ewsletter ISACA Athens Chapter ΠΕΡΙΕΧΟΜΕΝΑ

Transcript

1 Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής (Ι.Ε.Σ.Π.) - ISACA Athens Chapter Ενημερωτικό Δελτίο Έτος 2013, Τ Ιαν 2013 ISACA Athens Chapter ΠΕΡΙΕΧΟΜΕΝΑ 1. Συνέντευξη Δρ. Βασίλειος Κάτος, ISACA Academic Advocate Δημοκρίτειο Πανεπιστήμιο Θράκης 2. Αρθρογραφία "Social Media vs. Security" 7 3. Νέα του Ινστιτούτου 2o Ετήσιο Συνέδριο Ι.Ε.Σ.Π. Εκπαιδευτικές Εκδηλώσεις Κοπή Πρωτοχρονιάτικης Πίτας 2013 Ετήσια Γενική Συνέλευση Ι.Ε.Σ.Π. και Social Media Νέοι Academic Advocates του Ι.Ε.Σ.Π. Συμμετοχή σε Συνέδρια και Εκδηλώσεις Βράβευση N 2011 Βράβευση Best Large Chapter Europe/Africa Νέα ISACA International Σημαντικές Ημερομηνίες για τις Εξετάσεις Ιουνίου 2013 Πρόσθετη εξεταστική περίοδος για CISA και CISM μέσα στο 2013 Απόκτηση CPE μέσω Certification Mentoring Έρευνα για τα Advanced Persistent Threats! Νέο σύστημα αναφοράς των CPEs Member Get A Member Campaign - Results Μοιραστείτε τα αγαπημένα σας Έγγραφα και Συνδέσμους Αγαπητά μέλη, Έχω την ιδιαίτερη χαρά να προλογίζω το πρώτο N του 2013, που παρά τις δυσμενείς συνθήκες και τις συνεχείς προκλήσεις που αντιμετωπίζουμε, ξεκινάει με μία μεγάλη διάκριση για το Chapter, μιας και τιμήθηκε για μία ακόμη φορά με το K. Wayne Snipes Award ως το Best Large Chapter in Europe & Africa για το Η διάκριση μας γεμίζει με δύναμη και ενθουσιασμό και σηματοδοτεί την απαρχή ενός ταξιδιού υψηλών προσδοκιών, που ατενίζουμε με αισιοδοξία, χάρη στην δική σας ένθερμη υποστήριξη και ενεργή συμμετοχή. Ως μέλος της Eκπαιδευτικής Eπιτροπής του Ινστιτούτου και κάνοντας μία σύντομη αναδρομή στη χρονιά που πέρασε, επιτρέψτε μου να ξεχωρίσω το 2ο ετήσιο Συνέδριο που διοργανώθηκε στις 6-7 Δεκεμβρίου σε συνεργασία με την Ελληνοαμερικανική Ένωση ως μία από τις πιο λαμπρές στιγμές της περασμένης χρονιάς. Η δική σας τιμητική υποστήριξη σε συνδυασμό με τη συμμετοχή ομιλητών διεθνούς αίγλης, μεταξύ των οποίων θα ξεχωρίζαμε τους τρεις Αντιπροέδρους του ISACA International, δημιούργησαν τις κατάλληλες προϋποθέσεις για τη διεξαγωγή μιας εκπαιδευτικής εκδήλωσης και γενικότερα ενός συνεδρίου εξαιρετικά υψηλού επιπέδου, που κατάφερε να προσελκύσει το ενδιαφέρον σε διεθνές επίπεδο και να αποτελέσει σημείο αναφοράς για τις μελλοντικές εκδηλώσεις του Ινστιτούτου. Συμμετέχοντας για πρώτη χρονιά στο σχεδιασμό των δράσεων του Ινστιτούτου, μπορώ με βεβαιότητα να πω πως το κλειδί της επιτυχίας δεν είναι άλλο από την ανιδιοτελή ενεργή συμμετοχή και τη συλλογική προσπάθεια των μελών του. Κάνοντας ένα άνοιγμα προς τους νέους μέσω της υποστήριξης της ακαδημαϊκής πανεπιστημιακής κοινότητας, της ενδυνάμωσης και εγκαθίδρυσης νέων εξειδικευμένων Ομάδων Εργασίας, της διεύρυνσης των συνεργασιών με Ινστιτούτα, Φορείς και Οργανισμούς που δραστηριοποιούνται σε συναφή αντικείμενα και διαδραματίζουν ηγετικό ρόλο τόσο σε τοπικό όσο και σε διεθνές επίπεδο, δεσμευόμαστε πως και 1

2 Περιεχόμενα (συνέχεια) Αποτελέσματα Ερευνητικής εργασίας ISACA: IT Audit and Assurance Guidance Παρουσίαση Βιβλίου: A practical guide to reducing IT costs 5. Η Σελίδα των Μελών Call for Speakers, Papers, Volunteers Έρευνα Μελών Εκκρεμείς αιτήσεις για πιστοποίηση Υπενθύμιση για την ετήσια υποβολή CPEs Κρυπτόλεξο 6. Σε Τροχιά CobiT COBIT 5 for Information Security COBIT 5 Product Family 7. Εκπαιδευτικά προγράμματα και συνεργασίες Εκπαιδευτικά Προγράμματα ISACA ΗQ Webinar Virtual Trade Conference Εκπαιδευτικά Προγράμματα Ι.Ε.Σ.Π. Επόμενες εκπαιδευτικές εκδηλώσεις Προγράμματα CRISC & COBIT5 Εκπαιδευτικές Συνεργασίες Ι.Ε.Σ.Π. Σχεδιαζόμενες συνεργασίες Σεμινάρια Προετοιμασίας CISA-CISM τη νέα χρονιά θα συνεχίσουμε να θέτουμε υψηλούς στόχους συμβάλλοντας ουσιαστικά στη δημιουργία των κατάλληλων προϋποθέσεων, ώστε το Ινστιτούτο να αποτελεί πεδίο ευρύτερης συνεργασίας και κανάλι ανταλλαγής απόψεων και μεταφοράς τεχνογνωσίας. Με φιλικούς χαιρετισμούς, Μιχάλης Σαμιωτάκης Μέλος Δ.Σ και Εκπαιδευτικής Επιτροπής Ι.Ε.Σ.Π. 2

3 Για περισσότερες πληροφορίες επικοινωνήστε στο LEARN MORE For more information contact your local Chapter at To register for an exam visit isaca.org/opportunity 3

4 1. Συνέντευξη Με τον Δρ. Βασίλειο Κάτο, ISACA Academic Advocate Δημοκρίτειο Πανεπιστήμιο Θράκης Αδιαμφισβήτητα, η σειρά των συνεντεύξεων με τους απερχόμενους προέδρους του Ι.Ε.Σ.Π μας έδωσε τη δυνατότητα να μάθουμε όλοι εμείς οι νεότεροι για το όραμα αυτών που ηγήθηκαν της δημιουργίας, της πορείας και της εξέλιξης του Ινστιτούτου όλα αυτά τα χρονιά, αλλά και οι ίδιοι να μοιραστούν μαζί μας λεπτομέρειες και γεγονότα που έζησαν. Αφού λοιπόν φαίνεται, ότι υπάρχουν πλέον στέρεες βάσεις, ως εκ τούτου, δε μπορεί κάποιος παρά να σκέφτεται και να αντιμετωπίζει το μέλλον θετικά όσο και αυτό αν φαντάζει δύσκολο στη σημερινή Ελλάδα της κρίσης (... ή μήπως των ευκαιριών;). Η αλήθεια είναι πως αναζητώντας την επόμενη θεματική ενότητα των συνεντεύξεων η λέξη που κυριαρχούσε στις συζητήσεις μας δεν ήταν άλλη παρά το «μέλλον». Όταν λοιπόν σκέφτεσαι το μέλλον σε μία γνωστική περιοχή ή σε κάποιο εππαγγελματικό τομέα, η επόμενη σκέψη που σου έρχεται είναι τα Πανεπιστήμια και δη οι φοιτητές που είναι οι επαγγελματίες του αύριο. Εμείς ως ISACA παγκοσμίως αλλά συγκεκριμένα και ως ISACA Athens Chapter είμαστε αισιόδοξοι και μας τιμά ιδιαίτερως η ύπαρξη ενεργών και δραστήριων ομάδων φοιτητών στα Ελληνικά Πανεπιστήμια που ασχολούνται και προάγουν το γνωστικό αντικείμενο της Ασφάλειας και Ελέγχου Συστημάτων Πληροφορικής. Φυσικά, σημαντικοί αρωγοί σε αυτές τις προσπάθειες είναι το αξιόλογο και καταξιωμένο διδακτικό προσωπικό που έχει αναλάβει την πρωτοβουλία του συντονισμού αυτών των προσπαθειών έχοντας το ρόλο των ISACA Academic Advocates. Και να μην ξεχνάμε την προσπάθεια των Academic Relations Coordinator του Ι.Ε.Σ.Π., κκ. Παναγιώτη Μερκούρη και Μιχάλη Σαμιωτάκη. Θέλοντας λοιπόν να γνωστοποιήσουμε και να επιβραβεύσουμε έστω και με αυτό τον τρόπο το έργο που γίνεται σε πολλά Πανεπιστήμια σε όλη τη χώρα αποφασίσαμε να αφιερώσουμε τη συγκεκριμένη ενότητα σε αυτό και στα επόμενα τεύχη μας σε όλους τους εν ενεργεία ISACA Academic Advocates ξεκινώντας από τον Επίκουρο Καθηγητή, κ. Κάτο, ακολουθώντας σειρά «παλαιότητας». Τους ευχαριστούμε όλους θερμά! Ο Βασίλης Κάτος, CHFI, είναι Επίκουρος Καθηγητής στο Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών της Πολυτεχνικής Σχολής του Δημοκρίτειου Πανεπιστήμιου Θράκης, με γνωστικό αντικείμενο Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων. Προτού αναλάβει καθήκοντα στο ΔΠΘ, ήταν Principal Lecturer στο Πανεπιστήμιο του Portsmouth και Academic Advocate του ISACA London Chapter. Είναι κάτοχος διπλώματος Ηλεκτρολόγου Μηχανικού από το Δημοκρίτειο Πανεπιστήμιο Θράκης (1994), Μεταπτυχιακού στη Διοίκηση Επιχειρήσεων (MBA) από το Keele University (1995) και Διδακτορικού Διπλώματος (ασφάλεια υπολογιστικών συστημάτων) από το Aston University (2000). Ο κ. Κάτος εργάστηκε στον ιδιωτικό τομέα για 2 έτη ( ) στην Ολλανδία ως Security Consultant για λογαριασμό της Cambridge Technology Partners (Novell, Inc.). Κατά τη διάρκεια αυτής της συνεργασίας συμμετείχε σε διάφορα έργα λογισμικού κυρίως στον Tηλεπικοινωνιακό και Tραπεζικό τομέα, παρέχοντας υπηρεσίες penetration testing και λύσεις αρχιτεκτονικής ασφάλειας (security architecture solutions). Είναι προσκεκλημένος ομιλητής σε διεθνή συνέδρια και ημερίδες και εισηγητής σε μεταπτυχιακά προγράμματα σε διάφορα ΑΕΙ της χώρας. Τα ερευνητικά του ενδιαφέρονται εστιάζονται στην ασφάλεια πληροφοριακών συστημάτων, ανάλυση ψηφιακών πειστηρίων (digital forensics) και απόκριση περιστατικών ασφάλειας (incident response) ενώ συμμετέχει σε έργα έρευνας και τεχνολογικής ανάπτυξης χρηματοδοτούμενα από τη ΓΓΕΤ και την Ευρωπαϊκή Ένωση (FP7). 4

5 1. Συνέντευξη Ποιος ήταν ο κυριότερος λόγος που σας ώθησε να γίνετε ISACA Academic Advocate; Η σχέση μου με τον ISACA έχει ρίζες από το 2005, όταν ήμουν καθηγητής στο Πανεπιστήμιο του Porstmouth. Εκείνη την εποχή οργανώναμε ένα μεταπτυχιακό σε εκγληματολογική διερεύνηση ψηφιακών πειστηρίων και τα μέλη του ISACA London Chapter με στήριξαν ιδιαίτερα στην προσπάθεια αυτή. Από τη σχέση αυτή συνειδητοποίησα το βαθμό που ο ISACA αγκαλιάζει την ακαδημαϊκή κοινότητα. Καταλυτικός παράγοντας για την απόφαση μου να γίνω Academic Advocate στη Μεγάλη Βρετανία και στη συνέχεια με το Athens Chapter όταν ανέλαβα τα καθήκοντά μου στο ΔΠΘ, είναι η εμφανής διάθεση του οργανισμού να καλλιεργήσει σχέσεις συνεργασίας με τα ανώτατα εκπαιδευτικά ιδρύματα μέσω των προγραμμάτων Academic Advocates όσο και με τους Academic Representatives. Μέσα στα χρόνια συνεργασίας μου με τον οργανισμό εκτός από την ακαδημαϊκή σχέση αναπτύχθηκαν και φιλίες σε προσωπικό επίπεδο. Πώς λειτουργεί το ISACA Student Group στο Πανεπιστήμιό σας, ποιος ο στόχος του και πόσοι φοιτητές συμμετέχουν; Το ISACA Student Group αν και έχει πολλά μέλη (απαριθμεί πάνω από 50 φοιτητές), προς το παρόν χρησιμοποιείται για ενημέρωση σε θέματα ελεγκτικής και ασφάλειας καθώς και στρατολόγησης εθελοντών για τις εθνικές ασκήσεις Κυβερνοάμυνας που πραγματοποιούνται σε ετήσια βάση από το Ο μακροπρόθεσμος στόχος μας είναι να δημιουργήσουμε μια κοιτίδα γνώσης κυρίως σε θέματα ασφάλειας πληροφοριών με συμμετέχοντες φοιτητές από το μεταπτυχιακό και το προπτυχιακό τμήμα του ΗΜΜΥ ώστε να δημιουργηθούν ομάδες ενημέρωσης αλλά και απόκρισης περιστατικών ασφάλειας σε συνεργασία με άλλες υπηρεσίες του πανεπιστημίου (όπως το κέντρο δικτύων). Ποια είναι τα κυριότερα οφέλη που αποκομίζουν οι φοιτητές και εσείς από το συγκεκριμένο πρόγραμμα του ISACA; Οι φοιτητές ενημερώνονται για τις δράσεις και εκδηλώσεις του ISACA Athens Chapter. Λόγω απόστασης, ένα μικρό ποσοστό έχει συμμετάσχει σε εκδηλώσεις που πραγματοποιήθηκαν στην Αθήνα. Στα πλαίσια ερευνητικών προγραμμάτων, όταν οργανώνονται σεμινάρια στο πανεπιστήμιό μας,σε θέματα ασφάλειας πληροφοριακών συστημάτων, η συμμετοχή των φοιτητών/μελών του ISACA student group είναι ιδιαίτερα μεγάλη. Προσωπικά μέσω των συμμετοχών μου στις εκδηλώσεις του ISACA είχα την ευκαιρία να γνωρίσω επαγγελματίες του χώρου και να ενημερωθώ για τα επίκαιρα θέματα και τις προκλήσεις που αντιμετωπίζουν οι μάχιμοι auditors. Ποια είναι η ανταπόκριση των φοιτητών στο Πανεπιστήμιό σας σε θέματα Ασφάλειας και Ελέγχου Πληροφοριακών Συστημάτων. Η πληροφορική είναι κομμάτι της καθημερινότητάς μας και οι φοιτητές μπορούν άμεσα να συσχετισθούν με περιστατικά ασφάλειας που κατακλύζουν την επικαιρότητα. Στην Πολυτεχνική Σχολή του ΔΠΘ, εκτός από το ISACA student group υπάρχει και το IEEE Student Branch of Xanthi στο οποίο οι φοιτητές επιλέγουν συχνά θεματολογία που έχει σχέση με ασφάλεια πληροφοριακών συστημάτων. Το περιοδικό που εκδίδουν οι φοιτητές καθώς και τα σεμινάρια που πραγματοποιούνται είναι πολλές φορές εμπνευσμένα από την περιοχή της ασφάλειας πληροφοριών, παρόλο που τα αντίστοιχα μαθήματα είναι επιλογής στο πρόγραμμα προπτυχιακών σπουδών του Τμήματος. Επίσης η συμμετοχή των μεταπτυχιακών φοιτητών καθώς και ο αριθμός εκπόνησης διπλωματικών εργασιών σε θέματα ασφάλειας πληροφοριακών συστημάτων είναι ιδιαίτερα υψηλός. Ο ενθουσιασμός τους για το θέμα ακόμα και σε προπτυχιακό επίπεδο οδήγησε σε ερευνητικές δουλειές όπου κάποιες από αυτές ανακοινώθηκαν σε διεθνή συνέδρια και δημοσιεύθηκαν σε έγκριτα επιστημονικά περιοδικά. 5

6 1. Συνέντευξη Ποια θεωρείτε πως είναι η σημαντικότερη πρόκληση που έχουν να αντιμετωπίσουν οι σημερινοί φοιτητές σας και μελλοντικοί επαγγελματίες και ερευνητές στο χώρο της Πληροφορικής και ιδιαίτερα στη γνωστική περιοχή της Ασφάλειας και Ελέγχου Πληροφοριακών Συστημάτων στην Ελλάδα; Κατά τη γνώμη σας, ποια είναι τα απαιτούμενα εφόδια / χαρακτηριστικά που θα πρέπει να διαθέτουν για να ανταπεξέλθουν σε αυτή την πρόκληση; Θεωρώ ότι η μεγαλύτερη πρόκληση των φοιτητών και ιδιαίτερα των αποφοίτων μιας σχολής είναι να ξεφύγουν από τις αντιλήψεις και νοοτροπίες που καλλιεργούνται στην εκάστοτε σχολή που φοιτούν. Οι μηχανικοί για παράδειγμα εκπαιδεύονται σε συγκεκριμένο τρόπο σκέψης, αυτόν της επίλυσης πρακτικών προβλημάτων όπου ανακαλύπτουν και αναπτύσσουν λύσεις μέσω της συστηματικής και εφαρμοσμένης επιστημονικής προσέγγισης και λιγότερο ίσως της διαίσθησης και άλλων ανθρωποκεντρικών χαρακτηριστικών (όπως για παράδειγμα ψυχολογίας, εμπιστοσύνης κλπ.). Αυτό θα μπορούσε να γίνει αρχικά εάν είναι διατεθειμένοι να δουλεύουν ομαδικά, όχι όμως με συναδέλφους του αντικειμένου τους, αλλά με άτομα από άλλες επιστήμες, θετικές και μη. Κάτι τέτοιο, ιδίως στην Ελληνική πραγματικότητα είναι εξαιρετικά δύσκολο, γιατί όπως γνωρίζουμε σε αυτή τη χώρα είμαστε εθισμένοι στους τίτλους και στα πτυχία, παρά στην ουσία. Δυστυχώς αυτή η παγιωμένη νοοτροπία είναι καθοριστικός παράγοντας που επηρεάζει αρνητικά και σε μεγάλο βαθμό την αποτελεσματικότητα ενός ικανού κατά τα άλλα ελεγκτή πληροφοριακών συστημάτων. Αν και ο engineering τρόπος προσέγγισης είναι αποτελεσματικός σε πολλά πεδία εφαρμογής, στην ασφάλεια πληροφοριών είναι ανεπαρκής ίσως και επικίνδυνος. Και αυτό συμβαίνει διότι οι αποδέκτες των προτεινόμενων λύσεων, οι χρήστες του πληροφοριακού συστήματος, δεν ενεργούν πάντοτε ορθολογικά. Ή αλλιώς, οι μηχανικοί μαθαίνουν από πολύ νωρίς την έννοια και τη σημασία της καλής πρακτικής. Στο αντικείμενο της ασφάλειας πληροφοριών, οι καλές πρακτικές σπανίζουν ή δεν είναι καθολικά αποδεκτές ή κατάλληλες, διότι στην πράξη ο ικανός και αποφασισμένος αντίπαλος (adversary) θα εκμεταλλευθεί προς όφελός του τις καλές αυτές πρακτικές. Θα πρέπει λοιπόν οι απόφοιτοι να αναπτύξουν και άλλες δεξιότητες και κυρίως αυτές που θα τους βοηθούν να ξεφεύγουν από την τυρρανία της κοινής λογικής, που αναπτύσσουν όλα τα χρόνια των σπουδών τους. 6

7 2. Αρθρογραφία Μέσα Κοινωνικής Δικτύωσης & Ασφάλεια Social Media vs. Security Από τον κ. Σταμάτη Πασσά, μέλος των Ομάδων Εργασίας N και Website του ISACA Athens Chapter Στη σύγχρονη εποχή της παγκοσμιοποίησης και των ταχύτατων ρυθμών, οι επιχειρήσεις οφείλουν να παρακολουθήσουν τις εξελίξεις από κοντά ώστε να παραμείνουν ανταγωνιστικές, η κάθε μια στο χώρο της. Αναμφισβήτητα, οδεύουμε προς την ψηφιακή οικονομία ως απόρροια της παραγωγικότητας στην οικονομία που εκφράζεται στο Internet. Από το διαδίκτυο βγαίνουν στην επιφάνεια καλές ιδέες και προϊόντα, που σε διαφορετικές συνθήκες και εποχές δεν θα μπορούσαν να αναδειχθούν, λόγω έλλειψης κεφαλαίου που θα χρησιμοποιούταν για την προβολή τους. Με λίγα λόγια, το διαδίκτυο βοηθά στην ανάπτυξη εταιρειών, αφού δίνει τη δυνατότητα σε οποιονδήποτε έχει μια καλή ιδέα, να δραστηριοποιηθεί επαγγελματικά. Τα γεωγραφικά εμπόδια «σπάνε» και το μονοπώλιο που διατηρούν οι μεγάλες επιχειρήσεις διαλύεται. Επιπλέον, το Internet φαντάζει ως αρωγός στην προσπάθεια που κάνει μία επιχείρηση να βελτιώσει την εσωτερική οργάνωση, να «ανεβάσει» τις πωλήσεις και εν γένει να καλυτερεύσει την σχέση της με τους πελάτες της. Έτσι, εύλογη προβάλλει η θέση του Καναδού στελέχους επιχειρήσεων Don Tapscott για τα Social Media All one needs is a computer, a network connection, and a bright spark of initiative and creativity to join the economy. Από την πλευρά του πολίτη που χρησιμοποιεί το Internet για αγοραστική ή επιχειρηματική δράση, το Internet και τα Social Media μπορούν και συνεισφέρουν στην εκτίμηση της φερεγγυότητας μιας επιχείρησης. Κάτι που αποτιμάται σε μεγάλο βαθμό από την αγορά. Για παράδειγμα, με ένα απλό κλικ μπορεί κάποιος να δει ισολογισμούς εταιρειών αναρτημένους στο διαδίκτυο και να βγάλει τα χρήσιμα συμπεράσματα του. Αξίζει να σημειωθεί ότι υπάρχει η δυνατότητα να εντοπίσει κάποιος την φήμη (branding) μιας επιχείρησης, αναζητώντας μονομιάς στο Google το όνομα της και ερευνώντας τα αποτελέσματα που θα επιστραφούν. Τέλος τα social media μπορούν να δηλώσουν την δυναμική μιας επιχείρησης, αρκεί να ψάξει κανείς στοιχεία για αυτήν στο Internet (εχει site; Σε τι δραστηριοποιείται; Διαθέτει εταιρικό blog; Βρίσκεται στο Facebook; Έχει followers στο twitter;). Πριν συνεχίσουμε, καλό είναι να δούμε τι ακριβώς είναι αυτά τα Social Media; Τα social media είναι απόρροια αυτού που ονομάζουμε Web 2.0, η δεύτερη γενιά του διαδικτύου στην οποία ο κάθε χρήστης έχει πρόσβαση στη δημοσίευση περιεχομένου αλλά και στη διαδραστικότητα με το δημοσιευμένο περιεχόμενο ή άλλους χρήστες. Τα Social Media είναι μια κατηγορία online media όπου οι χρήστες συζητούν, συμμετέχουν, διαμοιράζονται και δικτυώνονται κάτω από μια κοινή ομπρέλα το γνωστό μας διαδίκτυο. Οι περισσότερες υπηρεσίες social media ενθαρρύνουν-επιδιώκουν την συζήτηση, τα σχόλια, την αλληλεπίδραση και τον διαμοιρασμό οποιαδήποτε πληροφορίας μεταξύ των χρηστών. 7

8 2. Αρθρογραφία Στην έννοια media θα μπορούσαμε να δώσουμε τον ορισμό της σύγχρονης επικοινωνίας μιας και όλα όσα αναφέρουμε παραπάνω δεν είναι τίποτα άλλο από σύγχρονους διαμοιραστές πληροφορίας (information distributor). Οποιαδήποτε είδους και ποιότητα πληροφορίας μπορεί να ταξιδέψει μέσα από πληθώρα εφαρμογών του διαδικτύου. Η διαφορά με τις παραδοσιακές μορφές επικοινωνίας είναι αρχικά το εύρος που μπορεί να μεταδοθεί η πληροφορία και κατά δεύτερον ότι ο χρήστης είναι ο βασικός πρωταγωνιστής. Τα social media είναι ένα σύγχρονο απλοποιημένο εργαλείο επικοινωνίας. Ωστόσο η χρήση του και ειδικότερα η αποτελεσματικότητα του εξαρτάται σε μεγάλο βαθμό από τον χρήστη. Αξίζει να τονισθεί το τελευταίο, καθώς οι ίδιοι οι χρήστες έχουν την δυνατότητα ακόμα και να προκαλέσουν κοινωνικές αλλαγές χάρη στο διαδίκτυο. Εξάλλου και τελευταία παρατηρήσαμε ανακατατάξεις που εκφράστηκαν μέσα από κινήματα, βλ. κίνημα αγανακτισμένων. Απλοί άνθρωποι μοιράστηκαν μέσω Facebook την θέση τους για διαμαρτυρία και για πάλη ενάντια στο καθεστώς. Τα μηνύματα εξαπλώθηκαν ακαριαία και σε λίγες ώρες εκατοντάδες άνθρωποι συγκεντρώθηκαν κάτω από μια κοινή δράση, σε αντίθεση με το παρελθόν όπου κάτι τέτοιο απαιτούσε πολύ χρόνο και εθελοντική εργασία. Επίσης, ποτέ άλλοτε δεν ήταν πιο εύκολο να κάνει κάποιος μια γνωριμία ή/και να πληροφορηθεί για κάτι. Σε αντίφαση όμως των θετικών συνεισφορών των Social Media, αυτού του είδους η δικτύωση «εξάρτηση» του ανθρώπου δε φέρει πάντα θέση ισχύος. Φαίνεται ότι τα social media δημιουργούν μια ψεύτικη αίσθηση εμπιστοσύνης που συχνά κάνει τους χρήστες να εμπλακούν σε επικίνδυνες και ανεπιθύμητες καταστάσεις όπως σε ανταλλαγή ενδεχομένως ευαίσθητων πληροφοριών και σε εισαγωγή σε ενδεχομένως επικίνδυνες συνδέσεις χωρίς να σκεφτούν τις συνέπειες σε ασφάλεια των ενεργειών αυτών. Εικόνα 1 Πηγή: trust-it.gr O Pete Cashmore, CEO της εταιρείας Mashable έχει εύστοχα παρατηρήσει ότι: Privacy is dead, and social media hold the smoking gun, με αλλά λόγια στο επίπεδο που η ιδιωτικοποίηση της προσωπικής ζωής έχει πλέον εκλείψει / «τρυπήσει», τα Social Media κρατούν «ζεστή» την απειλή εισχώρησης με κάθε μέσο σε αυτή. Οι εφαρμογές του Facebook μπορεί να φαίνονται ακίνδυνες, όμως υπάρχουν πολλές από αυτές που περιέχουν «βλαβερό» περιεχόμενο για τον υπολογιστή σας. Για τις επιχειρήσεις; Σύμφωνα με μελέτες, αρκετές είναι οι εταιρείες που είχαν σημαντικές οικονομικές απώλειες καθώς και προβλήματα σε δημόσιες σχέσεις με άλλες εταιρείες, εξαιτίας κάποιων tweets που «πόσταραν» (aka δημοσίευσαν) κάποιοι εργαζόμενοι. Οι μέτοχοι ξεκίνησαν να πωλούν τα μερίδια τους, μειώνοντας με αυτό τον τρόπο την αξία της εταιρείας. 8

9 2. Αρθρογραφία Ακριβώς όπως συμβαίνει και στην προσωπική χρήση, ορατός είναι επίσης ο κίνδυνος με την επικίνδυνη χρήση των social media στο ενεργητικό μιας εταιρείας, όπως η πολύτιμη πνευματική ιδιοκτησία. Μια πρόσφατη έρευνα του Ινστιτούτου Ponemon, Παγκόσμια Έρευνα για τους κινδύνους που ελλοχεύουν από τη χρήση των Social Media, διαπίστωσε ότι το 52% των επιχειρήσεων που είχαν μια αύξηση στις επιθέσεις malware οφειλόταν σε χρήση μέσων κοινωνικής δικτύωσης στο χώρο εργασίας. Τι πρέπει αρχικά κανείς να προσέξει; Με μια γρήγορη σκέψη πρέπει να είμαστε επιφυλακτικοί σε ενδεχόμενη επίθεση hacking (νέα malware εμφανίζονται σε καθημερινή βάση), στις ενημερώσεις / αναρτήσεις μας στα κοινωνικά δίκτυα (μήπως αποκαλύψουμε κάτι που δε σκοπεύαμε να αποκαλύψουμε;), στις διαδικτυακές εφαρμογές που ζητούν άδεια για να έχουν πρόσβαση στα προσωπικά μας δεδομένα, στα μηνύματα με ηχηρές λέξεις / φράσεις (συχνά οι φερόμενες «αναβαθμίσεις» κουβαλούν κακόβουλο λογισμικό που παρακολουθούν και εν τέλει κλέβουν τα δεδομένα μας), σε εφαρμογές που δείχνουν την τοποθεσία μας με αποτέλεσμα οι «εγκληματίες» να γνωρίζουν την ακριβή θέση μας (στο σπίτι μας ή εκτός). Οφείλουμε να χρησιμοποιούμε ένα ενημερωμένο πρόγραμμα περιήγησης (με λιγότερα κενά ασφαλείας), να χρησιμοποιούμε προγράμματα για διαχείριση των κωδικών πρόσβασης, να είμαστε προσεκτικοί με ύποπτους συνδέσμους που μπορεί να βρούμε και τέλος να ενημερώνουμε το πρόγραμμα ασφαλείας περιλαμβανόμενων των anti-spyware, antispam και ενός καλού firewall. μένει εκτεθειμένη η προσωπική μας ζωή [όσο και η επιχείρηση]. Σίγουρα μια εταιρεία μπορεί να υλοποιήσει ένα πρόγραμμα ασφαλείας για να αποτρέψει τη χρήση του Twitter, του Facebook και τέτοιων παρόμοιων εφαρμογών. Στην προσπάθεια όμως αυτή να προστατεύσει την ασφάλεια της και την ιδιωτικότητά της, χάνει ένα πολύτιμο για τις πωλήσεις και το marketing εργαλείο. Θέλουν οι επιχειρήσεις να χαθεί μια τέτοια δυνατότητα για ανάπτυξη καινοτομία στα πλαίσια συνεργασίας; Μάλλον ΟΧΙ! Εν κατακλείδι, η άποψη αυτή παραλληλίζεται με την παράθεση που έκαναν οι Karie Willyerd & Jeanne C. Meister ειδικές σε θέματα εταιρικών επωνυμιών, εταιρικού marketing και κοινωνικής μάθησης για το HarvardBusiness.org. Σας την παρουσιάζω όπως ακριβώς την διάβασα: More companies are discovering that an über-connected workplace is not just about implementing a new set of tools it is also about embracing a cultural shift to create an open environment where employees are encouraged to share, innovate and collaborate virtually. Τα συμπεράσματα δικά σας Τα μέσα κοινωνικής δικτύωσης είναι πλέον μια πραγματικότητα και έχουν μπει δυναμικά στην καθημερινή μας ζωή. Η ενασχόληση μας με αυτά μπορεί να οδηγήσει σε ανάπτυξη προσωπική και επιχειρηματική. Από την άλλη πλευρά, οι σελίδες κοινωνικής δικτύωσης δεν διαθέτουν δικλίδες ασφαλείας, με αποτέλεσμα να Εικόνα 2 Πηγή: 33rockers.com 9

10 2. Αρθρογραφία Βιβλιογραφικές Αναφορές Links: Περισσότερες πληροφορίες, καθώς και περαιτέρω λεπτομέρειες μπορεί κανείς να αντλήσει, μελετώντας διάφορα άρθρα μελέτες που έχουν καταγραφεί στο κομμάτι της ασφάλειας πληροφοριακών συστημάτων στα μέσα κοινωνικής δικτύωσης. Ενδεικτικά, μπορούμε να αναφέρουμε μια μικρή σειρά τέτοιων άρθρων μελετών για δική σας ανάγνωση: Unfriendly Social Media Security Threads το οποίο εντοπίζεται σε blog του Norman καθώς και στη μελέτη της εταιρείας GFI: Social networking and security risks του Brad Dinerman. Ο Σταμάτης Πασσάς έχει σπουδάσει φυσική, πληροφορική και διοίκηση επιχειρήσεων σε πανεπιστήμια της Ελλάδας και του Ηνωμένου Βασίλειου (BSc, MSc, MBA). Διαθέτει προϋπηρεσία στο κομμάτι του ελέγχου πληροφοριακών συστημάτων. Εργάζεται στην Εθνοντάτα (θυγατρική εταιρεία της Εθνικής Τράπεζας) από τον Αύγουστο του Αποτελεί μέλος των Ομάδων Εργασίας του ISACA Athens Chapter (N & Website) από το 2010 έως και σήμερα. 10

11 3. Νέα του Ινστιτούτου 2o Ετήσιο Συνέδριο Ι.Ε.Σ.Π. Στις 6 και 7 Δεκεμβρίου 2012 διεξήχθηκε με μεγάλη επιτυχία το 2o ετήσιο συνέδριο του ISACA Athens Chapter. Όπως και πέρυσι έτσι και φέτος, το συνέδριο συνδιοργανώθηκε με την Ελληνοααμερικανική Ένωση και έλαβε στις φιλόξενες εγκαταστάσεις της στο Κολωνάκι. Ιδιαίτερα τιμητικά ήταν τα σχόλια των συμμετεχόντων σε συνδυασμό με το γεγονός ότι το διήμερο ήταν sold out. Λαμβάνοντας υπόψη τις δύσκολες οικονομικές στιγμές που βρίσκονται ορισμένα από τα μέλη μας, το Δ.Σ. του Ι.Ε.Σ.Π. αποφάσισε και φέτος οι άνεργοι συνάδελφοί μας να έχουν τη δυνατότητα να παρακολουθήσουν δωρεάν το Συνέδριο της δεύτερης ημέρας. Pre-Conference Workshop (6/12) Για άλλη μία φορά το Ι.Ε.Σ.Π θέλησε να πρωτοτυπήσει και να καινοτομήσει! Έτσι, λοιπόν, το Δ.Σ. του Ι.Ε.Σ.Π. ανταποκρινόμενο στην επιθυμία των μελών του για εξεδικευμένη εκπαίδευση στο γνωστικό τομέα της Ασφάλειας Πληροφοριών, Ελεγκτικών Διαδικασιών και Διακυβέρνησης Πληροφοριακών Συστημάτων πήρε την πρωτοβουλία να διοργανώσει στις 6/12 για πρώτη φορά ένα Workshop με τίτλο: Security, Governance & Risk Management. Explained. Εισηγητές της εκπαίδευσης αυτής ήταν οι δύο διακεκριμένοι αντιπρόεδροι του ISACA International, κ.κ Χρήστος Δημητριάδης και Ramsés Gallego. Μέσα από ένα δημιουργικό διάλογο, ο εισηγητής αλλά και οι συμμετέχοντες κλήθηκαν να μοιραστούν εμπειρίες, γνώσεις αλλά και βέλτιστες πρακτικές. Ενδεικτικά, ορισμένα από τα θέματα που αναλύθηκαν αφορούσαν το Cloud Computing, τα Social Media, Bring Your Own Device, κ.α. Αδιαμφισβήτητα, κρίνοντας από το πλήθος των συμμετεχόντων (έφτασε το μέγιστο αριθμό των 60 ατόμων) αλλά κυρίως από την ποιότητα και το επίπεδο τους, οι απαιτήσεις για το Workshop ήταν εξ αρχής πολύ υψηλές. Αρκεί να σημειωθεί ότι ο αρχικός σχεδιασμός του Δ.Σ. χρειάστηκε να αλλάξει σημαντικά. Ο λόγος ήταν ότι ο αριθμός των αιτήσεων συμμετοχής ξεπέρασε κατά πολύ κάθε προσδοκία, σε λιγότερο από ένα μήνα. Ανταποκρινόμενο λοιπόν το Δ.Σ. στα νέα δεδομένα, σχεδιάστηκαν και διενεργήθηκαν δύο ομάδες συμμετεχόντων προκειμένου να ικανοποιηθούν όσον το το δυνατόν περισσότερα μέλη του Ι.Ε.Σ.Π. Με βάση πάντως την αξιολόγησή σας, τυπική αλλά και άτυπη, φάνηκε ότι το αποτέλεσμα αυτού του εγχειρήματος ήταν άκρως ικανοποιητικό τόσο από πλευράς θεματολογίας, εισηγητών όσο και ποιότητας εκπαίδευσης. Όλα τα παραπάνω δεν μπορούν παρά να είναι ιδιαίτερα τιμητικά για την Oργανωτική Επιτροπή. Ο Δρ. Δημητριάδης αναφέρθηκε κυρίως στο Cobit5 και πως το πλαίσιο αυτό προσεγγίζει θέματα που άπτονται της Ιδιωτικότητας. Επίσης, έγινε εκτενής αναφορά και συζήτηση σχετικά με το νέο Ευρωπαϊκό κανονιστικό πλαίσιο. Ο κύριος Gallego με τη σειρά αφού παρουσίασε συνοπτικά τα πλέον δημοφιλή και σύγχρονα θέματα ασφάλειας πληροφοριών και διακυβέρνησης πληροφοριακών συστημάτων (προ)κάλεσε τους συμμετέχοντες να επιλέξουν εκείνοι τα θέματα που τους απασχολούν περισσότερο. 11

12 3. Νέα του Ινστιτούτου Conference (7/12) Μετά την περσινή εξαιρετική πρώτη διοργάνωση και τους πολύ καταξιωμένους Έλληνες και διεθνής ομιλητές που είχαν αποδεχθεί την πρόσκληση της οργανωτικής επιτροπής του Συνεδρίου, το αμφιθέατρο στις 7/12 δεν μπορούσε παρά να είναι γεμάτο από νωρίς αλλά και μέχρι αργά το απόγευμα. Οι φετινές συμμετοχές ξεπέρασαν τις 200(!!!), φτάνοντας και πάλι το μέγιστο αριθμό. Συντονίστρια του φετινού συνεδρίου ήταν η Καθηγήτρια Δέσποινα Πολέμη, Πανεπιστήμιο Πειραιά και ISACA Academic Advocate. Επίσης, φέτος, είχαμε την τιμή να φιλοξενήσουμε τρεις διεθνής αντιπροέδρους του ISACA, ως keynote speakers, τους Δρ. Χρήστο Δημητριάδη (CISA, CISM, CRISC, Head of Information Security for Intralot Group), κ. Ramsés Gallego (CISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT(f), Six Sigma Black Belt Certified, Security Strategist & Evangelist for Dell) και Δρ. Marc Vael (CISA, CISM, CRISC, CGEIT, CISSP, ITIL service manager, Prince2, Chief Audit Executive at Smals vzw). Full-house conference Ο τίτλος του Συνεδρίου ήταν Information Assurance at a Crossroad: Choosing a New Strategic path through Security, Governance and IT Audit Best Practices. Τα θέματα των παρουσιάσεων του Συνεδρίου κινήθηκαν γύρω από τις παρακάτω περιοχές: Αναδυόμενοι κίνδυνοι ασφάλειας από τη χρήση νέων τεχνολογιών Βέλτιστες πρακτικές για μία αποτελεσματική διοίκηση πληροφοριακών συστημάτων Κίνδυνοι συμμόρφωσης και ιδιωτικότητας και πρακτικές υλοποίησης Βέλτιστες πρακτικές ελέγχου πληροφοριακών συστημάτων COBIT5 και αρχές υλοποίησης Οι 3 Διεθνείς Αντιπρόεδροι του ISACA Από μία μικρή έρευνα που κάναμε, είναι ίσως αν όχι η πρώτη αλλά από τις ελάχιστες φορές που παρευρίσκονται τρεις διεθνείς αντιπρόεδροι του ISACA International σε κάποια εκπαιδευτική εκδήλωση ενός τοπικού Ινστιτούτου και αυτό είναι μία αδιαμφισβήτητη επιτυχία της Οργανωτικής Επιτροπής του Συνεδρίου. Το δώρο που έλαβαν οι συμμετέχοντες 12

13 3. Νέα του Ινστιτούτου Οι τρεις 3 Διεθνείς Αντιπρόεδροι επί τω έργω Δρ. Χρήστος Δημητριάδης, Dr. Marc Vael Και τα τρία μέλη του Δ.Σ. του Ι.Ε.Σ.Π. κατά το 20 x 20 Mr. Ramsés Gallego κ. Ιωάννης Λευκάκης κ. Ανέστης Δημόπουλος κα Νινέτα Πολέμη Conference Facilitator κ. Γεώργιος Ράικος 13

14 3. Νέα του Ινστιτούτου Εκτός όμως από τους προαναφερθέντες, η επιτυχία του φετινού Συνεδρίου οφείλεται κατά πολύ στους εξαιρετικούς και καταξιωμένους προσκεκλημένους Έλληνες και Διεθνείς ομιλητές (σε σειρά παρουσίασης): Invited Keynotes Δρ. Ανδρέας Μήτρακας Principal Advisor, ENISA - European Network and Information Security Agency Dr. Lucie Langer Safety & Security Department, Austrian Institute of Technology (AIT) Mr. Andrea Servida Head of Task Force Legislation Team (eidas), EC Speaking Slots Δρ. Παύλος Σπυράκης Professor, President of the Computer Technology Institute and Press Diophantus κ. Σταν Βουλανάς Partner, IT Risk Assurance, PwC 14

15 3. Νέα του Ινστιτούτου Δρ. Κωνσταντίνος Παπαναγιώτου, Open Web Application Security Project (OWASP) Greece Chapter Leader, Information Security & Risk Management Services Manager at Syntax IT κ. Τάσος Αλέφαντος International Representative of itsmf Hellas, Manager IT&T Operations and Data Centre Services at Athens International Airport Το Διοικητικό Συμβούλιο του ISACA Athens Chapter θα ήθελε να ευχαριστήσει δημόσια το Διεθνή Αντιπρόεδρο του ISACA, Δρ. Χρήστο Δημητριάδη που δέχθηκε αφιλοκερδώς και ανιδιοτελώς να είναι εισηγητής του Workshop. Επίσης θα ήθελε να συγχαρεί και να ευχαριστήσει τους χορηγούς (PwC και KPMG) αλλά και τους υποστηρικτές του Συνεδρίου (OWASP Greece Chapter, itsmf Hellas, ΕΕΔΕ/ΕΙΠ, HACFE, PMI Greece Chapter) όπως και όλους όσους βοήθησαν αλλά κυρίως συμμετείχαν τόσο στο Συνέδριο όσο και στο Workshop. κ. Χρήστος Βιδάκης Senior Manager, Management and Risk Consulting, KPMG Advisors Premier Sponsors Κλείνοντας υπενθυμίζουμε ότι οι συμμετέχοντες είχαν την ευκαιρία να λάβουν έως και 17 CPEs (9 από το Συνέδριο και 8 από το Workshop) αλλά και 10 PDUs (8 από το Συνέδριο και 2 από το Workshop). 15

16 3. Νέα του Ινστιτούτου Εκπαιδευτικές Εκδηλώσεις για το Απόρρητο Επικοινωνιών και την Ασφάλεια Πληροφοριών Με ιδιαίτερη επιτυχία διεξήχθησαν και οι δυο πιο πρόσφατες απογευματινές εκπαιδευτικές εκδηλώσεις του Ι.Ε.Σ.Π, με θέμα «Κανονισμός για τη διασφάλιση του απορρήτου των ηλεκτρονικών επικοινωνιών» και «Οι νέες προκλήσεις στην ασφάλεια πληροφοριών στη εποχή της οικονομικής ύφεσης» στο αμφιθέατρο της Ελληνοααμερικανικής Ένωσης στις 25/09/2012 και 28/11/2012 αντιστοίχως. Αξίζει να σημειωθεί ότι η πρώτη εκδήλωση διοργανώθηκε με την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε). Απόρρητο Επικοινωνιών Με αφορμή τον νέο σχετικό Κανονισμό της Α.Δ.Α.Ε (Απόφαση 165/2011,ΦΕΚ Β' 2715/ ) στον οποίο εμπίπτουν οι Πάροχοι δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών διοργανώθηκε μία ακόμη απογευματινή εκπαιδευτική εκδήλωση του Ι.Ε.Σ.Π στις 25/09/2012. Η εκδήλωση ήταν χωρισμένη σε δύο ενότητες. Στην πρώτη ενότητα, ο κ. Ιωάννης Ψαλίδας, Προϊστάμενος Διεύθυνσης Διασφάλισης Υποδομών, Απορρήτου Υπηρεσιών και Εφαρμογών Διαδικτύου της Α.Δ.Α.Ε. παρουσίασε τις διατάξεις και το πεδίο εφαρμογής τ ου νέου Κανονισμού και ανέλυσε τις τροποποιήσεις που επιφέρει στο υφιστάμενο Κανονιστικό Πλαίσιο που άπτεται στον έλεγχο των Π λ η ρ ο φ ο ρ ι α κ ώ ν Συστημάτων εστιάζοντας σε π ε ρ ι ο χ έ ς υ ψ η λ ο ύ ε ν δ ι α φ έ ρ ο ν τ ο ς. Ο εισηγητής, κ. Ι.Ψαλίδας Στο δεύτερο σκέλος της εκδήλωσης ο κ. Μιχάλης Σαμιωτάκης, ως εκπρόσωπος του ISACA Athens Chapter συντόνισε μια ανοιχτή συζήτηση (roundtable discussion) στην οποία συμμετείχαν o κ. Ιωάννης Ψαλίδας και οι επικεφαλής των Διευθύνσεων Ασφάλειας Πληροφοριών των παρόχων CYTA, HOL, VODAFONE και WIND. Στα πλαίσια του διαλόγου που πραγματοποιήθηκε, συζητήθηκε το πεδίο εφαρμογής του νέου Κανονισμού και δόθηκε η ευκαιρία στους συμμετέχοντες στην εκδήλωση να υποβάλλουν διευκρινιστικές ερωτήσεις προς τον εκπρόσωπο της Α.Δ.Α.Ε. Discussion panel με εκπροσώπους των παρόχων Κλείνοντας θα θέλαμε να ευχαριστήσουμε θερμά την Α.Δ.Α.Ε για τη συνδρομή της στη διοργάνωση της εκπαιδευτικής εκδήλωσης και ιδιαιτέρως τον κ. Ιωάννη Ψαλίδα για την άψογη συνεργασία καθώς και τους (με αλφαβητική σειρά) κ. Γιώργο Αντωνιάδη (Information Security Manager HOL), Λυκούργο Αργυρίου (Information Security Manager CYTA), Δημήτρη Πεππέ (Information Security & Fraud Manager VODAFONE) και Γρηγόρη Φλουτσάκο (Corporate Information Security Manager WIND) για τη θετική τους ανταπόκριση και υποστήριξη στην διοργάνωση της εκδήλωσης. 16

17 3. Νέα του Ινστιτούτου Ασφάλεια Πληροφοριών Στις 28/11/2012, τα μέλη του Ι.Ε.Σ.Π είχαν την ευκαιρία να παρακολουθήσουν μία εσπερίδα με τίτλο Οι νέες προκλήσεις στην ασφάλεια πληροφοριών στη εποχή της οικονομικής ύφεσης. Σκοπός της εκδήλωσης ήταν να παρουσιαστούν οι τεχνολογικές τάσεις και κίνδυνοι για το 2013 και τα επόμενα 3 χρόνια, τι μπορούμε να καταφέρουμε ξοδεύοντας το ελάχιστο δυνατό, ποια θα πρέπει να είναι η αντιμετώπιση των νέων δεδόμενων από τους Security Officers αλλά και ό,τι χρειάζεται να γνωρίζουν οι εσωτερικοί ελεγκτές. Εισηγητής της εκδήλωσης ήταν ο κ. Νότης Ηλιόπουλος, τον οποίο και ευχαριστούμε θερμά για την πολύ ενδιαφέρουσα παρουσίασή του. Οι παρουσιάσεις των εκπαιδευτικών εκδηλώσεων έχουν αναρτηθεί στην ενότητα «Εκπαίδευση», του ιστοτόπου του Ι.Ε.Σ.Π. Κοπή Πρωτοχρονιάτικης Πίτας 2013 Η καθιερωμένη κοπή της πρωτοχρονιάτικης πίτας του Ι.Ε.Σ.Π. για το 2013 θα πραγματοποιηθεί την Πέμπτη 31 Ιανουαρίου 2013 και ώρα 18:30-21:00. Φέτος το Δ.Σ του Ι.Ε.Σ.Π θέλησε να διαφοροποιηθεί, δεδομένων των πρόσφατων επιτυχιών (βράβευση n, best Large Chapter σε Ευρώπη/Αφρική, επιτυχία ετήσιου συνεδρίου), οπότε η καθιερωμένη αυτή ετήσια γιορτή θα φιλοξενηθεί στον πολύ όμορφο χώρο του στο barrestaurant Apsendi στο Χαλάνδρι. Ετήσια Γενική Συνέλευση Η ετήσια Γενική Συνέλευση του Ινστιτούτου έχει προγραμματιστεί για τις 6 Μαρτίου 2013 και ώρα 18:00. Εφόσον δεν υπάρχει η απαιτούμενη από το Καταστατικό απαρτία θα επαναληφθεί με όσους παρόντες στις 13 Μαρτίου 2013 και ώρα 18:00. Κατά τη διάρκεια της συνέλευσης θα συζητηθούν τα παρακάτω θέματα ημερησίας διατάξεως: Αναθέωρηση Καταστατικού Διοικητικός Απολογισμός 2012 Οικονομικός Απολογισμός 2012 Έκθεση Εξελεγκτικής Επιτροπής επί της οικονομικής διαχείρισης του Διοικητικού Συμβουλίου Προϋπολογισμός 2013 Η συμμετοχή σας στις συλλογικές δράσεις του Ινστιτούτου κρίνεται απαραίτητη και παρακαλούμε για την προσέλευσή σας. Θα ακολουθήσει αναλυτικότερη ανακοίνωση για περισσότερες λεπτομέρειες. Οι συμμετέχοντες θα λάβουν 2 CPEs. Όπως κάθε χρόνο η κοπή της πίτας θα συνοδευτεί από κλήρωση πλούσιων δώρων, ενώ θα τιμηθούν τα νέα Platinum μέλη (εντός της χρονιάς που πέρασε) του Ινστιτούτου μας. Σας περιμένουμε όλους εκεί! 17

18 3. Νέα του Ινστιτούτου Did you know that ISACA Athens Chapter is now on Follow us now!!! Group: ISACA Athens Chapter isaca_gr Ι.Ε.Σ.Π. και Social Media Το Ι.Ε.Σ.Π αποφάσισε να γίνει ακόμα πιο social, θέλοντας να εκμεταλλευθεί όσο το δυνατόν περισσότερο τις νέες τεχνολογίες, ικανοποιώντας τις ανάγκες των μελών του για άμεση ενημέρωση και συμπλέοντας με τις κατευθύνσεις του ISACA. Η αρχή έγινε με το κοινωνικό δίκτυο LinkedIn δημιουργώντας το group ISACA Athens Chapter και η συνέχεια δόθηκε με τη δημιουργία λογαριασμού στο Twitter. Όπως δείχνει και ο έως τώρα αριθμός των μελών του group, η πρωτοβουλία αυτή έχει τύχει μεγάλης απήχησης από όλους εσάς. Μέσα λοιπόν σε ένα τρίμηνο, σχεδόν 200 μέλη (δηλαδή, περισσότερο από το 50% των μελών) έχουν ήδη εγγραφεί στο LinkedIn group. Σημειώνεται ότι η εγγραφή στο συγκεκριμένο group είναι δυνατή μόνο στα μέλη. Ακόμη, το ISACA International ήδη φιλοξενεί διάφορες Ομάδες (groups), με κοινά ενδιαφέροντα και δραστηριότητες, όπως: ISACA (Official), CISA (Official), CISM (Official), CGEIT (Official), CRISC (Official), COBIT (Official) and ISACA Educational Events. Στόχος και των δύο προσπαθειών είναι να αποτελέσουν εναλλακτικά κανάλια επικοινωνίας και ενημέρωσης αλλά και να δώσουν τη δυνατότητα ανταλλαγής απόψεων και προτάσεων μεταξύ όλων των μελών. Μήπως λοιπόν ήρθε η ώρα να γίνετε μέλος του group μας στο LinkedIn ή να μας ακολουθήσετε στο Twitter; Αν είσαστε ήδη μέλη περιμένουμε τις προτάσεις και τα σχόλιά σας. Φήμες λένε ότι σύντομα θα βγει και επίσημη σελίδα στο Facebook Stay connected! 18

19 3. Νέα του Ινστιτούτου Νέοι Academic Advocates του Ι.Ε.Σ.Π. Στα πλαίσια της συνεχής προσπάθειας του Ι.Ε.Σ.Π να προσεγγίσει τον ακαδημαϊκό και ερευνητικό τομέα στη χώρα, είμαστε στην ευχάριστη θέση να σας ανακοινώσουμε ότι η ομάδα των ISACA Academic Advocates έχει μεγαλώσει αριθμητικά από το περασμένο καλοκαίρι! Συγκεκριμένα, από τον Ιούνιο του 2012, έχουμε την τιμή και την χαρά να μας υποστηρίζουν δύο εξέχοντες ακαδημαϊκοί, η κα Νινέτα Πολέμη από το Πανεπιστήμιο Πειραιά και ο κ. Βασίλειος Βλάχος από το Τεχνολογικό Εκπαιδευτικό Ινστιτούτο Λάρισας. Θα θέλαμε να τους καλωσορίσουμε και να τους ευχηθούμε καλή και δημιουργική αρχή. Εμείς ως Ι.Ε.Σ.Π θα είμαστε αμέριστοι υποστηρικτές και αρωγοί στις προσπάθειές και στις πρωτοβουλίες τους όπως και στους υπόλοιπους ISACA Academic Advocates. Η αξιόλογη ομάδα των ISACA Academic Advocates του Ι.Ε.Σ.Π απαρτίζεται πλέον από τα κάτωθι εξαίρετα μέλη (σε αλφαβητική σειρά): Δρ. Βασίλειος Βλάχος Δρ. Βασίλειος Κάτος Δρ. Ιωάννης Μαυρίδης Δρ. Δέσποινα Πολέμη Δρ. Βασίλειος Τσούμας Σε αυτό το σημείο θα θέλαμε να σημειώσουμε ότι θα έχουμε τη δυνατότητα να μάθουμε περισσότερα πράγματα από και για εκείνους στα αμέσως προσεχή ns. Στη συνέχεια, παρατίθενται συνοπτικά βιογραφικά των νέων ISACA Academic Advocates. Περισσότερες πληροφορίες για το πρόγραμμα Academic Advocate μπορείτε να βρείτε στη σχετική ιστοσελίδα του ISACA. Δρ. Δέσποινα Πολέμη Η κυρία Νινέτα Πολέμη είναι Επίκουρος Καθηγήτρια στο Πανεπιστήμιο Πειραιώς, Τμήμα Πληροφορικής στα γνωστικά αντικείμενα: Ασφάλεια και ηλεκτρονικό επιχειρείν. Απέκτησε το Διδακτορικό (Ph.D) της το 1991 απο το Graduate School and University Center, City University of New York. Κατά τη διάρκεια της επαγγελματικής της πορείας κατείχε διδακτικές θέσεις ( ) στο Queens College και Baruch College of City University of New York, από το 1991 έως το 1996 ήταν επίκουρος καθηγήτρια στο State University of New York στο Farmingdale, επισκέπτρια καθηγήτρια στο Εθνικό Μετσόβιο Πολυτεχνείο - Τμήμα Πληροφορικής ( ), έμπειρη ερευνήτρια στο ΕΠΙΣΕΥ-ΕΜΠ ( ), Τεχνική Διευθύντρια και Πρόεδρος Διοικητικού Συμβουλίου στην EXPERTNET S.A. ( ). Έχει περισσότερες από εκατό δημοσιεύσεις. Έχει λάβει σειρά υποτροφιών και διακρίσεων από: The Danish Research Foundation, MSI Army Research Office/Cornell University, NSA, IEEE, State University of New York (SUNY), και The Graduate School of CUNY. Έχει διοργανώσει πολλές επιστημονικές ημερίδες και έχει υπηρετήσει ως μέλος οργανωτικών επιτροπών διεθνών συνεδρίων. Έχει αναλάβει καθήκοντα Επιστημονικής Υπευθύνου ελληνικών, ευρωπαϊκών και διεθνών έργων (ΚτΠ, ΓΕΓΕΤ, NSA, Dr. Nuala McGann Drescher Foundation, INFOSEC, TELEMATICS for Administrations, IST, eten, ΝΑΤΟ). Έχει επίσης διατελέσει αξιολογήτρια και εμπειρογνώμονας στην Ε.Ε. και στην ENISA ενώ είναι σήμερα και Academic Advocate του ISACA Athens Chapter. 19

20 3. Νέα του Ινστιτούτου Δρ. Βασίλειος Βλάχος Ο Δρ. Βασίλειος Βλάχος είναι Καθηγητής Εφαρμογών στο τμήμα Τμήμα Τεχν. Πληροφορικής και Τηλεπικοινωνιών του ΑΤΕΙ Λάρισας. Έ χ ε ι ε ρ γ α σ τ ε ί ως έ μ π ε ι ρ ο ς Μηχανικός Έρευνας και Ανάπτυξης στο Ερ ε υνητικό Α κ αδ η μ αϊ κό Ινστιτούτο Υπολογιστών (ΕΑΙΤΥ). Ήταν μέλος της Ομάδα Δράσης για την Ψηφιακή Ασφάλεια (DART) στην Ειδική Γραμματεία Ψηφιακού Σχεδιασμού του Υπουργείου Οικονομίας και Οικονομικών. Ο Δρ. Βασίλης Βλάχος είναι διπλωματούχος Ηλεκτρονικός Μηχανικός και Μηχανικός Υπολογιστών του Πολυτεχνείου Κρήτης, κάτοχος μεταπτυχιακού διπλώματος (MSc) στα Ολοκληρωμένα Συστήματα Υλικού και Λογισμικού από το τμήμα Μηχανικών Η/Υ και Πληροφορικής του Πανεπιστήμιου Πατρών και διδάκτορας του τμήματος Διοικητικής Επιστήμης και Τεχνολογίας από το Οικονομικό Πανεπιστήμιο Αθηνών. Έχει διδάξει στο Πανεπιστήμιο Θεσσαλίας, στο Πανεπιστήμιο Στερεάς Ελλάδας και στο Πανεπιστήμιο Πειραιά. Είναι συνιδρυτής και συντονιστής της ΜΚΟ για την ασφάλεια του Διαδικτύου DART-NGO ( και Academic Advocate του ISACA Athens Chapter. 20

21 3. Νέα του Ινστιτούτου Συμμετοχή σε Συνέδρια και Εκδηλώσεις Europe/Africa Leadership Conference, Μόναχο, Γερμανίας 8-9/09/2012 Στις 8 και 9 Σεπτεμβρίου 2012 διοργανώθηκε στο Μόναχο το ετήσιο συνέδριο των Chapters του ISACA για τη γεωγραφική περιοχή της Ευρώπης και της Αφρικής. Το Ινστιτούτο μας εκπροσωπήθηκε από τους κ.κ Ι. Λευκάκη (Πρόεδρο Δ.Σ.) και Ι. Μπονάτο (Μέλος Δ.Σ.) και συμμετείχε ενεργά στις διαδικασίες του συνεδρίου. Η ενημέρωση που έγινε από τον ISACA International σχετικά με τη στρατηγική του Οργανισμού σε παγκόσμιο επίπεδο καθώς και η ανταλλαγή γνώσεων και βέλτιστων πρακτικών για τη λειτουργία των Παραρτημάτων του ήταν ορισμένα από τα οφέλη της συμμετοχής. Πολύ σημαντική στιγμή για το Athens Chapter ήταν βέβαια βράβευση που έγινε για το καλύτερο N αλλά σε αυτό θα αναφερθούμε... στη συνέχεια αυτού του N. OWASP Appsec Research 2012, 10-13/07/2012 Τον περασμένο Ιούλιο πραγματοποιήθηκε για πρώτη φορά στην Ελλάδα το διεθνές συνέδριο του OWASP με τίτλο AppSec Research Το συνέδριο έλαβε χώρα στις εγκαταστάσεις του τμήματος Πληροφορικής και Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών. Το τετραήμερο αυτό Συνέδριο ήταν αφιερωμένο στην Ψηφιακή Ασφάλεια και προσέλκυσε το παγκόσμιο ενδιαφέρον αφού συγκέντρωσε ειδικούς από όλο τον κόσμο για να συζητήσουν και να μοιραστούν πρωτότυπες ιδέες, πρωτοβουλίες και σημαντικές τεχνολογικές εξελίξεις γύρω από την ασφαλή ανάπτυξη λογισμικού, την προστασία και τον έλεγχό του (build, defend, test) αλλά και την ασφάλεια σε mobile συσκευές. Μεταξύ των ομιλητών διακρίναμε τους Gary McGraw (Cigital), Jacob West (HP), Διομήδη Σπινέλλη, Duncan Harris (Oracle), Ben Livshits (Microsoft) και Χρήστο Παπαθανασίου. Παράλληλα, ο Jeremy King, European Director του PCI Council συμμετείχε σε panel με θέμα το ρόλο της ασφάλειας λογισμικού στα πρότυπα του PCI (PCI DSS, PA DSS, κλπ.) Στα πλαίσια του Συνεδρίου διεξήχθησαν 35 παρουσιάσεις σε 3 παράλληλα tracks ενώ στις δύο πρώτες ημέρες διεξήχθησαν τα κάτωθι εξειδικευμένα εκπαιδευτικά προγράμματα: 21

22 3. Νέα του Ινστιτούτου Building a Software Security Program On Open Source Tools Assessing and Exploiting Web Applications with Samurai-WTF Hack Your Own Code: Advanced training for developers Mobile Security: Securing Your Small, Smart Devices Application Attack Detection & Response A Handson Planning Workshop Secure Web Application Development Training Παράλληλα, πραγματοποιήθηκαν ενδιαφέρουσες εκδηλώσεις όπως το University Challenge, ένας διαγωνισμός ασφάλειας εκπαιδευτικού χαρακτήρα μεταξύ ομάδων φοιτητών και το Capture The Flag, ένας αντίστοιχος διαγωνισμός για επαγγελματίες, στον οποίο στόχος είναι ο εντοπισμός ευπαθειών σε ευάλωτες εφαρμογές. Το Ι.Ε.Σ.Π μέσω της σύναψης μνημονίου συνεργασίας με το αντίστοιχο Ελληνικό Παράρτημα του OWASP είχε επίσημη παρουσία στο συνέδριο με περίπτερο και εξασφάλισε έκπτωση 40% στο κόστος συμμετοχής του συνεδρίου στις 12 και 13 Ιουλίου για όλα τα μέλη του. 3o Ετήσιο Συνέδριο Εσωτερικού Ελέγχου, ΕΙΕΕ, Boussias Conferences, 02/10/2012 Το Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών σε συνεργασία με τη Boussias Communication διοργάνωσε το 3ο ετήσιο Συνέδριο Εσωτερικού Ελέγχου με θέμα: A big audit plan for the crisis. Στα πλαίσια του φετινού συνεδρίου διερευνήθηκε η δυνατότητα προσαρμογής του Εσωτερικού Ελέγχου σε κατάσταση οικονομικής κρίσης που ζούμε σήμερα. Επίσης, παρουσιάστηκαν οι εξελίξεις που αφορούν την εταιρική διακυβέρνηση των ελληνικών εταιρειών - με έμφαση στις σχέσεις Εσωτερικού Ελέγχου και Ελεγκτικής Επιτροπής - αλλά και τους τρόπους με τους οποίους ο εσωτερικός ελεγκτής μπορεί να αυξήσει την επιρροή του στον οργανισμό. Το Ι.Ε.Σ.Π είχε επίσημη παρουσία στο συνέδριο με περίπτερο και εξασφάλισε έκπτωση στο κόστος συμμετοχής του συνεδρίου για τα μέλη του. 1o Ετήσιο Συνέδριο HACFE, 18/10/2012 Το Ελληνικό Ινστιτούτο κατά της Απάτης, διοργάνωσε, με την αρωγή της Ελληνοαμερικανικής Ένωσης, για πρώτη φορά ετήσιο Συνέδριο με θέμα: Η Αντιμετώπιση του Φαινομένου της Απάτης. Το Συνέδριο διεξήχθη στο Συνεδριακό Κέντρο της Εθνικής Ασφαλιστικής, είχε πολύ μεγάλη επιτυχία (συμμετείχαν περίπου 900 άτομα) και άφησε πολλές υποσχέσεις για το μέλλον.το Ι.Ε.Σ.Π συμμετείχε στο συνέδριο με περίπτερο και εξασφάλισε έκπτωση 23% στο κόστος συμμετοχής του συνεδρίου για τα μέλη του. IT Directors Forum 2012, Net Week Conferences, 22/10/2012 Στις 22 Οκτωβρίου 2012, η Net Week conferences διοργάνωσε για άλλη μία φορά το επιτυχημένο ετήσιο συνέδριο IT Directors Forum που απευθύνεται σε Διευθυντές και στελέχη Πληροφορικής και Οργάνωσης. Μεγάλο μέρος του συνεδρίου αφιερώθηκε σε παρουσιάσεις και συζητήσεις μεταξύ της κοινότητας των CIO στην Ελλάδα, με στόχο την αποτύπωση των σημερινών προκλήσεων και την εύρεση απαντήσεων και λύσεων για την πορεία και το ρόλο τους μέσα στην επιχείρηση. Μεταξύ άλλων, είχε μεγάλο ενδιαφέρον η παρουσίαση του κεντρικού ομιλητή Aneesh Chopra ο οποίος αναφέρθηκε στους τρόπους με τους οποίους η τεχνολογία μπορεί να διαδώσει την καινοτομία, να ενισχύσει την ανταγωνιστικότητα και να λύσει διαιωνίζοντα προβλήματα οργανισμών και επιχειρήσεων. Το Ι.Ε.Σ.Π εξασφάλισε έκπτωση στα μέλη του ενώ επίσης έδωσε σημαντικό παρόν στο συνέδριο. Ο κ. Ανέστης Δημόπουλος, Αντιπρόεδρος ISACA Athens Chapter, ήταν ένας από τους ομιλητές του συνεδρίου ενώ υπήρχε και εκθεσιακό περίπτερο του Ινστιτούτο όπου τα στελέχη πληροφορικής μπορούσαν να ενημερωθούν για τη συνεισφορά και τις τελευταίες εξελίξεις / νέα του ISACA που αφορούν τη διοίκηση πληροφοριακών συστημάτων. 22

23 3. Νέα του Ινστιτούτου Ασφάλεια Πληροφοριών: Καταπολέμηση Ηλεκτρονικής Απάτης, EEΔΕ/ΕΙΠ, 20/11/2012 Στις 20 Νοεμβρίου 2012 πραγματοποιηθήκε εσπερίδα από την Ελληνική Εταιρεία Διοίκησης Επιχειρήσεων / Ελληνικό Ινστιτούτο Πληροφορικής & Επικοινωνιών με θέμα Ασφάλεια Πληροφοριών: Καταπολέμηση Ηλεκτρονικής Απάτης. Το Ι.Ε.Σ.Π ήταν υποστηρικτής της εκδήλωσης, η οποία ήταν χωρίς κόστος συμμετοχής και όσοι την παρακολούθησαν έλαβαν 3 CPEs! Μεταξύ των πολλών συμμετεχόντων είδαμε αρκετά από τα μέλη μας που δείχνουν πάντα το έμπρακτο ενδιαφέρον τους για τέτοιου είδους θεματολογία και εν γένει εκδηλώσεις. Εκτός όμως από την σχεδόν σύσσωμη παρουσία των μελών του Δ.Σ. του Ι.Ε.Σ.Π., ο ISACA εκπροσωπήθηκε τόσο από τον κ. Χρήστο Δημητριάδη (Vice President του ISACA international) που είχε και το ρόλο του Προέδρου της Οργανωτικής Επιτροπής της εσπερίδας όσο και από την κα Νινέτα Πολέμη (Academic Advocate, ISACA Athens Chapter) που ήταν μεταξύ των ομιλητών. Το συνέδριο έδωσε άφθονες ευκαιρίες για networking, ανταλλαγή ιδεών και στέφθηκε με επιτυχία παρουσιάζοντας πολλαπλά παράλληλα tracks, ενώ συμμετείχαν αρκετά μέλη του ISACA. Αξίζει να σημειωθεί ότι οι διοργανωτές διέθεσαν ειδική έκπτωση 10% για τα μέλη μας. 7ο Συνέδριο Project Management, PMI Greece Chapter, Net Week Conferences, 29/11/2012 Το Ελληνικό Ινστιτούτο Διοίκησης Έργων και η Net Week Conferences διοργάνωσαν στις 29/11/2012 το 7ο ετήσιο συνέδριο διαχείρισης έργων με τίτλο Project Management s critical contribution in times of crisis. Μέσω παρουσιάσεων διεθνών ομιλητών, case studies, πάνελ συζήτησης και διδακτικών workshops, το συγκεκριμένο Συνέδριο είχε ως φετινό στόχο την αναζήτησης του καίριου ρόλου και της σημασίας της Διοίκησης Έργων σε καιρούς κρίσης, όπως: στη συνεισφορά στη μείωση δαπανών, στη συμβολή στην αναδιοργάνωση δομών και διαδικασιών, στην υποστήριξη της διαχείρισης της καινοτομίας και στη βοήθεια εταιρειών για είσοδο σε νέες αγορές. Το Ι.Ε.Σ.Π εξασφάλισε έκπτωση στα μέλη του. IT/ProDevConnections 2012, 24-25/11/2012 Στις 24 και 25 Νοεμβρίου 2012 διεξήχθη στο Metropolitan Expo του αεροδρομίου Ελ.Βενιζέλος το συνέδριο πληροφορικής IT/ ProDevConnections 2012 με τη συμμετοχή άνω των 500 στελεχών του χώρου. Ιδιαίτερη αίσθηση έκανε η παρουσίαση του keynote ομιλητή Peter Economides ο οποίος ενθουσίασε με τις εναλλακτικές προσεγγίσεις του στην αντιμετώπιση της οικονομικής κρίσης μέσα από το στρατηγικό rebranding της Ελλάδας. 23

24 3. Νέα του Ινστιτούτου Βράβευση N 2011 του ISACA Athens Chapter Και τώρα θα προχωρήσουμε με την απονομή του καλύτερου N στην κατηγορία των Large Chapters για το Παρακαλώ πολύ να προσέλθει το ISACA Athens Chapter. Αυτά ήταν τα λόγια που ακούστηκαν στις 8 του Σεπτέμβρη στο Μόναχο πριν ο Πρόεδρος του Ι.Ε.Σ.Π. (κ. Ι. Λευκάκης) και το Μέλος του Δ.Σ και εκπρόσωπος της Ομάδας Εργασίας του N (κ. Ι. Μπονάτος) κληθούν για τη βράβευση. Μία βράβευση που δεν μπορεί παρά να γεμίζει την Ομάδα Εργασίας με ικανοποίηση και υπερηφάνια για το αποτέλεσμα των προσπαθειών της. Μάλιστα, η χαρά ήταν ακόμα περισσότερη αφού είχαμε την τιμή το βραβείο να μας το απονείμει ο Έλληνας Αντιπρόεδρος του ISACA International (κ. Χ. Δημητριάδης) όπως βλέπετε και στη διπλανη φωτογραφία. Θυμόμαστε οι περισσότεροι ακόμη την πρώτη μαραθώνια συνάντηση που έκανε η Ομάδα Εργασίας του N το Ιδέες πολλές, προτάσεις ακόμη περισσότερες αλλά ένα κοινό η επιθυμία να κάνουμε την υπέρβαση.. και ναι την κάναμε γιατί δουλέψαμε ως ομάδα! Από τη δυναμική των συναντήσεων και την ενέργεια των μελών της ομάδας φάνηκε ότι κάτι καλό θα έβγαινε αλλά κανένας δε μπορούσε να πιστέψει ότι θα φτάναμε μέχρι και το βραβείο. Για άλλη μία φορά, η καινοτομία και η συστηματική και ομαδική εργασία έφερε για άλλη μία φορά αποτελέσματα. Σε συζητήσεις που έγιναν μετά την απονομή του βραβείου, τα συγχαρητήρια από ολα τα Chapters της περιοχής ήταν πολλά. Θα θέλαμε όμως να μείνουμε στην ερώτηση που απευθύνθηκε σε έναν από τους παρευρισκόμενους κριτές σχετικά με το τι ήταν τελικά αυτό που διαφοροποίησε το N. Η απάντηση μάλλον απλή. Ήταν οι καινοτόμες ιδέες, υο περιεχόμενο, το ιδιαίτερο ύφος και η ποιότητα που εμπνέει. Η απονομή από τον κ. X. Δημητριάδη Το βραβείο για το καλύτερο N Large Chapters

25 3. Νέα του Ινστιτούτου Βράβευση του ISACA Athens Chapter ως το καλύτερο Large Chapter στην Ευρώπη/Αφρική για το 2012 Και πριν λοιπόν στεγνώσει η πένα που χρησιμοποιούσαμε για να περιγράψουμε τις πολύ ευχάριστες στιγμές της βράβευσης του N έρχεται να προστεθεί ακόμη μία. Το βραβείο γνωστό από το πρόσφατο παρελθόν (2009), K. Wayne Snipes, το οποίο μεταφράζεται ως το καλύτερο Large Chapter στη γεωγραφική ζώνη Ευρώπης/Αφρικής. Όπως αναφέρθηκε δεν είναι η πρώτη φορά που απονέμεται στο Ινστιτούτο μας το συγκεκριμένο βραβείο, αλλά αυτό που έχει σημασία είναι ότι οι προσπάθειες που κάνουν όλα αυτά τα χρόνια όλα τα Διοικητικά Συμβούλια (τέως και νυν), οι εθελοντές των Ομάδων Εργασίας και τα μέλη του Ινστιτούτου είναι προς τη σωστή κατεύθυνση, δείχνουν μία συνέχεια, μία διάρκεια. Σύμφωνα με το ρητό, το δύσκολο δεν είναι να ανέβεις στην κορυφή, το δύσκολο είναι να παραμείνεις! Και το Ινστιτούτο μας απέδειξε ότι μπορεί να είναι στην κορυφή, παρέμεινε και θα προσπαθήσει να παραμείνει και στο μέλλον αρκεί να το στηρίξετε. Το συγκεκριμένο βραβείο θα απονεμηθεί στο Ινστιτούτο μας τον προσεχή Σεπτέμβρη στο Λονδίνο στο αντίστοιχο συνέδριο του ISACA International για τα Chapters της Ευρώπης/Αφρικής για το isaca_gr Group: ISACA Athens Chapter 25

26 4. Νέα ISACA International Σημαντικές ημερομηνίες για τις εξετάσεις Ιουνίου 2013 Από 10 Δεκεμβρίου 2012 οι εγγραφές για τις εξετάσεις του Ιουνίου 2013 είναι πλέον ανοιχτές. Η πρόωρη λήξη της προθεσμίας εγγραφής είναι 13 Φεβρουαρίου Η τελική προθεσμία για την εγγραφή στις εξετάσεις λήγει στις 12 Απριλίου Μια σύντομη αναφορά: Early registration Deadline (Both online and Mailed/Faxed): 13 Φεβρουαρίου 2013 Final registrations Deadline (Both online and Mailed/Faxed): 12 Απριλίου 2013 Exams: 8 Ιουνίου 2013 Για περισσότερες πληροφορίες ανατρέξτε στο σχετικό link στον ιστότοπο του ISACA Σημαντική Αλλαγή: Θα θέλαμε να σας υπενθυμίσουμε για όσους το γνωρίζουν ήδη, ή να σας ενημερώσουμε ότι για όσους προετοιμάζονται για την πιστοποίηση CGEIT η γνωστική περιοχή (job practice) έχει διαφοροποιηθεί, ξεκινώντας αυτή να ισχύει από τις εξετάσεις του Ιουνίου Για όσους ενδιαφέρονται σας παραθέτουμε το σχετικό link που εξηγεί τις αλλαγές που πραγματοποιήθηκαν για την πιστοποίηση CGEIT. Μια μικρή αναφορά είναι πως η νέα γνωστική περιοχή ευθυγραμμίζεται εννοιολογικά με το COBIT 5 και επικεντρώνεται στους ακόλουθους τομείς (σε παρένθεση το ποσοστό εμφάνισης του κάθε τομέα στις ερωτήσεις των εξετάσεων): Framework for the Governance of Enterprise IT (25%) Strategic Management (20%) Benefits Realization (16%) Risk Optimization (24%) Resource Optimization (15%) Μάθετε περισσότερα για τις εξετάσεις CGEIT στη σελίδα CGEIT Bulletin of information 26

27 4. Νέα ISACA International Πρόσθετη εξεταστική περίοδος για τις πιστοποιήσεις CISA και CISM μέσα στο 2013 Ο ISACA θα προσφέρει φέτος επιπλέον εξετάσεις για τις πιστοποιήσεις CISA (Certified Information Systems Auditor) και CISM (Certified Information Security Manager) σε περιορισμένα locations. Συγκεκριμένα, πέρα των καθιερωμένων εξετάσεων του Ιουνίου και του Δεκεμβρίου, θα διενεργηθούν αντίστοιχες εξετάσεις και το Σάββατο 7 Σεπτεμβρίου 2013, και εδώ μπορείτε να επιλέξετε την τοποθεσία, οι οποίες είναι περιορισμένες. Οι θέσεις θα είναι περιορισμένες για αυτές τις εξετάσεις και τα αποτελέσματα θα βγουν εντός των επόμενων 5 εβδομάδες από την ημερομηνία εξέτασης (και όχι 8 όπως ισχύει τώρα). Οι εξετάσεις θα είναι διαθέσιμες στις γλώσσες που ισχύουν μέχρι τώρα. Για όσους ενδιαφέρονται μια ημερομηνία που θα πρέπει να σημειώσετε στην ατζέντα σας είναι 24 Απριλίου 2013 όπου και θα ανοίξουν οι εγγραφές. Επιπρόσθετα θα πρέπει να ενημερώσουμε πως οι προθεσμίες εγγραφής για τις εξετάσεις του Σεπτεμβρίου και του Δεκεμβρίου έχουν ρυθμιστεί έτσι ώστε κάποιος που θα λάβει μέρος στις εξετάσεις του Ιουνίου 2013 να μπορεί να λάβει μέρος και σε αυτές του Σεπτεμβρίου αν το επιθυμεί. Μάθετε περισσότερα για τις εξετάσεις του ISACA στις αντίστοιχες ιστοσελίδες CISA, CISM, CGEIT και CRISC Bulletin of Information (BOI). Απόκτηση CPE μέσω Certification Mentoring Το Credentialing Board του ISACA ενέκρινε το ISACA Credentialing Mentoring ως μια ειδική δραστηριότητα για την απόκτηση επιπλέον ωρών συνεχούς επαγγελματικής εκπαίδευσης (CPE Hours) που θα βοηθούν στην διατήρηση οποιασδήποτε πιστοποίησης του ISACA που πιθανόν κατέχετε. Αυτές οι δραστηριότητες αφορούν όσους ενδιαφέρονται να παρέχουν τις συμβουλές τους σε άλλους επαγγελματίες που επιθυμούν να αποκτήσουν και εκείνοι κάποια από τις πιστοποιήσεις του ISACA. Πιο αναλυτικά, οι δραστηριότητες αυτές περιλαμβάνουν τις προσπάθειες που σχετίζονται άμεσα με (α) την καθοδήγηση, (β) την αναθεώρηση και (γ) την παροχή επαγγελματικών συμβουλών σε όσους προετοιμάζονται για τις εξετάσεις CISA / CISM / CGEIT / CRISC. Αυτό μπορεί να γίνει μέσω της διαδικασίας credentialing είτε σε επίπεδο οργανωτικό, είτε σε επίπεδο chapter ή ακόμα και σε ατομικό. Η δραστηριότητα της παροχής αυτών των συμβουλών θα πρέπει να είναι μια δραστηριότητα που να υποστηρίζει ένα συγκεκριμένο άτομο στην προετοιμασία του για μια εξέταση του ISACΑ. Μια CPE ώρα μπορεί να αποκτηθεί για κάθε μία ώρα mentoring. Η τεκμηρίωση θα πρέπει να γίνεται υπό τη μορφή επιστολών ή s από/προς το άτομο που του παρέχεται η καθοδήγηση ή με τη συμπλήρωση μιας Φόρμας Συμμετοχής από το ίδιο άτομο. Στο ελάχιστο θα πρέπει τα έγγραφα επαλήθευσης να περιλαμβάνουν το όνομα εκείνου που παρέχει την καθοδήγηση, τις ημερομηνίες, τις ώρες και την υπογραφή του ατόμου που λαμβάνει τις συμβουλές καθώς και μια μικρή περιγραφή του τύπου της βοήθειας που έλαβε. 27

28 4. Νέα ISACA International Παρακάτω θα βρείτε μερικές οδηγίες και ιδέες για το πώς μπορείτε να ασχοληθείτε με αυτές τις mentoring δραστηριότητες: Καθοδηγήστε και βοηθήστε τους καθ όλη τη διάρκεια της προετοιμασίας τους. Αρχικά επικοινωνήστε με τους ΙΤ επαγγελματίες που ξέρετε ή εργάζεστε μαζί και ενθαρρύνετε τους για την απόκτηση μια πιστοποίησης του ISACA. Μοιραστείτε μαζί τους δικές σας εμπειρίες στην απόκτηση κάποιας πιστοποίησης, εξηγήστε τους την επαγγελματική πορεία που επιλέξατε και πως φτάσατε ως εκεί καθώς επίσης και την επιπρόσθετη αξία που σας έφερε η απόκτηση αυτής της πιστοποίησης. Ζητήστε τους να ακούσουν ένα από τα videos I am a μέσα από την ιστοσελίδα του ISACA. Εάν δεν είναι μέλη, προσκαλέστε τους σε μια συνάντηση του τοπικού Chapter του ISACA. Αυτό θα αυξήσει την έκθεση τους σε άλλους στο ίδιο επάγγελμα και θα οδηγήσει σε πολύτιμες γνωριμίες. Γίνετε το πρόσωπο στο οποίο θα έρχονται να ρωτάνε για οποιαδήποτε πληροφορία σχετικά με την πιστοποίηση. Ενημερώστε το Human Resources και Training τμήμα της επιχείρησης σας για την κατοχή όποια πιστοποίησης του ISACA έχετε, καθώς επίσης και για την προθυμία σας να καθοδηγήσετε και άλλους συναδέλφους μέσω αυτής της διαδικασίας. Τι γίνεται όταν κάποιος που γνωρίζετε αποφασίσει να αποκτήσει μια πιστοποίηση? Καθοδηγήστε και βοηθήστε τους καθ όλη τη διάρκεια της προετοιμασίας τους. Προτείνετε τους κάποιο αποτελεσματικό σχέδιο για την μελέτη τους και παρουσιάστε τους ιδέες και προσεγγίσεις που και εσείς χρησιμοποιήσατε όταν προετοιμαζόσασταν για την δική σας εξέταση. Παροτρύνετε τους να έχουν πρόσβαση σε κάποια από τις online βοηθητικές εξετάσεις και να αυτό αξιολογούνται για να βρουν τις αδυναμίες τους. Προτείνετε τους μαθήματα ή υλικό μελέτης για τις εξετάσεις με μεγαλύτερη βαρύτητα σε ότι βρήκατε εσείς πιο απαραίτητο όταν προετοιμαζόσασταν και εσείς. Συντονίστε τις συζητήσεις με άλλους ομολόγους για διάφορα πρακτικά θέματα και προσφέρετε τους την γνώμη σας σχετικά με το πώς αυτά τα πρακτικά θέματα θα πρέπει να αντιμετωπιστούν κατά τη διάρκεια των εξετάσεων. Εάν παρόλα αυτά δεν γνωρίζετε κάποιον που να είναι έτοιμος να αποκτήσει μια πιστοποίηση του ISACA αλλά ενδιαφέρεστε πραγματικά να βοηθήσετε κάποιον υποψήφιο που έχει εγγραφεί στις εξετάσεις και να πάρετε και εσείς περισσότερα CPE, επικοινωνήστε με τον Συντονιστή Πιστοποιήσεων στο τοπικό chapter, certifications@isaca.gr για να εκδηλώσετε ενδιαφέρον. 28

29 4. Νέα ISACA International Έρευνα για τα Advanced Persistent Threats! H επιτροπή Guidance and Practices του ISACA έχει δημιουργήσει μια ομάδα εργασίας, για να δώσει το έναυσμα για μια σειρά από πρωτοβουλίες για την ασφάλεια στον κυβερνοχώρο. Η ομάδα αυτή πρόκειται να αναλύσει την ευαισθητοποίηση των εταιρειών σε προηγμένες και επίμονες απειλές του διαδικτύου. Τα αποτελέσματα της έρευνας θα παρουσιαστούν σε έκθεση του τρέχοντος έτους. Ο ISACA προτρέπει - για όποιον/α εμπλέκεται στην ασφάλεια των πληροφοριών και των πληροφοριακών συστημάτων - να αφιερώσει λίγα λεπτά για να ολοκληρώσει αυτή την ανώνυμη έρευνα. Σημείωση: Δεν θα συλλεχθούν προσωπικές πληροφορίες όπως π.χ. διευθύνσεις IP. Για να συμμετάσχει κανείς στην έρευνα αυτή, αρκεί απλά να επισκεφτεί τον εξής υπερσύνδεσμο. Νέο σύστημα αναφοράς των CPEs Ο τρόπος υποβολής του ετήσιου αριθμού των CPEs άλλαξε (από το έτος 2012), προκειμένου να διευκολυνθούν τα μέλη κατά την καταγραφή και την υποβολή τους. Η υποβολή των CPEs είναι πλέον δυνατόν να γίνει αμέσως μετά την απόκτησή τους. Για περισσότερες πληροφορίες, μπορείτε να ανατρέξετε στους συνδέσμους, με τίτλο: How to Report and Earn CPE και CPE Reporting FAQs προκειμένου να ανατρέξετε στις κυριότερες και συχνότερες ερωτήσεις/απαντήσεις. Εν τούτοις, ακολούθως παρατίθενται τα κυριότερα σημεία, προς διευκόλυνση σας. Τα CPEs δηλώνονται πλέον σε 7 απλά Βήματα: 1. Κάνετε Log in στην ιστοσελίδα του Ινστιτούτου: 2. Κάνετε Click στην Καρτέλα: MY ISACA 3. Κάνετε Click στην Καρτέλα: MY CERTIFICATIONS 4. Κάνετε Click στο κουμπί: Manage My CPE 5. Scroll down και κατόπιν κάνετε Click στο κουμπί: Add CPE 6. Εισάγετε τις πληροφορίες σχετικά με την απόκτηση των CPEs, χρησιμοποιώντας το κουτί που αναφέρεται στην Πιστοποίηση την οποία κατέχετε και κατόπιν αποθηκεύστε τις, κάνοντας Click στο κουμπί: Save. Σημειώστε ότι τα CPEs που αποκτήθηκαν από μία δραστηριότητα (σεμινάριο, συμμετοχή σε επιτροπή, κ.λπ.) και αφορούν σε περισσότερες από μία Πιστοποιήσεις του ISACA, θα πρέπει να δηλωθούν ξεχωριστά για κάθε Πιστοποίηση, στο αντίστοιχο κουτί της. 7. Χρησιμοποιήστε την επιλογή: Save and Add More, σε περίπτωση που έχετε να προσθέσετε και άλλα CPEs. Σημειώστε, επίσης, ότι δεν χρειάζεται να δηλωθούν CPEs για τις Πιστοποιήσεις που βρίσκονται σε κατάσταση non-practicing (Certifications in non-practicing status), έως ότου αυτές καταστούν ενεργές, δηλαδή επιστρέψουν σε κατάσταση active. Σε αυτή την περίπτωση επισκεφτείτε τους κατάλληλους συνδέσμους, για κάθε μια πιστοποίηση αντίστοιχα: και Σε περίπτωση που έγινε λάθος κατά τη δήλωση πληροφοριών για τα CPEs, μπορείτε να προβείτε σε διόρθωση δύο τρόπους, ως ακολούθως: 1. Πηγαίνετε στο τμήμα CPE Detail, σβήστε τη συγκεκριμένη δραστηριότητα και κατόπιν επαναεισάγετε τη δραστηριότητα εκ νέου, ως νέα CPEs. (Βλέπε: add CPE, παραπάνω). 2. Πηγαίνετε στο τμήμα CPE Detail, εντοπίστε τη συγκεκριμένη δραστηριότητα που θέλετε να διορθώσετε και κατόπιν κάνετε Click στο εικονίδιο Edit (edit icon), εκτελέστε τις διορθώσεις σας και τέλος πατήστε το Save. 29

30 4. Νέα ISACA International Member Get A Member Campaign - Results Με τεράστια επιτυχία ολοκληρώθηκε η Καμπάνια: Μέλη Φέρτε Ένα Μέλος (Member Get A Member Campaign), για το έτος Η εν λόγω εκστρατεία έλαβε χώρα από την 1η Αυγούστου έως την 31η Δεκεμβρίου 2012, όπου συμμετείχαν 658 μελών του ISACA, και κατέληξε στην εγγραφή 878 νέων μελών, τα οποία και καλωσορίζουμε εκ μέρους του Ελληνικού Παραρτήματος - ISACA Athens Chapter. Συγχαρητήρια στους Νικητές!!! Το πρώτο βραβείο Top Recruiter Grand Prize, (χρηματικό ποσό US $1500) κέρδισε το Παράρτημα της Λίμα, στο Περού. Παρά το γεγονός ότι η Καμπάνια, για το έτος 2013 εκστρατεία, δεν έχει ακόμη ξεκινήσει, ελπίζουμε ότι θα συνεχίσετε να συστήνετε στους συναδέλφους και στους συνεργάτες σας να εγγραφούν στο ISACA. Επίσης, συνιστούμε να παρακολουθείτε τακτικά την εν λόγω ιστοσελίδα του ISACA για περισσότερες λεπτομέρειες σχετικά με την επόμενη Καμπάνια Μέλη Φέρτε Ένα Μέλος (MGAM - Member Get A Member Campaign), η οποία θα ξεκινήσει τον Αύγουστο του 2013 για τις εγγραφές νέων μελών του έτους Ποιος ξέρει; Μπορεί στα επόμενα βραβεία, ανάμεσα στους νικητές, να φιγουράρει και το όνομα του δικού μας Παραρτήματος! Καλό Κουράγιο και Καλή Συνέχεια στα Μέλη μας!!! Μοιραστείτε τα αγαπημένα σας Έγγραφα (Documents) και Συνδέσμους (Links) Γνωρίζατε ότι μπορείτε να προσθέσετε έγγραφα και συνδέσμους στην ιστοσελίδα του ISACA; Ποια ιστοσελίδα αποτελεί την αγαπημένη σας πηγή χρήσιμων πληροφοριών για το επάγγελμά σας; Έχετε διαβάσει κάποιο άρθρο, το οποίο προήγαγε τη σκέψη σας, και το όποιο θα μπορούσαν κι άλλοι να το βρουν ενδιαφέρον; Μοιραστείτε το με τα άλλα μέλη του ISACA στο Κέντρο Γνώσης : Knowledge Center. Τα άρθρα και οι σύνδεσμοι που επισημαίνουν ή/και αναδεικνύουν τρέχοντα γεγονότα ή θέματα στη χώρα μας, χρήσιμο υλικό στη μητρική μας γλώσσα, καθώς επίσης και μία αγαπημένη ιστοσελίδα ή/και πηγή, μπορούν να αποδειχθούν χρήσιμα για τα μέλη του ISACA παγκοσμίως. Σήμερα υπάρχουν εκατοντάδες έγγραφα και σύνδεσμοι στο Κέντρο Γνώσης, τα οποία συλλέχτηκαν σταδιακά, από τη συμβολή των μελών του ISACA. Για να συμβάλετε με την ανάρτηση ενός συνδέσμου, επισκεφθείτε την καρτέλα "Featured Topics στη σελίδα Knowledge Center και πηγαίνετε στο τμήμα User Contributed External Links που βρίσκεται στο pull down μενού κάθε θέματος. Μπορείτε να δείτε όλους τους συνδέσμους που έχουν προσθέσει τα άλλα μέλη και να αναρτήσετε τον δικό σας, κάνοντας κλικ στο κουμπί "Contribute A Link, όπως απεικονίζεται παρακάτω. 30

31 4. Νέα ISACA International Το κουμπί "Contribute A Document, μπορεί επίσης να βρεθεί κάτω από το "Documents & Publications, ξεδιπλώνοντάς το. Θα εμφανιστούν τόσο οι εκδόσεις του ISACA όσο και τα έγγραφα που έχουν υποβληθεί από τους χρήστες, όπως απεικονίζεται δίπλα. Παρακαλείστε να λαμβάνετε, κάθε φορά, υπόψη τους περιορισμούς λόγω πνευματικών δικαιωμάτων (copyright) και να μην μοιράζεστε προστατευμένο υλικό. Επίσης, στην περιγραφή, είναι χρήσιμο να προσδιορίζεται η μορφή (format) του εγγράφου, για διευκόλυνση των χρηστών, ως προς τη λήψη τους (downloads). 31

32 4. Νέα ISACA International Αποτελέσματα Ερευνητικής εργασίας ISACA: IT Audit and Assurance Guidance Όπως είναι γνωστό η φύση της ελεγκτικής των πληροφοριακών συστημάτων καθώς και της διασφάλισης της ποιότητας και οι δεξιότητες που είναι απαραίτητες για τη διενέργεια τέτοιων ελέγχων, απαιτούν ειδικές προδιαγραφές από τον καθένα.στόχοι και πεδίο εφαρμογής των προτύπων ελέγχου των πληροφοριακών συστημάτων καθώς και της διασφάλισης της ποιότητας. Ο ISACA έχει σχεδιάσει αυτές τις κατευθυντήριες γραμμές για να περιγράψει το ελάχιστο αποδεκτό επίπεδο που απαιτείται για να καλύψει τις επαγγελματικές αρμοδιότητες που καθορίζονται στον κώδικα Επαγγελματικής Δεοντολογίας. Φυσικά, δεν τίποτα δεν προϋποτίθεται, δηλ. ότι η χρήση της επιλογής αυτής - θα εξασφαλίσει την επιτυχή έκβαση. Κατά τον προσδιορισμό της ορθότητας της κάθε διαδικασίας, οι επαγγελματίες ελεγκτές θα πρέπει να εφαρμόζουν τη δική του επαγγελματική κρίση στις ειδικές συνθήκες ελέγχου που παρουσιάζονται, στα συγκεκριμένα συστήματα ή εν γένει στο εργασιακό περιβάλλον. Πρότυπα Τα πρότυπα καθορίζουν τις βασικές υποχρεώσεις για τη διενέργεια ελέγχων και διασφάλισης ποιότητας. Εκεί περιγράφονται οι δεσμεύσεις που οφείλουν να κρατούν οι επαγγελματίες του χώρου, όπως αυτές ορίζονται στον κώδικα δεοντολογίας του ISACA. Επιπρόσθετα, ενημερώνουν τη διοίκηση και άλλα ενδιαφερόμενα μέλη για τις προσδοκίες του επαγγέλματος σχετικά με το έργο των ελεγκτών. Τέλος ενημερώνουν τους ίδιους τους πιστοποιημένους ελεγκτές (κατόχους της πιστοποίησης CISA) ώστε οι ίδιοι να προσδιορίσουν τις δικές τους ανάγκες και υποχρεώσεις. Η μη συμμόρφωση σε αυτά τα πρότυπα, μπορεί να οδηγήσει σε ένα πιθανό έλεγχο από τη διοικητική ομάδα του ISACA, με παρεπόμενα πιθανά πειθαρχικά μέτρα. Οδηγίες Στόχος των κατευθυντήριων γραμμών ελέγχου και διασφάλισης της ποιότητας είναι να παρέχει καθοδήγηση και πρόσθετες πληροφορίες σχετικά με το πώς να συμμορφωθεί κανείς με τα παραπάνω πρότυπα. Ένας επαγγελματίας ελεγκτής οφείλει να εξετάσει αυτές τις κατευθυντήριες γραμμές κατά την εφαρμογή του ελέγχου και να δικαιολογήσει τυχούσες αποκλίσεις από τα πρότυπα αυτά. Εργαλεία & Τεχνικές Τα έγγραφα για τα εργαλεία και τις τεχνικές ελέγχου και διασφάλισης ποιότητας, παρέχουν πληροφορίες σχετικά με το πώς να ανταποκριθούν οι ελεγκτές στα πρότυπα, όταν διενεργούν τον έλεγχο τους, Επιπρόσθετα, παρέχουν παραδείγματα που μπορεί ο κάθε ελεγκτής να ακολουθήσει, χωρίς όμως να θέτουν απαραίτητη την ύπαρξη τους. Στόχος των εργαλείων είναι, να παρέχουν πρόσθετες πληροφορίες σχετικά με το πώς να συμμορφωθεί η κάθε εταιρεία καλύτερα στα πρότυπα έλεγχου και διασφάλισης ποιότητας. Η αρμόδια επιτροπή του ISACA για την εργασία αυτή, έχει δεσμευτεί να ενσωματώσει τη συμβολή όλων στην προετοιμασία των προτύπων, των κατευθυντήριων γραμμών και των εργαλείων και τεχνικών. Τα σχέδια της έκθεσης έχουν εκδοθεί διεθνώς και οι ενδιαφερόμενοι επαγγελματίες είναι ευπρόσδεκτοι να επανεξετάσουν το υλικό και να μοιραστούν τις απόψεις τους. Περισσότερες πληροφορίες μπορεί κανείς να συλλέξει, στην ιστοσελίδα του ISACA. 32

33 4. Νέα ISACA International Παρουσίαση Βιβλίου: A practical guide to reducing IT costs Από τους Anita Cassidy and Dan Cassidy Το βιβλίο πραγματεύεται ένα κορυφαίο ζήτημα για τους περισσότερους οργανισμούς. Τα συνολικά ετήσια έξοδα της μονάδας πληροφορικής ενός οργανισμού κυμαίνονται μεταξύ 2-6% των συνολικών εσόδων του. Παράλληλα, η πίεση που ασκείται στα στελέχη και τη διοίκηση για περιορισμό του κόστους, κ ά ν ε ι τ η ν α ν ά γ κ η τ η ς μείωσης του κόστους που συνδέεται με τις υποδομές και τη χρήση της πληροφορικής ακόμα πιο επιτακτική. Είναι γνωστό, ότι οι τεχνολογίες πληροφορικής εξελίσσονται γρήγορα και προς διαφορετικές κατευθύνσεις στην πορεία του χρόνου. Ένα αξίωμα που υπάρχει στο χώρο, γνωστό ως Νόμος του Moore (Moore s Law), λέει ότι ο αριθμός των transistors που περιέχονται σε ένα ολοκληρωμένο κύκλωμα, διπλασιάζεται κάθε 4 χρόνια. Αυτό παρέχει ένα μέτρο του ρυθμού αύξησης της υπολογιστικής ισχύος, αλλά και του ρυθμού μείωσης του κόστους της τεχνολογίας. Από την άλλη, η αύξηση της υπολογιστικής ισχύος συνοδεύεται από μια εκρηκτική αύξηση της ποσότητας των παραγόμενων δεδομένων από ηλεκτρονικούς υπολογιστές, έξυπνες συσκευές και ανθρώπους. Για τη συγγραφή του βιβλίου, οι συγγραφείς Anita Cassidy και ο Dan Cassidy, πήραν συνεντεύξεις από 60 CIOs από διαφορετικά επιχειρησιακά πεδία. Παράλληλα, αξιοποίησαν πάνω από 60 χρόνια συνολικής επαγγελματικής εμπειρίας που διαθέτουν οι ίδιοι, ώστε να δώσουν στον αναγνώστη μια ολιστική εικόνα του θέματος.έτσι, δημιούργησαν ένα έργο που περιέχει χρήσιμες πρακτικές και μεθόδους για την αξιολόγηση του κόστους της πληροφορικής και των σχετικών κινδύνων και αποφάσεων, και των επιπτώσεων που αυτά έχουν στη διαμόρφωση του τελικού προϋπολογισμού. Το βιβλίο έχει καλή δομή και η παρουσίαση των θεμάτων γίνεται με ένα κατανοητό και δομημένο τρόπο. Οι συγγραφείς έχουν επεξεργαστεί προσεκτικά τα δεδομένα από τις συνεντεύξεις με τα στελέχη πληροφορικής και έχουν καταλήξει στις βασικές έννοιες που καλύπτουν το θέμα της μείωσης κόστους. Ιδιαίτερο ενδιαφέρον παρουσιάζουν τα κεφάλαια: The Cost Reduction Project και Technical Infrastructure. Λόγω της δομής του, το βιβλίο μπορεί να χρησιμοποιηθεί ως ένας χρήσιμος οδηγός για τα στελέχη του IT audit. Ειδικότερα όσον αφορά το θέμα των Service Level Agreements (SLAs), οι συγγραφείς αναλύουν τα χαρακτηριστικά που θα πρέπει να πληρούν τα αποτελεσματικά SLAs, καθώς και μεθοδολογίες για την αξιολόγησή τους. Παράλληλα, επειδή λαμβάνει υπόψη του διαφορετικά επιχειρησιακά μοντέλα, μπορεί να χρησιμοποιηθεί ως σημείο αναφοράς για IT governance audit, SLA review, IT budget review και της βελτιστοποίησης του τρόπου σύνταξης του IT budget. Το βιβλίο A Practical Guide to Reducing Costs, είναι διαθέσιμο από το ISACA Bookstore. 33

34 5. Η Σελίδα των Μελών Call for Speakers, Papers, Volunteers Όπως έχουμε ανακοινώσει εδώ και καιρό, το Ι.Ε.Σ.Π. καλεί όσα μέλη ενδιαφέρονται να παρουσιάσουν κάποια θεματική ενότητα σε εσπερίδα του Ινστιτούτου ή να στείλουν άρθρα για δημοσίευση στο N ή αν επιθυμούν να συμμετάσχουν σε κάποια Ομάδα Εργασίας (website, education, n) να επικοινωνήσουν μαζί μας στέλνοντας στο education@isaca.gr και στο n@isaca.gr. Απαραίτητη προϋπόθεση είναι να μην διαφημίζουν ή προωθούν προϊόντα και υπηρεσίες εταιρειών και φορέων (πλην του ISACA). Οι εν λόγω δραστηριότητες περιλαμβάνονται σε αυτές που χορηγούνται CPEs σύμφωνα με την εν ισχύ πολιτική του ISACA. Έρευνα Μελών Εντός των προσεχών ημερών, θα διεξαχθεί έρευνα μεταξύ των μελών του Ι.Ε.Σ.Π. για όλα τα θέματα που άπτονται των δραστηριοτήτων του. Θα ακολουθήσει σύντομα σχετική ανακοίνωση. Εκκρεμείς αιτήσεις για πιστοποίηση Υπάρχει ακόμα ένας μεγάλος αριθμός επιτυχόντων από τις εξετάσεις του 2008, οι οποίοι δεν έχουν υποβάλει ακόμη τις αιτήσεις τους προκειμένου να πιστοποιηθούν. Υπενθυμίζουμε στα μέλη του Ινστιτούτου μας να υποβάλουν τις αιτήσεις τους, εφόσον πληρούν τις απαιτούμενες προϋποθέσεις. Υπενθύμιση για την ετήσια υποβολή CPEs Βεβαιωθείτε ότι έχετε δηλώσει τις εκπαιδευτικές ώρες (CPE Hours) για το Υπενθυμίζουμε ότι τα CPEs μπορούν να δηλώνονται πλέον καθόλη τη διάρκεια του χρόνου στην ειδική πλατφόρμα που έχει αναπτυχθεί και είναι διαθέσιμη στο site του ISACA. Η διατήρηση πιστοποιήσεων απαιτεί 120 CPEs μέσα σε ένα πλαίσιο 3 ετών με ελάχιστο αριθμό τα 20 CPEs ανά χρόνο. Επίσης θα θέλαμε να επισημάνουμε ότι από την 01/01/2012, οι δραστηριότητες των μελών που εμπίπτουν στην κατηγορία Συνεισφορά στο Επάγγελμα αναγνωρίζονται ως 20 CPEs αντί για 10 που ίσχυε προηγουμένως. Οι δραστηριότητες αυτές περιλαμβάνουν εργασίες που εκτελούνται για τον ISACA (International, Chapter) και για άλλους φορείς που συμβάλλουν στην εξέλιξη των επαγγελμάτων που αφορούν το έλεγχο και διακυβέρνηση πληροφοριακών συστημάτων, καθώς και την ασφάλεια πληροφοριών. Για να δείτε τις πολιτικές που ισχύουν για την απόκτηση και αναγνώριση CPE καθώς και μια λίστα από τις δραστηριότητες που πληρούν τις προϋποθέσεις, παρακαλούμε να επισκεφτείτε τις σχετικές ιστοσελίδες για κάθε πιστοποίηση ξεχωριστά CISA, CISM, CGEIT και CRISC στον ιστότοπο του ISACA. Η καταληκτική ημερομηνία για την υποβολή της συμπληρωμένης αίτησης των επιτυχόντων στις εξετάσεις CISA ή CISM του 2008 είναι η 31η Δεκεμβρίου Σε περίπτωση μη υποβολής ως ανωτέρω, η βαθμολογία τους ακυρώνεται. 34

35 5. Η Σελίδα των Μελών Κρυπτόλεξο Από τον Σταμάτη Πασσά, Μέλος της Ομάδας Εργασίας N Στο παρόν τεύχος έχουμε ετοιμάσει το παρακάτω κρυπτόλεξο, αντλώντας πληροφορίες από το κομμάτι της ελεγκτικής κατά της Απάτης. Οι πέντε πρώτοι που θα το συμπληρώσουν σωστά θα λάβουν μία πρόσκληση για την επόμενη εκπαιδευτική εκδήλωση του Ι.Ε.Σ.Π. προκειμένου να τις διαθέσουν σε μη μέλη του Ινστιτούτου. Οι απαντήσεις πρέπει να σταλούν με στο n@isaca.gr E W M H W K C Q K R S V X X Y X G Q I A N B R I M I H T O M B S T O N E I S R Y N J B X N D B O L S M P V V G Q V Q T U I H T O T R E S I D U A L D M N S N X L T N E R E H N I E I P I E G E X B S A D C R F P S R H T Y B E R A W M O S N A R E P S R L X K U X Y D N J X O O T Q B O G F R T Y G S K S T C X T M W N O I T C E T E D Q L U P U E P S T W G P Y R R Y G I K Y R C J P K M B L Q X W N O I T A G I T S E V N I C O U N K F G V O P V G E K S G P Collections of internet-connected computers whose security defenses have been breached and control ceded to a malicious party. Risk types (2 words). Also referred to in some cases as cryptoviruses, cryptotrojans or cryptoworms. The act of attempting to acquire information such as usernames, passwords, and credit card details by masquerading as a trustworthy entity in an electronic communication. A person who tells the public or someone in authority about illegal activities occurring in a government department or private company or organization. Οι σωστές απαντήσεις θα ανακοινωθούν στο επόμενο τεύχος Απαντήσεις προηγούμενου τεύχους AUTHORIZED BACKUP COMPLY ENCRYPTION LOGGING PREVENTION REGULATIONS RISK TESTING WALKTHROUGH 35

36 6. Σε Τροχιά CobiT COBIT 5 for Information Security Η διασφάλιση της ασφάλειας των πληροφοριών αποτελεί ακρογωνιαίο λίθο των επιχειρησιακών λειτουργιών των οργανισμών μέσω των οποίων θα πρέπει να διασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών. Ο ISACA, κατανοώντας την ανάγκη της κοινωνίας ασφάλειας πληροφοριών για πρακτικές οδηγίες που θα διασφαλίζουν τα προαναφερόμενα, προέβη στην ανάπτυξη πλαισίου με τίτλο COBIT 5 for Information Security. Το εν λόγω πλαίσιο παρέχει λεπτομερείς οδηγίες στους επαγγελματίες ασφάλειας και γενικότερα στους υπεύθυνους πληροφορικής για την κατανόηση, τον σχεδιασμό, την υλοποίηση και την εφαρμογή μέτρων (πολιτικές, διαδικασίες, πρότυπα, κτλ) ασφάλειας. Η προστιθέμενη αξία που προσφέρει στους επαγγελματίες ασφάλειας είναι οι πρακτικές οδηγίες στις προσκλήσεις που διέπουν την ασφάλεια πληροφοριών. Ο σχεδιασμός των οδηγιών έχει βασιστεί στο COBIT 5. Επιπρόσθετα, σε κάθε διάσταση (π.χ. στόχοι, μετρήσεις, πρακτικές, διεργασίες) των οδηγιών γίνεται αναφορά στην ασφάλεια πληροφοριών (security-specific). Στο Παράρτημα F περιλαμβάνονται τεχνολογικές λύσεις για την υλοποίηση του αρωγού ασφάλειας Information Enabler. Επίσης, όπου είναι εφαρμόσιμο, περιλαμβάνονται επιπρόσθετες οδηγίες πέραν του COBIT 5 καθώς και βέλτιστες πρακτικές και κατευθύνσεις τρίτων πρότυπων ασφάλειας πληροφοριών. Συνοπτικά, το πλαίσιο αποτελείται από τις εξής ενότητες: Ενότητα 1: Περιλαμβάνει το εννοιολογικό πλαίσιο για την εναρμόνιση του COBIT 5 στις απαιτήσεις ασφάλειας πληροφοριών. Ενότητα 2: Παρατίθενται αναλυτικές οδηγίες και πρακτικά παραδείγματα για την εφαρμογή επτά αρωγών enablers του COBIT 5 που σχετίζονται με την ασφάλεια των πληροφοριών. Ενότητα 3: Περιλαμβάνει αναλυτικές πρακτικές για την προσαρμογή του πλαισίου στο περιβάλλον λειτουργίας του οργανισμού καθώς και την συσχέτισή του με τρίτα πρότυπα και πλαίσια ασφάλειας πληροφοριών (ISO 27002, ISF, NIST). Στο παρακάτω γράφημα αποτυπώνεται ο κύκλος ζωής για την υλοποίηση των οδηγιών του πλαισίου, ο οποίος αποτελείται από επτά φάσεις, κάθε φάση διέπεται από τη διαχείριση της υλοποίησης, τη δυνατότητα αλλαγής και τη συνεχή βελτίωση. 36

37 6. Σε Τροχιά CobiT Τα παραρτήματα (η σημαντικότερη ενότητα του πλαισίου κατά τη γνώμη του γράφοντα) του πλαισίου περιλαμβάνουν αναλυτικές οδηγίες υλοποίησης για το σύνολο των περιοχών που διέπουν την ασφάλεια πληροφοριών όπως διακυβέρνηση, οργανωτική δομή, πολιτικές, διαδικασίες, υποδομές, ανθρώπινοι πόροι, κτλ. Ανάλογα το είδος της οδηγίας, αναφορά γίνεται στους στόχους, τον κύκλο ζωής και τις βέλτιστες πρακτικές υλοποίησης. Άξιο αναφοράς αποτελούν οι αρωγοί για την οργανωτική δομή, την ηγεσία και την κουλτούρα ασφάλειας πληροφοριών. Πιο συγκεκριμένα, στο Παράρτημα C παρατίθενται οι ρόλοι και αρμοδιότητες των υπευθύνων ασφάλειας (CISO, ISSC, ISM, ERM committee και custodians/business owners) του οργανισμού με βάση το μοντέλο RACI. Επίσης στο Παράρτημα D περιγράφονται, μεταξύ άλλων, οκτώ ήθη behaviors σε επίπεδο οργανισμού καθώς και σε ατομικό επίπεδο. COBIT 5: the overarching business and management framework for governance and management of enterprise IT COBIT 5 Enabler Guides: Enabling Processes Enabling Information COBIT 5 Professional Guides Implementation COBIT 5 Toolkit COBIT 5 for Information Security Στο προσεχές μέλλον θα είναι διαθέσιμα και τα εξής: COBIT 5 for Risk COBIT 5 for Assurance COBIT Assessment Programme COBIT Translations COBIT 5 Online Περισσότερες πληροφορίες στην ιστοσελίδα του ISACA.. Η ηλεκτρονική έκδοση του πλαισίου διατίθεται στην τιμή των $35 για τα μέλη και των $175 για τα μη-μέλη του ISACA και είναι διαθέσιμο στο dιαδικτυακό βιβλιοπωλείο του. COBIT 5 Product Family Η οικογένεια των προϊόντων COBIT 5, μεγαλώνει και πρόκειται να μεγαλώσει ακόμη περαιτέρω προσφέροντάς μας περισσότερα εργαλεία για την κάλυψη των επαγγελματικών μας αναγκών. Μέχρι σήμερα έχουν εκδοθεί και είναι διαθέσιμα τα παρακάτω προϊόντα: 37

38 6. Σε Τροχιά CobiT 38