Συνεργατική πολυκριτηριακή διαχείριση ασφάλειας πληροφοριακών συστημάτων

Η διαχείριση ασφάλειας του Πληροφοριακού Συστήματος (ΠΣ) ενός οργανισμού αποτελεί απαραίτητο συστατικό για την εύρυθμη λειτουργία του φορέα και την αδιάλειπτη παροχή υπηρεσιών. Τα σημερινά πληροφοριακά συστήματα χαρακτηρίζονται από πολυπλοκότητα (πολύπλοκες αρχιτεκτονικές, κατανεμημένα σε πολλές διαφορετικές τοποθεσίες), αλληλεξαρτώνται από ΠΣ συνεργαζόμενων φορέων και καλούνται να εξυπηρετήσουν ταυτόχρονα πολλούς χρήστες (εσωτερικούς χρήστες, συνεργάτες, πελάτες) έχοντας να αντιμετωπίσουν τον υψηλό ανταγωνισμό και την οικονομική κρίση. Από την άλλη, οι μικρές και μικρομεσαίες επιχειρήσεις (ΜΜΕ) όπου ο αντίκτυπος της οικονομικής κρίσης είναι ορατός, μη έχοντας τους οικονομικούς πόρους αλλά ούτε και την απαραίτητη τεχνογνωσία, αδιαφορούν για την εναρμόνισή τους με τα πρότυπα ασφάλειας, με αποτέλεσμα να αποτελούν αδύναμο κρίκο τόσο για την εγχώρια όσο και για την παγκόσμια οικονομία.Οι υφιστάμενες μεθοδολογίες και τα υπάρχοντα εργαλεία ανάλυσης και διαχείρισης κινδύνου δεν είναι σε θέση να ανταποκριθούν στις ανάγκες της σημερινής πραγματικότητας. Συγκεκριμένα, δεν μπορούν να καλύψουν τις αυξανόμενες ανάγκες των σημερινών πολύπλοκων και κατανεμημένων ΠΣ των μεγάλων οργανισμών αλλά ούτε και να ανταπεξέλθουν και να προσαρμοστούν στις ιδιαίτερες ανάγκες (χαμηλός προϋπολογισμός, έλλειψη τεχνογνωσίας) των ΠΣ των ΜΜΕ. Το γεγονός αυτό προκύπτει από το ότι οι υπάρχουσες μεθοδολογίες:1.είναι γενικές και δεν προσαρμόζονται εύκολα στις ανάγκες των διαφορετικής φύσεως οργανισμών,2.δεν υποστηρίζουν την συνεργατικότητα, δηλαδή δεν εμπλέκουν όλους τους χρήστες των ΠΣ, με αποτέλεσμα να μην συλλέγουν την απαραίτητη γνώση και να οδηγούνται σε μη αντικειμενικά αποτελέσματα,3.βασίζονται σε χρονοβόρα ερωτηματολόγια και συνεντεύξεις με τους ειδικούς πάνω σε θέματα ασφάλειας, και4.τα εργαλεία τα οποία τις υλοποιούν είναι συνήθως δύσχρηστα και απαιτούν εξειδικευμένη γνώση και πόρους (ανθρωποώρες, υψηλό κόστος), που στις περισσότερες περιπτώσεις (π.χ. στην περίπτωση των ΜΜΕ) δεν υπάρχει.Επομένως, είναι επιτακτική ανάγκη η ύπαρξη αναβαθμισμένων μεθοδολογιών ανάλυσης και διαχείρισης επικινδυνότητας οι οποίες θα είναι σε θέση να αντιμετωπίσουν την σημερινή πραγματικότητα της διαχείρισης ασφάλειας ΠΣ, ενώ ταυτόχρονα θα συνοδεύονται από εύχρηστα εργαλεία τα οποία θα μπορούν να αποτελέσουν σημαντικό εφόδιο για τις διοικήσεις τόσο των κρίσιμων υποδομών όσο και των ΜΜΕ.Η παρούσα διατριβή, κατανοώντας τις αδυναμίες αυτές, αντιμετωπίζει το πρόβλημα της ανάλυσης και διαχείρισης επικινδυνότητας ως ένα πολυκριτηριακό πρόβλημα όπου συμμετέχουν πολλοί χρήστες (διαχειριστές, μέλη της διοίκησης, μέλη της ομάδας ασφάλειας και τελικοί χρήστες), οι οποίοι καλούνται να λύσουν τα εξής προβλήματα:1.εντοπισμός και αξιολόγηση των επιπτώσεων από την απώλεια ασφάλειας (απώλεια εμπιστευτικότητας, διαθεσιμότητας, ακεραιότητας) των αγαθών του ΠΣ του οργανισμού τους,2.εντοπισμός και αξιολόγηση των απειλών και αδυναμιών των αγαθών του ΠΣ του οργανισμού τους, και3.αξιολόγηση και επιλογή των κατάλληλων μέτρων προστασίας για την εξασφάλιση της ομαλής λειτουργίας του ΠΣ,λαμβάνοντας υπόψη τα δικά τους κριτήρια (τεχνολογικά, επιχειρησιακά, νομικά) βασιζόμενοι στην εμπειρία και την τεχνογνωσία τους.Συγκεκριμένα, συνδυάζοντας τις πολυκριτηριακές μεθοδολογίες ομαδικής λήψης αποφάσεων προτείνεται μια συνεργατική, πολυκριτηριακή μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας (STORM-RM) η οποία έχει ως στόχο την συλλογή της γνώσης (η οποία είναι διασκορπισμένη στους χρήστες των ΠΣ των οργανισμών), την ελάττωση των χρονοβόρων ερωτηματολογίων και συνεντεύξεων και την εξοικονόμηση πόρων.Ταυτόχρονα, κάνοντας χρήση των προηγμένων τεχνολογιών Web 2.0 και άλλων ανοιχτού κώδικα επιλογών, προτείνεται ένα ασφαλές συνεργατικό περιβάλλον (STORM) το οποίο παρέχει την μεθοδολογία ως ηλεκτρονική υπηρεσία και συνδυάζοντας μια ομάδα συνεργατικών υπηρεσιών στοχεύει στην ολιστική, οικονομική και αποτελεσματική διαχείριση ασφάλειας των ΠΣ.Τέλος, η παρούσα διατριβή, με στόχο να καλύψει τις ανάγκες διαφορετικής φύσεως ΠΣ, εξέτασε την εφαρμογή του συνεργατικού περιβάλλοντος και των υπηρεσιών του στα περιβάλλοντα των ΠΣ των εμπορικών λιμένων (τα οποία αποτελούν μεγάλης κλίμακας κρίσιμες υποδομές) καθώς και των ΜΜΕ.