατάσταση σε σχέση με τη συμμόρφωση βελτιώνεται, επειδή η τάση του Δ1 είναι αυξητική. Ο ρυθμός αύξησης είναι ενδεικτικός και της αποτελεσματικότητας του μέτρου.
Διενέργεια των μετρήσεων… Τμήμα Ψηφιακών Συστημάτων Διενέργεια των μετρήσεων… Ενσωμάτωση των διαδικασιών μέτρησης στη συνολική λειτουργία του ΣΔΑΠ και Συλλογή, αποθήκευση και επαλήθευση των δεδομένων.
…Διενέργεια των μετρήσεων… Τμήμα Ψηφιακών Συστημάτων …Διενέργεια των μετρήσεων… Ενσωμάτωσή τους μέσα στη λειτουργία του ΣΔΑΠ, μέσω: Σαφούς καθορισμού ρόλων, αρμοδιοτήτων και καθηκόντων σχετικών με την ανάπτυξη, την υλοποίηση και τη συντήρηση του προγράμματος μετρήσεων. Ενδεχόμενης τροποποίησης της λειτουργίας του ΣΔΑΠ προκειμένου να διευκολύνουμε τη συλλογή δεδομένων.
…Διενέργεια των μετρήσεων… Τμήμα Ψηφιακών Συστημάτων …Διενέργεια των μετρήσεων… Ενημέρωση των μετόχων της διεργασίας για οποιαδήποτε αλλαγή στις δραστηριότητες που σχετίζονται με τη συλλογή δεδομένων. Οι συλλέκτες πληροφοριών πρέπει να έχουν τις απαιτούμενες ικανότητες, δεξιότητες και γνώσεις ώστε να μπορούν να επιτελούν αποτελεσματικά τα καθήκοντά τους.
…Διενέργεια των μετρήσεων… Τμήμα Ψηφιακών Συστημάτων …Διενέργεια των μετρήσεων… Πολιτικές και διαδικασίες για: τη χρήση των μετρήσεων από τον οργανισμό, τη διάχυση των πληροφοριών που προσλαμβάνουμε μέσω των μετρήσεων, τον έλεγχο και την αναθεώρηση του όλου προγράμματος μετρήσεων ασφάλειας.
…Διενέργεια των μετρήσεων… Τμήμα Ψηφιακών Συστημάτων …Διενέργεια των μετρήσεων… Ενσωμάτωση των δραστηριοτήτων ανάλυσης και παρουσίασης δεδομένων στις διεργασίες στις οποίες αφορούν, ώστε αυτές οι δραστηριότητες να εκτελούνται τακτικά. Πρόβλεψη για την παρακολούθηση, την επιθεώρηση και την αξιολόγηση των αποτελεσμάτων των μετρήσεων.
…Διενέργεια των μετρήσεων… Τμήμα Ψηφιακών Συστημάτων …Διενέργεια των μετρήσεων… Πρόγραμμα απόσυρσης μετρήσεων και αντικατάστασής τους με νέες, όταν πλέον δεν εξυπηρετούν τον σκοπό για τον οποίο σχεδιάστηκαν. Καθορίζουμε τον τρόπο με τον οποίο θα προσδιορίζεται η χρήσιμη διάρκεια ζωής των ιστορικών δεδομένων που κρατάμε.
Ανάλυση δεδομένων και παρουσίαση αποτελεσμάτων… Τμήμα Ψηφιακών Συστημάτων Ανάλυση δεδομένων και παρουσίαση αποτελεσμάτων… Σκοπός είναι να αναλύσουμε τα δεδομένα που συλλέξαμε και να τα ερμηνεύσουμε σύμφωνα με τα προκαθορισμένα κριτήρια απόφασης. Κατά την ανάλυση των δεδομένων εντοπίζουμε και διαφορές μεταξύ των αναμενόμενων και των πραγματικών αποτελεσμάτων οι διαφορές αυτές επισημαίνουν σημεία που χρήζουν βελτίωσης.
…Ανάλυση δεδομένων και παρουσίαση αποτελεσμάτων… Τμήμα Ψηφιακών Συστημάτων …Ανάλυση δεδομένων και παρουσίαση αποτελεσμάτων… Είναι δυνατό να διαπιστώσουμε ότι κάποιοι δείκτες υποδεικνύουν ασυμμορφία ή πενιχρές επιδόσεις σε κάποιον τομέα του ΣΔΑΠ. Αυτούς μπορούμε να τους κατατάξουμε σε δύο κατηγορίες, ανάλογα με το υποκείμενο αίτιο. Η πρώτη κατηγορία αφορά αστοχία του σχεδίου αντιμετώπισης κινδύνων: το σχέδιο δεν έχει υλοποιήσει επαρκώς τα προβλεπόμενα στο ΣΔΑΠ, ή αυτά έχουν μεν υλοποιηθεί, δεν λειτουργούν όμως σωστά κάποιες διαδικασίες ή μέτρα ασφάλειας που προβλέπονται στο ΣΔΑΠ.
…Ανάλυση δεδομένων και παρουσίαση αποτελεσμάτων Τμήμα Ψηφιακών Συστημάτων …Ανάλυση δεδομένων και παρουσίαση αποτελεσμάτων Η δεύτερη κατηγορία αφορά αστοχία της μελέτης αποτίμησης κινδύνων. Αυτό μπορεί να συμβεί αν τα προβλεπόμενα στο ΣΔΑΠ μέτρα ή διαδικασίες έχουν μεν υλοποιηθεί και λειτουργούν σωστά, αλλά δεν είναι αρκετά για να αντιμετωπίσουν τις απειλές, επειδή είτε αυτές υποτιμήθηκαν είτε έχουν εμφανιστεί νέες. Μπορεί, εναλλακτικά, να συμβεί αν κάποιες απειλές δεν αξιολογήθηκαν καν.
Αξιολόγηση και βελτίωση της διεργασίας… Τμήμα Ψηφιακών Συστημάτων Αξιολόγηση και βελτίωση της διεργασίας… Ενέργειες αξιολόγησης της αποτελεσματικότητας: Καθορισμός κριτηρίων αξιολόγησης, Παρακολούθηση, επανεξέταση και η αξιολόγηση των μετρήσεων και Υλοποίηση όσων βελτιώσεων κριθούν αναγκαίες.
…Αξιολόγηση και βελτίωση της διεργασίας… Τμήμα Ψηφιακών Συστημάτων …Αξιολόγηση και βελτίωση της διεργασίας… Συνήθη κριτήρια αξιολόγησης της αποτελεσματικότητας: αλλαγές των επιχειρησιακών στόχων του οργανισμού, αλλαγές των νομικών, κανονιστικών ή συμβατικών υποχρεώσεων του οργανισμού που σχετίζονται με την ασφάλεια πληροφοριών, αλλαγές των απαιτήσεων του ίδιου του οργανισμού όσον αφορά στην ασφάλεια πληροφοριών,
…Αξιολόγηση και βελτίωση της διεργασίας… Τμήμα Ψηφιακών Συστημάτων …Αξιολόγηση και βελτίωση της διεργασίας… αλλαγές των κινδύνων που αντιμετωπίζει ο οργανισμός, αυξημένη διαθεσιμότητα «εξευγενισμένων» ή πλέον κατάλληλων δεδομένων ή μεθόδων συλλογής δεδομένων και αλλαγές των αντικειμένων μέτρησης ή των χαρακτηριστικών τους.
…Αξιολόγηση και βελτίωση της διεργασίας… Τμήμα Ψηφιακών Συστημάτων …Αξιολόγηση και βελτίωση της διεργασίας… Κριτήρια αξιολόγησης της χρησιμότητας των αποτελεσμάτων: αν αυτά είναι ευκόλως κατανοητά, αν παρουσιάζονται έγκαιρα και αν είναι αντικειμενικά, συγκρίσιμα και αναπαράξιμα.
…Αξιολόγηση και βελτίωση της διεργασίας… Τμήμα Ψηφιακών Συστημάτων …Αξιολόγηση και βελτίωση της διεργασίας… Κριτήρια αξιολόγησης των διαδικασιών παραγωγής των αποτελεσμάτων: αν αυτές είναι καλά ορισμένες, ευκόλως εφαρμόσιμες και αν ακολουθούνται σωστά. Επιπλέον, τα αποτελέσματα πρέπει να είναι χρήσιμα για τη βελτίωση της ασφάλειας πληροφοριών και να αντιστοιχούν σε πραγματικές πληροφοριακές ανάγκες.
Τμήμα Ψηφιακών Συστημάτων Βασικό συμπέρασμα Η ασφάλεια της πληροφορίας είναι μια αέναη διαδικασία που χρειάζεται συνεχώς βελτίωση καθώς αλλάζουν συνεχώς οι συνθήκες δημιουργίας, αποθήκευσης, διατήρησης και πρόσβασης στην πληροφορία. Γ. Αγγελινός
Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!