Η συμβολή οργανωσιακών εικόνων ασφαλείας πληροφοριακού συστήματος στην υλοποίηση ασφαλών πληροφοριακών συστημάτων

Abstract

Καθώς η τεχνολογία της πληροφορικής (ΤΠ) γίνεται ολοένα και πιο σημαντική για τη λειτουργία των σύγχρονων οργανισμών, η απρόσκοπτη αξιοποίησή της είναι απαίτηση που θέτουν οι περισσότεροι οργανισμοί. Σχετικές μελέτες (π.χ. CSI/FBI 2002, E&Y 2002, Gartner 2001) δείχνουν ότι τα προβλήματα ασφάλειας της τεχνολογικής υποδομής είναι δαπανηρά και ενέχουν κινδύνους, όπως αποκάλυψη πολύτιμης εμπιστευτικής επιχειρησιακής πληροφορίας, αδυναμία διεκπεραίωσης εργασιών κ.ά. Το αποτέλεσμα σε κάθε περίπτωση είναι ιδιαίτερα ζημιογόνο για τον οργανισμό. Διαφαίνεται, λοιπόν, η ανάγκη για την εξασφάλιση των τεχνολογικών συστημάτων από σκόπιμες ή τυχαίες απειλές. Για την αντιμετώπιση των προβλημάτων ασφάλειας έχουν κατά καιρούς διατυπωθεί διάφορες προτάσεις, τόσο σε επίπεδο έρευνας, όσο και πρακτικής (Πίνακας 7, σελ. 50). Από τη χαρακτηριστική αυτή κατηγοριοποίηση (Baskerville 1993, Backhouse & Dhillon 1996 κ.ά.) και άλλες που μελετούν τις ερευνητικές προτάσεις από πλευράς φιλοσοφίας και επιστημολογίας (Siponen 2002, Siponen & Baskerville 2001), φαίνεται ότι οι περισσότερες στοχεύουν στην εξασφάλιση των πληροφοριακών συστημάτων (ΠΣ) ανεξάρτητα από τη φάση του κύκλου ζωής στην οποία αυτά βρίσκονται (υπό ανάπτυξη, λειτουργία κλπ.). Οι προτάσεις αυτές συνήθως εφαρμόζονται όταν ένα τεχνολογικό σύστημα έχει ήδη αναπτυχθεί (λειτουργία), γιατί κατά την ανάπτυξή του υπάρχουν διάφοροι παράγοντες, που δεν βοηθούν στην εστίαση του ενδιαφέροντος στην ασφάλεια. Για παράδειγμα κατά τα στάδια της ανάπτυξης τεχνικά χαρακτηριστικά του συστήματος δεν είναι πλήρως γνωστά, ενώ είναι δυνατό να αλλάζουν συνεχώς οι απαιτήσεις του συστήματος. Επίσης οι περισσότερες προτάσεις προϋποθέτουν ως φορέα ενσωμάτωσης της ασφάλειας στο σύστημα το φορέα ανάπτυξης, που συνήθως δεν έχει ιδιαίτερη γνώση ασφάλειας.

The information systems (IS) literature has little so far to present in terms of frameworks, methodologies or techniques that consistently integrate security with IS development (ISD). Although researchers have been arguing for a long time that this is the most appropriate way of introducing security in the complex context of an IS (e.g. Baskerville 1993), it seems that there exist significant barriers for such a task; There are issues that lead practitioners first to implement a system and then to secure it. This can happen because a system is not fully known during its development in terms of its final attributes and also prior to its use, its adding value might not be completely clear to its stakeholders. Therefore valuation of its assets might not be feasible (see Figure 1). Most of the researchers who approach this problem propose ways of incorporating security within particular development steps, e.g. requirements collection, data modelling etc. (Siponen 2001). Such approaches however are usually proprietary for specific development methodologies, techniques or tools. However, this can be problematic, as practitioners tend to customise or mix a wide range of ISD methodologies, techniques and tools, of the plethora that are offered today (Fitzgerald 1998). Thus, the existing approaches for embedded IS security restrict the ability of the developers to use the development practices they prefer. This is a significant obstacle in the design of a methodological construct to achieve security integration with development. In addition, it is not easy for an implementer or a user to have expert knowledge of the particulars of available security practices/tools, in order to choose the most appropriates for a system under development. Therefore, there is a need to indicate appropriate security practices and tools per particular organisational context.