Saturday, October 8, 2011

IT SYSTEMS AUDITING (ΕΛΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ)


IT SYSTEMS AUDITING (ΕΛΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ)





Του Ιωάννη Κυριαζόγλου*, CICA, M.S, B.A(Honours), Συμβούλου Πληροφορικής και Συγγραφέα (jkyriazoglou@hotmail.com)

                       



Τα πιο κρίσιμα περιουσιακά στοιχεία κατά τον 21ο αιώνα, για τις ιδιωτικές επιχειρήσεις και δημόσιους οργανισμούς και φορείς, και γενικά για την παγκόσμια κοινωνία και οικονομία (τοπική, εθνική, διεθνή, κ.λπ.), δεν είναι τα κτίρια, οι εγκαταστάσεις, οι μηχανές, τα εργοστάσια, τα χρήματα, οι πιστώσεις, οι μετοχές, οι επιχορηγήσεις, τα δάνεια, το λογισμικό υπολογιστών (computer software), οι υπολογιστές (computers), κ.λπ., δηλ. η φυσική περιουσία, η οικονομική περιουσία, ή η πληροφοριακή περιουσία.



Τα πιο κρίσιμα περιουσιακά στοιχεία είναι η γνώση, οι έννοιες και οι ιδέες που είναι αποθηκευμένες στους εγκεφάλους των ανθρώπων, και σε πολλές περιπτώσεις, τουλάχιστον σε σύγχρονες επιχειρήσεις και οργανισμούς, είναι καταχωρημένες σε βάσεις δεδομένων που συντηρούνται από αυτοματοποιημένα πληροφοριακά συστήματα, είτε σε προσωπικούς υπολογιστές είτε και σε κεντρικά υπολογιστικά συστήματα.



Η υπολογιστική τεχνολογία και οι συγγενείς υποδομές, τα αυτοματοποιημένα πληροφοριακά συστήματα, η εθνική, διεθνής ή και επιχειρησιακή υποδομή δικτύωσης (το λεγόμενο ‘network backbone’) και οι συμπληρωματικές τεχνολογίες αποθήκευσης μαζικών πληροφοριών παρέχουν σε όλους, και στα πλαίσια λειτουργίας εταιρειών και οργανισμών, όλες τις απαραίτητες πληροφορίες και λεπτομερειακά στοιχεία για την λειτουργία της συγκεκριμένης οργάνωσης (επιχείρησης, οργανισμού, κ.λπ.), άμεσα, έγκυρα και με σχετική ασφάλεια (συνήθως).



Όλα αυτά τα τεχνολογικά στοιχεία, που γενικά απαρτίζουν την τεχνολογία πληροφορικής (IT: Information Technology), και τα συναφή πληροφοριακά συστήματα (IS: Information Systems) που λειτουργούν με βάση και εντός αυτού του τεχνολογικού πλαισίου, παρέχουν τα εξής οφέλη στις σύγχρονες επιχειρήσεις και οργανισμούς (ενδεικτικά):

§ Πιο γρήγορη και πιο αποτελεσματική πληροφόρηση για την λήψη

αποφάσεων σε όλα τα επίπεδα της οργάνωσης,

§ Αυξημένη ανταγωνιστικότητα σε όλες τις υπηρεσίες που προσφέρονται από την συγκεκριμένη οργανωτική μονάδα,

§ Βελτιωμένες παραγωγικές επεξεργασίες και διαχειριστικές διαδικασίες, και

§ Καλύτερη ποιότητα σε προϊόντα και υπηρεσίες στους πελάτες (για ιδιωτικές επιχειρήσεις), πολίτες (για δημόσιους οργανισμούς), και για την κοινωνία και οικονομία (γενικότερα).



Με δεδομένο τον γρήγορο ρυθμό ανάπτυξης της πληροφοριακής και υπολογιστικής

τεχνολογίας, ένα ρυθμό χωρίς προηγούμενο στην ιστορία της ανθρωπότητας, είναι τώρα ακόμη πιο εύκολο για τις επιχειρήσεις και οργανισμούς να μεταβιβάσουν (σχεδόν) όλες τις επιχειρηματικές τους συναλλαγές και λειτουργίες να εκτελούνται από ολοκληρωμένα πληροφοριακά συστήματα.



Αυτά τα συστήματα είναι σαν φάρμακα. Ενδυναμώνουν τον συγκεκριμένο οργανισμό (ή επιχείρηση) και τον διευκολύνουν να θεραπεύσει ή επιλύσει ένα συγκεκριμένο πρόβλημα ή λειτουργική αστοχία.



Με βάση το παράδειγμα αυτό (δηλ. των φαρμάκων), εάν αυτά τα συστήματα  δεν χρησιμοποιηθούν με πειθαρχεία, μπορεί να δημιουργήσουν χαώδεις καταστάσεις και πολλές φορές όχι τα αναμενόμενα αποτελέσματα. Ακόμη και την μερική ή ολική καταστροφή.



Αυτά τα ολοκληρωμένα πληροφοριακά συστήματα πρέπει, λοιπόν, να λειτουργήσουν εντός ενός επιχειρησιακού περιβάλλοντος που διέπεται από κανόνες, πολιτικές και  διαδικασίες και ένα σύστημα διαχείρισης κινδύνων. Αυτά συνολικά απαρτίζουν το πλαίσιο εταιρικής διακυβέρνησης το οποίο, στην περίπτωση των πληροφοριακών συστημάτων, συμπληρώνεται και από ένα πλαίσιο τεχνολογικής διακυβέρνησης.



Όπως έχει αναφέρει ο διάσημος καθηγητής πληροφορικής του ΜΙΤ (Η.Π.Α.) N. Negreponte (βλέπε: ‘Being Digital’, Alfred A. Knopf, New York, U.S.A., 1995): ‘Η επόμενη δεκαετία θα αναδείξει περιπτώσεις ζημιών και βλαβών σε προϊόντα πνευματικής φύσης (π.χ., παραβίαση πνευματικής ιδιοκτησίας), και παράνομης πρόσβασης της ιδιωτικής ζωής μας. Θα έχουμε εμπειρίες ψηφιακού βανδαλισμού, πειρατείας λογισμικού και κλοπής δεδομένων’.



Αυτά έχουν αποδειχθεί στην πράξη. Επεισόδια ασφάλειας και άλλα συμβάντα ηλεκτρονικών εγκλημάτων και παράνομων πράξεων με την βοήθεια ή με βάση την τεχνολογία των ηλεκτρονικών υπολογιστών και επικοινωνιών έχουν ολοένα και μεγαλύτερη αυξητική τάση (Βλέπε:www.fbi.gov, www.parliament.uk, www.infosyssec.net).



Και όπως ο ‘διαβόητος’ Kevin D. Mitnick, συγγραφέας, σύμβουλος ασφαλείας πληροφορικής και φυλακισμένος για εγκλήματα μέσω ηλεκτρονικών υπολογιστών (1995, Η.Π.Α.) έχει γράψει: ‘Πληροφορίες που έχουν αξία πρέπει α προστατευθούν ανεξάρτητα από τον τρόπο ή πού είναι αυτές αρχειοθετημένες. Ένας κατάλογος πελατών έχει την ίδια αξία ανεξάρτητα από την μορφή του (εκτυπωμένος η αποθηκευμένος σε ηλεκτρονικό αρχείο) και τον χώρο φύλαξής του (γραφείο ή ψηφιακή αρχειοθήκη). Οι εισβολείς που χρησιμοποιούν τρόπους κοινωνικής επαφής, οι λεγόμενοι ‘social engineers’, πάντα προτιμούν τον ευκολότερο τρόπο να εισβάλουν σε ένα αδύνατο και αφύλακτο σημείο του πληροφοριακού συστήματος’.



Επίσης ο έλεγχος συστημάτων πληροφορικής (IT auditing) θα βελτιώσει την ποιότητα των πληροφοριών, δηλ., αποτελεσματικότητα, αποδοτικότητα, εμπιστευτικότητα, διαθεσιμότητα, συμμόρφωση, εγκυρότητα και αντοχή,  σύμφωνα με το Διεθνές Ινστιτούτο Ελεγκτών Πληροφορικής (ISACA: www.isaca.org).



Η απάντηση για τους διευθυντές και ηγέτες οργανισμών είναι να σχεδιάσουν για αυτό το νέο επιχειρησιακό περιβάλλον λειτουργίας με τα σωστά εργαλεία, μεθοδολογίες και πόρους.



Σε όλους τους τύπους των επιχειρήσεων και δημόσιων οργανισμών, τα επιχειρησιακά μέτρα ελέγχου (corporate controls) απαρτίζονται από ένα σύνολο πολιτικών, διαδικασιών, τεχνικών, μεθόδων και πρακτικών εφαρμογής για την διοίκηση και έλεγχο των επιχειρησιακών λειτουργιών.



Εντός αυτού του επιχειρησιακού πλαισίου ελέγχου τα μέτρα ελέγχου πληροφορικής (IT Controls) καθορίζονται ως συγκεκριμένες ενέργειες, συνήθως αποτυπωμένες σε πολιτικές, διαδικασίες, πρακτικές εφαρμογής, κ.λπ., που εκτελούνται από ανθρώπους, εξοπλισμό ηλεκτρονικών υπολογιστών και επικοινωνιών, ή και λογισμικό (software) με μόνο στόχο την διαβεβαίωση επίτευξης των συγκεκριμένων επιχειρησιακών στόχων.

Η γενική κατεύθυνση και αναγκαιότητα των μέτρων ελέγχου πληροφορικής σχετίζονται με την ασφαλή επεξεργασία, εμπιστευτικότητα και διαθεσιμότητα των δεδομένων και την γενικότερη διοίκηση της διεύθυνσης πληροφορικής της επιχείρησης ή οργανισμού.



Τα μέτρα ελέγχου πληροφορικής διαχωρίζονται σε γενικά μέτρα ελέγχου πληροφορικής (IT General Controls) και σε μέτρα ελέγχου πληροφοριακών εφαρμογών (IT Application Controls), σύμφωνα με διάφορες πηγές (www.isaca.org, www.theiia.org, www.itpi.org).



Γενικά μέτρα ελέγχου πληροφορικής είναι τα μέτρα που εφαρμόζονται σε όλες τις δραστηριότητες της πληροφορικής (συστήματα, υπηρεσίες, θέματα, επεξεργασίες, συναλλαγές, κ.λπ.) και στα δεδομένα της επιχείρησης ή οργανισμού σε ένα συγκεκριμένο περιβάλλον πληροφορικής. Αφορούν περιοχές όπως: στρατηγική, ανάπτυξη και συντήρηση συστημάτων, λειτουργία κέντρου δεδομένων, τράπεζες δεδομένων, λειτουργικό σύστημα, κλπ.



Τα μέτρα ελέγχου πληροφοριακών εφαρμογών είναι τα μέτρα που αρμόζουν στην επεξεργασία συναλλαγών από συγκεκριμένα πληροφοριακά συστήματα, όπως: γενική λογιστική, διαχείριση προσωπικού, πωλήσεις, έλεγχος αποθηκών, μισθοδοσία, κ.λπ.



Σχετίζονται δε, με την επεξεργασία και αποθήκευση δεδομένων σε ψηφιακά αρχεία και βάσεις δεδομένων, βασισμένα και οργανωμένα από συστήματα ηλεκτρονικών υπολογιστών και συγκεκριμένων εφαρμογών και προγραμμάτων εφαρμογών, και που έχουν στόχο την διαβεβαίωση ότι όλες οι επιχειρησιακές συναλλαγές είναι εγκεκριμένες, και επεξεργάζονται και αποθηκεύουν και αναφέρουν τα αποτελέσματά των με ακρίβεια, ασφάλεια και εγκυρότητα.

Τα οφέλη των μέτρων ελέγχου πληροφορικής, είναι συνήθως:



(1) Κατανόηση των κινδύνων ανάπτυξης και λειτουργίας συστημάτων πληροφορικής.



(2) Βελτίωση των εργασιών σχεδιασμού, ανάπτυξης, εφαρμογής και ελέγχου νέων και υπαρχόντων συστημάτων πληροφορικής,



(3) Αύξηση της ικανότητας της διοίκησης στην επίτευξη στρατηγικών στόχων.



(4) Διαβεβαίωση υψηλών προτύπων των συστημάτων και υποδομών πληροφορικής σε όλες τις επιχειρήσεις και οργανισμούς.



---------------------------------------------------------------------------------------------------------------

* Για περισσότερα στο θέμα ‘Μέτρα Ελέγχου Πληροφορικής’ βλέπε το βιβλίο:



'IT STRATEGIC AND OPERATIONAL CONTROLS'



PRINTED VERSION:                www.itgovernance.co.uk/products/3066

E-BOOK FORMAT VERSION:    www.itgovernance.co.uk/products/3067

CUSTOMISABLE IT AUDIT PROGRAMMES AND CHECKLISTS (WORD FORMAT): www.itgovernance.co.uk/products/3143



Author: John Kyriazoglou

Publisher: IT Governance Publishing

ISBN: 9781849280617

Pages: 686

Format: Softcover

Published date: 2 September 2010












1 comment: