Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική atsohou@ionio.gr

Σχετικά έγγραφα
Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

ΙΤ Governance & Business Continuity Διακυβέρνηση Πληροφορικής & Επιχειρησιακή συνέχεια

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

Έλλη Παγουρτζή ΚΕ.ΜΕ.Α.

Η παροχή εξειδικευμένων εξωτερικών υπηρεσιών διαχείρισης των απειλών ενάντια στα πληροφοριακά συστήματα του ΟΒΙ.

1.1. Πολιτική Ασφάλειας Πληροφοριών

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Έρευνα αγοράς για την «Παροχή Υπηρεσιών Παρακολούθησης Ασφάλειας Πληροφοριακών Συστημάτων» του Οργανισμού Βιομηχανικής Ιδιοκτησίας.

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

ΣΤΡΑΤΗΓΙΚΟ ΜΑΝΑΤΖΜΕΝΤ Ι

ISMS κατά ISO Δεκέμβριος 2016

Προγραμματισμός και Επιλογή Συστημάτων

Πληροφοριακά Συστήματα Διοίκησης. Διοικητική Επιστήμη και Λήψη Αποφάσεων

ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ 2. ΕΙΣΑΓΩΓΗ ΣΚΟΠΟΣ ΤΟΥ ΠΑΡΟΝΤΟΣ 3. ΑΝΑΛΥΣΗ ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ 3.1 ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΚΑΙ ΠΑΡΕΧΟΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ

ΕΠΑΓΓΕΛΜΑΤΙΚΟ ΣΕΜΙΝΑΡΙΟ

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

ΕΘΝΙΚΗ ΣΤΡΑΤΗΓΙΚΗ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ - ΑΝΑΘΕΩΡΗΣΗ 2 -

Ready Business Secure Business

Infrastructure s Security Plan & Planning

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΥΓΕΙΑΣ ΕΙΔΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣ ΚΟΝΔΥΛΙΩΝ ΕΡΕΥΝΑΣ Λ. Αλεξάνδρας 196, Αθήνα ΠΕΡΙΛΗΨΗ ΠΡΟΣΚΛΗΣΗΣ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Στρατηγικό Σχεδιασµό Πληροφοριακών Συστηµάτων

Αναδιοργάνωση στους Οργανισμούς

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Law Forum on Data Protection and Privacy Athens,

Οι βασικές αλλαγές που επιδρούν στο επιχειρηματικό περιβάλλον

Συνεργασία PRIORITY & INTERAMERICAN:

Κεφάλαιο 1 Η φύση της επιχειρησιακής στρατηγικής

ΕΝΔΕΙΚΤΙΚΟΣ ΟΔΗΓΟΣ ΥΠΟΜΝΗΜΑΤΟΣ

ΔΙΟΡΓΑΝΩΣΗ ΑΘΛΗΤΙΚΩΝ ΓΕΓΟΝΟΤΩΝ ΚΑΛΕΣ ΠΡΑΚΤΙΚΕΣ. Γιώργος Τζέτζης Αναπ. Καθηγητής ΤΕΦΑΑ/ΑΠΘ

Ηγεσία Νοσοκομείου: Η αξία των δεδομένων στη λήψη αποφάσεων

ΕΝΗΜΕΡΩΣΗ. Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο

1. Εκπαίδευση για την Εξυπηρέτηση Πελάτη (Customer Service Training) (Μικρός Οργανισμός)

Προκαταρκτική Φάση Ανάλυσης

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

ΕΛΟΤ ΕΝ ISO 14001:2015

Ασφάλεια Εγκαταστάσεων - Διαχείριση της ασφάλειας & αντίδραση σε κρίσιμο περιστατικό

Εξειδικευμένο λογισμικό για GRC

Μελέτες Περιπτώσεων. Επιχειρησιακή Στρατηγική. Αριστοµένης Μακρής

ΣΤΡΑΤΗΓΙΚΗ ΓΙΑ ΒΙΩΣΙΜΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ SESSION 5

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Πρότυπα διαχείρισης Επιχειρηµατικών Κινδύνων Διάλεξη 5

ΠΙΝΑΚΑΣ ΚΡΙΤΗΡΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ. Τίτλος Κριτηρίου. Α.1 Οργανωτική Δομή - Οικονομικά στοιχεία 10%

Διαχείριση Κρίσεων Σχέδια Εκτάκτων Αναγκών. Νικόλαος Γ. Διαμαντής Αντιστράτηγος ΠΣ ε. α. - Νομικός Σύμβουλος πυρασφάλειας & Πολιτικής Προστασίας

ίκτυα και Internet στο Επιχειρηματικό Περιβάλλον

25/5/2018 αυξημένα πρόστιμα υπεύθυνος προστασίας δεδομένων (DPO) Ποιούς αφορά φορείς του δημοσίου τομέα υπηρεσίες Υγείας ΝΠΔΔ ιδιωτικές εταιρίες

ΔΙΚΤΥΑ FRANCHISE & ΑΚΑΔΗΜΙΕΣ ΕΚΠΑΙΔΕΥΣΗΣ

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Νόμος Πλαίσιο για την Ηλεκτρονική Διακυβέρνηση

Προστασία Υποδομών Ζωτικής Σημασίας Η Ευρωπαϊκή Οδηγία - Ο ρόλος του ΚΕ.ΜΕ.Α. - Επόμενες δράσεις

2 Εισαγωγή. 3 Αξίες, Οραμα, Στρατηγική. 4 Οι λύσεις μας, Επανδρωμένες Υπηρεσίες. 5 Οι λύσεις μας, Ηλεκτρονική Προστασία

Πλαίσιο Εργασιών. Στρατηγικές Ευκαιρίες

Σειρά: 11 Επιβλέπων Καθηγητής: Δημήτριος Καρδαράς

1. Εκπαίδευση για την Εξυπηρέτηση Πελάτη (Customer Service Training) (Οργανισμός)

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Επιτροπή Συντονισμού της Ηλεκτρονικής Διακυβέρνησης

ΠΟΛΙΤΙΚΗ ΚΑΙ ΔΙΑΔΙΚΑΣΙΑ ΔΙΑΡΡΟΗΣ ΔΕΔΟΜΕΝΩΝ

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

ATHOS ASSET MANAGEMENT ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΜΟΙΒΑΙΩΝ ΚΕΦΑΛΑΙΩΝ

ΠΑΡΑΡΤΗΜΑ. της πρότασης ΚΑΝΟΝΙΣΜΟΥ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Πολιτική Αποδοχών Μελών Διοικητικού Συμβουλίου

Ποιοι είμαστε//υπηρεσίες

ΔΗΜΙΟΥΡΓΩΝΤΑΣ ΤΗΝ ΔΙΚΗ ΜΟΥ ΕΠΙΧΕΙΡΗΣΗ. Creating my own company

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Συνεχιζόμενη Βελτίωση του Συστήματος Διοίκησης Επιχειρησιακής Συνέχειας

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ

Βελτιώστε την απόδοση, εξασφαλίστε το κέρδος.

ΣΤΡΑΤΗΓΙΚΟ ΜΑΝΑΤΖΜΕΝΤ Ι

Εθνικό Σύστηµα ιαπίστευσης Α.Ε.

Κεφάλαιο 1 ο. Διοίκηση και διαχείριση της ψηφιακής επιχείρησης

CyberEdge από την AIG

ΔΙΟΡΓΑΝΩΣΗ ΑΘΛΗΤΙΚΩΝ ΓΕΓΟΝΟΤΩΝ ΚΑΛΕΣ ΠΡΑΚΤΙΚΕΣ. Γιώργος Τζέτζης Αναπ. Καθηγητής ΤΕΦΑΑ/ΑΠΘ

Η συμβολή στην επιτυχία ενός οργανισμού, παρουσιάζοντας σχετικά δεδομένα με τη χρήση τεχνικών 2Δ ή 3Δ τεχνολογίας. Αρμοδιότητα

ΠΙΣΤΟΠΟΙΗΣΕΙΣ ΣΤΗΝ ΕΦΟΔΙΑΣΤΙΚΗ ΑΛΥΣΙΔΑ. Λευτέρης Βασιλειάδης Business Sector Manager Planning

Τ.Ε.Ι. ΑΝΑΤΟΛΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ ΚΑΙ ΘΡΑΚΗΣ ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ & ΕΠΙΧΕΙΡΗΣΕΩΝ

Selecting Essential IT Security Projects. Dimitris Gritzalis

Νόμος Πλαίσιο για την Ηλεκτρονική Διακυβέρνηση

Το Ευρωπαϊκό πλαίσιο για το Υπολογιστικό νέφος

Διαφάνεια Μέρος 3 Υλοποίηση. Κεφάλαιο 10 Διαχείριση αλλαγών

ΕΠΙΧΕΙΡΗΣΙΑΚΗ ΠΟΛΙΤΙΚΗ & ΣΤΡΑΤΗΓΙΚΗ

Το νέο τοπίο στην αγορά ηλεκτρικής ενέργειας και ο ρόλος του Διαχειριστή Δικτύου Διανομής (ΔΕΔΔΗΕ)

Οδηγός Σύνταξης Υπομνήματος

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

9720/19 ΘΚ/μγ 1 JAI.1

ΑΠΟΦΑΣΗ. Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ),

ΠΕΡΙΛΗΨΗ ΑΠΟΦΑΣΗΣ ΥΛΟΠΟΙΗΣΗΣ ΥΠΟΕΡΓΟΥ ΜΕ ΙΔΙΑ ΜΕΣΑ

ΠΑΡΑΡΤΗΜΑ Γ (Συμβόλαιο Διασφάλισης Ποιότητας SLA)

ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΣΧΕΔΙΟ

Διαχείριση Κινδύνων για Μικρές και Μεσαίες Επιχειρήσεις

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

Balanced Scorecard Μέρος Ι

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Οργάνωση Παραγωγής & Διοίκηση Επιχειρήσεων ΙΙ Διδάσκων: Δρ. Νικόλαος Παναγιώτου Balanced Scorecard Μέρος Ι

Το Επιχειρηματικό Σχέδιο - Ι

Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων, ΕΕΤΤ. Μαρούσι, Φεβρουάριος 2014

ΕΙΝΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΑΣΦΑΛΗΣ; CHECKLIST

2. Σκοπός του Προγράμματος

ΣΧΕΔΙΟ ΔΡΑΣΗΣ ΤΗΣ «ΕΝΩΣΗΣ ΙΔΙΟΚΤΗΤΩΝ ΕΠΑΡΧΙΑΚΟΥ ΤΥΠΟΥ Ε.Ι.Ε.Τ» ΚΑΤΑΡΤΙΣΗ & ΠΙΣΤΟΠΟΙΗΣΗ ΓΝΩΣΕΩΝ ΚΑΙ ΔΕΞΙΟΤΗΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ ΣΤΟΝ ΙΔΙΩΤΙΚΟ ΤΟΜΕΑ

Transcript:

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας Τσώχου Αγγελική atsohou@ionio.gr

Περιεχόμενα 2 Βασικές έννοιες Επιχειρησιακή Συνέχεια και Ανάλυση Επικινδυνότητας Πλαίσιο Διοίκησης Επιχειρησιακής Συνέχειας Στρατηγικές Ανάκαμψης Προκλήσεις και κρίσιμοι παράγοντες επιτυχίας

3 Οι έρευνες δείχνουν ότι δύο από τις πέντε επιχειρήσεις που θα βιώσουν μία καταστροφή, θα παύσουν τη λειτουργία τους εντός μίας πενταετίας Ernst and Young, 2012 Global Information Security Survey

4 Βασικοί Ορισμοί (1/5) Περιστατικό (Incident) κατάσταση που αποτελεί ή μπορεί να οδηγήσει σε διακοπή λειτουργίας, απώλεια, επείγον ή κρίση Επιχειρησιακή συνέχεια (Business Continuity) Η στρατηγική και λειτουργική ικανότητα του οργανισμού για το σχεδιασμό και την ανταπόκριση σε περιστατικά και παρακώλυση της επιχειρησιακής λειτουργίας με σκοπό τη συνέχιση της λειτουργίας σε ένα προκαθορισμένο αποδεκτό επίπεδο

5 Βασικοί Ορισμοί (2/5) Διοίκηση Επιχειρησιακής Συνέχειας (Business continuity management) Διαδικασία επικεντρωμένη στην επιχείρηση που καθιερώνει στρατηγικό και λειτουργικό πλαίσιο για: τη βελτίωση της προσαρμοστικότητας του οργανισμού σε δυσλειτουργίες, Την παροχή των κύριων προϊόντων και υπηρεσιών σε προκαθορισμένο επίπεδο και χρόνο έπειτα από δυσλειτουργία, και Τη διαχείριση της δυσλειτουργίας προστατεύοντας τη φήμη και εικόνα του οργανισμού

6 Βασικοί Ορισμοί (3/5) Πλάνο Επιχειρησιακής Συνέχειας (Business Continuity Plan) Καταγεγραμμένη συλλογή διαδικασιών και πληροφοριών που αναπτύσσονται και συντηρούνται με σκοπό την ετοιμότητα του οργανισμού σε ένα περιστατικό να συνεχίσει να πραγματοποιεί τις κρίσιμες ενέργειές του σε ένα προκαθορισμό αποδεκτό επίπεδο

7 Βασικοί Ορισμοί (4/5) Καταστροφή (Disaster) είναι κάθε γεγονός που μπορεί να προκαλέσει τη διακοπή ή τη σοβαρή δυσλειτουργία των διαδικασιών ενός οργανισμού. Κατάσταση καταστροφής (Disaster Condition): είναι μια κατάσταση κατά τη διάρκεια της οποίας δεν έχει επέλθει κανενός είδους καταστροφή αλλά επίκειται να επέλθει βάσει των ενδείξεων που υπάρχουν ή μικρο-γεγονότων που έχουν οδηγήσει σε απλές δυσλειτουργίες.

8 Βασικοί Ορισμοί (5/5) Ο ορισμός της καταστροφής μπορεί να διαφοροποιείται με βάση τον οργανισμό ανάλογα με τον χώρο δραστηριοποίησής του, τη γεωγραφική του διασπορά, την τεχνολογική του δομή, τις εναλλακτικές λύσεις που μπορεί να έχει, τον Μέγιστο Αποδεκτό Χρόνο Αποκατάστασης (Recovery Time Objective) που μπορεί να έχει κ.ά

9 Κύκλος ζωή περιστατικού BS 25999-1:2006

Σχεδιασμός Επιχειρησιακής Συνέχειας και Διαχείριση Επικινδυνότητας (1/2) Η Διαχείριση Επικινδυνότητας προσδιορίζει το σύνολο των κινδύνων Δεν είναι δυνατή η αντιμετώπιση όλων των πιθανών κινδύνων με την αξιοποίηση υπαρχόντων τεχνικών μέτρων Για αυτό το λόγο απαιτείται ο προσδιορισμός των απειλών που δεν αντιμετωπίζονται και Η σύνδεση τους με το σχεδιασμό της επιχειρησιακής συνέχειας 10

Σχεδιασμός Επιχειρησιακής Συνέχειας και Διαχείριση Επικινδυνότητας (2/2) Η επιχειρησιακή συνέχεια εστιάζει στην επίπτωση μίας δυσλειτουργίας και την αναγνώριση εκείνων των προϊόντων και υπηρεσιών που είναι κρίσιμα για τη βιωσιμότητα και τις υποχρεώσεις του οργανισμού 11

Σχεδιασμός Επιχειρησιακής Συνέχειας & Διαχείριση Κινδύνων 12 Επιχειρησιακή Συνέχεια Διαχείριση Επικινδυνότητας Μέτρα Ασφάλειας Έκτακτο Γεγονός Εκτέλεση Πλάνου

13 Γιατί Χρειάζεται; Κόστος μη λειτουργίας, που μπορεί να Είναι δύσκολο ή αδύνατο να υπολογιστεί Απώλεια πελατών Απώλεια μεριδίου αγοράς Αντίκτυπο σε επιχειρησιακούς εταίρους Αναγνώριση εσόδων από τρίτους Απώλειες από εκπτώσεις Απώλεια πιστοληπτικής ικανότητας ή είναι δυνατό να υπολογιστεί Απώλεια μετρητών Τιμή μετοχής Εγγυήσεις πληρωμών Κόστη υπερωριών ανάκαμψης Ρήτρες Φορολογικές επιπτώσεις (Ν. 3296/04)

14 Γιατί Χρειάζεται; Οι ωφέλειες που μπορεί να έχει ένας οργανισμός από την εφαρμογή ενός σχεδίου BCP είναι πολλές και συνήθως δεν αποτιμώνται σε χρηματικές μονάδες: Εξασφάλιση επιβίωσης της επιχείρησης Λιγότερες ή καθόλου χαμένες πληροφορίες Μικρότερο κόστος ανάκαμψης Μικρός χρόνος down-time Δυνατότητα αποφυγής διαφυγόντων κερδών Διατήρηση σημαντικών πελατών Δυνατότητα αποφυγής επιβολής ποινικών ρητρών Ισχυρό μήνυμα στον ανταγωνισμό Φήμη εταιρείας Προπομπός πιστοποίησης κατά BS 2599-Part 2: 2007

15 Κατηγορίες Σχεδίων Σχέδιο Επιχειρησιακής Συνέχειας (Business Continuity Plan - BCP) Διαδικασίες για τη διασφάλιση του σκοπού της επιχείρησης /επιχειρησιακών λειτουργιών κατά τη διάρκεια σοβαρής διακοπής λειτουργίας και ανάκαμψης από αυτή Αναφέρεται σε επιχειρησιακές λειτουργίες ενός τμήματος ή συνολικού οργανισμού Οι επιχειρησιακές λειτουργίες προϋποθέτουν τη λειτουργία πληροφοριακών συστημάτων Άμεση σύνδεση με το Σχέδιο Συνέχειας Λειτουργιών

16 Κατηγορίες Σχεδίων Σχέδιο Αντιμετώπισης Περιστατικών Κυβερνοχώρου (Cyber Incident Response Plan- CIRP) Στρατηγικές ανίχνευσης και αντιμετώπισης κακόβουλων επιθέσεων κυβερνοχώρου και περιορισμού των επιπτώσεών τους Επιθέσεις Άρνησης Παροχής Υπηρεσιών (denial of services) Μη εξουσιοδοτημένη πρόσβαση σε δεδομένα Κακόβουλο λογισμικό

17 Κατηγορίες Σχεδίων Σχέδιο Ανάκαμψης από Καταστροφή (Disaster Recovery Plan DRP) Αναφέρεται σε περιπτώσεις καταστροφής (φυσικές καταστροφές, έκτακτα γεγονότα, μεγάλη έκταση, μη ομαλή πρόσβαση σε κτιριακές υποδομές) Εστίαση στα πληροφοριακά συστήματα Λεπτομερείς διαδικασίες ανάκαμψης στοχευμένων συστημάτων, εφαρμογών ή υποδομών πληροφορικής σε εγκατάσταση εφεδρείας Υποστηρίζεται από ένα ή περισσότερα Σχέδια Αντιμετώπισης Καταστροφής Πληροφοριακών Συστημάτων

Πλαίσιο Διοίκησης Επιχειρησιακής 18 Συνέχειας

Πλαίσιο Διοίκησης Επιχειρησιακής 19 Συνέχειας Διοίκηση προγράμματος επιχειρησιακής συνέχειας (BCM) Ανάθεση ρόλων και αρμοδιοτήτων Τεκμηρίωση Κατανόηση του οργανισμού Συλλογή πληροφοριών για την προτεραιοποίηση των προϊόντων και υπηρεσιών Σχεδιασμός απαιτήσεων επιχειρησιακής συνέχειας Ανάλυση επιχειρησιακών επιπτώσεων (BIA) Καθορισμός στρατηγικής επιχειρησιακής συνέχειας Σχεδιασμός στρατηγικών για τις κρίσιμες δραστηριότητες σχετικά με ανθρώπους, τεχνολογία, κτιριακές υποδομές, πληροφορίες, προμηθευτές και λοιπούς εμπλεκομένους Κριτήρια: κόστος, μέγιστος ανεκτός χρόνος χωρίς τη δραστηριότητα, συνέπειες αδράνειας

Πλαίσιο Διοίκησης Επιχειρησιακής 20 Συνέχειας Υλοποίηση της ανταπόκρισης BCM Ανάπτυξη πλαισίου διοίκησης και οργανωτικές δομές ανταπόκρισης Ανάπτυξη Σχεδίων Επιχειρησιακής Συνέχειας και Ανάκαμψης Εκτέλεση, διατήρηση και αναθεώρηση BCM Πρόγραμμα ασκήσεων (π.χ. ασκήσεις επί χάρτου) Ενσωμάτωση στην οργανωσιακή κουλτούρα Μέσω των ασκήσεων, μέσω εκπαίδευσης κτλ.

Πλαίσιο Διοίκησης Επιχειρησιακής 21 Συνέχειας Διαμόρφωση δήλωσης πολιτικής Διεξαγωγή ανάλυσης επιχειρησιακών επιπτώσεων (Business Impact Analysis BIA) Αναγνώριση προληπτικών μέτρων Ανάπτυξη στρατηγικών ανάκαμψης Ανάπτυξη σχεδίου έκτακτης ανάγκης ΠΣ Δοκιμή σχεδίου, εκπαίδευση και ασκήσεις Συντήρηση σχεδίου

Η Διαμόρφωση Δήλωσης 22 Πολιτικής.Διασφαλίζει την αποτελεσματικότητα του πλάνου επιχειρησιακής συνέχειας Προσδιορίζει τους στόχους στο γενικότερο πλαίσιο λειτουργίας της επιχείρησης

23 Διαμόρφωση Δήλωσης Πολιτικής Ρόλοι και αρμοδιότητες Έκταση εφαρμογής Απαιτήσεις πόρων Απαιτήσεις εκπαίδευσης Πρόγραμμα άσκησης και δοκιμής Πρόγραμμα συντήρησης σχεδίου Συχνότητα αντιγράφων ασφαλείας και αποθήκευση μέσων Σχέδια ασφάλειας συστημάτων Σχέδια ασφάλειας εγκαταστάσεων Σχέδια ασφάλειας οργανισμού

Ανάλυση Επιχειρηματικών 24 Επιπτώσεων Προσδιορίζει τις απαιτήσεις και τις προτεραιότητες που πρέπει να δοθούν Συσχετισμός υπηρεσιών με στοιχεία του συστήματος Τα αποτελέσματα της ανάλυσης θα πρέπει να ληφθούν υπόψη και για τις άλλες κατηγορίες σχεδίων

25 Ανάλυση Επιχειρηματικών Επιπτώσεων Αποτίμηση επιπτώσεων σε περίπτωση δυσλειτουργίας μίας δραστηριότητας Αναγνώριση του μέγιστου ανεκτού χρονικού διαστήματος δυσλειτουργίας κάθε δραστηριότητας Αναγνώριση ενδο-συσχετίσεων των δραστηριοτήτων Αναγνώριση κρίσιμων δραστηριοτήτων Αναγνώριση απαιτήσεων ανάκαμψης για κάθε δραστηριότητα

Ανάλυση Επιχειρηματικών 26 Επιπτώσεων: Παράδειγμα

Παράδειγμα κατηγοριοποίησης 27 διαδικασιών

28 Παράδειγμα αναγνώρισης ενδοσυσχετίσεων

Κριτήρια για την κρισιμότητα των διαδικασιών Αποτυχία εκπλήρωσης νομικών υποχρεώσεων Αποτυχία εξυπηρέτησης κύριων αποδεκτών των προϊόντων ή υπηρεσιών Απώλεια χρημάτων Βαθμός εξάρτησης άλλων διαδικασιών Απώλεια καλής φήμης 29

Κριτήρια επιλογής τύπου 30 εγκατάστασης Site Κόστος HW Τηλ/νίες Χρόνος Θέση Cold Χαμηλό - - Μεγάλος Σταθερή Warm Μεσαίο Μερικώς Μερικώς/ Πλήρως Hot Μεσαίο/ Υψηλό Μέσος Σταθερή Πλήρως Πλήρως Μικρός Σταθερή Mobile Υψηλό Εξαρτάται Εξαρτάται Εξαρτάται Κινητή Mirrored Υψηλό Πλήρως Πλήρως 0 Σταθερή

Σχέση Κόστους Προστασίας και 31 Καταστροφής

32 Παράδειγμα Επιλογής Θεωρείστε ότι είσαστε ο υπεύθυνος ασφαλείας πληροφοριών σε υποδομές διεθνούς αερολιμένα και πρέπει να επιλέξετε τον τύπο εγκατάστασης για τη διασφάλιση της επιχειρησιακής συνέχειας. Ποιά θα ήταν η επιλογή σας;

Ανάπτυξη Στρατηγικών 33 Ανάκαμψης Αντικατάσταση εξοπλισμού Συμφωνία με προμηθευτή Κατάλογος εξοπλισμού Υπάρχον συμβατός εξοπλισμός Στις αποφάσεις επιλογής θα πρέπει να λαμβάνεται υπόψη τα αποτελέσματα των επιπτώσεων επιχειρησιακής ανάλυσης και αποτίμησης επικινδυνότητας Ρόλοι και αρμοδιότητες Διαφορετικές ομάδες ανάκαμψης Βιωσιμότητα ομάδων μέσω σειράς διαδοχής προσώπων

Ανάπτυξη Στρατηγικών 34 Ανάκαμψης Κόστος Προμηθευτών Εξοπλισμού Λογισμικού Μεταφοράς/μετακίνησης Εργασίας Δοκιμής Υλικών

35 Δοκιμή σχεδίου και εκπαίδευση Δοκιμή σχεδίου Ανάκαμψη συστήματος σε άλλη πλατφόρμα, από αντίγραφο ασφαλείας Συντονισμός ομάδων ανάκαμψης Εσωτερική και εξωτερική διασυνδεσιμότητα Απόδοση συστήματος με εφεδρικό εξοπλισμό Αποκατάσταση φυσιολογικής λειτουργίας Διαδικασίες ειδοποίησης

36 Δοκιμή σχεδίου και εκπαίδευση Ασκήσεις Επί χάρτου Λειτουργικές Εκπαίδευση Σκοπός του σχεδίου Συντονισμός και επικοινωνία μεταξύ ομάδων Διαδικασίες αναφοράς Απαιτήσεις ασφάλειας Διαδικασίες ανά ομάδα Ατομικές αρμοδιότητες

37 Γιατί Απαιτείται η Δοκιμή του; Προσδιορίζει τη «βιωσιμότητα» του σχεδίου Εντοπισμός πιθανών προβλήμάτων Δυνατότητα εκτέλεσης του σχεδίου από το προσωπικό

38 Συντήρηση Σχεδίου Επιχειρησιακές απαιτήσεις Απαιτήσεις ασφάλειας Τεχνικές διαδικασίες Εξοπλισμός (HW & SW) Ονόματα και τρόπος επικοινωνίας με μέλη ομάδων Ονόματα και τρόπος επικοινωνίας με προμηθευτές Απαιτήσεις εφεδρικών εγκαταστάσεων Κρίσιμα αρχεία

39 Κρίσιμοι Παράγοντες Επιτυχίας Πόροι (ανθρώπινοι, τεχνικοί, οικονομικοί, υποδομής) Ένταξη στην επιχειρησιακή στρατηγική Δέσμευση της Διοίκησης Γνωστοποίηση του σχεδίου και προτεραιοποίηση Ανάγκη επικαιροποίησης

Η Επιχειρησιακή Συνέχεια Σήμερα 40 17% των συμμετεχόντων στην έρευνα αναφέρει ότι δεν υπάρχει ένα πλαίσιο επιχειρησιακής συνέχειας στον οργανισμός τους, Από όσους οργανισμούς έχουν πλαίσιο επιχειρησιακής συνέχειας, μόνο 20% πιστεύει ότι το πρόγραμμα αντικατοπτρίζει πραγματικά τη στρατηγική της Διοίκησης και κοινώς αποδεκτά πρότυπα και οδηγίες. Ernst and Young, 2012 Global Information Security Survey

Η Επιχειρησιακή Συνέχεια Σήμερα 41 Το πλέον κοινό πρόβλημα είναι η έλλειψη ευθυγράμμισης μεταξύ σχεδιασμού επιχειρησιακής συνέχειας και η ανάκαμψης πληροφοριακών υποδομών Άλλες προκλήσεις: Έλλειψη υποστήριξης από τη Διοίκηση Ασαφείς ρόλοι και αρμοδιότητες Αντικρουόμενες επιχειρησιακές προτεραιότητες Μη αποτελεσματικός συντονισμός μεταξύ των Τμημάτων Πληροφορικής και των άλλων επιχειρησιακών μονάδων

Η Επιχειρησιακή Συνέχεια Σήμερα 42 Ενδείξεις απουσίας συντονισμού μεταξύ σχεδιασμού επιχειρησιακής συνέχειας και η ανάκαμψης πληροφοριακών υποδομών : Τα στελέχη επιχειρησιακών μονάδων υποθέτουν ότι τα στελέχη πληροφορικής λαμβάνουν αντίγραφα ασφάλειας και μπορούν άμεσα να επαναφέρουν όλους τους πληροφοριακούς πόρους με επιτυχία στην περίπτωση ενός περιστατικού Τα στελέχη πληροφορικής υλοποιούν ένα πρόγραμμα ανάκαμψης που δε συμβαδίζει με τις ανάγκες της επιχείρησης Η ανώτερη διοίκηση απορρίπτει τα αιτήματα χρηματοδότησης σχεδίου ανάκαμψης πληροφοριακών πόρων από καταστροφή Τα στελέχη πληροφορικής δεν ενημερώνουν για την αλληλοεξάρτηση μεταξύ συστημάτων και εφαρμογών

Σύνοψη 43 Δυσκολία ανάπτυξης σχεδίων επιχειρησιακής συνέχειας για το σύνολο του οργανισμού Δυσκολία πραγματικής εφαρμογής των σχεδίων (μάλιστα της σωστής εκδοχής) στην περίπτωση περιστατικών Απουσία πρακτικής επικαιροποίησης και δοκιμής των σχεδίων επιχειρησιακής συνέχειας Απουσία πρακτικής ανάδρασης έπειτα από ένα περιστατικό

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια