Γαβριήλ Βαϊκούσης
Business risk services manager, CISA, CISM, Grant Thornton
Δυνατότητες αποτροπής των κινδύνων στα πληροφοριακά συστήματα.
Οι στόχοι των Διευθύνσεων ή των Τμημάτων Πληροφορικής στους διάφορους οργανισμούς είναι να εξασφαλίσουν την διαθεσιμότητα, την αξιοπιστία και την ασφάλεια των πληροφοριακών συστημάτων με σκοπό να καλύπτονται οι επιχειρησιακές ανάγκες. Οι κίνδυνοι που απορρέουν από τη χρήση των πληροφοριακών συστημάτων είναι κοινοί για όλες τις εταιρείες, είτε διαθέτουν μεγάλες Διευθύνσεις Πληροφορικής με πολλά εξειδικευμένα στελέχη είτε διαθέτουν μικρά ολιγομελή Τμήματα Πληροφορικής είτε ακόμη και σε περιπτώσεις όπου η υποστήριξη των συστημάτων πληροφορικής γίνεται από ένα άτομο ή μέσω εξωτερικού συνεργάτη (outsourcing).
Στον έλεγχο χρηματοοικονομικής πληροφόρησης που διενεργείται σύμφωνα με τα Διεθνή Ελεγκτικά Πρότυπα ο ελεγκτής καλείται να κατανοήσει το περιβάλλον της επιχείρησης που ελέγχει. Για να αυξήσει το επίπεδο εμπιστοσύνης του στις οικονομικές αναφορές, ο εξωτερικός ελεγκτής υιοθετεί τις πρακτικές του Διεθνούς Ελεγκτικού Προτύπου 315, που αναφέρεται στον εντοπισμό και την αξιολόγηση των σημαντικών κινδύνων. Όταν μια επιχείρηση κάνει χρήση αυξημένων σε αριθμό ηλεκτρονικών αρχείων και μη αυτοματοποιημένων αναφορών, αυξάνεται σημαντικά και η πιθανότητα ανθρώπινου λάθους. Αντιθέτως, σε μια επιχείρηση που λειτουργεί με αυτοματοποιημένες αναφορές, ο ελεγκτής θα πρέπει να εξασφαλίσει ότι οι αναφορές είναι αξιόπιστες και ακριβείς. Ανεξάρτητα από το βαθμό εξάρτησης της επιχείρησης από τα πληροφοριακά συστήματα, ο κίνδυνος της απάτης και η ανάγκη για την προστασία των δεδομένων είναι εξίσου σημαντικά θέματα.
Στο Διεθνές Ελεγκτικό Πρότυπο 315 γίνεται εκτενής αναφορά στους κινδύνους που σχετίζονται με τη χρήση των πληροφοριακών συστημάτων. Για να εξασφαλίσει ο εξωτερικός ελεγκτής ότι κατέχει μια ολοκληρωμένη εικόνα των δικλίδων ασφαλείας που σχετίζονται με τη χρήση των πληροφοριακών συστημάτων, θα πρέπει στο πρόγραμμα ελέγχου του να συμπεριλάβει όλο το φάσμα των λειτουργιών της πληροφορικής. Τα ολοκληρωμένα συστήματα πληροφόρησης, οι εφαρμογές, οι βάσεις δεδομένων, τα λειτουργικά συστήματα, ο εξοπλισμός δικτύων και οι υπολογιστές, λειτουργούν υπό το πλαίσιο των διαδικασιών και πολιτικών που εκτελούν τα στελέχη της επιχείρησης που εμπλέκονται στις λειτουργίες της πληροφορικής.
Όπως αναφέρεται στα Διεθνή Ελεγκτικά Πρότυπα, ο ελεγκτής έχει τη δυνατότητα να χρησιμοποιήσει διαφορετικές ορολογίες ή πλαίσια για τη διεξαγωγή του εσωτερικού ελέγχου, με την προϋπόθεση ότι τα επιλεγμένα πλαίσια παρέχουν όλα τα στοιχεία που περιγράφονται στα πρότυπα. Το πιο σημαντικό πλαίσιο στο οποίο αναφέρονται όλοι οι επαγγελματίες που σχετίζονται με τη διακυβέρνηση ή τον έλεγχο της πληροφορικής είναι το πλαίσιο COBIT («Control OBjectives for Information and related Technology»). Το διεθνώς αναγνωρισμένο πλαίσιο COBIT περιγράφει αναλυτικά την εφαρμογή των δικλίδων ασφαλείας σε όλο το φάσμα της λειτουργίας και της διακυβέρνησης της πληροφορικής. Περιέχει τα κύρια πρότυπα που σχετίζονται με την πληροφορική, όπως το ITIL (Information Technology Infrastructure Library),
το CMMI (Capability Maturity Model Integration) και το ISO 27001.
Το πλαίσιο COBIT καλύπτει όλες τις ανάγκες ελέγχου πληροφοριακών συστημάτων που περιέχονται στο πλαίσιο του συστήματος εσωτερικού ελέγχου COSO και αποτελεί κοινό σημείο αναφοράς για οποιονδή- ποτε επαγγελματία του οποίου οι υπο- χρεώσεις και οι αρμοδιότητες απαιτούν την αναγνώριση και αντιμετώπιση των κινδύνων που απορρέουν από τη χρήση των πληροφοριακών συστημάτων.
Οι διοικήσεις των εταιρειών αξιοποιούν το πλαίσιο COBIT ώστε να επιτύχουν επιπρόσθετη αξία στις επενδύσεις στα πληροφοριακά συστήματα, καθώς επίσης και για να εξισορροπήσουν τους κινδύνους με τις απαιτούμενες δικλίδες ασφαλείας. Τα ανώτερα στελέχη των επιχειρήσεων και των οργανισμών αναγνωρίζουν την ανάγκη της συμμόρφωσης με το πλαίσιο COBIT, ώστε να διασφαλίσουν την αποδεκτή διαχείριση και τον επαρκή έλεγχο των υπηρεσιών της πληροφορικής. Τα στελέχη των διευθύνσεων της πληροφορικής λειτουργούν σύμφωνα με το πλαίσιο COBIT, ώστε να εγγυώνται τις απαραίτητες υπηρεσίες, σύμφωνα με τις επιχειρησιακές ανάγκες. Κάθε ελεγκτής πληροφοριακών συστη- μάτων οφείλει να γνωρίζει επαρκώς το πλαίσιο COBIT για τη διαμόρφωση και την τεκμηρίωση της επαγγελματικής του γνώμης σε σχετικά θέματα.
Το πλαίσιο COBIT έχει σχεδιαστεί από αναγνωρισμένους επαγγελματίες διεθνώς και εξελίσσεται για περισσότερο από δεκαπέντε χρόνια, ώστε να καλύπτει νέες ανάγκες που προκύπτουν με την εξέλιξη της τεχνολογίας. Ο βασικός κανόνας του πλαισίου ορίζει πως «για να λάβει τις πληροφορίες που απαιτεί η επιχείρηση ώστε να πετύχει τους στόχους της, είναι απαραίτητο να επενδύσει, να διαχειριστεί και να ελέγξει τους πόρους της πληροφορικής, χρησιμοποιώντας ένα οργανωμένο σύνολο από λειτουργίες, με σκοπό να αποφέρουν το επιθυμητό αποτέλεσμα».
Επιχειρησιακές απαιτήσεις (Business Requirements)
Το πλαίσιο COBIT βασίζεται σε επτά συγκεκριμένα κριτήρια, τα οποία ονομάζει επιχειρησιακές απαιτήσεις (Business Requirements). Τα κριτήρια αυτά είναι:
1. Αποτελεσματικότητα. Η πληροφορία θα πρέπει να είναι σχετική, συναφής, ακριβής, περιεκτική, αξιοποιήσιμη και άμεσα προσβάσιμη.
2. Αποδοτικότητα. Η επιχείρηση θα πρέπει να αξιοποιεί με τον βέλτιστο τρόπο τους διαθέσιμους πόρους της πληροφορικής.
3. Εμπιστευτικότητα. Αφορά την προστασία των ευαίσθητων δεδομένων.
4. Ακεραιότητα. Σχετίζεται με την ακρίβεια, την πληρότητα και την εγκυρότητα της πληροφορίας.
5. Διαθεσιμότητα. Η πληροφορία θα πρέπει να είναι διαθέσιμη σύμφωνα με τις ανάγκες της επιχείρησης.
6. Συμμόρφωση. Αφορά τη συμμόρφωση της επιχείρησης με κανόνες, ρήτρες συμβολαίων και νομοθεσίες σχετικές με τα πληροφοριακά συστήματα.
7. Αξιοπιστία. Σχετίζεται με την παροχή της κατάλληλης πληροφόρησης προς τη διοίκηση της επιχείρησης.
Πόροι της πληροφορικής (ΙΤ Resources)
Οι πόροι της πληροφορικής (IT Resources), όπως περιγράφονται στο πλαίσιο, κατατάσσονται σε εφαρμογές (Applications), πληροφορίες (Information), υποδομές (Infrastructure) και ανθρώπους (People).
Περιοχές COBIT (Domains)
Το πλαίσιο COBIT χωρίζεται σε τέσσερις κύριες περιοχές και τριάντα τέσσερις διαδικασίες οι οποίες ακολουθούνται από ενέργειες. Οι τέσσερις κύριες περιοχές είναι οι εξής :
➜ Προγραμματισμός και οργάνωση (Plan & Organize)
➜ Προμήθεια και υλοποίηση (Acquire & Implement)
➜ Λειτουργία και υποστήριξη (Deliver & Support)
➜ Έλεγχος και εκτίμηση (Monitor & Evaluate)
Προγραμματισμός και οργάνωση (PO)
Η πρώτη από τις τέσσερις περιοχές του πλαισίου περιγράφει τη στρατηγική και την οργάνωση της πληροφορικής και θέτει τις κατευθυντήριες γραμμές για την αποτελεσματικότερη επίτευξη των επιχειρησιακών στόχων. Ορισμένα απο τα ζητήματα οργάνωσης αφορούν την ευθυγράμμιση της στρατηγικής της πληροφορικής με τη στρατηγική της επιχείρησης, τη βέλτιστη αξιοποίηση των πόρων της επιχείρησης, την κατανόηση των στόχων της πληροφορικής από όλους τους εμπλεκόμενους, την αναγνώριση, κατανόηση και διαχείριση των κινδύνων της πληροφορικής και το αποδεκτό επίπεδο ποιότητας των συστημάτων πληροφορικής.
Προμήθεια και εφαρμογή (AI)
Η δεύτερη περιοχή του COBIT περιγραφει τις διαδικασίες αλλαγών και συντήρησης των συστημάτων, επισημαίνοντας ιδιαίτερα την ανάγκη υποστήριξης των επιχειρησιακών αναγκών μέσα από τη λειτουργία και τις διαδικασίες των πληροφοριακών συστημάτων. Θέματα διαχείρισης προμηθειών και εφαρμογών ενδέχεται να είναι η κάλυψη των αναγκών της επιχείρησης με προσφερόμενες λύσεις νέων έργων πληροφορικής. Η τήρηση των χρονοδιαγραμμάτων και προϋπολογισμών κατά την παράδοση των νέων έργων ή και η ορθή λειτουργία των νέων συστημάτων και εφαρμογών. Η περιοχή αυτή εστιάζει επίσης στην απρόσκοπτη λειτουργία των επιχειρηματικών δραστηριοτήτων κατά την διάρκεια εκτέλεσης αλλαγών.
Λειτουργία και υποστήριξη (DS)
Η περιοχή αυτή ασχολείται με την παροχή των απαιτούμενων υπηρεσιών, η οποία περιλαμβάνει τις λειτουργίες της Διεύθυνσης Πληροφορικής, τη διαχείριση της ασφάλειας και της επιχειρησιακής συνέχισης εργασιών (Business Continuity), την υποστήριξη των υπηρεσιών για τους χρήστες και τη διαχείριση των δεδομένων και λειτουργιών των κεντρικών εγκαταστάσεων (Operations). Εξετάζει, κατά κανόνα, τις υπηρεσίες της πληροφορικής, ώστε να παραδίδονται σύμφωνα με τις επιχειρηματικές προτεραιότητες. Ανφέρεται στη βέλτιστη διαχείριση του κόστους λειτουργίας της πληροφορικής και την επάρκεια του προσωπικού για τη διαχείριση και παραγωγή πληροφοριών με ποιότητα και ασφάλεια. Ακόμα εξετάζει τα όρια εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας που ισχύουν για την ασφάλεια των πληροφοριών και πώς αυτά υλοποιούνται.
Έλεγχος και εκτίμηση (ME)
Η τελευταία περιοχή καλύπτει τις ανάγκες του διαρκούς ελέγχου και αξιολόγησης των λειτουργιών της πληροφορικής. Όλες οι διαδικασίες της πληροφορικής θα πρέπει να αξιολογούνται τακτικά με την πάροδο του χρόνου, τόσο για την ποιότητά τους όσο και για την τήρηση των απαιτούμενων δικλίδων ασφαλείας. Σε αυτή την περιοχή περιγράφονται οι απαραίτητες δικλίδες ασφάλειας που αφορούν την αξιολόγηση των επιδόσεων, την παρακολούθηση του εσωτερικού ελέγχου, τη συμμόρφωση με τις νομοθεσίες και τους κανόνες και τη γενικότερη διακυβέρνηση της πληροφορικής. Η περιοχή καλύπτει ζητήματα διαχείρισης που σχετίζονται με τα κριτήρια αξιολόγησης των επιδόσεων της πληροφορικής. Με τη χρήση ενός συστήματος αξιολόγησης υπάρχει η δυνατότητα επισήμανσης προβλημάτων προτού να είναι πολύ αργά για την επιχείρηση. Υπάρχει η δυνατότητα να συνδυαστούν οι επιδόσεις της πληροφορικής με τους στόχους της επιχείρησης. Η τελευταία περιοχή του COBIT επίσης αναφέρεται στην επάρκεια των εσωτερικών ελέγχων. Οι εσωτερικοί έλεγχοι θα πρέπει να είναι αποτελεσματικοί και αποδοτικοί. Οι εσωτερικοί έλεγχοι θα πρέπει να επιβεβαιώνουν την ύπαρξη ικανοποιητικών δικλίδων ασφάλειας, ώστε να εξασφαλίζεται η εμπιστευτικό- τητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών.
Το πλαίσιο COBIT παρέχει μια πλήρη λίστα διαδικασιών που μπορούν να χρησιμοποιηθούν για την εξακρίβωση της πληρότητας των δραστηριοτήτων και ευθυνών των εμπλεκομένων με τα πληροφοριακά συστήματα. Ωστόσο, δεν χρειάζεται να εφαρμόζονται στο σύνολό τους και ακόμη περισσότερο μπορούν να συνδυαστούν σύμφωνα με το πληροφοριακό περιβάλλον και τις ανάγκες της κάθε επιχείρησης. Η παρούσα έκδοση του πλαισίου COBIT είναι η 4.1. Η νέα έκδοση 5 αναμένεται να ανακοινωθεί το 2011 και θα συμπεριλάβει ακόμα περισσότερα στοιχεία από άλλα σημαντικά πρότυπα που σχετίζονται με τα πληροφοριακά συστήματα, όπως το Επιχειρησιακό Μοντέλο για την Ασφάλεια Πληροφοριών (BMIS).
Όποιος και να είναι ο σκοπός του ελέγχου σε ένα πληροφοριακό σύστημα, ο ελεγκτής θα πρέπει να λάβει υπόψη του όλες τις υποστηρικτικές λειτουργίες της Διεύθυνσης Πληροφορικής. Στα πρώτα στάδια του ελέγχου ο ελεγκτής προχωρά στην αναγνώριση και καταγραφή του πληροφοριακού περιβάλλοντος. Η καταγραφή αυτή αποτελεί τη βάση στην οποία διενεργείται η αξιολόγηση των κινδύνων, που τελικώς θα παράγει το απαιτούμενο πρόγραμμα ελέγχου. Για την ολοκλήρωση ενός τέτοιου ελέγχου απαιτούνται τόσο οι εξειδικευμένες γνώσεις των συστημάτων όσο και γνώσεις των διαδικασιών της επιχείρησης ή του οργανισμού. Όλες οι πληροφορίες σχετικά με το πλαίσιο CΟΒΙΤ 4.1 είναι διαθέσιμες μέσω της ιστοσελίδας του Ινστιτούτου Ελεγκτών Πληροφοριακών Συστημάτων (ISACA Athens Chapter) www.isaca.gr