Συνεργατική πολυκριτηριακή διαχείριση ασφάλειας πληροφοριακών συστημάτων

Abstract

Information Security Management is an important governance and administration procedure aiming at the protection of an organization from internal and external risks that could negatively affect the achievement of its operational objectives.Current Information and Communication Systems (ICS) are characterized by growing complexity, distribution, interference and dependency with other ICS and by the plethora of the hosted electronic services. They are called to serve simultaneously several users (internal users, partners and customers), having to face the fierce competition, the economic crisis, and a growing number of different types of spatial and temporal attacks. On the other hand, small and medium sized enterprises (SMEs), where the impacts of the economic crisis are more visible, not having the financial resources and the necessary expertise to become harmonized with security standards, become the weak links for the domestic and the global economy.The existing risk management methodologies and tools are not capable to meet the needs of today's reality. They can neither meet the growing needs of today's complex and distributed ICS nor can they cope and address these specific needs (low budget, lack of knowledge) of the SMEs, since the existing methodologies:1.are too generic and not tailored to the needs of organizations of different culture,2.do not support collaboration, i.e. they do not involve all the users of ICS (managers, administrators, members of the security team, end users) in order to collect the necessary knowledge leading to non-objective results,3.are based on time-consuming questionnaires and interviews with experts on security issues, and4.the tools which implement them are often difficult to use and require specialized knowledge and resources (man-hours, high cost), which in most cases (e.g. in the case of SMEs) are not available.Therefore, it is essential to enhance the risk management methodologies in order to meet the security needs of today's ICS, implemented in automated, collaborative tools, making them an important asset for their governance.Realizing these weaknesses and needs, this Ph.D. thesis proposes to view the problem of analyzing and managing risk as a multicriteria decision making problem involving many users (managers, administrators, members of the security team and end users) who are asked to solve the following complex decision problems:1.categorise the importance for the organisation (impact level) of its ICS assets, i.e., physical infrastructure (data centres, computer rooms and buildings), networks, servers, software, services and ICS participants,2.prioritise the ICS threats (potential causes of unwanted incidents which may result in harm to ICS,3.prioritise vulnerabilities (weaknesses of an ICS asset(s) that may be exploited by a threat(s), 4.estimate the threat and vulnerability levels, and5.select the appropriate countermeasures.Each of the above decision problems involves multiple criteria and objectives of conflicting nature including security (integrity, availability and confidentiality), business, cost, technological and legal with respect to all the ICS participants’ experiences and preferences.Specifically, by combining multi-criteria group decision-making methodologies a collaborative, multi-criteria risk management methodology (STORM-RM) is proposed, which aims to gather knowledge (which is dispersed among organization users), reducing the time-consuming questionnaires and interviews and saving resources.Additionally, with the use of advanced Web 2.0 technologies and other open source solutions, a secure collaborative environment (STORM) is proposed, which provides the risk management methodology as an online service (each phase of STORM -RM methodology has been implemented as a distinct module in the STORM environment) and aims at holistic, effective and efficient ICS security management by combining a group of collaborative services.Finally, the PhD candidate implemented the collaborative environment STORM and its services in the complex ports’ ICS (which are large-scale critical information infrastructures) and the SMEs in order to meet the needs of these different type infrastructures.

Η διαχείριση ασφάλειας του Πληροφοριακού Συστήματος (ΠΣ) ενός οργανισμού αποτελεί απαραίτητο συστατικό για την εύρυθμη λειτουργία του φορέα και την αδιάλειπτη παροχή υπηρεσιών. Τα σημερινά πληροφοριακά συστήματα χαρακτηρίζονται από πολυπλοκότητα (πολύπλοκες αρχιτεκτονικές, κατανεμημένα σε πολλές διαφορετικές τοποθεσίες), αλληλεξαρτώνται από ΠΣ συνεργαζόμενων φορέων και καλούνται να εξυπηρετήσουν ταυτόχρονα πολλούς χρήστες (εσωτερικούς χρήστες, συνεργάτες, πελάτες) έχοντας να αντιμετωπίσουν τον υψηλό ανταγωνισμό και την οικονομική κρίση. Από την άλλη, οι μικρές και μικρομεσαίες επιχειρήσεις (ΜΜΕ) όπου ο αντίκτυπος της οικονομικής κρίσης είναι ορατός, μη έχοντας τους οικονομικούς πόρους αλλά ούτε και την απαραίτητη τεχνογνωσία, αδιαφορούν για την εναρμόνισή τους με τα πρότυπα ασφάλειας, με αποτέλεσμα να αποτελούν αδύναμο κρίκο τόσο για την εγχώρια όσο και για την παγκόσμια οικονομία.Οι υφιστάμενες μεθοδολογίες και τα υπάρχοντα εργαλεία ανάλυσης και διαχείρισης κινδύνου δεν είναι σε θέση να ανταποκριθούν στις ανάγκες της σημερινής πραγματικότητας. Συγκεκριμένα, δεν μπορούν να καλύψουν τις αυξανόμενες ανάγκες των σημερινών πολύπλοκων και κατανεμημένων ΠΣ των μεγάλων οργανισμών αλλά ούτε και να ανταπεξέλθουν και να προσαρμοστούν στις ιδιαίτερες ανάγκες (χαμηλός προϋπολογισμός, έλλειψη τεχνογνωσίας) των ΠΣ των ΜΜΕ. Το γεγονός αυτό προκύπτει από το ότι οι υπάρχουσες μεθοδολογίες:1.είναι γενικές και δεν προσαρμόζονται εύκολα στις ανάγκες των διαφορετικής φύσεως οργανισμών,2.δεν υποστηρίζουν την συνεργατικότητα, δηλαδή δεν εμπλέκουν όλους τους χρήστες των ΠΣ, με αποτέλεσμα να μην συλλέγουν την απαραίτητη γνώση και να οδηγούνται σε μη αντικειμενικά αποτελέσματα,3.βασίζονται σε χρονοβόρα ερωτηματολόγια και συνεντεύξεις με τους ειδικούς πάνω σε θέματα ασφάλειας, και4.τα εργαλεία τα οποία τις υλοποιούν είναι συνήθως δύσχρηστα και απαιτούν εξειδικευμένη γνώση και πόρους (ανθρωποώρες, υψηλό κόστος), που στις περισσότερες περιπτώσεις (π.χ. στην περίπτωση των ΜΜΕ) δεν υπάρχει.Επομένως, είναι επιτακτική ανάγκη η ύπαρξη αναβαθμισμένων μεθοδολογιών ανάλυσης και διαχείρισης επικινδυνότητας οι οποίες θα είναι σε θέση να αντιμετωπίσουν την σημερινή πραγματικότητα της διαχείρισης ασφάλειας ΠΣ, ενώ ταυτόχρονα θα συνοδεύονται από εύχρηστα εργαλεία τα οποία θα μπορούν να αποτελέσουν σημαντικό εφόδιο για τις διοικήσεις τόσο των κρίσιμων υποδομών όσο και των ΜΜΕ.Η παρούσα διατριβή, κατανοώντας τις αδυναμίες αυτές, αντιμετωπίζει το πρόβλημα της ανάλυσης και διαχείρισης επικινδυνότητας ως ένα πολυκριτηριακό πρόβλημα όπου συμμετέχουν πολλοί χρήστες (διαχειριστές, μέλη της διοίκησης, μέλη της ομάδας ασφάλειας και τελικοί χρήστες), οι οποίοι καλούνται να λύσουν τα εξής προβλήματα:1.εντοπισμός και αξιολόγηση των επιπτώσεων από την απώλεια ασφάλειας (απώλεια εμπιστευτικότητας, διαθεσιμότητας, ακεραιότητας) των αγαθών του ΠΣ του οργανισμού τους,2.εντοπισμός και αξιολόγηση των απειλών και αδυναμιών των αγαθών του ΠΣ του οργανισμού τους, και3.αξιολόγηση και επιλογή των κατάλληλων μέτρων προστασίας για την εξασφάλιση της ομαλής λειτουργίας του ΠΣ,λαμβάνοντας υπόψη τα δικά τους κριτήρια (τεχνολογικά, επιχειρησιακά, νομικά) βασιζόμενοι στην εμπειρία και την τεχνογνωσία τους.Συγκεκριμένα, συνδυάζοντας τις πολυκριτηριακές μεθοδολογίες ομαδικής λήψης αποφάσεων προτείνεται μια συνεργατική, πολυκριτηριακή μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας (STORM-RM) η οποία έχει ως στόχο την συλλογή της γνώσης (η οποία είναι διασκορπισμένη στους χρήστες των ΠΣ των οργανισμών), την ελάττωση των χρονοβόρων ερωτηματολογίων και συνεντεύξεων και την εξοικονόμηση πόρων.Ταυτόχρονα, κάνοντας χρήση των προηγμένων τεχνολογιών Web 2.0 και άλλων ανοιχτού κώδικα επιλογών, προτείνεται ένα ασφαλές συνεργατικό περιβάλλον (STORM) το οποίο παρέχει την μεθοδολογία ως ηλεκτρονική υπηρεσία και συνδυάζοντας μια ομάδα συνεργατικών υπηρεσιών στοχεύει στην ολιστική, οικονομική και αποτελεσματική διαχείριση ασφάλειας των ΠΣ.Τέλος, η παρούσα διατριβή, με στόχο να καλύψει τις ανάγκες διαφορετικής φύσεως ΠΣ, εξέτασε την εφαρμογή του συνεργατικού περιβάλλοντος και των υπηρεσιών του στα περιβάλλοντα των ΠΣ των εμπορικών λιμένων (τα οποία αποτελούν μεγάλης κλίμακας κρίσιμες υποδομές) καθώς και των ΜΜΕ.