4. Μοντέλα και Ασφάλεια
4Τ Ε Χ Ν Ο ΛΟ Γ Ι ΚΟ Σ ΚΟ Σ Μ Ο Σ
Άνθρωπος
Μοντέλα
Πραγματι-
κότητα
Συναίσθημα
5. Ασφάλεια στις ΤΠΕ
• Πληροφοριών
διατήρηση της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας.
• Πληροφοριακών Συστημάτων
προστασία των συστατικών στοιχείων ενός πληροφοριακού συστήματος (υλικό, λογισμικό, διαδικασίες,
άνθρωποι, δεδομένα) ως ολότητα.
• Τεχνολογιών Πληροφορικής και Επικοινωνιών
τεχνικοί παράγοντες που σχετίζονται με την ασφάλεια.
Η Ασφάλεια δεν αφορά μόνο την Τεχνολογία. Αφορά τους κινδύνους και τους διαφορετικούς τρόπους
που διαχειριζόμαστε αυτούς τους κινδύνους. Δεν είναι προϊόν, αλλά διαδικασία!
5Ε Ν Ν Ο Ι Ε Σ
6. Βασικά Χαρακτηριστικά Ασφάλειας
Ένα ασφαλές σύστημα πρέπει να επιτυγχάνει στα εξής αλληλένδετα χαρακτηριστικά:
• Εμπιστευτικότητα (Confidentiality):
η αποφυγή αποκάλυψης πληροφοριών χωρίς την άδεια του ιδιοκτήτη.
• Ακεραιότητα (Integrity):
η αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας Πληροφορίας.
• Διαθεσιμότητα (Availability):
η αποφυγή προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας σε
εξουσιοδοτημένους χρήστες.
6Ε Ν Ν Ο Ι Ε Σ
7. Τι θέλουμε να διΑσφαλίσουμε
Αγαθά (Assets)
Πληροφορίες, Δεδομένα, Υπολογιστικοί πόροι, Άνθρωποι του πληροφοριακού
συστήματος... Η αξία ενός αγαθού σπανίως εκτιμάται έως ότου αυτό
καταστραφεί ή δεν είναι πλέον διαθέσιμο!
Λειτουργίες
Παροχή υπηρεσιών προς τον πολίτη/πελάτη, τις επιχειρήσεις, το κράτος.
Φήμη
Έκθεση του φορέα σε σχόλια, υποβάθμιση των παρεχόμενων υπηρεσιών κτλ.
Επιχειρησιακές Ανάγκες και Απαιτήσεις
O οργανισμός καθορίζει και οριοθετεί τι πρέπει να προστατευθεί.
7Ε Ν Ν Ο Ι Ε Σ
8. Ανταλλαγές
• Ζημιά ή Απώλεια: ο περιορισμός της αξίας ενός αγαθού.
• Κίνδυνος: το ενδεχόμενο να υποστεί Ζημιά ένα αγαθό.
8Ε Ν Ν Ο Ι Ε Σ
9. «Ένας σημαντικός τρόπος να συλλάβεις διαφορετικές
περιόδους της ιστορίας είναι να καταγράψεις τον
αριθμό των ανθρώπων που μπορούν να σκοτώσουν,
δέκα αποφασισμένα άτομα, προτού αναχαιτιστούν».
Martin Shubic, Economist
9Α Π Ο Δ ΟΧ Η Κ Ι Ν ΔΥ Ν ΟΥ
11. Αδυναμίες & Ευπάθειες
• Εμπιστοσύνη: το θεμέλιο της Ασφάλειας, αλλά και το
τρωτό της σημείο.
+ Σχηματισμοί εμπιστοσύνης και συνδέσεων
+ Ανταπόδοση
+ Συνοχή
̶ Δέσμευση (εμμονή σε αποφάσεις παρά τις ενδείξεις προς αλλαγή)
̶ Τι κάνουν οι άλλοι (κοινωνική απόδειξη και αποδοχή)
̶ Εξουσία και Κύρος (αληθινή ή όχι, προκαλεί την υπακοή)
̶ Εκμετάλλευση του ανθρώπινου παράγοντα (social engineering)
11Ε Υ Π Α Θ Ε Ι Ε Σ
Όσο περισσότερους έμπιστους ανθρώπους χρησιμοποιεί ένα σύστημα και
όσο περισσότερη εμπιστοσύνη παρέχεται, τόσο πιο εύθραυστο γίνεται.
12. «Στρατόπεδα»
• Επιτιθέμενοι: Έχουν περίπλοκη ψυχολογία, χρόνο και τίποτα να
χάσουν
• Αμυνόμενοι (οργανισμοί & διαχειριστές): ΔΕΝ έχουν χρόνο, ενώ
έχουν πολλά να χάσουν
12Ε Π Ι Τ Ι Θ Ε Μ Ε Ν Ο Ι
13. Επιτιθέμενοι
Επιτιθέμενοι: είναι και αυτοί Άνθρωποι με
διαφορετικούς, όμως, πόρους, κίνητρα, ικανότητες,
κλίση προς τον κίνδυνο.
• Εξωτερικοί εισβολείς
• Εσωτερικές απειλές
• Πρέπει να προσπαθήσουμε «να μπούμε στο
μυαλό» του επιτιθέμενου
• Τυχαίος (περιέργεια, διασκέδαση)
• Πολιτικός (σκοπός, ακτιβισμός)
• Οργανωμένο έγκλημα (οικονομικό όφελος)
13Ε Π Ι Τ Ι Θ Ε Μ Ε Ν Ο Ι
Ο Εσωτερικός Εχθρός:
Ακουσίως ή
δυσαρεστημένοι εργαζόμενοι,
που γνωρίζουν την οργανωτική
δομή.
Η Διοίκηση συνήθως δεν
θέλει/μπορεί να παραδεχθεί
ότι μια επίθεση ξεκίνησε από
το εσωτερικό του οργανισμού.
Οι ζημιές που προκαλούνται
είναι πολύ πιο σημαντικές!
Κακόβουλο Λογισμικό:
Είναι απαραίτητη η ανθρώπινη
παρέμβαση!
14. Κίνητρα
Οι τύποι των Επιθέσεων είναι πολυπληθείς, γιατί τα
Κίνητρα και οι Στόχοι είναι χωρίς τέλος.
Δεν έχουν τίποτα να χάσουν, ενώ έχουν άφθονο χρόνο
Για την πλάκα
Για να δηλώσουν κάτι
Προβληματική και περιπλεγμένη ψυχολογία
Κέρδος – Απολαβές
Καιροσκόποι: οι περιστάσεις επιδρούν
Φίλοι, σχέσεις, ανταγωνιστές, κυβερνήσεις
14Ε Π Ι Τ Ι Θ Ε Μ Ε Ν Ο Ι
15. Επιπτώσεις
•Δυσφήμηση
•Οικονομικό κόστος και απώλειες
•Λογοδοσία & Ευθύνη
•Συμμόρφωση με εθνικό & διεθνές Νομοθετικό πλαίσιο
o Προστασία συνταγματικών αγαθών.
o Υποχρέωση λήψης τεχνικών και οργανωτικών μέτρων
κατά το σχεδιασμό
κατά την επεξεργασία δεδομένων
o Επίπεδο ασφάλειας ανάλογο προς το είδος και την ένταση των κινδύνων.
o Υποχρέωση ενημέρωσης (χρηστών) για τα μέτρα ασφάλειας αλλά και για τα
όρια της αποτελεσματικότητας.
Η πρόληψη απειλών και η διαχείριση της ασφάλειας προϋποθέτει και συνεπάγεται
επέμβαση στην ιδιωτικότητα!
15Ε Π Ι Π Τ Ω Σ Ε Ι Σ
16. Προσέγγιση Ασφάλειας
Εξισορρόπηση συμφερόντων
• Εκ των προτέρων κινητοποίηση (κρατικών) μηχανισμών
• Έγκαιρη διάγνωση κινδύνων & απειλών
• Έγκαιρη ανίχνευση
• Θέσπιση προληπτικών περιορισμών σε μια σειρά από δικαιώματα
Συστήματα Ασφάλειας
• Χρησιμεύουν ως αποτρεπτικοί μηχανισμοί
• Αποτελούνται από Αντίμετρα
• Τμήμα ενός ευρύτερου κοινωνικού συστήματος!
16Σ Υ Σ Τ Η Μ ΑΤΑ Α Σ Φ Α Λ Ε Ι Α Σ
17. 17Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
• Στοχεύουμε στις ανάγκες του οργανισμού
• Συλλέγουμε επιχειρησιακά κίνητρα, στόχους και σκοπούς και
αποδεικνύουμε την αξία της Ασφάλειας
• Επικοινωνούμε τους κινδύνους με θετικό τρόπο
• Ανάλυση SWOT και/ή Ανάλυση PESTEL
• Πρότυπα, Στρατηγικές & Πολιτικές
• Εκπαίδευση & Ενημέρωση
Εργαλεία & Ανάλυση
18. 18Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Εντοπισμός & Αξιοποίηση δυνατών
σημείων και αδύναμων σημείων προς διόρθωση:
• Παραδοχές Σαφείς και Μετρήσιμες
• Καταγραφή ανά βαρύτητα και προτεραιότητα
• Έλεγχος και επιβεβαίωση
SWOT & PESTEL
19. 19Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Πρότυπα Ασφάλειας ΤΠΕ
ISO/IEC 27000 series, NIST SP 800 series, COBIT (by ISACA), BSI (Bundesamt für Sicherheit
in der Informationstechnik), Information Security Forum (ISF Standard of Good Practice
for Information Security), ISO 15408:1999 (Common Criteria)
• Κοινό πλαίσιο αναφοράς, στο οποίο ένας οργανισμός οφείλει να κινηθεί, για να
διασφαλίσει πληροφορίες και συστήματα.
• Mεθόδους, δράσεις ή ιδιότητες, ώστε να υπάρχει αντιμετώπιση με κοινό και συνεπή τρόπο.
• Βοηθούν τους χρήστες να αντιληφθούν ότι υπάρχει πρόβλημα ασφάλειας και δίνουν κίνητρο
αντίπραξης.
• Αποδεικνύουν με μεθοδολογικό και πιστοποιήσιμο τρόπο τη συμμόρφωση ενός οργανισμού
στις βέλτιστες πρακτικές και διαδικασίες ασφαλείας.
• Προβάλλουν την αποτελεσματικότητα των εφαρμοσμένων λύσεων ασφαλείας και προς τη
Διοίκηση του οργανισμού, αλλά και προς τους πολίτες/συνεργάτες.
20. 20Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Μηχανισμοί Ελέγχου
Ακόμα κι αν αυτές οι πρακτικές ακολουθηθούν αυστηρώς,
θα συνεχίσουν να συμβαίνουν περιστατικά ασφάλειας
Επιχειρησιακά Κείμενα Ασφάλειας Onion Strategy
Policies
Standards
Guidelines
Procedures
22. Μεθοδολογία Διαχείρισης Ασφάλειας
Στόχος:
Προστασία Π.Σ. και περιορισμός Επικινδυνότητας
• Αξιολόγηση υφιστάμενου επιπέδου ασφάλειας &
πιθανών κινδύνων και προσδιορισμός ορίων αποδοχής
(ανταλλαγή).
• Καταγραφή Στόχων & Ανάπτυξη και Εφαρμογή
Πολιτικών
• Οργανωσιακό πλαίσιο και πόροι (κουλτούρα)
• Ρόλοι και Έλεγχος εφαρμογής
• Ενημέρωση, Εκπαίδευση, Ευαισθητοποίηση
22Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Η δημιουργία Πολιτικών
πρέπει να συντάσσεται από
ευρεία και αντιπροσωπευτική
ομάδα στελεχών:
- Ηγεσία
- Υπεύθυνους λήψης
αποφάσεων
- Τεχνικούς και διαχειριστές
- Απλούς χρήστες από όλα
τα επίπεδα του
οργανισμού
23. Μέτρα Προστασίας 1/3
Α. Σχέδιο Ασφάλειας
Οργανωσιακό πλαίσιο που περιγράφει τις απαιτήσεις ασφάλειας ενός
οργανισμού, τις απαραίτητες ενέργειες για την υλοποίησή τους, καθώς και τα
αναγκαία διοικητικά και οργανωτικά μέτρα, για τον περιορισμό του κινδύνου σε
αποδεκτό επίπεδο.
Περιλαμβάνει την Πολιτική Ασφάλειας και καταγράφει:
• υφιστάμενη κατάσταση των υποδομών,
• απαιτήσεις ασφάλειας,
• πλάνο υλοποίησης
• διαδικασίες συνεχούς επισκόπησης και αναθεώρησης
23Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
24. Μέτρα Προστασίας 2/3
24
Β. Σχέδιο Έκτακτης Ανάγκης
Μέτρα προστασίας, ανάκαμψης και αποκατάστασης και συνέχισης της επιχειρησιακής
λειτουργίας, τα οποία εφαρμόζονται σε περιπτώσεις έκτακτης ανάγκης π.χ. καταστροφή,
παραβίαση κτλ.
Περιλαμβάνει:
• ελαχιστοποίηση διακοπών της κανονικής λειτουργίας
• περιορισμός της έκτασης των ζημιών και καταστροφών
• εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων
• εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού
• δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας
• ελαχιστοποίηση των οικονομικών επιπτώσεων
Ποια θεωρούνται κρίσιμα συστήματα; Ποιοι κίνδυνοι τα απειλούν;
Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
25. Μέτρα Προστασίας 3/3
Γ. Εκπαίδευση υπαλλήλων
• Βασικά σημεία:
• Τι είναι προσωπικά, ευαίσθητα ή εμπιστευτικά
δεδομένα.
• Επιπτώσεις και η σημασία τους.
• Τι μοιραζόμαστε και τι όχι στο Διαδίκτυο.
• Θέματα κατάρτισης:
• Φυσική ασφάλεια
• Επιφάνειας εργασίας
• Passwords
• Διαμοιρασμός αρχείων και copyright
• Ψάρεμα! (social engineering)
25Τ Ε Χ Ν Ο ΛΟ Γ Ι ΚΟ Σ ΚΟ Σ Μ Ο Σ
26. Πλαίσιο Συν-εργασίας
• Οι Πολιτικές και οι Διαδικασίες για την Ασφάλεια δεν επιδρούν μόνο στο τι
κάνουν οι άνθρωποι, αλλά και το πώς αντιλαμβάνονται τον εαυτό τους, τους
συναδέλφους τους και το γενικότερο περιβάλλον στο οποίο βρίσκονται.
• Διαχείριση Αλλαγών
• Διαχείριση Συναισθημάτων
• Κανόνες & Απώθηση
• Κανόνες & Αποδοχή
26Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
27. Μηχανισμός Αξιολόγησης Μέτρων
Πέντε Βήματα
1. Τι Αγαθά προσπαθούμε να προστατέψουμε;
• Κατανόηση έκτασης του προβλήματος
2. Ποιοι Κίνδυνοι απειλούν αυτά τα αγαθά;
• Κατανόηση της ανάγκης για ασφάλεια
3. Πόσο καλά η προτεινόμενη λύση μετριάζει αυτούς τους κινδύνους;
• Πώς η προτεινόμενη λύση αλληλεπιδρά με το περιβάλλον
4. Ποιοι άλλοι κίνδυνοι μπορεί να προκληθούν από την προτεινόμενη λύση;
• Μη σκόπιμες επιπτώσεις
5. Ποια είναι τα κόστη και οι ανταλλαγές που η προτεινόμενη λύση επιφέρει;
27Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
28. Πολιτική Ασφάλειας
Περιλαμβάνει τον Σκοπό και τους Στόχους της Ασφάλειας.
Σύνολο οδηγιών, κανόνων, μέτρων και διαδικασιών που καθορίζουν τα φυσικά,
διαδικαστικά και προσωπικά μέτρα ασφάλειας, που λαμβάνονται από τη
Διοίκηση, στη διανομή και την προστασία των Αγαθών (Πληροφοριακών Συστημάτων).
• O οργανισμός καλείται να επιτύχει:
• Συμμόρφωση με το νομοθετικό και κανονιστικό πλαίσιο.
• Διασφάλιση της επιχειρησιακής ικανότητας (εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα
πληροφοριών και επικοινωνιών).
• Προστασία της επένδυσης που απαιτεί η λειτουργία των πληροφοριακών συστημάτων του
οργανισμού.
28Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Εφαρμογή Π.Α. μέσω έγγραφης γνωστοποίησης!
29. Αναγκαιότητα της Πολιτικής Ασφάλειας
Οι οργανισμοί οφείλουν να καταγράφουν τις ΤΠΕ αρχές τους και να διαμορφώνουν
Στρατηγική και συστηματικό/οργανωμένο Πλαίσιο Ασφάλειας που θα καθορίζει:
• Αγαθά
• Ρόλους & αρμοδιότητες
• Στόχους & πόρους
• Διαδικασίες
• Κουλτούρα
• Νομοθεσία & Πρότυπα
• Οδηγίες & Βέλτιστες Πρακτικές
Υπογραμμίζει τη σημασία και ανάγκη της ασφάλειας
Οδηγός ενεργειών των εμπλεκομένων
Προάγει την Εμπιστοσύνη από τους πολίτες και συνεργάτες
29Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Νόμοι, Κανονισμοί,
Απαιτήσεις Ασφάλειας ΠΣ
Πολιτική Ασφάλειας ΠΣ
Πρότυπα διοίκησης
της ασφάλειας ΠΣ
Βέλτιστες πρακτικές
Διαδικασίες, πρακτικές
Ασφάλειας ΠΣ
Οδηγίες, μέτρα
προστασίας
30. Κατηγορίες Απαιτήσεων Ασφάλειας
• Συμμετοχή Διοίκησης οργανισμού
• Ανθρώπινο δυναμικό
• Φυσική ασφάλεια
• Έλεγχος πρόσβασης
• Διαχείριση υλικού & λογισμικού
• Διαχείριση της Π.Α.
• Σχέδιο Συνέχισης Λειτουργίας
• Νομικά θέματα
30Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
Πρότυπο ISO/IEC 27001:2013
Υποχρεωτικοί Στόχοι Ελέγχου Τομεακές Κατηγορίες Ελέγχου
Γενικό Πλαίσιο του οργανισμού
Ηγεσία
Σχεδιασμός
Υποστήριξη
Λειτουργία
Αξιολόγηση Απόδοσης
Βελτίωση
A.5 Πολιτικές Ασφάλειας Πληροφοριών
A.6 Οργάνωση της Ασφάλειας Πληροφοριών
A.7 Ασφάλεια Ανθρώπινου Δυναμικού
A.8 Διαχείριση Αγαθών
A.9 Έλεγχος Πρόσβασης
A.10 Κρυπτογραφία
A.11 Φυσική και Περιβαλλοντική Ασφάλεια
A.12 Ασφάλεια Λειτουργιών
A.13 Ασφάλεια Επικοινωνιών
A.14 Απόκτηση, ανάπτυξη και συντήρηση συστημάτων
A.15 Σχέσεις με Προμηθευτές
A.16 Διαχείριση Περιστατικών Ασφάλειας πληροφοριών
A.17 Διαχείριση της Επιχειρησιακής Συνέχειας
A.18 Συμμόρφωση
31. Διατήρηση Πολιτικής Ασφάλειας
Κατά την ανάπτυξη μιας Πολιτικής Ασφάλειας
επιδιώκονται τα εξής χαρακτηριστικά:
• Πληρότητα
• Επικαιρότητα
• Γενικευσιμότητα
Σαφήνεια και ευκολία κατανόησης
Τεχνολογική Ανεξαρτησία
Καταλληλότητα
Εφαρμοσιμότητα
31Μ Η Χ Α Ν Ι Σ Μ Ο Ι Α Σ Φ Α Λ Ε Ι Α Σ
32. Εμπόδια & Προκλήσεις 1/2
Συρρίκνωση προϋπολογισμών και
αναβολή έργων
Κατάλληλη Στελέχωση
Έλλειψη κατανόησης της ανάγκης και
των επιπτώσεων
Χωρίς επίγνωση των κινδύνων
Κρίσιμη σημασία: να περιλαμβάνεται
στις προτεραιότητες της Διοίκησης
έλλειψη στρατηγικής
Διαχείριση Αλλαγών
Αναφορά Περιστατικών
32Π Ρ Ο Κ Λ Η Σ Ε Ι Σ
Παγκόσμια Έρευνα για την Ασφάλεια των Πληροφοριών 2013, PwC
33. Εμπόδια & Προκλήσεις 2/2
Ανθρώπινο Δυναμικό
• Χωρίς (σωστή) εκπαίδευση
• Χωρίς να έχουν πειστεί για την αναγκαιότητα
• Χωρίς (κατάλληλη) επικοινωνία
o Αποσαφήνιση ωφελημάτων
o Παροχή σαφών οδηγιών
o Συχνή επαφή / επικοινωνία στο κατάλληλο επίπεδο
Αναγνώριση εμπλεκομένων με βάση:
Βαθμό επείγοντος
Ισχύς
Νομιμοποίηση
33Π Ρ Ο Κ Λ Η Σ Ε Ι Σ
Human Impact Management For
Information Security
34. Διακυβέρνηση – Επικινδυνότητα – Συμμόρφωση
«Μία ολοκληρωμένη, ολιστική προσέγγιση σε
επίπεδο εταιρικής διακυβέρνησης, επικινδυνότητας
και συμμόρφωσης, που εξασφαλίζει ότι ολόκληρος ο
οργανισμός δρα ηθικά και σύμφωνα με το αποδεκτό
επίπεδο ανάληψης επικινδυνότητας, τις εσωτερικές
πολιτικές και τους εξωτερικούς κανονισμούς, δια
μέσου της ευθυγράμμισης των στρατηγικών, των
διαδικασιών, της τεχνολογίας και των ανθρώπων,
βελτιώνοντας έτσι την αποδοτικότητα και την
αποτελεσματικότητα της επιχείρησης».
Racz, N., Panitz, J., Amberg, M., Weippl, E., & Seufert, A. (2010). Governance, Risk & Compliance
(GRC) status quo and software use: Results from a survey among large enterprises.
34Δ Ι Α Κ Υ Β Ε Ρ Ν Η Σ Η
Εταιρική
Διακυβέρνηση
Διαχείριση
Επικινδυνότητας
Συμμόρφωση
Στρατηγική
Τεχνολογία Άνθρωποι
Διαδικασίες
ΟΛΙΣΤΙΚΗ
ΠΡΟΣΕΓΓΙΣΗ
Στρατηγικές
Κατευθύνσεις
Έλεγχοι
Αναγνώριση
Ανάλυση
Μέτρηση
Απόκριση
Τήρηση
Αναφορά