ΕΡΕΥΝΑ ΓΙΑ ΤΙΣ ΠΡΑΚΤΙΚΕΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΕΛΛΗΝΙΚΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ - ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΡΕΥΝΑ ΓΙΑ ΤΙΣ ΠΡΑΚΤΙΚΕΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΕΛΛΗΝΙΚΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ Η Μεταπτυχιακή ιπλωµατική Εργασία παρουσιάστηκε ενώπιον του ιδακτικού Προσωπικού του Πανεπιστηµίου Αιγαίου Σε Μερική Εκπλήρωση των Απαιτήσεων για το Μεταπτυχιακό ίπλωµα του Μηχανικού Πληροφοριακών και Επικοινωνιακών Συστηµάτων στηv κατεύθυνση Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστηµάτων Μυρτώ Ποθητάκη ΕΑΡΙΝΟ ΕΞΑΜΗΝΟ 2007

2 Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων ii

3 ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΗΣ: ΠΟΘΗΤΑΚΗ ΜΥΡΤΟΥΣ Κοκολάκης Σπύρος, Επιβλέπων Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων Γκρίτζαλης Στέφανος, Αναπληρωτής Καθηγητής Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων Καρύδα Μαρία, Λέκτορας Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΕΑΡΙΝΟ ΕΞΑΜΗΝΟ ΙΟΥΝΙΟΣ 2007 Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων iii

4 Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων iv

5 Περίληψη Η ανάπτυξη των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) ανέδειξε το ρόλο της πληροφορίας ως πολύτιµου αγαθού για κάθε οργανισµό και επιχείρηση. Συνεπώς, η ασφάλεια των πληροφοριών έχει βασικό ρόλο στη λειτουργία κάθε επιχείρησης, ιδιαίτερα από τη στιγµή που οι πληροφορίες για τη διεκπεραίωση καθηµερινών λειτουργιών βρίσκονται σε ψηφιακή µορφή. Σκοπός της παρούσας έρευνας είναι να διαπιστώσει τους κινδύνους και τα προβλήµατα που αντιµετωπίζουν οι επιχειρήσεις που δραστηριοποιούνται στον Ελλαδικό χώρο, ο βαθµός ενηµέρωσης που έχουν σε ζητήµατα που αφορούν την ασφάλεια των πληροφοριών και τα µέτρα προστασίας που εφαρµόζουν. Η έρευνα έγινε µέσω του διαδικτύου. Η έρευνα αφορά κάθε επιχείρηση που χρησιµοποιεί πληροφοριακό σύστηµα για τη λειτουργία της, ανεξάρτητα από τον αριθµό των υπαλλήλων της. Συγκεκριµένα αναφέρθηκε σε επιχειρήσεις πληροφορικής και τηλεπικοινωνιών, ηλεκτρονικά καταστήµατα, τράπεζες, ασφαλιστικές εταιρείες, δηµόσια νοσοκοµεία και εταιρείες που δραστηριοποιούνται στο εµπόριο. Για την ανάλυση των δεδοµένων χρησιµοποιήθηκε περιγραφική στατιστική, συγκεκριµένα χρήση ραβδογραµµάτων, και η ανάλυση διακύµανσης για τον έλεγχο των στατιστικών υποθέσεων. Λόγω του ότι το ποσοστό των απαντήσεων είναι µικρό (22,4%) δε µπορούµε να προβούµε σε γενικεύσεις, αλλά να σχηµατίσουµε µια εικόνα για τις πρακτικές ασφάλειας που εφαρµόζουν οι επιχειρήσεις στην Ελλάδα.

6 Abstract As computers become more and more pervasive, organizations and companies have become so dependent on information systems for their daily operations and strategic purposes thus intensify the need for information systems security. Given this, the priority of information security should be high and translated into actions in order to preserve the confidentiality, integrity and availability of company s sensitive assets. The purpose of this survey is to better understand the risks that Greek companies face, the extent of security awareness and also the security controls which are implemented so as to prevent the security incidents. The research was a quantitative web survey using a structure questionnaire. The sample was picked randomly from a register of Greek business and Internet and included six business sectors, namely, financial services, health, technology, telecommunications, e-shops and retail. For the data analysis was used descriptive statistics and analysis of variance as well. Unfortunately, the response rate was low so we cannot come to general conclusions. However, it was formed an idea of Greek s companies attitude towards security of information systems.

7 Ευχαριστίες-Αφιερώσεις Στο σηµείο αυτό θα ήθελα να ευχαριστήσω το καθηγητή κ. Κοκολάκη Σπύρο, ο οποίος είχε την εποπτεία της διπλωµατικής µου, για τη βοήθεια που µου προσέφερε και για την καθοδήγησή του. Επίσης ευχαριστώ την τριµελή επιτροπή, αλλά και τους καθηγητές µου στο τµήµα για τις γνώσεις που µε βοήθησαν να αποκτήσω στο µεταπτυχιακό πρόγραµµα. Επίσης ευχαριστώ την τριµελή επιτροπή, αλλά και τους καθηγητές του µεταπτυχιακού προγράµµατος. Πάνω από όλα, όµως, θα ήθελα να ευχαριστήσω τους γονείς µου για τη συµπαράσταση που µου έδειξαν όλα τα χρόνια των σπουδών µου. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων ii

8 Πίνακας Περιεχοµένων Περίληψη... i Abstract... i Κατάλογος Εικόνων... iv 1. Εισαγωγή Το ζήτηµα της Ασφάλειας Π.Σ. στις ελληνικές επιχειρήσεις Αφορµή και κίνητρα για την έρευνα Εύρος και όρια της έρευνας Σκοπός και στόχοι Εννοιολογικό πλαίσιο της έρευνας οµή της διπλωµατικής Προηγούµενη έρευνα CSI/ FBI computer crime and security survey The Global State of Information Security Global Information Security Survey 2006 (Ernst & Young) Information Security Breaches Survey Μεθοδολογία Πηγές Σχεδιασµός Έρευνας Μέθοδοι συνέντευξης Ερωτηµατολόγιο Ανάλυση δεδοµένων Αποτελέσµατα της έρευνας Εισαγωγή Στρατηγική των εταιρειών όσον αφορά την ασφάλεια Λόγοι επένδυσης στο τοµέα της ασφάλειας των πληροφοριών Ενηµέρωση του προσωπικού Πολιτική ασφάλειας και Πρότυπα ασφάλειας Εξωτερικοί συνεργάτες Έλεγχοι ασφάλειας ιατήρηση εφεδρικών αντιγράφων Σχέδιο συνέχειας και ανάκαµψης Πρόσβαση στο διαδίκτυο Αυθεντικοποίηση χρηστών στο πληροφοριακό σύστηµα Φυσική προστασία Περιστατικά παραβίασης Από το προσωπικό Περιστατικό κλοπής δεδοµένων/ υλικού εξοπλισµού Αλλοίωση δεδοµένων Παραβίαση δικτύου Περιστατικό µε τη µεγαλύτερη επίπτωση στη λειτουργία των επιχειρήσεων Μελλοντική προοπτική Συµπεράσµατα και περαιτέρω έρευνα Συµπεράσµατα της έρευνας Αξιοποίηση της έρευνας Βιβλιογραφικές Πηγές Παράρτηµα Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων iii

9 Κατάλογος Εικόνων Εικόνα 1: Ποσοστό των εταιρειών που αντιµετώπισαν περιστατικά παραβίασης από το 1999 έως το Εικόνα 2: Οι πέντε πρώτες πηγές επιθέσεων Εικόνα 3: Ποσοστό των εταιρειών που είχαν περιστατικά παραβίασης Εικόνα 4: Οι τρεις κυριότεροι λόγοι που έχουν ή θα έχουν αντίκτυπο στις πρακτικές ασφάλειας των εταιρειών Εικόνα 5: Πώς απευθύνονται οι εταιρείες στην προστασία των δεδοµένων; Εικόνα 6: Τι ποσοστό των εταιρειών αντιµετώπισε περιστατικά παραβίασης του πληροφοριακού συστήµατος; Εικόνα 7: Τι ποσοστό των εταιρειών εφαρµόζουν πολιτική ασφάλειας; Εικόνα 8: Το χειρότερο περιστατικό παραβίασης που αντιµετώπισαν οι βρετανικές επιχειρήσεις Εικόνα 9: Ποσοστό των εταιρειών ανά τοµέα δραστηριοποίησης Εικόνα 10: Ποιος είναι ο ρόλος σας µέσα στην εταιρεία; Εικόνα 11: Είναι σηµαντική η εξασφάλιση της εµπιστευτικότητας, της ακεραιότητας και της διαθεσιµότητας των δεδοµένων; Εικόνα 12: Η ακεραιότητα και η διαθεσιµότητα των δεδοµένων είναι λίγο έως καθόλου σηµαντική στις µικρές και µικροµεσαίες επιχειρήσεις Εικόνα 13: Λόγοι επένδυσης στην ασφάλεια των πληροφοριών Εικόνα 14: Λόγοι επένδυσης των εταιρειών στην ασφάλεια πληροφοριών, σύµφωνα µε το µέγεθός τους Εικόνα 15: Ποσοστό του προϋπολογισµού Εικόνα 16: Ποσοστό του προϋπολογισµού σύµφωνα µε το µέγεθος των εταιρειών Εικόνα 17: Το προσωπικό γνωρίζει τις ευθύνες και τις αρµοδιότητές του µέσα στην εταιρεία Εικόνα 18: Το προσωπικό δεν αποκαλύπτει ευαίσθητα δεδοµένα Εικόνα 19: Το προσωπικό δεν αποκαλύπτει ευαίσθητα δεδοµένα Εικόνα 20: Το προσωπικό αναγνωρίζει και αναφέρει ασυνήθιστα γεγονότα Εικόνα 21: Ενηµέρωση προσωπικού Εικόνα 22: Ενηµέρωση του προσωπικού σύµφωνα µε το µέγεθος της εταιρείας Εικόνα 23: Επίσηµη και καταγεγραµµένη πολιτική ασφάλειας Εικόνα 24: Επίσηµη και καταγεγραµµένη πολιτική ασφάλειας ανάλογα µε το µέγεθος της εταιρείας Εικόνα 25: Επίσηµη και καταγεγραµµένη πολιτική ασφάλειας ανάλογα µε το τοµέα δραστηριοποίησης της εταιρείας Εικόνα 26: Πολιτική ασφάλειας - Πρότυπα ασφάλειας Εικόνα 27: Υιοθέτηση προτύπων Εικόνα 28: Υιοθέτηση προτύπων σύµφωνα µε το τοµέα δραστηριοποίησης Εικόνα 29: Πλεονεκτήµατα προτύπων Εικόνα 30: Συνεργασία µε εξωτερικούς παράγοντες Εικόνα 31: Πολιτική για την συνεργασία µε τρίτες οντότητες Εικόνα 32: Εφεδρικά αντίγραφα Εικόνα 33: Συχνότητα τήρησης εφεδρικών αντιγράφων Εικόνα 34: Σχέδιο συνέχειας και ανάκαµψης Εικόνα 35: Σχέδιο συνέχειας και ανάκαµψης Εικόνα 36: Ανανέωση του σχεδίου συνέχειας Εικόνα 37: Ανανέωση του σχεδίου συνέχειας σύµφωνα µε το τοµέα δραστηριοποίησης59 Εικόνα 38: Χρήση του διαδικτύου, σύµφωνα µε το µέγεθος των εταιρειών Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων iv

10 Εικόνα 39: Χρήση του διαδικτύου σύµφωνα µε το τοµέα δραστηριοποίησης Εικόνα 40: Προστασία του πληροφοριακού συστήµατος από το διαδίκτυο Εικόνα 41: Προστασία του πληροφοριακού συστήµατος από το διαδίκτυο σύµφωνα µε το τοµέα δραστηριοποίησης Εικόνα 42: Κάθε πότε ανανεώνεται τα παρακάτω προγράµµατα; Εικόνα 43: Αυθεντικοποίηση των χρηστών Εικόνα 44: Αυθεντικοποίηση των χρηστών Εικόνα 45: Αυθεντικοποίηση των χρηστών Εικόνα 46: Μέτρα για την φυσική προστασία της εταιρείας Εικόνα 47: Μέτρα για την φυσική προστασία της εταιρείας σύµφωνα µε το τοµέα δραστηριοποίησης Εικόνα 48: Περιστατικά παραβίασης από το προσωπικό Εικόνα 49: Περιστατικά παραβίασης από το προσωπικό Εικόνα 50: Περιστατικό κλοπής δεδοµένων/ υλικού εξοπλισµού Εικόνα 51: Περιστατικό κλοπής δεδοµένων/ υλικού εξοπλισµού Εικόνα 52: Αλλοίωση δεδοµένων Εικόνα 53: Αλλοίωση δεδοµένων Εικόνα 54: Περιστατικό αλλοίωσης δεδοµένων σύµφωνα µε το τοµέα δραστηριοποίησης της εταιρείας Εικόνα 55: Συχνότητα περιστατικών του δικτύου της εταιρείας Εικόνα 56: Περιστατικά παραβίασης του δικτύου σύµφωνα µε το τοµέα δραστηριοποίησης των εταιρειών Εικόνα 57: Ποιο περιστατικό είχε τη µεγαλύτερη επίπτωση στη λειτουργία της εταιρείας; Εικόνα 58: Ποιο περιστατικό είχε τη µεγαλύτερη επίπτωση στη λειτουργία της εταιρείας; Εικόνα 59: Επιπτώσεις των περιστατικών Εικόνα 60: Επιπτώσεις των περιστατικών σύµφωνα µε το τοµέα απασχόλησης των εταιρειών Εικόνα 61: Χρονική διάρκεια των περιστατικών παραβίασης Εικόνα 62: Χρονική διάρκεια των περιστατικών παραβίασης σύµφωνα µε το µέγεθος των εταιρειών Εικόνα 63: Μελλοντική προοπτική των εταιρειών Εικόνα 64: Μελλοντική προοπτική των εταιρειών σύµφωνα µε το µέγεθος των εταιρειών Εικόνα 65: Μελλοντικές βλέψεις των εταιρειών σύµφωνα µε το τοµέας απασχόλησης. 80 Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων v

11 1. Εισαγωγή 1.1. Το ζήτηµα της Ασφάλειας Π.Σ. στις ελληνικές επιχειρήσεις Η ανάπτυξη των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) τις τελευταίες δεκαετίες ανέδειξε το ρόλο της πληροφορίας ως πολύτιµου αγαθού για κάθε οργανισµό και επιχείρηση. Η αναγνώριση της αξίας της πληροφορίας οδήγησε και στην αναγνώριση της ανάγκης για προστασία της πληροφορίας και των συστηµάτων που τη διαχειρίζονται. Όπως αναφέρεται και στο βιβλίο του.γκρίτζαλη Αυτονοµία και Πολιτική Ανυπακοή στο Κυβερνοχώρο, η ανάγκη στρατηγικού σχεδιασµού και συστηµατικής δράσης δεν υπήρξε ορατή στον ίδιο βαθµό κατά τη διάρκεια της ανάπτυξης των τεχνολογιών της πληροφορικής. Αρχικά, στη δεκαετία του 60 και 70 τα ζητήµατα που αφορούσαν την ασφάλεια των πληροφοριών θεωρούνταν πως απασχολούσαν σχεδόν αποκλειστικά περιβάλλοντα υψηλής επικινδυνότητας, όπως είναι ο στρατιωτικός τοµέας. Στην αρχή της δεκαετίας του 80 η δηµοσιότητα των αρνητικών συνεπειών περιστατικών ασφάλειας είχε ως αποτέλεσµα τα ζητήµατα που αφορούσαν στην ασφάλεια να αποκτήσουν ενδιαφέρον. Ουσιαστικά, όµως το θέµα της ασφάλειας αναδείχθηκε τη δεκαετία του 90 κυρίως λόγω της ανάπτυξης του διαδικτύου και της λογικής αποσύνδεσης της έννοιας της ασφάλειας από τη φυσική προσπέλαση. Οι απειλές που αντιµετωπίζει ένα πληροφοριακό σύστηµα είναι ποικίλες. Για παράδειγµα, υπάρχουν οι φυσικές απειλές όπως είναι η πυρκαγιά και ο σεισµός, απειλές µη εξουσιοδοτηµένης πρόσβασης όπως είναι το hacking, τεχνικά προβλήµατα αλλά και ανθρώπινα σφάλµατα. Καθώς εξελίσσονται οι τεχνολογίες, µε τον ίδιο ρυθµό µεταβάλλονται και οι απειλές. Για παράδειγµα όσο εξελίσσονται τα µέσα ελέγχου πρόσβασης, τόσο εξελίσσονται οι τεχνικές και τα εργαλεία που χρησιµοποιούν οι εισβολείς. Η σηµαντική ερευνητική δραστηριότητα στο τοµέα της ασφάλειας των πληροφοριακών συστηµάτων τα τελευταία χρόνια έχει προσφέρει ένα σηµαντικό αριθµό αποτελεσµατικών τεχνικών και µέσων προστασίας. Τα διαθέσιµα αντίµετρα είναι ικανά να αντιµετωπίζουν τις περισσότερες απειλές που δέχεται ένα πληροφοριακό σύστηµα. Παρόλα αυτά, τα τεχνικά µέτρα δεν είναι από µόνα τους αρκετά για να εξασφαλίσουν την προστασία ενός πληροφοριακού συστήµατος. Ο ανθρώπινος παράγοντας είναι εξίσου σηµαντικός και δεν Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 1

12 πρέπει σε καµία περίπτωση να παραβλέπεται. Η ανάπτυξη ασφαλών πληροφοριακών συστηµάτων οφείλει να λαµβάνει υπόψη και τις δυο αυτές παραµέτρους. Τα πληροφοριακά συστήµατα είναι πλέον κοινός τόπος στην καθηµερινή ζωή των ατόµων. Σχεδόν όλες οι κοινωνικές δραστηριότητες υποστηρίζονται από κάποιο πληροφοριακό σύστηµα, και ακόµα περισσότερο η λειτουργία µιας επιχείρησης. Η πλειονότητα των ελληνικών εταιρειών στηρίζει τη λειτουργία και την οργάνωσή της στο πληροφοριακό σύστηµα που την υποστηρίζει. Για το λόγο αυτό η ασφάλεια και η σωστή λειτουργία του πληροφοριακού συστήµατος είναι άρρηκτα συνδεδεµένες µε τη σωστή λειτουργία της επιχείρησης. Η ασφαλής λειτουργία των επιχειρήσεων δεν είναι ένα θέµα που αφορά στις επιχειρήσεις µόνο. Πολλές εταιρείες συγκεντρώνουν και διαχειρίζονται µεγάλο όγκο πληροφοριών, και σε πολλές περιπτώσεις οι πληροφορίες αυτές αναφέρονται σε προσωπικά δεδοµένα πολιτών. Σήµερα πολλές συναλλαγές γίνονται µέσω του διαδικτύου όπως η αγορά υλικών αγαθών µέσω ηλεκτρονικών καταστηµάτων ή µια τραπεζική συναλλαγή. Αυτός είναι ένας κύριος λόγος για την ανάπτυξη ενός νοµικού πλαισίου που προστατεύει την επεξεργασία ευαίσθητων προσωπικών δεδοµένων. Στην Ελλάδα σήµερα βρίσκονται σε εφαρµογή η Αρχή Προστασίας Προσωπικών εδοµένων και η Αρχή ιασφάλισης του απορρήτου των επικοινωνιών Αφορµή και κίνητρα για την έρευνα Το κίνητρο για τη συγκεκριµένη έρευνα είναι η περιοδική έρευνα που γίνεται κάθε δυο χρόνια στη Μεγάλη Βρετανία από το Τµήµα Εµπορίου και Βιοτεχνίας (Department of Trade and Industry, DTI) [1]. Όπως θα παρουσιαστεί και στη συνέχεια περισσότερο αναλυτικά, η έρευνα λαµβάνει χώρα από το 1991, και έχει ως στόχο να βοηθήσει τις εταιρείες στη Μεγάλη Βρετανία να κατανοήσουν τους κινδύνους που µπορεί να αντιµετωπίσουν. Στην Ελλάδα η γνώση του επιπέδου ασφάλειας των επιχειρήσεων που δραστηριοποιούνται στο χώρο της είναι περιορισµένη, καθώς δε διεξάγονται συστηµατικά έρευνες γύρω από το τοµέα αυτό. Η συγκεκριµένη έρευνα αποσκοπεί να διαµορφώσει µια εικόνα σχετικά µε τις πρακτικές ασφάλειας που εφαρµόζει η κάθε εταιρεία. ηλαδή πόσο ενηµερωµένες είναι οι ελληνικές επιχειρήσεις όσον αφορά το τοµέα της ασφάλειας των πληροφοριών, πόσο σηµαντικό το θεωρούν για τη συνέχεια της λειτουργίας της εταιρείας, εάν δέχονται απειλές και εάν αντιµετωπίζουν περιστατικά παραβίασης των αγαθών που διατηρούν. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 2

13 Αξιολογώντας τα παραπάνω και λαµβάνοντας υπόψη την επιτακτική ανάγκη για την ασφάλεια των πληροφοριών των εταιρειών, η παρούσα εργασία φιλοδοξεί να κατανοήσει τους κινδύνους που αντιµετωπίζουν οι εταιρείες και τα µέτρα που υλοποιούν για να τους αντιµετωπίσουν. Η γνώση αυτή µπορεί να χρησιµοποιηθεί από τις ίδιες τις εταιρείες έτσι ώστε να βελτιώσουν, εάν το κρίνουν σηµαντικό, την πολιτική που ήδη ακολουθούν και να παραδειγµατιστούν από τη δράση άλλων εταιρειών Εύρος και όρια της έρευνας Η έρευνα αφορά κάθε εταιρεία που για τη λειτουργία της χρησιµοποιεί πληροφοριακό σύστηµα, ανεξάρτητα από το µέγεθός της, δηλαδή τον αριθµό των υπαλλήλων της. Λόγω των χρονικών περιορισµών για την ολοκλήρωση της έρευνας απευθυνθήκαµε σε συγκεκριµένες κατηγορίες εταιρειών: Τράπεζες Ασφαλιστικές εταιρείες Ηλεκτρονικά καταστήµατα Εταιρείες πληροφορικής Εταιρείες τηλεπικοινωνιών ηµόσια νοσοκοµεία Εταιρείες που ασχολούνται µε το εµπόριο Ο αριθµός των αποκρίσεων των παραπάνω εταιρειών αγγίζει το 22,4%. υστυχώς, το δείγµα αυτό δεν είναι αρκετά µεγάλο για να µπορέσουµε να βγάλουµε ασφαλή στατιστικά συµπεράσµατα. Ωστόσο, από το ποσοστό αυτό µπορούµε να έχουµε µια εικόνα για τις προτεραιότητες των εταιρειών σε κάθε τοµέα όσον αφορά στην ασφάλεια των πληροφοριών, καθώς και για τη συσχέτιση της ευαισθησίας των δεδοµένων που έχει στη κατοχή της η κάθε εταιρεία µε τα µέτρα προστασίας που εφαρµόζει. Όπως αναφέρθηκε παραπάνω, ο χρονικός παράγοντας δε µας επέτρεψε να συµπεριλάβουµε στην έρευνα και άλλες κατηγορίες εταιρειών όπως δηµόσιες επιχειρήσεις, πανεπιστήµια, βιοµηχανικές εταιρείες, ιατρικά ινστιτούτα κτλ. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 3

14 Επίσης άλλο ένα σηµαντικό ζήτηµα ήταν το εύρος του ερωτηµατολογίου, το οποίο δε µπορούσε να καλύπτει όλα τα ζητήµατα σχετικά µε την ασφάλεια του πληροφοριακού συστήµατος της εταιρείας. Ουσιαστικά το ερωτηµατολόγιο αποσκοπεί στα παρακάτω: Στο βαθµό ενηµέρωσης των εταιρειών σχετικά µε την ασφάλεια των πληροφοριών Στα µέτρα προστασίας που εφαρµόζουν, αλλά και πόσο σωστά το κάνουν Στα περιστατικά ασφάλειας που αντιµετωπίζουν και στον αντίκτυπο που έχουν στη καθηµερινή λειτουργία της εταιρείας Στα µελλοντικά σχέδια των εταιρειών για την ασφάλεια των πληροφοριών 1.4. Σκοπός και στόχοι Η έρευνα έχει ως στόχο να κατανοήσει τις απειλές και τα περιστατικά ασφάλειας που αντιµετωπίζουν οι ελληνικές εταιρείες, τον τρόπο που εντάσσει η κάθε επιχείρηση τα ζητήµατα που αφορούν την ασφάλεια των πληροφοριών και ποιες είναι οι µελλοντικές σκέψεις των υπεύθυνων πάνω σε αυτό το ζήτηµα. Ουσιαστικά η έρευνα αναφέρεται σε κάθε εταιρεία που στηρίζεται στο πληροφοριακό της σύστηµα για να διεκπεραιώσει τη λειτουργία της, ακόµα και εάν το πληροφορικό σύστηµα αποτελείται από έναν υπολογιστή Εννοιολογικό πλαίσιο της έρευνας Στο πίνακα που ακολουθεί παρουσιάζουµε συνοπτικά τους ορισµούς των βασικών εννοιών που χρησιµοποιούνται στο παρόν κείµενο. Βασικοί Ορισµοί Ερµηνεία Αγαθό(Asset) Πληροφορίες, δεδοµένα ή υπολογιστικοί πόροι που έχουν αξία Ακεραιότητα Αποφυγή µη εξουσιοδοτηµένης τροποποίησης µιας πληροφορίας. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 4

15 Ασφάλεια Πληροφοριακών Συστηµάτων Είναι το σύνολο των ενεργητικών και παθητικών µέτρων που απαιτούνται για την προστασία των πληροφοριακών συστηµάτων Αυθεντικοποίηση Η εξακρίβωση της γνησιότητας µιας πληροφορίας ή της ταυτότητας ενός χρήστη ή ενός υπολογιστικού συστήµατος. Αντιικά προγράµµατα Τα προγράµµατα εκείνα που προστατεύουν το πληροφοριακό σύστηµα από το ιοµορφικό λογισµικό ιαθεσιµότητα Αποφυγή µη εύλογων καθυστερήσεων στην εξουσιοδοτηµένη προσπέλαση πληροφοριών ή υπολογιστικών πόρων Εµπιστευτικότητα Αποφυγή αποκάλυψης πληροφοριών σε αναρµόδια πρόσωπα Εξωτερικοί Συνεργάτες Εταιρείες, οργανισµοί ή φυσικά πρόσωπα µε τους οποίους υπήρξαν ή υπάρχουν εργασιακές σχέσεις Εφεδρικό αντίγραφο πληροφοριών Αντίγραφο των πληροφοριών που χρησιµοποιείται για να επιτευχθεί η ανάκαµψη Ευαίσθητα εδοµένα / Πληροφορία εδοµένα των οποίων η αποκάλυψη, τροποποίηση χωρίς εξουσιοδότηση µπορεί να προκαλέσει απώλεια Πληροφορία Το εκµεταλλεύσιµο προϊόν που προκύπτει από την επεξεργασία των δεδοµένων Πληροφοριακό Σύστηµα Ένα οργανωµένο σύνολο αλληλεπιδρώντων στοιχείων (άνθρωποι, δεδοµένα, λογισµικό, υλικός εξοπλισµός, διαδικασίες), το οποίο επεξεργάζεται και µεταδίδει πληροφορίες και αποσκοπεί στην εκπλήρωση κάποιου σκοπού Πολιτική ασφάλειας Περιγραφή του συνόλου των κανόνων, µέτρων και διαδικασιών που καθορίζουν τα φυσικά, διαδικαστικά και άλλα µέτρα ασφάλειας που λαµβάνονται κατά τη διαχείριση και προστασία των αγαθών Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 5

16 Συνθηµατικό Εµπιστευτική συµβολοσειρά που χρησιµοποιείται για τον έλεγχο της αυθεντικότητας του χρήστη Σχέδιο Συνέχειας Περιγραφή των ενεργειών που απαιτούνται για να επιτευχθεί ανάνηψη µετά από µια σοβαρή παραβίαση Ταυτοποίηση χρήστη ιαδικασία αναγνώρισης της ταυτότητας ενός χρήστης από ένα υπολογιστικό σύστηµα Φυσική ασφάλεια Συσκευές και διαδικασίες που προστατεύουν τα συστατικά ενός πληροφοριακού συστήµατος και τις σχετικές υποδοµές Firewall Συστήµατα ή οµάδες συστηµάτων τα οποία υλοποιούν τους κανόνες µιας πολιτικής ασφάλειας µεταξύ δυο δικτύων. Τις περισσότερες φορές το ένα από τα δυο δίκτυα είναι το Internet 1.6. οµή της διπλωµατικής Στο σηµείο αυτό θα παρουσιάσουµε συνοπτικά τη δοµή της εργασίας. Η εργασία αποτελείται συνολικά από πέντε κεφάλαια. Στο πρώτο κεφάλαιο, που είναι η εισαγωγή, περιγράφεται το αντικείµενο της έρευνας καθώς και η αφορµή και τα κίνητρα που µας οδήγησαν στο συγκεκριµένο ζήτηµα. Στο κεφάλαιο αυτό διευκρινίζεται επίσης ο στόχος και το εύρος της έρευνας, αλλά και οι αποδέκτες αυτής. Τέλος παρουσιάζεται το εννοιολογικό πλαίσιο της έρευνας, ουσιαστικά µια εννοιολογική θεµελίωση των εννοιών που χρησιµοποιούνται για τη δηµιουργία του ερωτηµατολογίου και της ανάλυσης των δεδοµένων. Στο δεύτερο κεφάλαιο γίνεται µια παρουσίαση των αποτελεσµάτων που έχουν προκύψει από προηγούµενες έρευνες, οι οποίες έχουν γίνει και αφορούν την ασφάλεια των πληροφοριών. Οι έρευνες έχουν διεξαχθεί από εταιρείες όπως η Ernst&Young και η PricewaterhouseCooper, από το περιοδικό CIO και τέλος από το ινστιτούτο Computer Security Institute. Οι έρευνες έλαβαν χώρα είτε σε παγκόσµιο είτε σε εθνικό επίπεδο. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 6

17 Στη συνέχεια παρουσιάζεται η µεθοδολογία που ακολουθήθηκε για τη διεξαγωγή της έρευνας. Αρχικά παρουσιάζονται περισσότερο διεξοδικά η έρευνα που διεξήχθη από το Τµήµα Εµπορίου και Βιοµηχανίας της Αγγλίας, στην οποία στηριχθήκαµε για τη διεξαγωγή της δικής µας έρευνας. Έπειτα, αναφέρεται η δοµή του ερωτηµατολογίου που ζητήθηκε να συµπληρωθεί από τις ελληνικές εταιρείες για τη συλλογή των δεδοµένων. Τέλος, γίνεται αναφορά στην µεθοδολογία που ακολουθήθηκε για την ανάλυση των δεδοµένων. Στο επόµενο κεφάλαιο, το τέταρτο, αναλύουµε διεξοδικά τα αποτελέσµατα της έρευνας, που βασίζονται αποκλειστικά στα δεδοµένα που συλλέξαµε από την ηλεκτρονική συµπλήρωση των ερωτηµατολογίων και τις προσωπικές συνεντεύξεις. Στο πέµπτο και τελευταίο κεφάλαιο παρουσιάζονται τα συµπεράσµατα που προκύπτουν από την ανάλυση των δεδοµένων που παρουσιάστηκε στο τέταρτο κεφάλαιο. Επίσης, στο κεφάλαιο αυτό παρουσιάζονται οι τοµείς στους οποίους η παρούσα διπλωµατική εργασία µπορεί να φανεί χρήσιµη, καθώς και τα θέµατα που επιδέχονται περαιτέρω έρευνα. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 7

18

19 2. Προηγούµενη έρευνα 2.1. CSI/ FBI computer crime and security survey Η έρευνα µε τίτλο The Computer Crime and Security Survey [2] διεξάγεται από το Computer Security Institute µε τη συµµετοχή του San Francisco Federal Bureau of investigation s Computer Intrusion Squad. Το έτος 2006, η έρευνα µετράει την ενδέκατη χρονιά που διεξάγεται, και πιστεύεται ότι είναι η µακροβιότερη έρευνα στο τοµέα της ασφάλειας των πληροφοριών. Η έρευνα βασίστηκε σε 616 εταιρείες της Αµερικής που δραστηριοποιούνταν στο τοµέα της υγείας, στο χρηµατοοικονοµικό τοµέα, στο δηµόσιο τοµέα και σε πανεπιστήµια. Τα σηµαντικότερα θέµατα που θίγει η έρευνα όλα τα χρόνια που λαµβάνει χώρα αναφέρονται στα εξής: Μη εξουσιοδοτηµένη πρόσβαση του πληροφοριακού συστήµατος Περιστατικά παραβίασης, τόσο από εξωτερικές όσο και από εσωτερικές οντότητες Τύποι επιθέσεων Ενέργειες που έγιναν για την αντιµετώπιση των περιστατικών παραβίασης Εικόνα 1: Ποσοστό των εταιρειών που αντιµετώπισαν περιστατικά παραβίασης από το 1999 έως το 2006 Η έρευνα, βέβαια, εξελίσσεται µε την πάροδο του χρόνου και στην πιο πρόσφατη διεξαγωγή περιείχε και ερωτήσεις που εισάγονταν για πρώτη φορά. Συγκεκριµένα, µια ερώτηση ανοιχτού τύπου αφορούσε τις τρέχουσες ανησυχίες των συµµετεχόντων στον τοµέα της ασφάλειας των πληροφοριών. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 9

20 Μερικά από τα σηµαντικότερα αποτελέσµατα που έδειξε η παραπάνω έρευνα είναι τα εξής: Το περιστατικό που έχει ως συνέπεια τη µεγαλύτερη οικονοµική απώλεια των εταιρειών εξακολουθεί να είναι οι επιθέσεις από τους ιούς. Στη δεύτερη θέση βρίσκεται η µη εξουσιοδοτηµένη πρόσβαση σε υπολογιστικούς πόρους της εταιρείας και τέλος, στην τρίτη θέση βρίσκεται η κλοπή τόσο υλικού εξοπλισµού όπως είναι οι φορητοί υπολογιστές όσο η κλοπή πληροφοριών και η παραβίαση των δικαιωµάτων πνευµατικής ιδιοκτησίας Περισσότερο από το 80% του ποσοστού των εταιρειών κάνουν ελέγχους ασφαλείας (security audits) Η συµµόρφωση µε τις απαιτήσεις του νόµου που αφορούν την ασφάλεια των πληροφοριών είναι ένα από τα σηµαντικότερα θέµατα ασφαλείας που λαµβάνουν υπόψη οι εταιρείες. Η πλειοψηφία των οργανισµών θεωρούν την ενηµέρωση και την εκπαίδευση του προσωπικού ως ένα από τα πιο σηµαντικά θέµατα. Κατά µέσο όρο, οι εταιρείες από τους περισσότερους τοµείς πιστεύουν ότι πρέπει να επενδύσουν περισσότερο σε αυτό το τοµέα The Global State of Information Security 2005 Η έρευνα µε τίτλο The Global State of Information Security 2005 [4] διεξάγεται από την εταιρεία PricewaterhouseCoopers και το περιοδικό CIO. Η έρευνα έγινε ηλεκτρονικά και συµµετείχαν σε αυτήν περισσότεροι από υπεύθυνοι ασφάλειας πληροφοριακών συστηµάτων και διευθυντές πληροφοριακών συστηµάτων από 63 χώρες. Αυτή είναι η τρίτη ετήσια διεξαγωγή της έρευνας. Οι εταιρείες που έλαβαν µέρος στην έρευνα δραστηριοποιούνται στο χρηµατοοικονοµικό τοµέα, στην εκπαίδευση, σύµβουλοι επιχειρήσεων, εφαρµογές πληροφορικής (ανάπτυξη λογισµικού), στις τηλεπικοινωνίες, και τέλος στο τοµέα της υγείας. Μερικά από τα θέµατα που θίγει η έρευνα αυτή, είναι τα παρακάτω: Στρατηγική ασφάλειας στις εταιρείες: Σύµφωνα µε τα δεδοµένα της έρευνας οι εταιρείες έχουν αρχίσει και προσλαµβάνουν υπεύθυνους ασφαλείας. Από τη στιγµή που η ασφάλεια πληροφοριών κερδίζει θέση (status) µέσα στην εταιρεία, τόσο Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 10

21 καλύτερα εφαρµόζεται. Οι εταιρείες που είχαν προσλάβει αρµόδια πρόσωπα για την ασφάλεια πληροφοριών ήταν περισσότερο πιθανό να έχουν υλοποιήσει σχέδιο ασφάλειας από τις υπόλοιπες εταιρείες, και επιπρόσθετα το σχέδιο αυτό ήταν σε σωστή βάση για τις προδιαγραφές της εταιρείας. Υπήρχε ξεχωριστό ποσοστό του προϋπολογισµού για την ασφάλεια, και είχε γίνει ανάλυση επικινδυνότητας για τα αγαθά της εταιρείας Επιτήρηση των υπαλλήλων: Ένα άλλο στοιχείο που προέκυψε από την έρευνα είναι ότι οι υπεύθυνοι ασφάλειας θεωρούν ότι µόνο µέσω της παρακολούθησης των τεχνολογιών και της χρήσης που τους κάνουν οι υπάλληλοι της εταιρείας θα µπορούν να γνωρίζουν τι κάνουν οι υπάλληλοι την ώρα που βρίσκονται στην εταιρεία. Για παράδειγµα, θέλουν να προστατέψουν την εταιρεία όταν οι υπάλληλοι χρησιµοποιούν peer-to-peer δίκτυα για να κατεβάσουν ταινίες και µουσική. Άλλο ένα παράδειγµα είναι η απειλή που προέρχεται από πελάτες που έχουν αποχωρήσει από την εταιρεία και θέλουν να δηµιουργήσουν προβλήµατα. Έτσι, πλέον θεωρείται ότι µόνο µέσα από την επιτήρηση µπορούν να προφυλάξουν το πληροφοριακό σύστηµα από την κατάχρηση των χρηστών Συµµόρφωση µε το νοµοθετικό πλαίσιο της κάθε χώρας: Ένα µόνο µικρό ποσοστό θεωρεί ότι πρέπει να συµµορφωθεί µε τους κανόνες που ορίζει η νοµοθεσία. Σύµφωνα µε τους ερευνητές αυτό µπορεί να συµβαίνει για δύο λόγους. Κατά πρώτον οι κανονισµοί δεν είναι ξεκάθαροι µε αποτέλεσµα οι εταιρείες να µην τους καταλαβαίνουν και να µην µπορούν να τους εφαρµόσουν. Ο άλλος λόγος είναι ότι σε περίπτωση που οι κανονισµοί δεν εφαρµοστούν από τις εταιρείες, δεν υπάρχουν κυρώσεις. Έτσι, οι εταιρείες θεωρούν ότι δεν είναι υποχρεωµένες να εφαρµόσουν την ισχύουσα νοµοθεσία Περιστατικά παραβίασης: Οι υπεύθυνοι ασφάλειας σήµερα έχουν στη διάθεσή τους την κατάλληλη τεχνολογία για να µπορούν να ελέγξουν την κακοπροαίρετη κίνηση στο δίκτυο. Πολλές φορές όµως δεν µπορούν να ερµηνεύσουν την πληροφορία που λαµβάνουν. εν γνωρίζουν ποιος τους επιτέθηκε, από πού τους επιτέθηκε, και τι ζηµιά είχε η επίθεση Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 11

22 11% 20% 25% 33% 63% 0% 10% 20% 30% 40% 50% 60% 70% hackers υπάλληλοι δε γνωρίζω πρώην υπάλληλοι πελάτες Εικόνα 2: Οι πέντε πρώτες πηγές επιθέσεων Επίσης, άλλο ένα σηµείο της έρευνας είναι ότι οι εταιρείες που δραστηριοποιούνται στο χρηµατοοικονοµικό τοµέα έχουν την καλύτερη στρατηγική ασφάλειας, έτσι οι υπόλοιπες εταιρείες θα έπρεπε να παραδειγµατιστούν από αυτές. Ο λόγος είναι κυρίως ότι το κρίσιµο αγαθό των εταιρειών αυτών είναι το χρήµα, και η λειτουργία των εταιρειών εξαρτάται όλο και περισσότερο από το πληροφοριακό σύστηµα. 60% 50% 40% 30% 20% 10% 0% κανένα 1-9 περιστατικά περιστατικά περισσότερα Εικόνα 3: Ποσοστό των εταιρειών που είχαν περιστατικά παραβίασης 2.3. Global Information Security Survey 2006 (Ernst & Young) Η έρευνα µε τίτλο Global Information Security Survey [3] διεξάγεται από την Ernst & Young, λαµβάνει χώρα σε ετήσια βάση και µετράει τώρα δέκα χρόνια. Η φετινή έρευνα στηρίχθηκε σε 1,200 εταιρείες από 48 χώρες. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 12

23 Μερικά από τα σηµεία της έρευνας είναι τα παρακάτω: Σύµφωνα και µε τα αποτελέσµατα των ερευνών που είχε διεξάγει η Ernst and Young στο παρελθόν, οι εταιρείες έχουν κάνει πλέον σηµαντική πρόοδο στον τοµέα της ασφάλειας των πληροφοριών, µειώνοντας έτσι τους κινδύνους που τις απειλούν Η ασφάλεια των πληροφοριών έχει γίνει πλέον µέρος της κουλτούρας των περισσότερων εταιρειών Υπάρχει ένα αυξηµένο ενδιαφέρον στην προστασία των ευαίσθητων προσωπικών δεδοµένων, και µάλιστα οι πρακτικές για την προστασία των ιδιωτικών και προσωπικών δεδοµένων επισηµοποιούνται σε µεγάλη κλίµακα Στο παραπάνω συµβάλει και η συµµόρφωση των εταιρειών µε την νοµοθεσία που ισχύει στη χώρα που δραστηριοποιούνται. Το 80% των συµµετεχόντων στην έρευνα πιστεύουν πως η συµµόρφωση των εταιρειών µε την νοµοθεσία βελτιώνει την ασφάλεια των πληροφοριών Επίσης, οι εταιρείες λαµβάνουν µέτρα για την προστασία των αγαθών τους από την συνεργασία µε τρίτες οντότητες 60% 50% 40% 30% 20% 10% 0% 56% 50% Συµµόρφωση µε τους κανονισµούς 47% Προστασία των προσωπικών δεδοµένων 42% 38% 41% Επιχειρησιακοί στόχοι τον προηγούµενο χρόνο µέσα στον επόµενο χρόνο Εικόνα 4: Οι τρεις κυριότεροι λόγοι που έχουν ή θα έχουν αντίκτυπο στις πρακτικές ασφάλειας των εταιρειών Σύµφωνα µε την παραπάνω έρευνα οι συνεχείς προσπάθειες βελτίωσης της κατάστασης είναι αναγκαίες, και ιδιαίτερα πρέπει να γίνουν βελτιώσεις και αναµένονται περισσότερο λεπτοµερείς κανόνες στον τοµέα των ευαίσθητων δεδοµένων και της ιδιωτικότητας. Οι εταιρείες πρέπει να αναπτύξουν τη στρατηγική τους στο θέµα της ασφάλειας των πληροφοριών για να πετύχουν τους επιχειρησιακούς τους στόχους. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 13

24 8% 7% 31% 52% 0% 10% 20% 30% 40% 50% 60% εν εφαρµόζονται Επίσηµες διαδικασίες, επικυρωµένες και από τους συνεργάτες Επίσηµες διαδικασίες Ανεπίσηµες διαδικασίες Εικόνα 5: Πώς απευθύνονται οι εταιρείες στην προστασία των δεδοµένων; 2.4. Information Security Breaches Survey Η έρευνα µε τίτλο Information Security Breaches Survey 2006 [1] διεξάγεται από το Τµήµα Εµπορίου και Βιοµηχανίας της Μεγάλης Βρετανίας (Department of Trade and Industry, DTI) κάθε δυο χρόνια. Αυτή είναι η όγδοη σε σειρά έρευνα και έγινε από την εταιρεία PricewaterhouseCoopers. Η έρευνα ήταν τηλεφωνική και απευθύνθηκε σε 1,001 εταιρείες της Αγγλίας που δραστηριοποιούνταν στους τοµείς της υγείας, των τηλεπικοινωνιών, της βιοµηχανίας, της τεχνολογίας, του δηµοσίου κτλ. Τα σηµαντικά σηµεία που προέκυψαν από την έρευνα του 2006 είναι τα παρακάτω: Η λειτουργία του πληροφοριακού συστήµατος και ιδιαίτερα η χρήση του διαδικτύου γίνεται ολοένα και περισσότερο σηµαντική στη λειτουργία των εταιρειών. Ως εκ τούτου, οι εταιρείες δίνουν προτεραιότητα στην ασφάλεια των πληροφοριακών συστηµάτων Η προτεραιότητα που δίνεται στην ασφάλεια έχει µεταφραστεί σε πράξη. Οι έλεγχοι ασφάλειας έχουν βελτιωθεί και η εµπιστοσύνη σε αυτούς είναι µεγάλη. Ο αριθµός των εταιρειών που έχει πλέον επίσηµη πολιτική ασφάλειας έχει αυξηθεί συγκριτικά µε τις προηγούµενες έρευνες Ο αριθµός των εταιρειών που αντιµετωπίζουν περιστατικά παραβίασης έχει σταθεροποιηθεί. Το κόστος όµως που έχουν τα περιστατικά αυτά, παραµένει σηµαντικό Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 14

25 Υπάρχει και ένα ποσοστό των εταιρειών που δεν έχει ακόµα υιοθετήσει την ασφάλεια των πληροφοριών στη κουλτούρα της εταιρείας. Έτσι, είτε δεν επενδύουν στη ασφάλεια είτε απευθύνονται σε ζητήµατα µη σηµαντικά Οι νέες τεχνολογίες θέτουν νέες απειλές στο µέλλον. Για παράδειγµα, οι εταιρείες που έχουν transactional web sites δεν χρησιµοποιούν κρυπτογράφηση. εν εµποδίζεται η πρόσβαση του προσωπικού σε µη κατάλληλες σελίδες και δεν ελέγχουν τα εξερχόµενα ηλεκτρονικά µηνύµατα για ανάρµοστο περιεχόµενο 80% 70% 60% 50% 40% 30% 20% 10% 0% όλα τα περιστατικά πτώση του συστήµατος, αλλοίωση δεδοµένων κακόβουλα περιστατικά Εικόνα 6: Τι ποσοστό των εταιρειών αντιµετώπισε περιστατικά παραβίασης του πληροφοριακού συστήµατος; Από τις έρευνες που έχουν γίνει στο χώρο και αφορούν την ασφάλεια των πληροφοριακών συστηµάτων, στηριχθήκαµε στην έρευνα του DTI, και για το λόγο αυτό παρουσιάζεται παρακάτω η µεθοδολογία που χρησιµοποίησε. Η έρευνα από το DTI εστιάζει κυρίως στις εξής κατηγορίες: Στρατηγική ασφάλειας (Security strategy) Μέσα από τις ερωτήσεις αυτής της ενότητας δίνεται έµφαση στην ενηµέρωση που έχουν οι εταιρείες στην Αγγλία σε θέµατα που αφορούν την ασφάλεια των πληροφοριών και στη στρατηγική που ακολουθούν για να πετύχουν την εφαρµογή της. Συγκεκριµένα οι ερωτήσεις εστιάζουν: Στο κατά πόσο θεωρούν σηµαντική την ασφάλεια, εάν πιστεύουν ότι µπορούν να αντιµετωπίσουν τα περιστατικά ασφάλειας, εάν πιστεύουν στο µέλλον ότι θα Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 15

26 αυξηθούν ή θα µειωθούν τα περιστατικά παραβίασης. Λόγος, επίσης, γίνεται και για τα χρήµατα που επενδύουν στον τοµέα της ασφάλειας των πληροφοριών Στην υιοθέτηση του Βρετανικού πρότυπου BS 7799, κατά πόσο εφαρµόζεται από τις εταιρείες αλλά επίσης κατά πόσο γνωρίζουν το περιεχόµενο των άρθρων του Στην υλοποίηση πολιτικής ασφάλειας, στη σωστή εφαρµογή της µέσα στην εταιρεία και στην ανάγκη για την επανεξέταση του περιεχοµένου της 27% 34% 40% 73% 0% 10% 20% 30% 40% 50% 60% 70% 80% µεγάλες εταιρείες Εικόνα 7: Τι ποσοστό των εταιρειών εφαρµόζουν πολιτική ασφάλειας; Στην κατάσταση του προσωπικού µέσα στην εταιρεία. Εάν, δηλαδή, παρέχεται σε αυτό εκπαίδευση και ενηµέρωση για θέµατα ασφάλειας, εάν ενηµερώνεται για την πολιτική ασφάλειας της εταιρείας, κατά πόσο ελέγχεται η συµµόρφωσή του µε τους κανόνες της εταιρείας Στη γραµµή που ακολουθούν όσον αφορά τη ανάθεση εργασίας σε εξωτερικούς συνεργάτες (outsourcing) Έλεγχοι ασφάλειας (Security controls) Στη συνέχεια η έρευνα στρέφεται στα µέτρα προστασίας που υλοποιεί η κάθε εταιρεία για να προστατέψει το πληροφοριακό της σύστηµα. Συγκεκριµένα οι ερωτήσεις στρέφονται γύρω από: Τα µέτρα προφύλαξης για τις φυσικές καταστροφές. Πόσο συχνά οι βρετανικές εταιρείες κρατάνε εφεδρικά αντίγραφα, και σε τι ποσοστό υλοποιούν σχέδια συνέχειας και ανάκαµψης Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 16

27 Τη φυσική προστασία της εταιρείας, δηλαδή, τα µέτρα που παίρνουν για να προστατεύσουν τις εγκαταστάσεις της εταιρείας, κυρίως του υλικού εξοπλισµού της Τα µέτρα που λαµβάνουν για να προστατεύσουν το λογισµικό και τα δεδοµένα από την απειλή του ιοµορφικού λογισµικού Τη ταυτοποίηση και αυθεντικοποίηση των χρηστών στο πληροφοριακό σύστηµα της εταιρείας Τη χρήση του διαδικτύου και του ηλεκτρονικού ταχυδροµείου Παραβιάσεις ασφάλειας (Security Breaches) Το τελευταίο τµήµα της έρευνα αναφέρεται στα περιστατικά που αντιµετώπισαν οι εταιρείες το τελευταίο χρόνο. Εξετάζονται τα περιστατικά παραβίασης από: Ιοµορφικό λογισµικό Κατάχρηση του προσωπικού σε θέµατα χρήσης του διαδικτύου και του ηλεκτρονικού ταχυδροµείου, µη εξουσιοδοτηµένης πρόσβασης σε δεδοµένα του συστήµατος και σε ευαίσθητα δεδοµένα, παραβίαση του νόµου και των κανόνων της εταιρείας Μη εξουσιοδοτηµένη πρόσβαση από τρίτα πρόσωπα Πλαστογράφηση των δεδοµένων, κλοπή υλικού εξοπλισµού Αποτυχία του πληροφοριακού συστήµατος και αλλοίωση δεδοµένων Στην ενότητα αυτή εξετάζονται, επίσης, οι επιπτώσεις των περιστατικών που είχαν στη κάθε εταιρεία, αλλά και η χρονική διάρκεια που χρειάστηκε για να ξεπεραστούν τα όποια προβλήµατα προέκυψαν. Από τη στιγµή βέβαια που υπάρχουν στοιχεία από τις προηγούµενες έρευνες που είχε διεξάγει το DTI, είναι επόµενο ότι γίνονται συγκρίσεις των αποτελεσµάτων και σηµειώνονται οι όποιες αλλαγές υπάρχουν στη κατάσταση. Στην παρούσα έρευνα υπάρχουν συγκρίσεις µε τα αποτελέσµατα της έρευνας του Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 17

28 κλοπή ταυτότητας 10% 9% 1% 2% 2% κλοπή/ µη εξουσιοδοτηµένη πρόσβαση σε δεδοµένα πλαστογράφηση δεδοµένων µόλυνση από ιοµορφικό υλικό 19% αλλοίωση δεδοµένων 50% κατάχρηση από το προσωπικό hacking Εικόνα 8: Το χειρότερο περιστατικό παραβίασης που αντιµετώπισαν οι βρετανικές επιχειρήσεις Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 18

29 3. Μεθοδολογία 3.1. Πηγές Η βασικότερη πηγή για τη διεξαγωγή της παρούσας έρευνας είναι οι τεχνικές αναφορές του τµήµατος Εµπορίου και Βιοµηχανίας της Αγγλίας (DTI). Ουσιαστικά µελετήσαµε τη µεθοδολογία που ακολουθήθηκε από το DTI και την εφαρµόσαµε στον ελληνικό χώρο. Η µεθοδολογία που ακολουθείται από το DTI έχει παρουσιαστεί το δεύτερο κεφάλαιο της παρούσας εργασίας. Όσον αφορά το σχεδιασµό της έρευνας, µόνο η µεθοδολογία του DTI δεν ήταν αρκετή. Οι πληροφορίες που ήταν διαθέσιµες στο διαδίκτυο βοήθησαν στη διεξαγωγή της έρευνας, καθώς υπήρχαν προτάσεις για το πώς να σχεδιαστεί µια έρευνα, πού πρέπει να εστιάσει το άτοµο που διεξάγει την έρευνα και πώς να ξεπεραστούν τα εµπόδια που προκύπτουν κατά τη διαδικασία αυτή. Το διαδίκτυο, πέρα από την παροχή πληροφοριών για το σχεδιασµό της έρευνας, ήταν ένα εργαλείο που χρησιµοποιήθηκε για την εύρεση των εταιρειών στις οποίες θα απευθυνόµασταν, καθώς υπήρχαν διαθέσιµοι κατάλογοι δηµόσιων νοσοκοµείων, εταιρειών πληροφορικής και τηλεπικοινωνιών αλλά και ασφαλιστικών εταιρειών. Όσον αφορά τις εταιρείες πληροφορικής, εναλλακτική πηγή υπήρξε ο κατάλογο των εταιρειών που είναι µέλη του Συνδέσµου Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας (ΣΕΠΕ). Όσον αφορά την στατιστική ανάλυση των δεδοµένων, βοήθεια παρείχαν τα παρακάτω βιβλία Ανάλυση δεδοµένων µε τη βοήθεια στατιστικών πακέτων των Τσαντά, Μωυσιάδη, Μπαγιάτη και Χατζηπαντελή [5] και Ανάλυση δεδοµένων του Παπαδηµητρίου [7] 3.2. Σχεδιασµός Έρευνας Για το σωστό σχεδιασµό της έρευνας, είναι απαραίτητο να ακολουθηθούν τα παρακάτω βήµατα: 1. Να καθιερωθούν οι στόχοι της έρευνας, δηλαδή τι θέλουµε να µάθουµε 2. Να καθοριστεί το δείγµα, δηλαδή ποιους θα ρωτήσουµε 3. Επιλογή της µεθόδου της συνέντευξης 4. ηµιουργία του ερωτηµατολογίου Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 19

30

31 3.3. Μέθοδοι συνέντευξης Το επόµενο βήµα ήταν να αποφασίσουµε το είδος της έρευνας που θα ακολουθήσουµε, για να συλλέξουµε τις απαντήσεις. Οι επιλογές ήταν οι εξής: Προσωπικές συνεντεύξεις Τηλεφωνική έρευνα Έρευνα µέσω ηλεκτρονικού ταχυδροµείου Έρευνα µέσω του διαδικτύου Κάθε µια από τις παραπάνω µεθόδους έχει πλεονεκτήµατα και µειονεκτήµατα αντίστοιχα. Τους παράγοντες αυτούς έπρεπε να τους λάβουµε όλους υπόψη, έτσι ώστε να έχουµε το βέλτιστο για εµάς αποτέλεσµα. Οι προσωπικές συνεντεύξεις έχουν το πλεονέκτηµα της προσωπικής επαφής µε το πρόσωπο που δίνει τη συνέντευξη, έτσι µπορεί κανείς πέρα από τις προκαθορισµένες ερωτήσεις του ερωτηµατολόγιου να διευρύνει την συζήτηση και να έχει µια καλύτερη εικόνα της κατάστασης. Στις προσωπικές συνεντεύξεις, όπου έχουν καθοριστεί µέσω ραντεβού, ο συνεντευξιαζόµενος µπορεί να είναι πρόθυµος και περισσότερο προετοιµασµένος να δώσει τις πληροφορίες, σε αντίθεση µε µια τηλεφωνική έρευνα. Το µειονέκτηµα των προσωπικών συνεντεύξεων είναι ο χρόνος, τόσο από το άτοµο που παίρνει την συνέντευξη, καθώς θα πρέπει να βρεθεί στο χώρο του κάθε συνεντευξιαζόµενου, όσο και από την πλευρά του ανθρώπου που δίνει µια συνέντευξη. Ιδιαίτερα το πρόγραµµα ενός διευθυντή πληροφοριακού συστήµατος είναι ιδιαίτερα επιβαρυµένο µε τις υποχρεώσεις της ηµέρας, που δύσκολα αφιερώνει χρόνο σε άλλα πράγµατα. Οι τηλεφωνικές συνεντεύξεις είναι µια ιδιαίτερα δηµοφιλής µέθοδος συλλογής δεδοµένων. Η έρευνα του DTI στηρίζεται κατά βάση στην τηλεφωνική έρευνα, και την ίδια µέθοδο προτιµούν και στην Αµερική. Φυσικά, ένας από τους προφανείς λόγους είναι ότι όλοι έχουν τηλέφωνο. Επίσης, µέσω µιας τηλεφωνικής έρευνας έχεις γρήγορα τα αποτελέσµατα από ένα µεγάλο αριθµό δείγµατος, χωρίς να έχεις χάσει ιδιαίτερο χρόνο, για παράδειγµα, από τις µετακινήσεις. Τέλος, σήµερα το κόστος των τηλεφωνηµάτων δεν είναι ιδιαίτερα ακριβό. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 21

32 Όµως, οι περισσότεροι άνθρωποι είναι ιδιαίτερα καχύποπτοι στις τηλεφωνικές συνεντεύξεις. Επίσης, δεν πρέπει να ξεχνάµε ότι ένα µεγάλο ποσοστό είναι ιδιαίτερα απρόθυµο προς τις τηλεφωνικές συνεντεύξεις, τις οποίες τις αντιµετωπίζουν ως ενόχληση. Έτσι, πέρα από το γεγονός ότι υπάρχει µεγάλη πιθανότητα να σε απορρίψουν, µπορεί να µην απαντήσουν σε όλες τις ερωτήσεις. Η έρευνα µέσω του ηλεκτρονικού ταχυδροµείου έχει τα εξής πλεονεκτήµατα: είναι οικονοµική και γρήγορη. Πλέον οι περισσότεροι άνθρωποι έχουν πρόσβαση στο διαδίκτυο και έχουν λογαριασµό ηλεκτρονικού ταχυδροµείου. Ιδιαίτερα στη δική µας περίπτωση, η πλειοψηφία των εταιρειών έχει ιστοσελίδα και ακόµα αυτές που δεν έχουν, οι εργαζόµενοι έχουν κάποιο λογαριασµό ηλεκτρονικού ταχυδροµείου. Ένα ακόµα χαρακτηριστικό είναι ότι δεν ενοχλείς το πρόσωπο που θέλεις να σου δώσει συνέντευξη, όπως συµβαίνει µε την τηλεφωνική συνέντευξη, αλλά µπορεί να συµπληρώσει το ερωτηµατολόγιο όποτε έχει ελεύθερο χρόνο. Τα µειονεκτήµατα που πρέπει να σκεφτούµε στην περίπτωση αυτή, είναι πως πολλά άτοµα είναι αρνητικά ως προς τα spam mail, και επίσης δε γνωρίζουµε πόσο συχνά το άτοµο χρησιµοποιεί το ηλεκτρονικό ταχυδροµείο. Τέλος, η έρευνα µέσω του διαδικτύου γίνεται όλο και περισσότερο δηµοφιλής, καθώς είναι γρήγορη, οικονοµική και προσφέρει πολλές επιλογές όσον αφορά την εµφάνιση των ερωτήσεων, την προσθήκη εικόνων και βίντεο. Μην ξεχνάµε ότι η έρευνα στο διαδίκτυο µπορεί να είναι ανώνυµη, στοιχείο που πολλές φορές επιτρέπει στους ερωτώµενους να απαντάνε σε ερωτήσεις που θίγουν ευαίσθητα ζητήµατα. Τα µειονεκτήµατα στην περίπτωση αυτή είναι πως κάποιος µπορεί να παρατήσει στη µέση τη συµπλήρωση του ερωτηµατολογίου, ιδιαίτερα εάν είναι µεγάλο. Στην περίπτωση που πρέπει να χρησιµοποιήσει βάση δεδοµένων µπορεί να αντιµετωπίσει πολλά τεχνικά προβλήµατα. Επίσης, πρέπει να ελέγχουµε ότι η σελίδα είναι πάντα διαθέσιµη, δεν υπάρχει δηλαδή πρόβληµα στον server. Στη δική µας περίπτωση καταλήξαµε στη τελευταία λύση, την έρευνα µέσω του διαδικτύου. Ο κύριος λόγος για την επιλογή αυτή, ήταν το θέµα του χρόνου. εδοµένου ότι το πρόγραµµα των υπαλλήλων στις εταιρείες είναι φορτωµένο, πόσο µάλλον του διευθυντή της πληροφορικής, θα έπρεπε να καταλήξουµε σε έναν τρόπο που δε θα θεωρούσαν τη Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 22

33 συµπλήρωση του ερωτηµατολογίου ως ενόχληση στο καθηµερινό τους πρόγραµµα. Σε διαφορετική περίπτωση θα ήταν πολύ εύκολο να αρνηθούν να συµµετάσχουν σε αυτή. Ο ερωτώµενος, θα ενηµερωνόταν τηλεφωνικά για την διεξαγωγή της έρευνας και για την σελίδα που βρίσκεται το ερωτηµατολόγιο και θα απαντούσε όποτε είχε ελεύθερο χρόνο. Αρχικά, συζητήθηκε και η διεξαγωγή της έρευνας µέσω του ηλεκτρονικού ταχυδροµείου αλλά στην πορεία υπήρχε πρόβληµα µε τους διακοµιστές του ηλεκτρονικού ταχυδροµείου (google, yahoo, hotmail κ.ά), µε αποτέλεσµα να αλλοιώνεται η µορφή του ερωτηµατολογίου. Συνεπώς η χρήση του διαδικτύου αποτελούσε την πιο αποτελεσµατική λύση. Για να µην υπάρχουν τεχνικά προβλήµατα µε τη βάση δεδοµένων, η οποία θα ήταν απαραίτητη για τη συλλογή των δεδοµένων, χρησιµοποιήσαµε το εργαλείο Web Questionnaire, όπου ουσιαστικά µετά τη συµπλήρωση του ερωτηµατολογίου τα αποτελέσµατα στέλνονταν στο ηλεκτρονικό ταχυδροµείο. Πέρα από την έρευνα µέσω του διαδικτύου, έγινε µια προσπάθεια για την πραγµατοποίηση κάποιων προσωπικών συνεντεύξεων. υστυχώς, όµως, η απόκριση ήταν πολύ µικρή, κυρίως λόγω του επιβαρυµένου προγράµµατος των αρµόδιων προσώπων Ερωτηµατολόγιο Όπως έχουµε ήδη αναφέρει, ο σκοπός της έρευνας που διεξήγαµε ήταν οι πρακτικές που εφαρµόζουν οι ελληνικές εταιρείες µε σκοπό την ασφάλεια των πληροφοριών. ηλαδή, θέλαµε να απαντήσουµε στα ερωτήµατα του βαθµού ενηµέρωσης των ελληνικών εταιρειών σε θέµατα ασφάλειας πληροφοριών, τι µέτρα λαµβάνουν για να προστατέψουν το πληροφοριακό τους σύστηµα και τα δεδοµένα τους και τέλος, εάν αντιµετωπίζουν περιστατικά παραβίασης και τι επιπτώσεις έχουν στη λειτουργία της εταιρείας. Για λόγους ανωνυµίας, στο ερωτηµατολόγιο ήταν προαιρετική η συµπλήρωση της επωνυµίας της εταιρείας. Οι γενικές πληροφορίες που ζητήθηκαν και ήταν απαραίτητο να συµπληρωθούν από τον ερωτώµενο είναι: Ο τοµέας που δραστηριοποιείται η εταιρεία Η τοποθεσία που βρίσκεται η έδρα της εταιρείας Ο αριθµός των υπαλλήλων της εταιρείας Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 23

34 Ο λόγος για τη συµπλήρωση των παραπάνω στοιχείων είναι ότι θέλαµε να ταξινοµήσουµε τις απαντήσεις και να δούµε εάν υπάρχουν διαφορές ανάµεσα στις εταιρείες όσον αφορά το µέγεθος της εταιρείας, δηλαδή τον αριθµό των υπαλλήλων της, το αντικείµενο της εταιρείας, δηλαδή σε ποιο τοµέα δραστηριοποιείται και τέλος το πού δραστηριοποιείται. Το δείγµα µας, όµως, είναι τέτοιο που ιδιαίτερα το τρίτο κριτήριο δε χρησιµοποιήθηκε καθόλου, αφού η πλειοψηφία των εταιρειών που έλαβαν µέρος δραστηριοποιούνται στην Αθήνα και πολύ λίγες στη Θεσσαλονίκη και στη Κρήτη. Εποµένως, δε µπορούµε να βγάλουµε κανένα συµπέρασµα. Οι υπόλοιπες ερωτήσεις στο ερωτηµατολόγιο ήταν πολλαπλής επιλογής και πολλαπλής επιλογής µε κλίµακα εκτίµησης, του τύπου: πάρα πολύ, αρκετά, λίγο, καθόλου. Οι πρώτες ερωτήσεις στο ερωτηµατολόγιο έχουν ως στόχο να καλύψουν το πρώτο ερώτηµα που θέτει η έρευνα και αυτό όπως έχουµε ήδη αναφέρει είναι η αντίληψη που έχουν οι εταιρείες πάνω σε θέµατα ασφάλειας. Τα πληροφοριακά συστήµατα των εταιρειών συγκεντρώνουν ένα µεγάλο όγκο δεδοµένων. Θέλουµε να διαπιστώσουµε πόσο σηµαντική θεωρεί η κάθε εταιρεία την εµπιστευτικότητα, ακεραιότητα και διαθεσιµότητα των δεδοµένων της. Η υπόθεση που κάνουµε είναι πως όσο περισσότερο είναι εξαρτηµένη η εταιρεία από το πληροφοριακό σύστηµα και από τις πληροφορίες που έχει στη διάθεσή της τόσο καλύτερα θα εφαρµόζει µέτρα για την προστασία τους. Στόχος της επόµενης ερώτησης είναι να έχουµε µια εικόνα του λόγου που οι ελληνικές εταιρείες επενδύουν στην ασφάλεια των δεδοµένων, το χρηµατικό ποσό του συνολικού προϋπολογισµού που αφιερώνουν για την ασφάλεια και την προοπτική αύξησής του, καθώς επίσης το εάν οι ανάγκες στο τοµέα της ασφάλειας αυξάνονται ή µειώνονται Για ποιο λόγο επενδύετε στην ασφάλεια των περιουσιακών στοιχείων της εταιρείας; Παρακαλώ επιλέξτε µια ή περισσότερες απαντήσεις Προστασία των πληροφοριών των πελατών Προστασία της φήµης της εταιρείας Προστασία των πληροφοριών της εταιρείας Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 24

35 Συνέχεια της λειτουργίας της εταιρείας σε περίπτωση τροποποίησης των πληροφοριών/ υπολογιστικών πόρων Τι ποσοστό του συνολικού προϋπολογισµού επενδύει η εταιρεία σας στον τοµέα της ασφάλειας πληροφοριών; Λιγότερο από 1% Μεταξύ 2%-10% Μεταξύ 10%-25% Περισσότερο από 25% εν επενδύει ε γνωρίζω Το ποσοστό του συνολικού προϋπολογισµού που επενδύθηκε για την ασφάλεια των πληροφοριών συγκριτικά µε το προηγούµενο έτος: Αυξήθηκε Μειώθηκε Παρέµεινε σταθερό ε γνωρίζω Τα πληροφοριακά συστήµατα τα χειρίζονται άνθρωποι, συνεπώς ο ρόλος του ανθρώπινου δυναµικού µέσα στην εταιρεία είναι ουσιαστικός για την ασφάλεια των πληροφοριακών συστηµάτων. Φροντίζουν σήµερα οι εταιρείες να ενηµερώνουν και να εκπαιδεύουν το προσωπικό τους; Επενδύουν σε αυτό; Πολλές φορές οι εταιρείες προσπαθούν να προστατευθούν από τους εξωτερικούς εχθρούς και ξεχνούν ότι πολλές απειλές προέρχονται από το εσωτερικό της εταιρείας. Η άγνοια του προσωπικού σε θέµατα ασφάλειας είναι µια σοβαρή αδυναµία του πληροφοριακού συστήµατος της εταιρείας Το προσωπικό είναι ενήµερο και εκπαιδευµένο έτσι ώστε: Παρακαλώ σε κλίµακα από Πάρα πολύ έως Καθόλου, αξιολογείστε τις παρακάτω προτάσεις. Να προστατεύει τις πληροφορίες για τις οποίες είναι υπεύθυνο Να µην αποκαλύπτει ευαίσθητα δεδοµένα Να αναγνωρίζει και να αναφέρει ασυνήθιστα γεγονότα Να ακολουθεί την πολιτική ασφάλειας της εταιρείας Να γνωρίζει τις ευθύνες και τις αρµοδιότητες του Πάρα πολύ Αρκετά Λίγο Καθόλου Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 25

36 Παρέχετε εκπαίδευση στο προσωπικό για την ασφάλεια της εταιρείας µέσω: Παρακαλώ επιλέξτε µια ή περισσότερες απαντήσεις Εγχειριδίου Σεµιναρίων Της τακτικής εκπαίδευσης του προσωπικού εν παρέχεται Άλλο Η πολιτική ασφάλειας διατυπώνεται σε ένα έγγραφο, το οποίο περιλαµβάνει το σκοπό και τους στόχους της ασφάλειας, οδηγίες, κανόνες, ρόλους και υπευθυνότητες που αφορούν την προστασία του πληροφοριακού συστήµατος του οργανισµού. Κύριος σκοπός της πολιτικής ασφάλειας είναι να καθιστά δυνατή την εταιρεία και όλους όσους εργάζονται σε αυτή να λειτουργούν µε έναν ασφαλή τρόπο. Η πολιτική ασφάλειας οφείλει να είναι ένα δυναµικό έγγραφο που θα αντικατοπτρίζει την παρούσα κατάσταση. Για το λόγο αυτό πρέπει να ανανεώνεται και αν χρειαστεί να διορθώνεται σε τακτά χρονικά διαστήµατα. Κατά πόσο οι εταιρείες είναι συµφιλιωµένες µε την ύπαρξη πολιτικής ασφάλειας; Πόσες επιχειρήσεις έχουν υλοποιήσει επίσηµη και εγγεγραµµένη πολιτική ασφάλειας; Υπάρχει επίσηµη και καταγεγραµµένη πολιτική ασφάλειας στην εταιρεία σας; Ναι Όχι ε γνωρίζω Εάν ναι, η πολιτική ασφάλειας ανανεώνεται σε χρονικό διάστηµα: Μικρότερο από τρία έτη Μεταξύ τριών-πέντε ετών Μεγαλύτερο από πέντε έτη εν ανανεώνετε Τα πρότυπα ασφάλειας είναι ευρέως γνωστά ως ένα σηµαντικό εργαλείο για την ασφάλεια των πληροφοριών. Από τα πιο δηµοφιλή πρότυπα είναι το BS 7799, το οποίο έχει υιοθετηθεί σε µεγάλο βαθµό από τις εταιρείες στην Μεγάλη Βρετανία σύµφωνα µε την έρευνα του DTI. Σκοπός της παρακάτω ερώτησης είναι να διαπιστώσουµε τον αντίκτυπο που έχουν τα πρότυπα στις ελληνικές εταιρείες. Ποιοι τοµείς γνωρίζουν για τα πρότυπα ασφάλειας, ποιοι έχουν υλοποιήσει κάποιο πρότυπο και τι αποτελέσµατα είχαν. Έρευνα για τις Πρακτικές Ασφάλειας των Ελληνικών Επιχειρήσεων 26