ΕΝΗΜΕΡΟΤΗΤΑ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ: ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ

Transcript

1 ΠΠΑΑΝΕΕΠΠΙ ΙΣΣΤΤΗΗΜΙ ΙΟ ΑΑΙ ΙΓΓΑΑΙ ΙΟΥΥ ΤΤΜΗΗΜΑΑ ΜΗΗΧΧΑΑΝΙ ΙΚΚΩΝ ΠΠΛΛΗΗΡΡΟΦΟΡΡΙ ΙΑΑΚΚΩΝ ΚΚΑΑΙ Ι ΕΕΠΠΙ ΙΚΚΟΙ ΙΝΩΝΙΑΑΚΚΩΝ ΣΣΥΥΣΣΤΤΗΗΜΑΑΤΤΩΝ ΕΝΗΜΕΡΟΤΗΤΑ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ: ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ Η Διπλωματική Εργασία παρουσιάστηκε ενώπιον του Διδακτικού προσωπικού του Πανεπιστημίου Αιγαίου Σε Μερική Εκπλήρωση Των Απαιτήσεων για το Μεταπτυχιακό Δίπλωμα Ειδίκευσης στις Τεχνολογίες και Διοίκηση Πληροφοριακών και Επικοινωνιακών Συστημάτων Γαλάνης Ιωάννης ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ [2009]

2 ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΟΥ: ΓΑΛΑΝΗ ΙΩΑΝΝΗ Γκρίτζαλης Στέφανος, Επιβλέπων (6/2/2009) Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Κοκολάκης Σπύρος, Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Λουκής Ευριπίδης, Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ ΦΕΒΡΟΥΑΡΙΟΣ 2009

3 Περίληψη Η παρούσα διπλωματική εργασία, περιγράφει το σχεδιασμό του Προγράμματος Ενημερότητας και Ευαισθητοποίησης των χρηστών πληροφοριακών συστημάτων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, σε θέματα Ασφάλειας και Προστασίας της Ιδιωτικότητας. Ο υπό μελέτη οργανισμός ανήκει στο δημόσιο τομέα και αναπτύσσει και συντηρεί μεγάλης κλίμακας ολοκληρωμένα πληροφοριακά συστήματα για τη στήριξη του έργου του Υπουργείου Οικονομίας και Οικονομικών. Ο σχεδιασμός του προγράμματος βασίζεται στη μεθοδολογία που περιγράφεται στο Εγχειρίδιο για την Αύξηση της Ενημερότητας στην Ασφάλεια των Πληροφοριών, που εξέδωσε ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (E.N.I.S.A.) το Η παρούσα έρευνα μπορεί να αξιοποιηθεί από ερευνητές που ασχολούνται με το θέμα της ενημερότητας ασφάλειας Π.Σ. καθώς και με την διοίκηση της ασφάλειας των Π.Σ. γενικότερα. Μπορεί επίσης να αποτελέσει σημείο εκκίνησης για κάθε οργανισμό που σκοπεύει να πραγματοποιήσει κάποιο ανάλογο πρόγραμμα.

4 Abstract The present MSc Thesis describes the design of an information security and sensitize in privacy issues awareness program, for the account of General Secretariat for Information Systems. The aforementioned organization which belongs to the public sector, develops and maintains large scale information systems to support the ministry of economy and finance. The program design is based on the New user s guide: How to raise information security awareness, published by the European Network and Information Security Agency (E.N.I.S.A.) in The current study could be proven useful to any practitioner or academic who tackle the security awareness and security management issues. It also can be used as a starting point for any organization who intends to plan, organize and run an information security awareness raising initiative.

5 Περιεχόμενα 1. Εισαγωγή Ασφάλεια των πληροφοριακών συστημάτων και ενημερότητα χρηστών Σκοπός και στόχοι Πηγές και όρια Το Πρόγραμμα Ενημερότητας και Ευαισθητοποίησης χρηστών Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ., σε θέματα Ασφάλειας και Προστασίας της Ιδιωτικότητας Δομή της μελέτης Μεθοδολογία Η μεθοδολογία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (E.N.I.S.A.) Πλεονεκτήματα και μειονεκτήματα της ακολουθούμενης μεθοδολογίας Φάση Α : Σχεδιασμός, Αξιολόγηση και Ανάπτυξη Διεργασία Α-01: Συγκρότηση ομάδας σχεδιασμού και εκπόνησης του προγράμματος ενημερότητας Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Διεργασία Α-02: Καθορισμός σκοπού και στόχων του προγράμματος ενημερότητας Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Διεργασία Α-03: Καθορισμός και ανάλυση των ομάδων αποδεκτών του προγράμματος Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Διεργασία Α-04: Επιλογή θεματικών ενοτήτων, αντιστοίχησή τους με τις ομάδες αποδεκτών και αξιολόγηση τους Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Διεργασία Α-05: Καθορισμός επικοινωνιακού πλάνου Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Διεργασία Α-06: Σχεδιασμός δράσεων επικοινωνίας... 33

6 3.6.1 Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Μελλοντικές δράσεις ενημερότητας Διεργασία Α-07: Προσδιορισμός δεικτών αξιολόγησης Θεωρητικό πλαίσιο Αποτελέσματα διεργασίας Σύνοψη Σχεδίου Δράσης Περιεχόμενο δράσεων ενημερότητας Περιεχόμενο δράσεων με θέματα ασφάλειας των Π.Σ. και προστασίας της ιδιωτικότητας γενικού ενδιαφέροντος (Δράσεις 1 και 2) Περιεχόμενο μηνύματος ηλεκτρονικού ταχυδρομείου για την προστασία των προσωπικών δεδομένων (Δράση 6) Περιεχόμενο μηνυμάτων ασφάλειας σε αντικείμενα που χρησιμοποιεί το προσωπικό της Γ.Γ.Π.Σ. (Δράση 9) Έντυπο για τις βέλτιστες πρακτικές επιλογής στοιχείων λογαριασμού χρήστη και τις προδιαγραφές των λογαριασμών χρήστη που υποστηρίζουν τα συστήματα της Γ.Γ.Π.Σ. (Δράση 12) Περιεχόμενο δράσης ενημερότητας με θέμα την ασφάλεια των εκτυπώσεων (Δράση 13) Πρότυπα πληροφοριακού υλικού Πρότυπα φυλλαδίων Β02. Πρότυπο ηλεκτρονικού μηνύματος Β03. Πρότυπο ενημερωτικού δελτίου Καθιέρωση οργανωτικού μοντέλου για την αναφορά περιστατικών διακύβευσης ασφάλειας Εισαγωγή Στόχος της καθιέρωσης του Οργανωτικού Μοντέλου Περιορισμοί Δομικά στοιχεία του Οργανωτικού Μοντέλου Οργανωτικό μοντέλο αναφοράς περιστατικών διακύβευσης ασφάλειας Ορισμός περιστατικών διακύβευσης ασφάλειας Προτεινόμενοι ρόλοι και αρμοδιότητες Διαδικασίες για την αναφορά περιστατικών διακύβευσης ασφάλειας Διαδικασία 01- Επώνυμη αναφορά περιστατικού διακύβευσης ασφάλειας Διαδικασία 02- Ανώνυμη αναφορά περιστατικού διακύβευσης ασφάλειας... 79

7 6.3.3 Διαδικασία 03- Διαχείριση επώνυμης αναφοράς περιστατικού διακύβευσης ασφάλειας Διαδικασία04-Διαχείριση ανώνυμης αναφοράς περιστατικού διακύβευσης ασφάλειας Φόρμα αναφοράς περιστατικού διακύβευσης ασφάλειας Συμπεράσματα και περαιτέρω έρευνα Σύνοψη και συμπεράσματα Αξιοποίηση της έρευνας Βιβλιογραφικές πηγές Ηλεκτρονικές πηγές ΠΑΡΑΡΤΗΜΑ Α ΠΑΡΑΡΤΗΜΑ Β... 87

8 1. Εισαγωγή 1.1 Ασφάλεια των πληροφοριακών συστημάτων και ενημερότητα χρηστών Η ραγδαία ανάπτυξη και διάδοση των συστημάτων τεχνολογίας των πληροφοριών, είχε ως αποτέλεσμα την ανάδειξη τους ως σημαντικό παράγοντα στη διαμόρφωση της καθημερινότητας των σύγχρονων οργανισμών και ατόμων. Οι σύγχρονοι οργανισμοί, ιδιωτικοί και δημόσιοι, βασίζονται σε μεγάλο βαθμό στα πληροφοριακά συστήματα για την εύρυθμη και αποτελεσματική λειτουργία τους. Αξιοποιώντας τα εν λόγω συστήματα καλύπτουν λειτουργικές τους ανάγκες, αναπτύσσουν και προσφέρουν προϊόντα και υπηρεσίες και συλλέγουν και επεξεργάζονται μεγάλο όγκο δεδομένων. Ειδικά στις περιπτώσεις μεγάλων οργανισμών, όπου ο όγκος και η ανάγκη διαχείρισης των πληροφοριών που συλλέγουν αυξάνονται με σημαντικούς ρυθμούς, τα πληροφοριακά συστήματα αποτελούν επένδυση στρατηγικής σημασίας. Η χρήση Πληροφοριακών Συστημάτων (Π.Σ.) στους εν λόγω οργανισμούς καθιστά δυνατή την αποθήκευση και επεξεργασία πληροφοριών σε μεγάλη κλίμακα, συμβάλλοντας στην επίτευξη των στρατηγικών τους στόχων. Αντίστοιχα, σε ατομικό επίπεδο, η διάδοση των προσωπικών υπολογιστών και η αύξηση της χρήσης των υπηρεσιών του Διαδικτύου, καθιστά τα Π.Σ. κοινό τόπο στη καθημερινότητα του σύγχρονου ανθρώπου. Οι δυνατότητες ψυχαγωγίας, ενημέρωσης και επικοινωνίας που προσφέρουν τα Π.Σ. σε ατομικό επίπεδο, αξιοποιούνται από ολοένα μεγαλύτερο μέρος του πληθυσμού των σύγχρονων κοινωνιών. Συνέπεια της αναβάθμισης του ρόλου των Π.Σ. και της ευρείας διάδοσης τους, ήταν και η ανάδειξη του ζητήματος της ασφάλειας τους. Ο όγκος των πληροφοριών που επεξεργάζονται τα Π.Σ., η πολυπλοκότητά τους, καθώς και η τεχνογνωσία που απαιτείται για τον ορθό σχεδιασμό, τη συντήρηση και το χειρισμό τους, καθιστούν τα Π.Σ. ευάλωτα σε πλήθος απειλών. Οι απειλές αυτές είναι σύνθετες και απευθύνονται στο σύνολο των συνιστωσών του πληροφοριακού συστήματος: την τεχνολογική υποδομή του, το λογισμικό, τις διαδικασίες, τα δεδομένα που επεξεργάζεται, καθώς και τους ανθρώπους που τα διαχειρίζονται.

9 H πλειονότητα των οργανισμών, βασίζουν την προσπάθεια ενίσχυσης της ασφάλειας των πληροφοριακών τους συστημάτων αποκλειστικά στην τεχνολογία και τα μέσα προστασίας που αυτή προσφέρει. Η συγκεκριμένη πρακτική παρουσιάζει δύο βασικές αδυναμίες: Πρώτον, ο ρυθμός εξέλιξης των απειλών, που αντιμετωπίζουν τα πληροφοριακά συστήματα, καθιστά τα τεχνολογικά μέσα προστασίας βραχύβια, αφού η αποτελεσματικότητα των τεχνολογικών λύσεων μειώνεται ταχύτατα, καθώς εμφανίζονται νέες και πιο εξελιγμένες απειλές. Δεύτερον και σημαντικότερο, η συγκεκριμένη πρακτική αγνοεί την επίδραση του ανθρώπινου παράγοντα. Η ασφάλεια των πληροφοριακών συστημάτων εξαρτάται από πολλούς παράγοντες και δεν είναι ούτε αποκλειστικά, ούτε κυρίως τεχνικό ζήτημα. Στο πλαίσιο της ασφάλειας των πληροφοριακών συστημάτων, ο άνθρωπος αποτελεί τον πιο σημαντικό κρίκο. Και αυτό γιατί κάθε σύστημα ασφάλειας, ανεξαρτήτως του βαθμού ορθού σχεδιασμού του, βασίζεται σε ανθρώπους για την επιτυχή υλοποίησή του. Για παράδειγμα, οι πλέον αυστηρές προδιαγραφές επιλογής συνθηματικών έχουν ελάχιστη επίπτωση στην ασφάλεια ενός πληροφοριακού συστήματος, αν οι χρήστες γνωστοποιούν σε τρίτους τα συνθηματικά τους, αγνοώντας τους κινδύνους, τις επιπτώσεις και τις συνέπειες που αυτό συνεπάγεται. Η σημαντικότητα του ανθρώπινου παράγοντα στην ασφάλεια των Π.Σ. μπορεί να διαπιστωθεί και από το είδος και τη ποσότητα των καταγεγραμμένων περιστατικών ασφάλειας που δημοσιεύουν οργανισμοί που ασχολούνται με ανάλογα ζητήματα. Χαρακτηριστικές είναι οι τριμηνιαίες εκθέσεις που δημοσιεύει ο οργανισμός US-CERT (United States Computer Emergency Readiness Team) σχετικά με τα καταγεγραμμένα περιστατικά ασφάλειας στις Η.Π.Α.. Από τον Νοέμβριο του 2006 έως και τον Νοέμβριο του 2008, τα περιστατικά ασφάλειας που σχετίζονται άμεσα ή έμμεσα με την ανθρώπινη συμπεριφορά (ηλεκτρονικό ψάρεμα πληροφοριών και παραβίαση των πολιτικών ασφάλειας), αποτελούν τη συντριπτική πλειοψηφία έναντι των λοιπών καταγεγραμμένων περιστατικών (Παράρτημα Α). Τα προγράμματα ενημερότητας αναγνωρίζουν το παραπάνω πρόβλημα και επικεντρώνονται στον ανθρώπινο παράγοντα, σκοπεύοντας στην ενίσχυση της ασφάλειας των πληροφοριακών συστημάτων μέσα από την ενδυνάμωση του ανθρώπινου παράγοντα. Γενικά, για την επίτευξη του παραπάνω σκοπού, τα προγράμματα ενημερότητας επιδιώκουν:

10 Την ευαισθητοποίηση των χρηστών και διαχειριστών σε θέματα ασφάλειας των Π.Σ. την αλλαγή της συμπεριφοράς τους για την υιοθέτηση πιο υπεύθυνων και ασφαλών πρακτικών. Για να επιτύχουν τους στόχους τους, τα προγράμματα ενημερότητας σχεδιάζονται ώστε να υλοποιούνται δράσεις επικοινωνίας, παρέχοντας στους αποδέκτες τους πληροφορίες σχετικές με θέματα ασφάλειας και προστασίας της ιδιωτικότητας που τους αφορούν. Πρέπει να επισημάνουμε ότι τα προγράμματα ενημερότητας δεν αποτελούν από μόνα τους μια ολοκληρωμένη λύση για την προστασία των πληροφοριακών συστημάτων ενός οργανισμού, αλλά λειτουργούν συμπληρωματικά σε πρακτικές ασφάλειας, τεχνικής και μη φύσης, όπως πολιτικές ασφάλειας, τεχνολογικά αντίμετρα, εκπαίδευση προσωπικού κ.ά. 1.2 Σκοπός και στόχοι Ο σκοπός της παρούσας διπλωματικής εργασίας είναι διττός. Η μία όψη της διπλωματικής έχει ερευνητικό χαρακτήρα και σκοπεύει στο να βοηθήσει μελετητές/ερευνητές σε θέματα ασφάλειας των Π.Σ. να αξιοποιήσουν και να αξιολογήσουν τον τρόπο με τον οποίο εφαρμόζεται η ακολουθούμενη μεθοδολογία σε έναν μεγάλο δημόσιο οργανισμό, όπως η Γενική Γραμματεία Πληροφοριακών Συστημάτων (Γ.Γ.Π.Σ.). Από τη σκοπιά του αποδέκτη της μελέτης, δηλ. της Γ.Γ.Π.Σ. ο σκοπός και οι στόχοι της εργασίας ταυτίζονται με το σκοπό και τους στόχους της μελέτης ενημερότητας, όπως αυτές διατυπώνονται στη παράγραφο του παρόντος κειμένου. 1.3 Πηγές και όρια Κύρια πηγή για την παρούσα εργασία αποτέλεσε η δεύτερη έκδοση του Εγχειριδίου για την Αύξηση της Ενημερότητας στην Ασφάλεια των Πληροφοριών, που εξέδωσε ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών E.N.I.S.A. (European Network and Information Security Agency) το Αξιοποιώντας το θεωρητικό πλαίσιο που περιγράφεται στο εν λόγω εγχειρίδιο και σε συνδυασμό με πληροφορίες που συλλεχθήκαν κατά τη διάρκεια των συνεντεύξεων με στελέχη του υπό μελέτη οργανισμού,

11 προέκυψε το πρόγραμμα ενημερότητας για την ασφάλεια των Π.Σ. και τη προστασία της ιδιωτικότητας που αναπτύσσετε στα επόμενα κεφάλαια της εργασίας. Η κύρια πηγή της παρούσας εργασίας καθορίζει εν πολύς και τα όρια της. Στη διεθνή βιβλιογραφία σχετικά με το ζήτημα της ενημερότητας για την ασφάλεια των Π.Σ., υπάρχουν διαφορετικές θεωρητικές προσεγγίσεις. Πολλές από αυτές διαφοροποιούνται ακόμα και ως προς τον ορισμό της έννοιας της ενημερότητας. Η παρούσα εργασία οριοθετείται από το θεωρητικό πλαίσιο για το ζήτημα της ενημερότητας των Π.Σ. που έχει συντάξει ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών E.N.I.S.A.. Πηγή για το περιεχόμενο του πρότυπου πληροφοριακού υλικού του προγράμματος αποτέλεσαν τόσο η προσωπική εμπειρία του γράφοντα σε θέματα ασφάλειας Π.Σ. όσο και ένα σύνολο ηλεκτρονικών πηγών οι οποίες και αναφέρονται στο τέλος της παρούσας εργασίας. Για το σχεδιασμό του πληροφοριακού υλικού χρησιμοποιήθηκε το σχεδιαστικό πρόγραμμα Microsoft Office Publisher 2007 της εταιρίας Microsoft. 1.4 Το Πρόγραμμα Ενημερότητας και Ευαισθητοποίησης χρηστών Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ., σε θέματα Ασφάλειας και Προστασίας της Ιδιωτικότητας Η Γενική Γραμματεία Πληροφοριακών Συστημάτων (Γ.Γ.Π.Σ.), αναπτύσσει και συντηρεί μεγάλης κλίμακας ολοκληρωμένα πληροφοριακά συστήματα για τη στήριξη του έργου του Υπουργείου Οικονομίας και Οικονομικών. Τα εν λόγω συστήματα επεξεργάζονται μεγάλο όγκο δεδομένων, μέρος του οποίου χρήζει ιδιαίτερης διαχείρισης βάσει του νομοθετικού πλαισίου της χώρας 1. Η διοίκηση της Γ.Γ.Π.Σ. αποφάσισε την υλοποίηση Προγράμματος Ενημερότητας και Ευαισθητοποίησης χρηστών των Πληροφοριακών της Συστημάτων, σε θέματα Ασφάλειας και Προστασίας της Ιδιωτικότητας, λαμβάνοντας υπόψη: Την κρισιμότητα της απρόσκοπτης και αποδοτικής λειτουργίας των Π.Σ. της Γ.Γ.Π.Σ. για την επίτευξη σημαντικών στόχων του Υπουργείου. 1 Νόμος 2472/97 (πηγή

12 Το σημαντικό ρόλο της ασφάλειας των εν λόγω συστημάτων στην απρόσκοπτη και αποδοτική λειτουργία τους. Τη διαπίστωση ότι η συνεισφορά των μελών της Γ.Γ.Π.Σ. αποτελεί σημαντικό παράγοντα στην ενίσχυση της ασφάλειας των Π.Σ. και της προστασίας της ιδιωτικότητας. Την ηθική και νομική υποχρέωση για την ορθή διαχείριση των δεδομένων που επεξεργάζονται τα συστήματα της Γ.Γ.Π.Σ., κυρίως ως προς την εμπιστευτικότητα και ακεραιότητά τους. Ο σχεδιασμός του προγράμματος πραγματοποιείται από Ερευνητική Ομάδα του Εργαστηρίου Ασφάλειας Πληροφοριακών & Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου, σε συνεργασία με στελέχη της Γ.Γ.Π.Σ.. Τα προσδοκώμενα οφέλη από την επιτυχή περάτωση του προγράμματος συνοψίζονται στα ακόλουθα: - Παροχή κατευθυντήριων γραμμών και πρακτικών που απαιτούνται για την προστασία των πληροφοριακών υποδομών του οργανισμού. - Παροχή γενικών και ειδικών πληροφοριών σχετικών με την ασφάλεια των Π.Σ. του οργανισμού και των μελών του, στα άτομα που τις χρειάζονται. - Γνωστοποίηση/υπενθύμιση στο προσωπικό του οργανισμού των υποχρεώσεων του και του ατομικού τους ρόλου απέναντι στην ασφαλή χρήση των Π.Σ. του οργανισμού. - Παρακίνηση των μελών του οργανισμού στην υιοθέτηση ενδεδειγμένων πρακτικών και οδηγιών. - Δημιουργία μιας ισχυρότερης κουλτούρας ασφάλειας, με ευρεία κατανόηση και δέσμευση στην ασφάλεια των Π.Σ. και την προστασία της ιδιωτικότητας από τα μέλη του οργανισμού. - Ενίσχυση όλων των πρακτικών ασφάλειας που είναι ήδη ενεργές στον οργανισμό. - Περιορισμό του αριθμού και του μεγέθους ρηγμάτων ασφαλείας, μειώνοντας έτσι το κόστος, χρηματικό και μη, που αυτά δυνητικά μπορεί να επιφέρουν. 1.5 Δομή της μελέτης Στο δεύτερο κεφάλαιο περιγράφεται η ακολουθουμένη μεθοδολογία καθώς και τα πλεονεκτήματα και μειονεκτήματά της.

13 Στο τρίτο κεφάλαιο αναπτύσσεται η πρώτη φάση του προγράμματος ενημερότητας και ευαισθητοποίησης σύμφωνα με την ακολουθούμενη μεθοδολογία. Για κάθε διεργασία του προγράμματος παρουσιάζεται μια σύντομη ανάλυση του θεωρητικού πλαισίου στο οποίο στηρίζεται και στη συνέχεια ακολουθεί το εξαγόμενο αποτέλεσμα. Στα κεφάλαια τέσσερα και πέντε περιλαμβάνονται προτάσεις και πρότυπα για την υλοποίηση υποσυνόλου των προτεινόμενων δράσεων που αναφέρονται στο κεφάλαιο τρία του παρόντος. Στο κεφάλαιο έξι περιλαμβάνεται το οργανωτικό μοντέλο για την αναφορά περιστατικών διακύβευσης ασφάλειας Π.Σ. που προτείνεται να υιοθετηθεί από την Γ.Γ.Π.Σ. στο πλαίσιο του προγράμματος ενημερότητας. Τέλος, το κεφάλαιο εφτά εμπεριέχει συμπεράσματα και παρατηρήσεις που προκύπτουν από την ανάλυση το σχεδιασμό της πρώτης φάσης του προγράμματος ενημερότητας, σε ποίους η παρούσα διπλωματική εργασία μπορεί να φανεί χρήσιμη, καθώς και τα θέματα που επιδέχονται περαιτέρω έρευνα.

14 2 Μεθοδολογία 2.1 Η μεθοδολογία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (E.N.I.S.A.) Η ανάπτυξη του Προγράμματος Ενημερότητας και Ευαισθητοποίησης χρηστών των Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ. σε θέματα Ασφάλειας και Προστασίας της Ιδιωτικότητας βασίζεται στη δεύτερη έκδοση του Εγχειριδίου για την Αύξηση της Ενημερότητας στην Ασφάλεια των Πληροφοριών, που εξέδωσε ο E.N.I.S.A. το Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών E.N.I.S.A. (European Network and Information Security Agency) αποτελεί επίσημο οργανισμό της Ευρωπαϊκής Ένωσης που συστάθηκε το Μάρτιο του 2004 με στόχο να αναβαθμίσει την ικανότητα της Ένωσης, των κρατών μελών και των επιχειρήσεων που δραστηριοποιούνται σε αυτή, στην αποτροπή, διαχείριση και αντιμετώπιση δικτυακών και πληροφοριακών προβλημάτων ασφάλειας. Ο οργανισμός αναγνωρίζει πως η ενημερότητα απέναντι στους κινδύνους και τα διαθέσιμα αντίμετρα, αποτελούν την πρώτη γραμμή άμυνας για την αντιμετώπιση των απειλών των πληροφοριακών δικτύων και συστημάτων. Στο πλαίσιο αυτό, το 2006 ο E.N.I.S.A. εξέδωσε ένα Εγχειρίδιο για την Αύξηση της Ενημερότητας στην Ασφάλεια των Πληροφοριών ( A user s guide: How to raise Information security awareness ), το οποίο αναθεωρήθηκε και δημοσιεύτηκε σε δεύτερη έκδοση το 2008, με σκοπό να συμπεριλάβει τις βέλτιστες πρακτικές που προέκυψαν από εφαρμογές της μεθοδολογίας σε διαφορετικούς οργανισμούς στην Ευρώπη. Σκοπός του Εγχειριδίου Ενημερότητας Ασφάλειας του E.N.I.S.A. είναι η παροχή πρακτικών συμβουλών σε οργανισμούς, δημόσιους και ιδιωτικούς, για την προετοιμασία και εφαρμογή πρωτοβουλιών ενημερότητας σχετικών με την ασφάλεια των πληροφοριακών τους συστημάτων. Απευθύνεται σε συγκεκριμένα ακροατήρια εντός των οργανισμών που αξιοποιούν τεχνολογίες πληροφορικής και επικοινωνιών, συμπεριλαμβανομένων Διευθυντών Πληροφορικής, Διευθυντών και στελεχών Ασφάλειας Πληροφοριακών Συστημάτων, καθώς και στελεχών διευθύνσεων διαχείρισης ανθρώπινου δυναμικού. Το Εγχειρίδιο στηρίζεται στη μοντελοποίηση και ανάλυση διεργασιών, οι οποίες περιγράφουν τις διαδικασίες μέσω των οποίων ένα πρόγραμμα ενημερότητας σχεδιάζεται,

15 υλοποιείται και αξιολογείται στα πλαίσια ενός οργανισμού. Το μοντέλο προκύπτει από μελέτες που έχουν πραγματοποιήσει μέλη του E.N.I.S.A., καθώς και από την ανάλυση δεδομένων που τους παρείχαν εξειδικευμένοι σε θέματα ασφάλειας των πληροφοριών οργανισμοί, εντός της Ευρωπαϊκής Ένωσης. Στο Εγχειρίδιο προτείνεται ο διαχωρισμός του προγράμματος ενημερότητας σε τρεις κύριες φάσεις: Τη φάση του Προγραμματισμού, Εκτίμησης και Σχεδίασης του Προγράμματος. Τη φάση της Υλοποίησης και Διαχείρισης του και Τη φάση της Αξιολόγησης και Αναμόρφωσής του. Οι τρεις κύριες φάσεις του προγράμματος και οι σημαντικότερες διεργασίες τους, απεικονίζονται στο Σχήμα 1:

16 Σχήμα 1: Συνoπτική απεικόνιση της μεθοδολογίας του E.N.I.S.A. Ακολουθεί μια συνοπτική περιγραφή των κύριων φάσεων του προγράμματος και των σημαντικότερων διεργασιών που περιλαμβάνουν.

17 Φάση Α Προγραμματισμός, εκτίμηση και σχεδίαση Β Υλοποίηση και Διαχείριση Γ Αξιολόγηση και Αναμόρφωση Περιγραφή Κατά τη Φάση Α του εγχειρήματος αναγνωρίζονται οι απαιτήσεις του οργανισμού σχετικά με την ασφάλεια και την ενημερότητα ασφάλειας των χρηστών Π.Σ. και σχεδιάζεται ένα συγκεκριμένο πλάνο ενεργειών. Για αυτό το σκοπό, αρχικά εδραιώνεται μία ομάδα αρωγής στο σχεδιασμό και την εκπόνηση των δράσεων Ενημερότητας και Ευαισθητοποίησης, η οποία θα σχεδιάσει και θα οργανώσει το πρόγραμμα Ενημερότητας και Ευαισθητοποίησης ασφάλειας Π.Σ. Στη συνέχεια, καθορίζονται οι σκοποί και στόχοι του προγράμματος. Επόμενη ενέργεια αποτελεί ο προσδιορισμός των αποδεκτών του προγράμματος και ο διαχωρισμός τους σε ομάδες, ο καθορισμός των καναλιών επικοινωνίας και η κατάρτιση συγκεκριμένου πλάνου ενεργειών. Ακολούθως προσδιορίζονται οι κύριοι δείκτες αξιολόγησης και συντάσσεται η αναφορά της Φάσης Α. Κατά τη Φάση Β επικυρώνονται και πραγματοποιούνται όλες οι απαιτούμενες για την υλοποίηση του προγράμματος ενέργειες, σύμφωνα με την ανάλυση απαιτήσεων που έχει πραγματοποιηθεί, τις στρατηγικές που έχουν επιλεγεί και το περιεχόμενο του προγράμματος που καθορίστηκε. Κατά τη Φάση Γ, καθορίζεται η βάση αξιολόγησης του προγράμματος. Χρησιμοποιώντας την εν λόγω βάση, αξιολογείται το πρόγραμμα και αναθεωρείται με σκοπό τη συνεχή βελτίωσή του. Για την πραγματοποίηση της αξιολόγησης, απαιτείται η συλλογή των δεδομένων από τους καθορισθέντες στην πρώτη φάση του προγράμματος δείκτες αξιολόγησης. Πίνακας 1: Συνοπτική περιγραφή των κύριων φάσεων του προγράμματος ενημερότητας

18 2.2 Πλεονεκτήματα και μειονεκτήματα της ακολουθούμενης μεθοδολογίας Όπως προαναφέρθηκε, η ακολουθούμενη μεθοδολογία απευθύνεται σε συγκεκριμένα ακροατήρια που διαθέτουν βασικές γνώσεις τεχνολογίας πληροφοριών και ασφάλειας, καθώς και οργανωτικές δεξιότητες. Συνεπώς απαιτείται ένα ελάχιστο όριο γνώσεων και δεξιοτήτων από την πλευρά της ομάδας σχεδιασμού του προγράμματος ενημερότητας. Επιπλέον, το μοντέλο που προτείνει ο E.N.I.S.A. για την υλοποίηση προγραμμάτων ενημερότητας δεν αποτελεί επιστημονική μέθοδο, με την αυστηρή έννοια του όρου και η χρήση του πρέπει να προσαρμόζεται στις ανάγκες και ιδιαιτερότητες του εκάστοτε οργανισμού. Η δομή του μοντέλου και οι περιγραφόμενες διεργασίες, πρέπει να λογίζονται ως σημείο εκκίνησης και όχι ως απαράβατοι κανόνες. Συνέπεια αυτού, είναι η απαίτηση παροχής στην ομάδα σχεδιασμού του προγράμματος, όλων των απαραίτητων πόρων που χρειάζεται για την κατανόηση των ιδιαιτεροτήτων του οργανισμού, έτσι ώστε να είναι σε θέση να προσαρμόσει τη διαθέσιμη μεθοδολογία κατάλληλα. Παρόλα αυτά, ο Οδηγός Ενημερότητας του E.N.I.S.A. παρέχει μια πλήρη μεθοδολογία που καλύπτει ολόκληρο τον κύκλο ζωής ενός προγράμματος ενημερότητας (σχεδίαση, υλοποίηση, αξιολόγηση, διόρθωση), απευθύνεται σε οργανισμούς του ιδιωτικού και δημοσίου τομέα και προσαρμόζεται σχετικά εύκολα στις ιδιαίτερες απαιτήσεις τους. Επιπλέον προέρχεται από έναν επίσημο οργανισμό της Ευρωπαϊκής Ένωσης, ο οποίος τον υποστηρίζει και εξελίσσει διαρκώς, αξιοποιώντας εμπειρικά δεδομένα από την εφαρμογή του, καθιστώντας έτσι τα προγράμματα ενημερότητας που στηρίζονται σε αυτόν αξιοποιήσιμα σε μελλοντικές αντίστοιχες δράσεις. Για τους λόγους αυτούς κρίθηκε ως ο πλέον κατάλληλος για την ανάπτυξη του προγράμματος ενημερότητας της Γ.Γ.Π.Σ.

19 3 Φάση Α : Σχεδιασμός, Αξιολόγηση και Ανάπτυξη 3.1 Διεργασία Α-01: Συγκρότηση ομάδας σχεδιασμού και εκπόνησης του προγράμματος ενημερότητας Θεωρητικό πλαίσιο Ξεκινώντας την υλοποίηση του προγράμματος, το πρώτο βήμα είναι η συγκρότηση της ομάδας, η οποία αναλαμβάνει να διεκπεραιώσει την πρώτη φάση του σχεδιασμού του προγράμματος ενημερότητας (Ομάδα σχεδιασμού και εκπόνησης). Τα προγράμματα ενημερότητας πρέπει να σχεδιάζονται λαμβάνοντας υπόψη την αποστολή του οργανισμού στον οποίο απευθύνονται. Είναι σημαντικό να υποστηρίζουν τις λειτουργικές ανάγκες του, αλλά και να ευθυγραμμίζονται με την κουλτούρα και την αρχιτεκτονική των Πληροφοριακών Συστημάτων του. Οι προεκτεθείσες πτυχές πρέπει να λαμβάνονται σοβαρά υπόψη, ειδικά σε μεγάλους οργανισμούς, οι οποίοι συνήθως παρουσιάζουν αυξημένη πολυπλοκότητα.. Συνεπώς, τα μέλη της ομάδας σχεδιασμού θα πρέπει, επιπλέον των τεχνικών γνώσεων που είναι απαραίτητες για την κατανόηση της πληροφοριακής υποδομής και των κινδύνων στους οποίους υπόκεινται, να γνωρίζουν ή να είναι σε θέση να διερευνήσουν σε βάθος τον τρόπο λειτουργίας του οργανισμού και την κουλτούρα του. Η υποστήριξη της Διοίκησης του οργανισμού και η συμμετοχή της στο σχεδιασμό του προγράμματος αποτελεί, επίσης, σημαντικό ζήτημα που πρέπει να ληφθεί υπόψη κατά τη συγκρότηση της Ομάδας σχεδιασμού. Εάν τα στελέχη που λαμβάνουν στρατηγικής φύσης αποφάσεις για τον οργανισμό δεν κατανοήσουν τη σημασία του προγράμματος ενημερότητας και δεν υποστηρίξουν το σκοπό και τους στόχους του, το πρόγραμμα θα συναντήσει σθεναρή αντίσταση από το προσωπικό και θα αποβεί τελικά ατελέσφορο. Εξάλλου, η διοίκηση είναι αυτή που μπορεί να παράσχει τους απαραιτήτους πόρους για την περάτωση του προγράμματος και θα κληθεί να αξιοποιήσει τα αποτελέσματά του. Η έλλειψη υποστήριξης από την πλευρά της, είναι πολύ πιθανό να οδηγήσει στην αποτυχία του συνολικού εγχειρήματος. Η παρουσία ενός ανώτατου διοικητικού στελέχους στην Ομάδα σχεδιασμού, συνήθως έχοντας ρόλο συντονιστικό, μπορεί να έχει πολλαπλά οφέλη. Διασφαλίζει τη «νομιμοποίηση» της ομάδας μέσα στον οργανισμό, προσδίδει την οπτική της διοίκησης στα

20 θέματα ασφάλειας και βοηθά στην παροχή των απαραίτητων πόρων για την περάτωση του προγράμματος Αποτελέσματα διεργασίας Σύμφωνα με το θεωρητικό πλαίσιο που αναφέραμε, απαιτείται να λειτουργήσει μία ομάδα αρωγής στο σχεδιασμό και την εκπόνηση των δράσεων Ενημερότητας και Ευαισθητοποίησης, η οποία σε συνεργασία με τους ερευνητές του Πανεπιστημίου Αιγαίου, θα σχεδιάσει και θα οργανώσει το πρόγραμμα ενημερότητας. Με τον τρόπο αυτό, πέρα από τα οφέλη που αναφέρθηκαν στη προηγούμενη παράγραφο, η ομάδα αρωγής θα αποκτήσει την απαραίτητη εμπειρία για να επαναλάβει παρόμοια προγράμματα στο μέλλον. Στα πλαίσια της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, παρά το γεγονός ότι δεν έχει συσταθεί μια τέτοια ομάδα με σαφώς καθορισμένες αρμοδιότητες σε σχέση με το σχεδιασμό και τη διεκπεραίωση της πρώτης φάσης, η Γενική Γραμματεία παρείχε όλους τους απαραίτητους ανθρώπινους πόρους, ώστε η ερευνητική ομάδα του Πανεπιστημίου Αιγαίου να έχει τη δυνατότητα διεκπεραίωσης των υποχρεώσεων του σχεδιασμού. Η έλλειψη γνώσεων σχετικά με την κουλτούρα, την πληροφοριακή αρχιτεκτονική και τις λειτουργικές ανάγκες του οργανισμού από τη πλευρά των ερευνητών, καλύφθηκε μέσω συνεντεύξεων που πραγματοποίησαν οι ερευνητές με στελέχη της Γενικής Γραμματείας. Αρωγός και συντονιστής της προσπάθειας αυτής είναι ο Γενικός Διευθυντής της Γ.Γ.Π.Σ.

21 3.2 Διεργασία Α-02: Καθορισμός σκοπού και στόχων του προγράμματος ενημερότητας Θεωρητικό πλαίσιο Κατά την προετοιμασία ενός προγράμματος ενημερότητας αποτελεί συνθήκη εκ των ων ουκ άνευ ο ακριβής προσδιορισμός του σκοπού και των στόχων του. Μέχρις ότου αποσαφηνιστούν οι στόχοι, ο σχεδιασμός και η οργάνωση του προγράμματος δεν μπορεί να διεξαχθεί ομαλά, ενώ είναι αδύνατο να αποτιμηθεί μετέπειτα ο βαθμός επιτυχίας του. Υπενθυμίζουμε ότι ο σκοπός αναφέρεται σε γενικές προθέσεις, είναι ευρύς, γενικός και, αν δεν αναλυθεί, δύσκολα μετρήσιμος. Οι στόχοι, αντίθετα, είναι συγκεκριμένοι, ακριβείς και μετρήσιμοι. Ο σκοπός αναφέρεται σε μια κατάσταση στην οποία επιθυμεί να περιέλθει ο οργανισμός, ενώ οι στόχοι στα ακριβή βήματα που πρέπει να ακολουθηθούν για να επιτευχθεί. Κατά τη διαδικασία καθορισμού σκοπού και στόχων, η ομάδα σχεδιασμού λαμβάνει υπόψη της τα ακόλουθα θέματα: Προϋπάρχοντα προγράμματα ενημερότητας και ασφάλειας. Τα προγράμματα αυτά μπορούν να αξιολογηθούν και να αποτελέσουν σημείο εκκίνησης, στο οποίο θα στηριχθεί το υπό διαμόρφωση πρόγραμμα. Δυνατότητα εκπαίδευσης του προσωπικού. Αν υπάρχει η δυνατότητα εκπαίδευσης του προσωπικού στα πλαίσια του προγράμματος, οι στόχοι μπορούν να είναι πιο φιλόδοξοι. Θεματικές ενότητες του προγράμματος. Μια αρχική εικόνα των θεμάτων που θα θίξει το πρόγραμμα ενημερότητας βοηθά την ομάδα να καθορίσει τα προσδοκώμενα αποτελέσματα και τους στόχους. Η συχνότητα με την οποία το πρόγραμμα θα απευθύνεται στους αποδέκτες. Η διασφάλιση συχνότητας ικανής να διατηρεί το θέμα της ασφάλειας ψηλά στις προτεραιότητες των αποδεκτών, μπορεί να συμπεριληφθεί στους στόχους του προγράμματος.

22 3.2.2 Αποτελέσματα διεργασίας Για τον προσδιορισμό του σκοπού και των στόχων του προγράμματος, η ομάδα σχεδιασμού έλαβε υπόψη της τα ακόλουθα: Την έλλειψη μιας ενιαίας πολιτικής ασφαλείας για τον οργανισμό. Την ύπαρξη επιμέρους πολιτικών ασφάλειας των αναπτυσσόμενων συστημάτων. Την έλλειψη προηγούμενων προγραμμάτων και δράσεων ενημερότητας ή εκπαίδευσης, προσανατολισμένων στην ασφάλεια. Τις απόψεις στελεχών του οργανισμού για τα προσδοκώμενα αποτελέσματα του προγράμματος, όπως αυτές διατυπώθηκαν κατά τη διάρκεια των συνεντεύξεων. Τη γενικότερη κουλτούρα ασφάλειας και προστασίας της ιδιωτικότητας, έτσι όπως την αντιλήφθησαν οι ερευνητές κατά τη διάρκεια της μελέτης του οργανισμού. Σκοπός του προγράμματος ενημερότητας ασφάλειας και προστασίας της ιδιωτικότητας, είναι η ευαισθητοποίηση των μελών της Γ.Γ.Π.Σ. σε θέματα ασφάλειας των πληροφοριακών συστημάτων του οργανισμού και των δεδομένων που αυτά επεξεργάζονται και η παροχή πληροφοριακού υλικού, με θέμα τα μέτρα που θα πρέπει να λάβουν για την αυτοπροστασία τους απέναντι σε βασικούς κίνδυνους ασφάλειας των πληροφοριακών συστημάτων που χρησιμοποιούν. Για την επίτευξη του παραπάνω σκοπού, το Πρόγραμμα Ενημερότητας καλείται να εκπληρώσει τους ακόλουθους στόχους: Σχεδίαση δράσεων ευαισθητοποίησης που προάγουν το ζήτημα της ασφάλειας στον οργανισμό σε ακόμη υψηλότερο επίπεδο. Σχεδίαση στοχευόμενων δράσεων ενημερότητας που αναφέρονται σε βέλτιστες πρακτικές για την ασφάλεια των χρησιμοποιουμένων Π.Σ. Δημιουργία ενός οργανωτικού μοντέλου για την αναφορά περιστατικών διακύβευσης της ασφάλειας και γνωστοποίησή του στο προσωπικό του οργανισμού.

23 3.3 Διεργασία Α-03: Καθορισμός και ανάλυση των ομάδων αποδεκτών του προγράμματος Θεωρητικό πλαίσιο Κάθε οργανισμός αποτελείται από ένα σύνολο ατόμων με διαφορετικά ενδιαφέροντα, γνώσεις και προτεραιότητες. Για το λόγο αυτό, είναι δύσκολο να εντοπιστούν ζητήματα και να κατασκευαστούν μηνύματα που θα αφορούν το σύνολο των μελών του. Το διαφορετικό επίπεδο γνώσεων και ευαισθητοποίησης, που παρατηρείται μεταξύ των αποδεκτών ενός προγράμματος ενημερότητας, εντείνει την παραπάνω δυσκολία. Την αδυναμία αυτή καλείται να αντιμετωπίσει η συγκεκριμένη διεργασία. Για την περάτωσή της ακολουθούνται τα ακόλουθα βήματα: Αρχικά προσδιορίζονται ομάδες με παρόμοια ενδιαφέροντα, γνώσεις και προτεραιότητες, που σχετίζονται με το στόχο και τους σκοπούς του προγράμματος ενημερότητας. Στη συνέχεια εντοπίζονται τα κανάλια επικοινωνίας μέσω των οποίων το πρόγραμμα μπορεί να απευθυνθεί σε κάθε μία από αυτές. Τέλος, και σε περίπτωση που υπάρχουν τα απαραίτητα δεδομένα, η κάθε ομάδα αναλύεται ως προς το επίπεδο ευαισθητοποίησης που τη χαρακτηρίζει. Η ανάλυση του επιπέδου ευαισθητοποίησης συμβάλλει στην αποσαφήνιση του βασικού στόχου των μηνυμάτων που απευθύνονται σε κάθε ομάδα. Για παράδειγμα, στην περίπτωση ευαισθητοποίησης σε κανόνες φυσικής ασφάλειας και πιο συγκεκριμένα πυρασφάλειας, δεν έχει νόημα να δοθούν σε ένα άτομο οδηγίες σχετικά με τη χρήση ενός πυροσβεστήρα, εάν δεν είναι ευαισθητοποιημένος ώστε να τον ενδιαφέρει να σβήσει τη φωτιά. Πρέπει πρώτα το άτομο να πειστεί για την αναγκαιότητα αντιμετώπισης του κίνδυνου και να επικεντρωθεί η προσοχή του στον κίνδυνο αυτό και στη συνέχεια να ενημερωθεί για τα διαθέσιμα αντίμετρα Αποτελέσματα διεργασίας Λαμβάνοντας υπόψη τη μεθοδολογία, τους στόχους του προγράμματος ενημερότητας και τα δεδομένα που προέκυψαν από τις συνεντεύξεις που πραγματοποιήθηκαν, για το διαχωρισμό των ομάδων αποδεκτών ελήφθησαν υπόψη τα παρακάτω κριτήρια:

24 Ο βαθμός αλληλεπίδρασης τους με τα πληροφοριακά συστήματα του οργανισμού. Η έκθεση σε κίνδυνους ασφάλειας και προστασίας της ιδιωτικότητας του κάθε μέλους του οργανισμού. Οι αρμοδιότητες τους σχετικά με την ασφάλεια των πληροφοριακών συστημάτων. Ακολουθεί πίνακας με τις ομάδες αποδεκτών. Στις ομάδες δίνεται ένας κωδικός, ο οποίος θα χρησιμοποιηθεί σε μετέπειτα αναφορές και περιγράφονται τα βασικά τους χαρακτηριστικά. Ομάδα (κωδ. ομ.) Υποομάδες (κωδικός υποομάδας) Προσωπικό της Γ.Γ.Π.Σ. με κύρια αρμοδιότητα την εισαγωγή στοιχείων (data entry) (Ο-11). Προσωπικό της Γ.Γ.Π.Σ. που διαχειρίζεται προσωπικά δεδομένα (Ο-1) Προσωπικό της Γ.Γ.Π.Σ. που έχει τη δυνατότητα ηλεκτρονικής αναζήτησης πληροφοριών που βρίσκονται στις βάσεις δεδομένων του οργανισμού (Ο-12). Προσωπικό της Γ.Γ.Π.Σ. με δυνατότητες εισαγωγής, αναζήτησης και αλλαγής στοιχείων (Ο-13). Προσωπικό της Γ.Γ.Π.Σ. που έχει πρόσβαση και διαχειρίζεται έγγραφα/έντυπα με περιεχόμενο προσωπικά δεδομένα (Ο-14). Διαχειριστές Π.Σ. του οργανισμού, προσανατολισμένοι σε τεχνικά κυρίως θέματα (Ο-21). Προσωπικό της Γ.Γ.Π.Σ. που αναπτύσσει ή συντηρεί εφαρμογές (Ο-22). Προσωπικό της Γ.Γ.Π.Σ. εν δυνάμει αρμόδιο για την ασφάλεια των Π.Σ. (Ο-2) Μεσαία διοικητικά στελέχη του οργανισμού υπεύθυνα για την επίβλεψη υφιστάμενων στελεχών (Ο-23). Ανώτατα διοικητικά στελέχη του οργανισμού τα οποία λαμβάνουν αποφάσεις στρατηγικής φύσης για την πλειοψηφία των θεμάτων του οργανισμού, συμπεριλαμβανομένων των θεμάτων ασφάλειας (Ο-24). Προσωπικό της Γ.Γ.Π.Σ. επιφορτισμένο με τη φυσική ασφάλεια των εγκαταστάσεών της (Ο-25). Μη μέλη της Γ.Γ.Π.Σ. Μη μέλη της Γ.Γ.Π.Σ. τα οποία διαχειρίζονται προσωπικά δεδομένα (Οκαι υπάλληλοι 31). εξωτερικών Μη μέλη της Γ.Γ.Π.Σ. που ανήκουν α) σε εταιρία φύλαξης των συνεργατών της κτηριακών εγκαταστάσεων της Γ.Γ.Π.Σ. και β) συνεργεία καθαρισμού (Ο-3) των κτηριακών εγκαταστάσεων της Γ.Γ.Π.Σ. (Ο-32). Πίνακας 2: Ομάδες αποδεκτών του προγράμματος ενημερότητας

25 Τα διαθέσιμα κανάλια επικοινωνίας που εντοπίστηκαν περιλαμβάνουν διαπροσωπικές επαφές, επιστολές ή ηλεκτρονικό ταχυδρομείο. Καθώς κρίνεται ότι η προσθήκη επιπλέον καναλιών επικοινωνίας θα συνεισφέρει στην αποτελεσματικότητα του προγράμματος, η ομάδα σχεδιασμού κατέθεσε πρόταση δημιουργίας των ακολούθων καναλιών επικοινωνίας: Δημιουργία και εκτύπωση φυλλαδίων και αφισών και ανάρτησή τους. Διαμόρφωση μηνυμάτων σε screensaver, mouse pads, ετικέτες κ.ά. Δικτυακή πύλη για την ασφάλεια στο εσωτερικό δίκτυο (intranet) του οργανισμού. Διοργάνωση σεμιναρίου ή ημερίδας.

26 3.4 Διεργασία Α-04: Επιλογή θεματικών ενοτήτων, αντιστοίχησή τους με τις ομάδες αποδεκτών και αξιολόγηση τους Θεωρητικό πλαίσιο Στην παρούσα διεργασία, αρχικά αναγνωρίζονται θεματικές ενότητες που σχετίζονται με το σκοπό του προγράμματος ενημερότητας και είναι κρίσιμες τόσο για τον οργανισμό, όσο και για τα μέλη του. Πιθανότατα η ομάδα σχεδιασμού να έχει εντοπίσει τις εν λόγω ενότητες ακόμα και στις πρώτες φάσεις του προγράμματος. Στη συνέχεια, γίνεται αντιστοίχηση των θεματικών ενοτήτων με τις υποομάδες που κατεγράφησαν στη διεργασία Α-03. Τέλος, κάθε θεματική ενότητα αξιολογείται βάσει της σπουδαιότητάς της. Η αξιολόγηση μπορεί να γίνει είτε σε επίπεδο οργανισμού, είτε σε επίπεδο ομάδων αποδεκτών, είτε επίπεδο υποομάδων αποδεκτών, αναλόγως με τις ανάγκες του σχεδίου. Παρατηρείται συχνά το θέμα της ασφάλειας πληροφοριακών συστημάτων να θεωρείται λανθασμένα ως αμιγώς τεχνικό ζήτημα. Ένα πληροφοριακό σύστημα δεν αποτελείται μόνον από την τεχνολογία που εμπεριέχει, αλλά και από τους ανθρώπους που τη χρησιμοποιούν όπως επίσης και τις διαδικασίες μέσω των οποίων αυτό συμβαίνει. Το σφάλμα αυτό μπορεί να παρουσιαστεί και κατά την επιλογή θεματικών ενοτήτων. Η ομάδα σχεδιασμού πρέπει να διασφαλίσει ότι τα θέματα που θα επιλεγούν δεν θα εξετάζονται μόνον από την τεχνολογική/τεχνική τους διάσταση. Για παράδειγμα, στο θέμα των Κωδικών Πρόσβασης, πρέπει να εξετάζεται το ζήτημα των ασφαλών κωδικών (τεχνικό), καθώς και η σημασία της διατήρησης της εμπιστευτικότητας τους (ανθρώπινη συμπεριφορά). Τέλος, η αξιολόγηση των θεματικών ενοτήτων βοηθά την ομάδα σχεδιασμού, να κατανείμει ορθότερα τους πόρους που έχει στη διάθεση της για την ολοκλήρωση του προγράμματος.

27 3.4.2 Αποτελέσματα διεργασίας Η ομάδα σχεδιασμού, έχοντας υπόψη της τις λειτουργικές ανάγκες του οργανισμού, το οργανωτικό του περιβάλλον, τους κίνδυνους στους οποίους εκτίθενται τα πληροφοριακά συστήματά του, καθώς και το ότι το πρόγραμμα δεν εστιάζει μόνο σε θέματα ασφάλειας αλλά και σε θέματα προστασίας της ιδιωτικότητας, κατέληξε στις παρακάτω θεματικές ενότητες: Κωδικός Θεματική Ενότητα Περιγραφή Θ-01 Ασφάλεια Ηλεκτρονικού Ταχυδρομείου Επικίνδυνα μηνύματα και ηλεκτρονικό ψάρεμα (phishing) Θ-02 Ασφάλεια του Διαδικτύου Ασφάλεια κατά την περιήγηση στο Διαδίκτυο Θ-03 Κωδικοί πρόσβασης Θ-04 Ιομορφικό λογισμικό Θ-05 Θ-06 Θ-07 Θ-08 Φυσική ασφάλεια / πρόσβαση σε κτήρια Διαχείριση των πληροφοριών Περιστατικά διακύβευσης ασφάλειας Ενημερώσεις και διορθώσεις ασφάλειας Ασφαλείς κωδικοί πρόσβασης και εμπιστευτική διαχείριση τους Κακόβουλο λογισμικό (malware, adware, virus, Trojan horses) Έλεγχος πρόσβασης σε χώρους του οργανισμού, προστασία από φυσικές καταστροφές (πυρκαγιά κ.α.) Προσωπικά δεδομένα, υποχρεώσεις που απορρέουν από τη διαχείριση τους και τρόποι προστασίας τους Γιατί πρέπει να αναφέρονται περιστατικά ασφάλειας, σε ποιους και με ποιες διαδικασίες Διορθώσεις λογισμικού και ενημερώσεις ασφάλειας αναγκαιότητα και διαδικασίες Θ-09 Ασφάλεια αναδόχων Πολιτικές ασφάλειας για εργασίες αναδόχων/εργολάβων Θ-10 Ανάπτυξη ασφαλούς Κανόνες και πρακτικές ανάπτυξης ασφαλούς λογισμικού λογισμικού Πίνακας 3: Θεματικές ενότητες του προγράμματος Οι πρώτες τέσσερις θεματικές ενότητες (Θ-01 έως Θ-04) είναι γενικού ενδιαφέροντος και απευθύνονται στο σύνολο των μελών της Γ.Γ.Π.Σ.. Και αυτό γιατί, ενώ αφορούν απειλές που δε σχετίζονται με το εργασιακό περιβάλλον όλων των μελών της Γ.Γ.Π.Σ., εντούτοις ενδέχεται να αποτελούν έμμεσο κίνδυνο για τα πληροφοριακά της συστήματα. Για παράδειγμα, ακόμα και αν ένα μέλος της Γ.Γ.Π.Σ. δε διαθέτει λογαριασμό ηλεκτρονικού ταχυδρομείου στον οργανισμό, η διαρροή του κωδικού πρόσβασης που χρησιμοποιεί για να εισέλθει στα συστήματα της Γ.Γ.Π.Σ., μπορεί να πραγματοποιηθεί από τον προσωπικό λογαριασμό ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί στο σπίτι του. Οι επόμενες έξι (Θ-05 έως Θ-10) αφορούν πιο ειδικά θέματα και προκύπτουν από τις ιδιαιτερότητες που παρουσιάζει η Γ.Γ.Π.Σ., ως προς τους κινδύνους στους οποίους υπόκεινται τα πληροφοριακά της συστήματα και τα δεδομένα που διαχειρίζεται.

28 Ακολουθεί πίνακας που εντάσσει τις υποομάδες, όπως αυτές αναφέρονται στον Πίνακα 2 της διεργασίας Α-03, στις παραπάνω θεματικές ενότητες ενημερότητας. Δίπλα από τον κωδικό της κάθε ενότητας υπάρχει σε παρένθεση ο βαθμός αξιολόγησης της σημαντικότητάς της για την κάθε υποομάδα. Οι βαθμοί είναι: (3)-Κρίσιμο, (2)-Σημαντικό, (1)-Καλό να υπάρχει, στις δράσεις του προγράμματος που απευθύνονται στην υποομάδα. Υποομάδες αποδεκτών Θεματικές ενότητες Προσωπικό της Γ.Γ.Π.Σ. με κύρια αρμοδιότητα την εισαγωγή στοιχείων (data entry) στα Π.Σ. του οργανισμού (Ο-11). Προσωπικό της Γ.Γ.Π.Σ. που έχει τη δυνατότητα ηλεκτρονικής αναζήτησης πληροφοριών που βρίσκονται στις βάσεις δεδομένων του οργανισμού (Ο-12). Προσωπικό της Γ.Γ.Π.Σ. με δυνατότητες εισαγωγής, αναζήτησης και αλλαγής στοιχείων στα Π.Σ. του οργανισμού (Ο-13). Προσωπικό της Γ.Γ.Π.Σ. που έχει πρόσβαση και διαχειρίζεται έγγραφα/έντυπα με περιεχόμενο προσωπικά δεδομένα (Ο-14). Διαχειριστές Π.Σ. του οργανισμού, προσανατολισμένοι σε τεχνικά κυρίως θέματα (Ο- 21). Προσωπικό της Γ.Γ.Π.Σ. που αναπτύσσει εφαρμογές για τα Π.Σ (Ο-22). Μεσαία διοικητικά στελέχη του οργανισμού υπεύθυνα για την επίβλεψη υφιστάμενων στελεχών (Ο-23). Ανώτατα διοικητικά στελέχη του οργανισμού τα οποία λαμβάνουν αποφάσεις στρατηγικής φύσης για τη πλειοψηφία των θεμάτων του οργανισμού, συμπεριλαμβανομένων των θεμάτων ασφάλειας (Ο- 24). Προσωπικό της ΓΓΠΣ επιφορτισμένο με τη φυσική ασφάλεια των εγκαταστάσεων του οργανισμού (Ο- 25). Μη μέλη της Γ.Γ.Π.Σ. τα οποία διαχειρίζονται προσωπικά δεδομένα (Ο-31). Μη μέλη της Γ.Γ.Π.Σ. που ανήκουν α) σε εταιρία φύλαξης των κτηριακών εγκαταστάσεων της Γ.Γ.Π.Σ. και β) συνεργεία καθαρισμού των κτηριακών εγκαταστάσεων της Γ.Γ.Π.Σ. (Ο-32). Θ-01 (2), Θ-02 (1), Θ-03 (3), Θ-04(1),Θ-06(3), Θ- 07(3) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1),Θ-06(3), Θ- 07(3) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1),Θ-06(3), Θ- 07(3) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1),Θ-06(3), Θ- 07(3) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1),Θ-06(3), Θ- 07(3), Θ-08(2) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1),Θ-07(3), Θ- 10(2) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1), Θ-07(3) Θ-07(3), Θ-09(3) Θ-01 (2), Θ-02 (1), Θ-03 (2), Θ-04(1), Θ-05(3) Θ- 07(3) Θ-06(3) Θ-05(3), Θ-07(3) Πίνακας 4: Αντιστοίχηση Θεματικών Ενοτήτων και υποομάδων αποδεκτών

29 3.5 Διεργασία Α-05: Καθορισμός επικοινωνιακού πλάνου Θεωρητικό πλαίσιο Στην παρούσα φάση, η ομάδα σχεδιασμού, χρησιμοποιώντας τα δεδομένα που προέκυψαν από τις προηγούμενες διεργασίες αναπτύσσει το επικοινωνιακό πλάνο. Συγκεκριμένα, το πλάνο περιλαμβάνει: Τα βασικά μηνύματα και τους στόχους τους ανά Ομάδα Αποδεκτών. Τα βασικά μηνύματα απορρέουν από τις θεματικές ενότητες που κατεγράφησαν στη διεργασία Α-04, σε συνδυασμό με τις ανάγκες των ομάδων στις οποίες απευθύνονται. Τα επικοινωνιακά κανάλια που θα χρησιμοποιηθούν για την παράδοση των μηνυμάτων. Επιλέγονται τα κανάλια επικοινωνίας μέσα από τα διαθέσιμα κανάλια που κατεγράφησαν στη διεργασία Α-03. Η χρήση πολλαπλών καναλιών επικοινωνίας βοηθά στην καλύτερη προσέγγιση των αποδεκτών. Τους ρόλους και τις αρμοδιότητες των εμπλεκόμενων στην υλοποίηση του επικοινωνιακού πλάνου. Ο καθορισμός ρόλων και αρμοδιοτήτων αποσκοπεί στο συντονισμό των απαιτουμένων δράσεων για την υλοποίηση του επικοινωνιακού πλάνου. Το σχεδιασμό μηχανισμού ανάδρασης (feedback) για τους αποδέκτες του προγράμματος, όπου αυτό είναι δυνατό. Η παρουσία ενός τέτοιου μηχανισμού βοηθά στην αξιολόγηση και βελτίωση του προγράμματος. Τα αποτελέσματά του μπορούν να αξιοποιηθούν επίσης και κατά την υλοποίηση μελλοντικών προγραμμάτων ενημερότητας. Εφόσον οριστικοποιηθεί το επικοινωνιακό πλάνο, η ομάδα σχεδιασμού θα είναι σε θέση να σχεδιάσει συγκεκριμένες, πλέον, δράσεις ενημερότητας με σαφές περιεχόμενο και στόχους.

30 3.5.2 Αποτελέσματα διεργασίας Πίνακας 5: Βασικά μηνύματα και αποδέκτες Κωδ. Βασικό Μήνυμα Στόχος Δ01 Κίνδυνοι Ηλεκτρονικού Ταχυδρομείου Αναγνώριση και αντιμετώπιση επικινδύνων ηλεκτρονικών μηνυμάτων Δ02 Κίνδυνοι στο Διαδίκτυο Ασφαλέστερη περιήγηση στο Διαδίκτυο Δ03 Δ04 Δ05 Δ06 Δ07 Δ08 Δ09 Δ10 Δ11 Δ12 Δ13 Δ14 Δ15 Δ16 Βέλτιστες πρακτικές επιλογής Λογαριασμού Χρήστη Η εμπιστευτικότητα του κωδικού ως μέσο διασφάλισης του κατόχου του Ιομορφικό λογισμικό Η διαδικασία εισαγωγής ατόμων στο κτήριο και η σημασία της Η αμελής συμπεριφορά ως αίτιο φυσικών καταστροφών Υποχρεώσεις διαχειριστών προσωπικών δεδομένων Προστασία εκτυπώσεων Προστασία προσωπικών δεδομένων Αναγνώριση και αναφορά περιστατικών διακύβευσης ασφάλειας Διαδικασία διαχείρισης περιστατικού διακύβευσης ασφάλειας Ανάλυση και αντιμετώπιση περιστατικών διακύβευσης ασφάλειας Ενημερώσεις και διορθώσεις ασφάλειας Π.Σ. Εφαρμογή των βέλτιστων πρακτικών από τους χρήστες Αποφυγή γνωστοποίησης από τους χρήστες των κωδικών τους Κατανόηση κινδύνου και υιοθέτηση αντιμέτρων Όλοι οι επισκέπτες πρέπει να παίρνουν κάρτα εισόδου Υπεύθυνη συμπεριφορά από τους αποδέκτες του προγράμματος Υπεύθυνη διαχείριση προσωπικών δεδομένων Προστασία εκτυπώσεων που περιέχουν κρίσιμα δεδομένα Παροχή συμβουλών για την προστασία των προσωπικών δεδομένων από τους διαχειριστές τους Γνωστοποίηση και υιοθέτηση μοντέλου για την αναφορά περιστατικών διακύβευσης ασφάλειας. Κατανόηση και συμμόρφωση με την προβλεπόμενη διαδικασία Ανάλυση και αντιμετώπιση περιστατικών διακύβευσης ασφάλειας Κατανόηση της σημασίας και του τρόπου που πρέπει να πραγματοποιούνται οι ενημερώσεις ασφάλειας Ομάδες αποδεκτών Ο- 11,12,13,14,2 1,22,23,25 Ο- 11,12,13,14,2 1,22,23,25 Ο- 11,12,13,14,2 1,22,23,25 Ο- 11,12,13,14,2 1,22,23,25 Ο- 11,12,13,14,2 1,22,23,25 Ο-25, Ο-32 Α Ο-25 Ο- 11,12,13,14,2 1,22,23,24 Ο-14 Ο-11,12,13 Ο- 11,12,13,14,2 1,22,25,32 Ο-23 Ο-24 Ο-21 Ασφάλεια αναδόχων: Σημασία Κατανόηση του θέματος Ο-24 και ενδεδειγμένες πρακτικές Η ασφάλεια ως χαρακτηριστικό Κατανόηση του θέματος και των Ο-22 και όχι πρόσθετο στα Π.Σ. πλεονεκτημάτων που προσφέρει Πίνακας 5: Βασικά μηνύματα και αποδέκτες

31 Τα παραπάνω μηνύματα θα αξιοποιηθούν για τη δημιουργία του περιεχομένου συγκεκριμένων δράσεων επικοινωνίας στην επόμενη διεργασία. Για τα επικοινωνιακά κανάλια που θα χρησιμοποιηθούν για την παράδοση των μηνυμάτων, η ομάδα σχεδιασμού κατέληξε στα εξής: Μηνύματα που ανήκουν στις θεματικές ενότητες γενικού ενδιαφέροντος και έχουν ως αποδέκτες το σύνολο των μελών της Γ.Γ.Π.Σ., θα παραδοθούν μέσω πολλαπλών καναλιών επικοινωνίας για να επιτευχθεί η μέγιστη δυνατή διάδοση τους. Μηνύματα που σχετίζονται με τη φυσική ασφάλεια και έχουν περιορισμένο ακροατήριο θα παραδοθούν μέσω αφισών και φυλλαδίων. Επειδή η ορθή και στο πλαίσιο του Νόμου διαχείριση των προσωπικών και ευαίσθητων προσωπικών δεδομένων έχει μείζονα σημασία για τη Γ.Γ.Π.Σ., τα σχετικά μηνύματα θα παραδοθούν μέσω πολλαπλών καναλιών επικοινωνίας, έτσι ώστε να πολλαπλασιαστεί ο αντίκτυπός τους. Μηνύματα ειδικού ενδιαφέροντος που απευθύνονται σε ολιγομελή ακροατήρια και απαιτούν ειδικευμένο πληροφοριακό υλικό θα παραδοθούν μέσω παρουσιάσεων με τη χρήση πολυμέσων από επιστημονικά καταρτισμένο ομιλητή. Την παρούσα χρονική στιγμή δεν υφίσταται επίσημο οργανωτικό μοντέλο αναφοράς περιστατικών διακύβευσης ασφάλειας στη Γ.Γ.Π.Σ. Λαμβάνοντας υπόψη την κρισιμότητα που έχει η ύπαρξη μίας τέτοιας δομής στην επιτυχία του προγράμματος και την αναγκαιότητα επικύρωσης και στελέχωσης της εν λόγω δομής, ο τρόπος διανομής και το ακριβές περιεχόμενο των μηνυμάτων που σχετίζονται με την αναφορά και διαχείριση περιστατικών ασφάλειας θα αποφασιστεί από τη διοίκηση του οργανισμού πριν την έναρξη της φάσης υλοποίησης του προγράμματος και κατόπιν πρότασης της ομάδας σχεδιασμού. Κανάλι Μηνύματα Φυλλάδια Δ01,02,03,04,05,06,08,09,10 Αφίσες Δ01,02,03,04,05,08,10 Ηλεκτρονικό ταχυδρομείο Δ01,02,03,04,05,08,09,10 Παρουσίαση σε αίθουσα Δ15,16 Πίνακας 6: Κανάλια επικοινωνίας παράδοσης βασικών μηνυμάτων

32 Ομάδα Ρόλοι και αρμοδιότητες Επικύρωση του επικοινωνιακού πλάνου Επικύρωση και στελέχωση του οργανωτικού μοντέλου αναφοράς περιστατικών διακύβευσης ασφάλειας Διοίκηση Γ.Γ.Π.Σ. Παροχή των απαιτούμενων για την πραγματοποίηση των δράσεων ενημερότητας πόρων Επίβλεψη της υλοποίησης του επικοινωνιακού πλάνου Σχεδιασμός οργανωτικού μοντέλου αναφοράς περιστατικών διακύβευσης ασφάλειας Ερευνητές Πανεπιστημίου Αιγαίου Σχεδιασμός δράσεων ενημερότητας Δημιουργία περιεχομένου δράσεων ενημερότητας Μορφοποίηση περιεχομένου δράσεων Ομάδα Ιστοχώρου Γ.Γ.Π.Σ. ενημερότητας Παράδοση δράσεων ενημερότητας που Τμήμα τεχνικής υποστήριξης έχουν ως μέσο διανομής το ηλεκτρονικό ταχυδρομείο Παράδοση δράσεων ενημερότητας που Γραμματείες τμημάτων ομάδων αποδεκτών έχουν ως μέσο διανομής φυλλάδια Παράδοση δράσεων ενημερότητας που Διεύθυνση Εκμ/σης Η/Υ & Μαγνητικών Μέσων έχουν ως μέσο διανομής αφίσες Πίνακας 7: Ρόλοι και αρμοδιότητες για τη υλοποίηση του επικοινωνιακού πλάνου Για τη δημιουργία μηχανισμού ανάδρασης, μέσω του οποίου οι χρήστες θα μπορούν να καταθέτουν τις απόψεις τους για το πρόγραμμα, ερωτήσεις σχετικά με την ασφάλεια των Π.Σ. και του πληροφοριακού υλικού που έλαβαν στα πλαίσια του προγράμματος, καθώς και να αξιολογούν τις δράσεις του προγράμματος προτείνεται: Να δημιουργηθεί διεύθυνση ηλεκτρονικού ταχυδρομείου στην οποία θα μπορούν να απευθύνονται οι χρήστες. Στα πλαίσια της ανάπτυξης portal για την ασφάλεια στο ενδοδίκτυο (intranet) της Γ.Γ.Π.Σ. να συμπεριλαμβάνονται σε αυτό μηχανισμοί ανάδρασης για τους επισκέπτες του.

33 3.6 Διεργασία Α-06: Σχεδιασμός δράσεων επικοινωνίας Θεωρητικό πλαίσιο Στην παρούσα διεργασία, η ομάδα σχεδιασμού σχεδιάζει δράσεις επικοινωνίας, οι οποίες θα υλοποιηθούν στη δεύτερη φάση του προγράμματος ενημερότητας (φάση υλοποίησης προγράμματος). Οι Δράσεις έχουν ως στόχο να μεταφέρουν τα βασικά μηνύματα που ορίστηκαν στη διεργασία Α-06 στις αντίστοιχες ομάδες αποδεκτών. Πέραν των στοιχείων που καθορίστηκαν στην προηγούμενη διεργασία (ομάδες αποδεκτών, επικοινωνιακά κανάλια) κάθε δράση μπορεί να περιλαμβάνει: Τις συνθήκες και τη συχνότητα πραγματοποίησης της δράσης. Μια δράση ενδέχεται να είναι επαναλαμβανόμενη ή να πραγματοποιείται κάτω από συγκεκριμένες συνθήκες. Τις συνθήκες αναθεώρησης του περιεχομένου της δράσης. Σε περίπτωση επαναλαμβανόμενων, ενδέχεται το περιεχόμενο τους να χρήζει περιοδικής αναθεώρησης. Οι δράσεις δεν είναι απαραίτητο να περιορίζονται στη διανομή των καθορισθέντων στη διεργασία Α-05 μηνυμάτων. Μπορούν να σχεδιαστούν δράσεις σε ένα γενικότερο πλαίσιο ενδυνάμωσης της κουλτούρας ασφάλειας που διέπει τις ομάδες αποδεκτών του προγράμματος ενισχύοντας τα οφέλη του και αυξάνοντας τις πιθανότητες επιτυχίας του.

34 3.6.2 Αποτελέσματα διεργασίας Στα πλαίσια του παρόντος προγράμματος ενημερότητας, η ομάδα σχεδιασμού προτείνει την πραγματοποίηση συγκεκριμένων δράσεων επικοινωνίας που περιγράφονται στη συνέχεια. Για τις προτεινόμενες δράσεις σημειώνουμε ότι οι γραμμές που περιγράφουν τις συνθήκες επανάληψης και αναθεώρησης του περιεχομένου των δράσεων είναι ενδεικτικές και δε σχετίζονται με το παρόν πρόγραμμα ενημερότητας. Μπορούν να αξιοποιηθούν από τη Γ.Γ.Π.Σ., είτε σε μελλοντικά προγράμματα ενημερότητας, είτε για την υιοθέτηση των δράσεων ως επίσημων διαδικασιών της Γ.Γ.Π.Σ., στα πλαίσια μιας σταθερής και συνεχούς προσπάθειας της διοίκησης του οργανισμού να διατηρήσει το θέμα της ασφάλειας και προστασίας της ιδιωτικότητας σε υψηλό επίπεδο ενδιαφέροντος εντός του οργανισμού Δράση 01: Αποστολή σειράς μηνυμάτων ηλεκτρονικού ταχυδρομείου με θέματα ασφάλειας των Π.Σ. και προστασίας της ιδιωτικότητας γενικού ενδιαφέροντος Δράση 01: Αποστολή σειράς μηνυμάτων ηλεκτρονικού ταχυδρομείου με θέματα για την ασφάλεια των Π.Σ. και την προστασία της ιδιωτικότητας γενικού ενδιαφέροντος Ομάδες αποδεκτών Ο-11,12,13,14,21,22,23,25 Επικοινωνιακά κανάλια Ηλεκτρονικό ταχυδρομείο Πραγματοποίηση Αποστολή ενός μηνύματος κάθε εβδομάδα από τη στιγμή έναρξης της δεύτερης φάσης του προγράμματος Επανάληψη Σε περίπτωση αναθεώρησης του περιεχομένου της δράσης Σε κάθε νέο μέλος της Γ.Γ.Π.Σ. που ανήκει στις ομάδες αποδεκτών Αναθεώρηση περιεχομένου Σε περίπτωση που κριθεί ανεπαρκές λόγω της εμφάνισης νέων κινδύνων σχετικών με τις θεματικές ενότητες της δράσης