Ασφάλεια Πληροφοριακών Συστημάτων: Οργανωσιακά Ζητήματα Ασφάλεια Πληροφοριακών Συστημάτων: Οργανωσιακά Ζητήματα Διοίκηση Ασφάλειας Π.Σ. 2011-2012
Περίγραμμα διάλεξης Ο ρόλος του Υπεύθυνου Ασφάλειας Π.Σ. Εταιρική κουλτούρα και κουλτούρα ασφάλειας Ευαισθητοποίηση στην ασφάλεια (Security awareness) Πληροφοριακά συστήματα ικανά να ‘επιβιώνουν’ Σύγχρονες προκλήσεις
Τι κάνει ο Υπεύθυνος Ασφάλειας ΠΣ; Ποιοι είναι οι κίνδυνοι που απειλούν τους πληροφοριακούς πόρους του οργανισμού; Ποιο σύνολο αντιμέτρων θα προσφέρει την καλύτερη προστασία; Ανάπτυξη μίας εταιρικής πολιτικής ασφάλειας Π.Σ. Εκπαίδευση και ενημέρωση χρηστών και διαχειριστών Ανάπτυξη κουλτούρας ασφάλειας και ευαισθητοποίηση των χρηστών
Τι κάνει ο Υπεύθυνος Ασφάλειας ΠΣ; Ζητήματα ιδιωτικότητας (privacy) Προστασία δεδομένων Σχέδια αντιμετώπισης καταστροφών και συνέχισης λειτουργίας (disaster recovery/business continuity) Ζητήματα ασφάλειας στην ανάπτυξη και συντήρηση πληροφοριακών συστημάτων
…κι όμως Λίγοι οργανισμοί και επιχειρήσεις έχουν ειδική οργανική θέση Υπεύθυνου Ασφάλειας Π.Σ. Η ευθύνη για την ασφάλεια ανατίθεται στη Διεύθυνση Πληροφορικής. (Mitchell, 1999)
Τα 10 ‘θανάσιμα αμαρτήματα’ της διαχείρισης ασφάλειας Π. Σ Τα 10 ‘θανάσιμα αμαρτήματα’ της διαχείρισης ασφάλειας Π.Σ. (von Solms & von Solms, 2004) Να μην έχουμε συνειδητοποιήσει ότι η ασφάλεια Π.Σ. είναι ζήτημα «εταιρικής διακυβέρνησης» Να μην έχουμε συνειδητοποιήσει ότι η ασφάλεια Π.Σ. είναι οργανωσιακό ζήτημα και όχι τεχνικό ζήτημα Να μην έχουμε συνειδητοποιήσει ότι η διαχείριση της ασφάλειας Π.Σ. είναι ένα πολυδιάστατο διεπιστημονικό ζήτημα Να μην έχουμε συνειδητοποιήσει ότι το σχέδιο ασφάλειας πρέπει να αφορά την αντιμετώπιση συγκεκριμένων κινδύνων Να μην έχουμε συνειδητοποιήσει (και να μην αξιοποιούμε) το σημαντικό ρόλο των διεθνών βέλτιστων πρακτικών για τη διαχείριση της ασφάλειας
Τα 10 ‘θανάσιμα αμαρτήματα’ της διαχείρισης ασφάλειας Π.Σ. Να μην έχουμε συνειδητοποιήσει ότι η ανάπτυξη και εφαρμογή μίας εταιρικής πολιτικής ασφάλειας Π.Σ. είναι απολύτως απαραίτητη Να μην έχουμε συνειδητοποιήσει τη σημασία της συμμόρφωσης και της επίβλεψης της εφαρμογής της πολιτικής ασφάλειας Να μην έχουμε συνειδητοποιήσει ότι η ανάπτυξη μίας οργανωτικής δομής για τη διαχείριση της ασφάλειας Π.Σ. είναι απολύτως απαραίτητη Να μην έχουμε συνειδητοποιήσει το κρίσιμο ρόλο της ευαισθητοποίησης των χρηστών Να μην ενισχύουμε (empowering) τους υπεύθυνους ασφάλειας με την υποδομή, τα εργαλεία και τους υποστηρικτικούς μηχανισμούς που είναι απαραίτητοι για την άσκηση των καθηκόντων τους
Οι διαστάσεις της διαχείρισης ασφάλειας Π.Σ. • Η διάσταση της Εταιρικής Διακυβέρνησης Η οργανωσιακή διάσταση Η διάσταση της πολιτικής ασφάλειας Η διάσταση των βέλτιστων πρακτικών Η ηθική διάσταση Η διάσταση της πιστοποίησης Η νομική διάσταση
Οι διαστάσεις της διαχείρισης ασφάλειας Π.Σ. Η διάσταση της ασφάλισης Η ανθρώπινη διάσταση Η διάσταση της ευαισθητοποίησης και της ενημέρωσης Η τεχνική διάσταση Η διάσταση των μετρήσεων και ελέγχων Η διάσταση της ελεγκτικής (audit)
Οργανωσιακή κουλτούρα Κουλτούρα, ένας όρος που προέρχεται από την ανθρωπολογία Κουλτούρα είναι… 1η προσέγγιση: κάτι που έχει ο οργανισμός Δηλαδή κάτι που ανήκει στον οργανισμό, άρα κάτι που μπορούμε να σχεδιάσουμε, να διαχειριστούμε, να μετρήσουμε 2η προσέγγιση: κάτι που είναι ο οργανισμός Δηλαδή ένα χαρακτηριστικό του οργανισμού, άρα κάτι που μελετάμε ως κοινωνικό φαινόμενο
Σύμφωνα με την 1η προσέγγιση Διαχειριζόμαστε τις διαφορετικές κουλτούρες των μελών του οργανισμού Αναφερόμαστε στην κουλτούρα που σχετίζεται με την καταγωγή των ατόμων και το περιβάλλον τους Η κουλτούρα είναι ένας ακόμα παράγοντας που πρέπει να λάβουμε υπόψη Την κουλτούρα μπορούμε να τη διαχειριστούμε
Σύμφωνα με την 2η προσέγγιση Η κουλτούρα αναφέρεται στην κοινή γνώση (shared knowledge) Γνωσιακή προσέγγιση (cognitive perspective) Η κουλτούρα αναφέρεται στο κοινό νόημα (shared meaning) Σημασιολογική προσέγγιση (symbolic perspective) Η κουλτούρα αναφέρεται στις ασυνείδητες διεργασίες της ανθρώπινης νόησης Δομική προσέγγιση (structural perspective)
Το μοντέλο του Schein Μέσα από το μοντέλο του Schein: ορίζουμε την κουλτούρα ως «τις βασικές υποθέσεις (assumptions) και πιστεύω (beliefs) που μοιράζονται τα μέλη ενός οργανισμού μπορούμε να διαμορφώσουμε μία ‘διαγνωστική’ προσέγγιση στη μελέτη της οργανωσιακής κουλτούρας
..άρα; Πολλαπλές κουλτούρες στα πλαίσια ενός οργανισμού Υποκουλτούρες Αλλαγή κουλτούρας “Monkey story” Αντίσταση στην αλλαγή
Κουλτούρα ασφάλειας Μπορούμε να αλλάξουμε την οργανωσιακή κουλτούρα, έτσι ώστε να αναπτύξουμε μία ‘κουλτούρα ασφάλειας’; Πώς; Μέσα από την ενημέρωση και την εκπαίδευση Μέσα από την πολιτική ασφάλειας Π.Σ. Η ανάπτυξη κουλτούρας ασφάλειας έχει ως συνέπεια την ενσωμάτωση της ασφάλειας στο «φυσικό» τρόπο που ο κάθε εργαζόμενος εκτελεί τις καθημερινές του εργασίες Παροχή κινήτρων ή επιβολή;
Ευαισθητοποίηση ασφάλειας Με σκοπό να μειωθούν τα σφάλματα στην εφαρμογή των πολιτικών και των διαδικασιών και τη μείωση των λαθών που θέτουν σε κίνδυνο την ασφάλεια του συστήματος Ορισμός: Μία δυναμική οργανωσιακή διεργασία αλλαγής που στοχεύει στην ανάπτυξη και διατήρηση της ενεργούς συμμετοχής των δικαιούχων (stakeholders) στην προστασία του πληροφοριακού συστήματος
Σχεδιάζοντας ένα πρόγραμμα ευαισθητοποίησης (NIST, 1998) Προσδιόρισε το σκοπό και τους στόχους του προγράμματος Προσδιόρισε το προσωπικό που θα συμμετάσχει και το “target group” Δώσε κίνητρα στη διοίκηση και τους υπαλλήλους Διαχειρίσου πόρους (άνθρωποι, χρόνος, χρήματα) και συντήρησε (maintain) το πρόγραμμα Αξιολόγησε το πρόγραμμα
Υλοποίηση προγράμματος ευαισθητοποίησης “Πουλώντας” την ασφάλεια Κάνοντας την ασφάλεια δημοφιλές θέμα Ενημερώνοντας: θα πρέπει οι εμπλεκόμενοι να μπορούν να καταλάβουν το ‘γιατί’ των μέτρων και των πολιτικών ασφάλειας Εκπαιδεύοντας: θα πρέπει να έχουν τις γνώσεις και τις δεξιότητες που είναι απαραίτητες για να μπορέσουν να ανταποκριθούν στις υποχρεώσεις τους Σύστημα επιβράβευσης/τιμωρίας
Security Communication Αφίσες Βίντεο E-Mail/Intranet Screen savers Μπλουζάκια, κούπες, κ.ά. Διαγωνισμοί Ημερίδες
Πληροφοριακά συστήματα που «επιβιώνουν» (survivability) Συνδυάζει την τεχνική και την οργανωσιακή προσέγγιση Ορισμός: “Survivability: the capability of a system to fulfill its mission, in a timely manner, in the presence of attacks, failures, or accidents”. Διότι η βιωσιμότητα των επιχειρήσεων εξαρτάται από τη δυνατότητά τους να παρέχουν υπηρεσίες και προϊόντα στους πελάτες τους χωρίς καθυστερήσεις ή άλλα εμπόδια
Πληροφοριακά συστήματα που «επιβιώνουν» (survivability) Βασική υπόθεση: κανένα στοιχείο του συστήματος δεν είναι απολύτως ασφαλές Το σύστημα θα πρέπει να επιβιώνει παρά το γεγονός ότι η βιωσιμότητα των στοιχείων που το αποτελούν δεν μπορεί να διασφαλιστεί Η βιωσιμότητα (επιβιωσιμότητα, survivability) είναι μία αναδυόμενη ιδιότητα (emergent property) που δεν μπορεί να επιτευχθεί στο επίπεδο των ατομικών στοιχείων του συστήματος
Πληροφοριακά συστήματα που «επιβιώνουν» (survivability) Με αυτήν την προσέγγιση δεν δίνεται έμφαση μόνο στην αποτροπή των επιθέσεων, αλλά στη διασφάλιση των λειτουργιών κρίσιμης σημασίας τουλάχιστον σε ένα βασικό επίπεδο Παραδοσιακή ασφάλεια υπολογιστών: προστατεύει τα στοιχεία του συστήματος από επιθέσεις, αστοχίες, καταστροφές, κ.λπ. Επιβίωση: η αποστολή του πληροφοριακού συστήματος πρέπει να διασφαλιστεί και όχι κάποια συγκεκριμένα στοιχεία του συστήματος
Αναφορές von Solms B. and von Solms R. (2004), “The 10 deadly sins of information security management”, Computers & Security Journal, 23, pp. 371-376 von Solms B. (2000), “Information Security — The Third Wave?” Computers & Security, 19, pp. 615-620 Dhillon G., Backhouse J. and Masurkar V. (2005), “Editorial: Meeting the Information System Security Challenge”, Journal of Information System Security, 1(1) McGrath K. (2003), “Organizational Culture and Information Systems Implementation: A Critical Perspective”, PhD Thesis, Inf. Sys. Dept., LSE. Von Solms B. (2001), “Information Security – A Multidimensional Discipline”, Computers and Security, Vol. 20, pp.504-508 Mitchell R., Marcella R. and Baxter G. (1999) “Corporate information security management”, New Library World, Vol. 100, No 1150, pp. 213-227, MCB University Press CSI/FBI Computer Crime and Security Survey NIST (1998), Information Technology Security Training Requirements: A Role-and Performance-Based Model, SP 800-16 Siponen M. (2000), “A conceptual foundation for organizational information security awareness”, Information Management & Computer Security Journal, 8/1, pp. 31-41 ENISA (2006). A Users’ Guide: How to raise information security awareness. http://www.enisa.europa.eu