Upload
panagiotis-droukas
View
223
Download
0
Embed Size (px)
DESCRIPTION
ISACA Athens Chapter Newsletter #1 2012
Citation preview
Αγαπητά μέλη,
Έχω τη χαρά να προλογίζω το πρώτο
Newsletter του 2012 που βγαίνει μετά
από μια ιδιαίτερα επιτυχημένη χρονιά για
το Ινστιτούτο μας, παρά τις αντίξοες
οικονομικές συνθήκες. Από τα γεγονότα
της περασμένης χρονιάς ξεχώρισα το 1st
ISACA Athens Chapter Conference με
τίτλο "IT Audit, Security & Governance Challenges in
Financial Crisis" το οποίο, παρόλο που αποτέλεσε
πρόκληση το ίδιο για την προετοιμασία του, σημείωσε
μεγάλη επιτυχία και τιμήθηκε με τη συμμετοχή των μελών
μας.
Ο όγκος της δουλειάς που απαιτήθηκε για την οργάνωση
της εκπαιδευτικής ημερίδας ήταν πραγματικά πολύ
μεγάλος και ξεκίνησε ήδη από τον Δεκέμβριο του 2010 με
την ηλεκτρονική έρευνα Μελών, η οποία αποτέλεσε το
σημείο αναφοράς για την επιλογή θεματολογίας καθώς
και για την κοστολόγηση του. το σημείο αυτό αξίζει να
σημειωθεί ότι τίποτε από όσα προαναφέρθηκαν δεν θα
είχε πραγματοποιηθεί δίχως τη συμβολή και την
προσπάθεια των μελών του Δ.. και των Ομάδων Εργασίας
του Ινστιτούτου. Επίσης, θα ήθελα να ευχαριστήσω την
Ελληνοαμερικανική Ένωση και ιδιαίτερα την κα Ελένη
Σσιριγώτη για την υποστήριξη της ημερίδας αλλά και για
την άψογη συνεργασία μας.
Παρά την κρίση λοιπόν, με σχεδιασμό, προγραμματισμό
αλλά και με πολύ και συλλογική δουλειά καταφέραμε η
χρονιά που μας πέρασε να κλείσει με αξιόλογο έργο και
θετικό οικονομικό αποτέλεσμα για το Ινστιτούτο. Να
ευχηθούμε κάτι ανάλογο για τη χώρα μας για το 2012;
Με φιλικούς χαιρετισμούς,
Παναγιώτης Δρούκας
Μέλος Δ.. και Webmaster
Ι.Ε..Π. - ISACA Athens Chapter
Newsletter
Ινστιτούτο Ελέγτοσ Σσστημάτων Πληρουορικής (ΙΕΣΠ) - ISACA Athens Chapter Ενημερωτικό Δελτίο Έτος 2012, Τ. 01 – Φεβ 2012
1
ΠΕΡΙΕΦΟΜΕΝΑ
1. υνέντευξη
Νίκη Φίου, 4η Πρόεδρος του ISACA Athens
Chapter (2006-2008)
4
2. Αρθρογραφία
Μέτρηση αποτελεσματικότητας της ασφάλειας
πληροφοριών: θεωρία, αναγκαιότητα ή
ουτοπία;
7
3. Νέα του Ινστιτούτου
Πρόσφατες Εκπαιδευτικές Εκδηλώσεις
υμμετοχή σε υνέδρια
Βράβευση Best Newsletter Award
Σο IΕΠ στο Περιοδικό IT Security
11
14
17
18
4. Νέα ISACA International
Ανανέωση Πιστοποιήσεων για το 2012 & Νέες
Εκπτώσεις
ημαντικές ημερομηνίες για τις Εξετάσεις
Ιουνίου
Η Πιστοποίηση CISM Υιναλίστ Best
Professional Certification Program 2012
ISACA Certifies 10,000th CRISC
Αλλαγή στην Πολιτική Φορήγησης CPEs
Δήλωση CPE Hours
COSO Releases Updated Internal Control -
Integrated Framework
“ISACA Journal” είναι πλέον διαθέσιμο στο
Apple App Store
CACS και ISRM σε ένα Ευρωπαϊκό υνέδριο
Book Review: System Forensics, Investigation,
and Response
19
19
19
20
20
21
21
22
23
24
ISACA Athens Chapter
2
Newsletter ISACA Athens Chapter
Περιεχόμενα (συνέχεια)
5. Η ελίδα των Μελών
Εκπροσώπηση Ι.Ε..Π. σε Διεθνές υνέδριο
ISACA Athens Chapter: Οι αριθμοί του 2012
ταυρόλεξο και απαντήσεις του προηγούμενου
τεύχους
25
25
26
6. ε Σροχιά CobiT
Ιστοσελίδα για το COBIT 5
COBIT 5 Executive Summary Now Available
How to migrate from COBIT 4.1 to COBIT 5?
COBIT Misconceptions and Facts
28
28
28
28
7. Εκπαιδευτικά προγράμματα και συνεργασίες
Εκπαιδευτικά Προγράμματα ISACA
Επόμενη Εκπαιδευτική Εκδήλωση 15/02/2012
e-Symposium, Virtual Seminar and Tradeshow
EuroCACS / ISRM 10-12/09/2012
Εκπαιδευτικές υνεργασίες
εμινάρια Προετοιμασίας CISA-CISM
ΙDC IT Security & DataCenters Transformation
Roadshow
30
30
30
31
31
4
Newsletter ISACA Athens Chapter
και τη ρωτήσαμε για το αν θα συμμετείχε και θα
υποστήριζε μία τέτοια προσπάθεια. Μετά το πρώτο
αρχικό χαμόγελο και τις ενστάσεις (δείγμα
μετριοφροσύνης) καταφέραμε και αποσπάσαμε εκτός
από το χαμόγελό της και την εξής απάντηση:
Ξεκινήστε εσείς και εγώ μαζί σας...”
Όντως ξεκινήσαμε Νίκη και όχι μόνο, προχωράμε!
Νίκη, σε ευχαριστούμε θερμά για τις ενδιαφέρουσες
απαντήσεις σου, το χρόνο που διέθεσες και
προπάντων για την υποστήριξή σου και τη θετική σου
ενέργεια.
Η Νίκη γεννήθηκε στην Φαλκίδα και μεγάλωσε στα
Χαχνά Ευβοίας. πούδασε Πληροφορική στο Εθνικό
Καποδιστριακό Πανεπιστήμιο Αθηνών από όπου και
αποφοίτησε το 1996. Εργάστηκε ως Καθηγήτρια
Πληροφορικής έως το 1998 οπότε και προσελήφθη
στην Σράπεζα Εργασίας για να στελεχώσει το
νεοσύστατο τότε τμήμα ελέγχου πληροφορικών
συστημάτων. Έκτοτε ξεκίνησε η ενασχόληση της με
την “τέχνη” του εσωτερικού ελέγχου την οποία και
υπηρετεί έως και σήμερα. ‟ αυτό το διάστημα έχει
διατελέσει επικεφαλής του τμήματος ελέγχου
πληροφορικών συστημάτων της Σράπεζας Eurobank
Ergasias και Audit Manager στην Σράπεζα Probank
όπου συμμετείχε στην οργάνωση του εσωτερικού
ελέγχου ενώ παράλληλα ασχολήθηκε και με τον έλεγχο
των κεντρικών υπηρεσιών και πιστοδοτήσεων. Από το
2008 εργάζεται ως Audit Manager στην Σράπεζα
Πειραιώς.
Διετέλεσε πρόεδρος του Ελληνικού Ινστιτούτου
Ελέγχου υστημάτων Πληροφορικών την περίοδο
2006-2008. Είναι κάτοχος πιστοποίησης CISA και CIA
και μέλος των οργανισμών ISACA και ΙΙΑ.
Με την κα Νίκη Φίου, 4η Πρόεδρος του ISACA Athens
Chapter (2006-2008)
Έχουμε μεγάλη χαρά και τιμή να
φιλοξενούμε σε αυτό το τεύχος,
του βραβευμένου πλέον,
Newsletter μας τη συνέντευξη
που μας παραχώρησε η κυρία
Νίκη Φίου. Η κυρία Φίου διετέλεσε
Πρόεδρος του Ινστιτούτου την
περίοδο 2006 με 2008 ενώ
προηγουμένως είχε συνεισφέρει
στο Ινστιτούτο από τη θέση της
Γραμματέας (2002 με 2004).
Η αλήθεια είναι πως η επικοινωνία που είχαμε μαζί της
προκειμένου να εξασφαλίσουμε τη συνέντευξη της
ξεκινάει αρκετούς μήνες πίσω κάπου στο 2010. Αυτό
που έχει μείνει περισσότερο χαραγμένο στη μνήμη μας
όλο αυτό το διάστημα θεωρούμε πως είναι η στιγμή
που συζητήσαμε μαζί της για πρώτη φορά την
περίπτωση να μας δώσει αυτή τη συνέντευξη.
Επιτρέψτε μας να μοιραστούμε μαζί σας αυτή τη
στιγμή.
Η κυρία Φίου έτυχε να είναι από τα πρώτα μέλη εκτός
της Ομάδας Εργασίας του Newsletter και του Δ.. του
ISACA Athens Chapter που πληροφορήθηκε
ανεπίσημα την πρόθεσή μας να προσθέσουμε αυτή τη
νέα θεματική ενότητα (συνέντευξη όλων των
Προέδρων) στο Newsletter μας. Θυμόμαστε
χαρακτηριστικά ήταν τέλη επτεμβρίου του 2010 και
μόλις είχε τελειώσει το πρώτο “Internal Audit
Conference”. Εκεί, λοιπόν, λίγο πριν τον
αποχαιρετισμό και μεταξύ σοβαρού και αστείου (την
πιάσαμε απροετοίμαστη...) κάναμε την πρώτη νύξη
1. υνέντευξη
5
Newsletter ISACA Athens Chapter
τακτικών αναφορών, συμμετοχή στο “marketing
assistance program”), με τα μέλη (διενέργεια
μηνιαίων εκπαιδευτικών συγκεντρώσεων) αλλά και με
τρίτους φορείς (διενέργεια προγράμματος προώθησης
της παρουσίας του ελληνικού παραρτήματος του
ISACA κυρίως στον ελληνικό επιχειρηματικό κόσμο). Σο
2008 ξεπεράσαμε τα 200 μέλη επιτυγχάνοντας
ετήσια αύξηση 30% με ισχυρή δυναμική εξέλιξης.
• Διαδικτυακή παρουσία (www.isaca.gr).
• Υιλοξενία του 1ου ISACA Training Week στην
Αθήνα.
Ποιος είναι ο ρόλος του επαγγελματία στο χώρο της
Πληροφορικής και ιδιαίτερα εκείνου στη γνωστική
περιοχή της Ασφάλειας και Ελέγχου Πληροφοριακών
υστημάτων στην Ελλάδα σήμερα και ποια θεωρείτε
πως είναι τα απαιτούμενα εφόδια/χαρακτηριστικά
που θα πρέπει να διαθέτει;
Ιδιαίτερα σημαντικός, λαμβάνοντας υπόψη τη συνεχή
εξέλιξη της επιστήμης της Πληροφορικής και την
εκτεταμένη εφαρμογή της σε ποικίλα πεδία. ίγουρα
έχουν σημειωθεί άλματα ως προς την καθιέρωση του
επαγγέλματος απόρροια και των επιταγών του
κανονιστικού πλαισίου σε ορισμένους χώρους όπως τα
χρηματοπιστωτικά ιδρύματα. Ψστόσο, υπάρχουν
σημαντικά περιθώρια βελτίωσης και σ‟ αυτήν
καθοριστικό ρόλο καλείται να διαδραματίσει ο
επαγγελματίας ασφάλειας και ελέγχου συστημάτων
πληροφορικής.
Πέραν της απαιτούμενης τεχνικής κατάρτισης θεωρώ
σημαντική την γνώση της ελεγκτικής επιστήμης ή/και
αρχών ασφάλειας αλλά και την ουσιαστική κατανόηση
του εκάστοτε επιχειρησιακού περιβάλλοντος. Υυσικά
δεν συγκαταλέγω στα εφόδια / χαρακτηριστικά την
ύπαρξη ήθους και δεοντολογίας γιατί τις θεωρώ εκ
των ων ουκ άνευ αρετές για έναν ελεγκτή.
Πως αποφασίσατε να ασχοληθείτε ενεργά με το
Ινστιτούτο Ελέγχου υστημάτων Πληροφορικής; Ποια
χρόνια διετελέσατε Πρόεδρος του Ι.Ε..Π;
Ξεκίνησα να ασχολούμαι με τον έλεγχο συστημάτων
πληροφορικής το 1998 όταν το επάγγελμα
βρίσκονταν ακόμη σε εμβρυακό στάδιο στην Ελλάδα.
Σότε ήταν εμφανής η ανάγκη ενδυνάμωσης του
ινστιτούτου όντας ουσιαστικά το κύριο μέσο διάχυσης
γνώσης και ανταλλαγής εμπειριών αναφορικά με το
αντικείμενο του ελέγχου συστημάτων πληροφορικής.
Ψς επαγγελματίας θεώρησα ότι έπρεπε να συνεισφέρω
σ‟ αυτή την προσπάθεια, οπότε διετέλεσα Γραμματέας
την περίοδο 2002-2004 και Πρόεδρος την περίοδο
2006-2008.
Ποια θεωρείτε πως ήταν η μεγαλύτερη πρόκληση που
αντιμετωπίσατε στη θητεία σας ως Πρόεδρος του
Ινστιτούτου και πως ανταπεξήλθατε σε αυτήν;
Σο σύνολο της θητείας ήταν μία πρόκληση, δεδομένων
των θεμάτων που έπρεπε να διευθετηθούν. ίγουρα
όμως η καθιέρωση του Ινστιτούτου σε όλες τις
διαστάσεις (νομική, οικονομική, επικοινωνιακή και ως
προς τα μέλη αλλά και ως προς τον ISACA) υπήρξε η
μεγαλύτερη πρόκληση. Κάθε πρόκληση ωστόσο,
αντιμετωπίζεται με σκληρή δουλειά και
αποτελεσματική συνεργασία όχι μόνο με τα μέλη του
Δ.. αλλά και γενικότερα με τα μέλη του Ινστιτούτου.
Κάνοντας μια καταγραφή των σημαντικότερων
στιγμών στην ιστορία του Ινστιτούτου, ποια θεωρείτε
ως τα 3 πιο σημαντικά γεγονότα/επιτεύγματα του
Ι.Ε..Π. κατά τη θητεία σας ως Πρόεδρος;
• Καθιέρωση του Ινστιτούτου ξεκινώντας από την
οικονομική του υπόσταση και συνεχίζοντας στην
βελτίωση της επικοινωνίας με τον ISACA (καθιέρωση
1. Συνέντευξη
6
Newsletter ISACA Athens Chapter
Ποιο είναι το μεγαλύτερο όφελος που αποκομίσατε
από τη συμμετοχή σας στο Ι.Ε..Π;
ημαντικές εμπειρίες αλλά κυρίως, όπως θέλω να
πιστεύω, τον σεβασμό των συναδέλφων μου.
Σι έχετε να πείτε σε κάποιον/α που σκέφτεται σήμερα
για το αν θα πρέπει να (α) γίνει μέλος στο Ινστιτούτο
(β) συμμετάσχει στο Δ.. ή σε κάποια από τις Ομάδες
Εργασίας;
(α) ε συνδυασμό με την απόκτηση των σχετικών
πιστοποιήσεων θεωρώ ότι αποτελεί σημαντική
συνιστώσα για την επιτυχή πορεία και καθιέρωσή
του/της ως επαγγελματία.
(β) Είναι μοναδική ευκαιρία να συνεισφέρει στην
εξέλιξη και περαιτέρω καθιέρωση του επαγγέλματος
καθώς και να ανταλλάξει εμπειρίες με άλλους
συναδέλφους και επαγγελματίες που
δραστηριοποιούνται στον ευρύτερο χώρο της
πληροφορικής καθώς και του εσωτερικού ελέγχου.
Αυτό που κατά την άποψή μου έχει την μεγαλύτερη
αξία είναι ότι η συμμετοχή είναι εθελοντική και υπό
αυτό το πρίσμα η οποιαδήποτε συνεισφορά
καθίσταται ακόμη πιο ουσιαστική.
1. Συνέντευξη
7
Newsletter ISACA Athens Chapter
Οι δείκτες μέτρησης αποτελεσματικότητας είναι
εργαλεία σκοπός των οποίων είναι να διευκολύνουν
στη λήψη αποφάσεων, να βελτιώσουν την απόδοση,
να συμβάλουν στο καταμερισμό ευθυνών, μέσω μια
διαδικασίας συλλογής, ανάλυσης και αναφοράς των
σχετικών με την απόδοση δεδομένων.
Όσον αφορά στην ασφάλεια πληροφοριών, οι δείκτες
μέτρησης αποτελεσματικότητας πρέπει να βασίζονται
σε μετρήσιμους στόχους και αντίστοιχα
προσδοκώμενα αποτελέσματα. Για την ασφάλεια
πληροφοριών οι δείκτες μέτρησης
αποτελεσματικότητας αποτελούν τα επιθυμητά
αποτελέσματα της υλοποίησης της διεργασίας της
ασφάλειας πληροφοριών.
Οι δείκτες μέτρησης αποτελεσματικότητας αφορούν
στη παρακολούθηση της επίτευξης των στόχων μέσω
μια διαδικασίας ποσοτικοποίησης του βαθμού
υλοποίησης των δικλείδων ασφάλειας αλλά και
μέτρησης της αποτελεσματικότητας των
συγκεκριμένων δικλείδων ασφάλειας. Ο τρόπος με τον
οποίο γίνεται αυτό είναι μέσω αξιολόγησης της
επάρκειας και πληρότητας των δικλείδων ασφάλειας
(διαδικασίες & τεχνικές δικλείδες ασφάλειας) και
προσδιορισμού των απαραίτητων διορθωτικών
ενεργειών.
Οι δείκτες μέτρησης αποτελεσματικότητας είναι τριών
ειδών:
• Δείκτες υλοποίησης, που αφορούν στο ποσοστό
υλοποίησης της πολιτικής ασφάλειας
• Δείκτες αποτελεσματικότητας, που αφορούν στην
αποτελεσματικότητα των υλοποιημένων δικλείδων
ασφάλειας
• Δείκτες αρνητικής επίδρασης, που αφορούν στην
επίδραση των περιστατικών ασφάλειας στην
επιχειρηματική δραστηριότητα του Οργανισμού.
Μέτρηση αποτελεσματικότητας της
ασφάλειας πληροφοριών: θεωρία,
αναγκαιότητα ή ουτοπία;
Από τον κ. Νότη Ηλιόπουλο,
CISA, CISM, ISO27001LA
Η πιο συχνή ερώτηση που απευθύνεται, σε
Επιχειρηματικό επίπεδο, στους επαγγελματίες της
ασφάλειας πληροφοριών είναι η ακόλουθη, «είμαστε
ασφαλείς?»
Υυσικά απάντηση δεν υπάρχει. υπάρχει όμως
απάντηση στις ερωτήσεις που ακολουθούν:
Από τι κινδυνεύουμε και πόσο? ε ποια κατεύθυνση
χρειάζεται να επενδύσουμε? Έχει αποδώσει η
επένδυση στην ασφάλεια (πόροι και συστήματα,
λύσεις)? Πόσο αποτελεσματική είναι η υποδομή
ασφάλειας πληροφοριών και που χρειάζεται
βελτιώσεις?
Οι παραπάνω ερωτήσεις ακούγονται με ιδιαίτερη
συχνότητα, ειδικά σε περιόδους οικονομικής ύφεσης
όπως αυτή που διανύουμε. Ο μόνος τρόπος για να
απαντήσουμε και ταυτόχρονα να προωθήσουμε τους
στόχους της ασφάλειας πληροφοριών, είναι μόνο
μέσα από τεκμηριωμένα στοιχεία τα οποία
προκύπτουν από δείκτες μέτρησης της
αποτελεσματικότητας και της απόδοσης της
διεργασίας της Ασφάλειας Πληροφοριών.
2. Αρθρογραφία
8
Newsletter ISACA Athens Chapter
Φρησιμότητα και προσδοκώμενα οφέλη
το σημερινό επιχειρηματικό περιβάλλον η μέτρηση
της αποτελεσματικότητας της ασφάλειας
πληροφοριών δεν αποτελεί μια θεωρία, αλλά
αναγκαιότητα η οποία επιβάλλεται τόσο από τον ίδιο
το οργανισμό (αιτιολόγηση δαπανών, επίπεδο
ασφάλειας) αλλά και από το κανονιστικό πλαίσιο και
τα διεθνή πρότυπα (ISO 27004: Information
technology - Security techniques - Information
security management - Measurement).
Μερικοί από τους λόγους που μας οδηγούν στην
υλοποίηση μιας συνεχούς διεργασίας για τη μέτρηση
της αποτελεσματικότητας, είναι οι ακόλουθοι:
• Η εκάστοτε Διοίκηση προσδιορίζει μετρήσιμους
στόχους για να μπορεί να ελέγχει την απόδοση αλλά
και την αποτελεσματικότητα της κάθε επένδυσης.
• Όλοι μας είμαστε υπόλογοι και αξιολογούμαστε
σχετικά με την απόδοση και την
αποτελεσματικότητά μας. Είναι καλύτερα οι σχετικοί
δείκτες να προσδιορισθούν από τους επαγγελματίες
της ασφάλειας πληροφοριών όχι από τις λοιπές
επιχειρηματικές μονάδες.
• Κάθε Οργανισμός (αργά ή γρήγορα) αξιολογεί και
αξιολογείται σε θέματα απόδοσης βάσει
προκαθορισμένων δεικτών. Η ασφάλεια
πληροφοριών δεν αποτελεί εξαίρεση.
• Είναι αναγκαίο να μπορούμε να απαντήσουμε
τεκμηριωμένα στην ερώτηση „‟πόσο ασφαλείς
είμαστε‟‟. Όσον αφορά στον κίνδυνο, υπάρχει
μέτρηση μέσω της διαδικασίας αξιολόγησης
κινδύνων. Κατ‟ επέκταση, πρέπει να αξιολογείται και
η αποτελεσματικότητα των δικλείδων που
χρησιμοποιούνται για την ελαχιστοποίηση των
κινδύνων.
2. Αρθρογραφία
• Απαίτηση για μέτρηση της αποτελεσματικότητας
από το κανονιστικό πλαίσιο και τα διεθνή πρότυπα
για την ασφάλεια πληροφοριών.
Δημιουργώντας τα κατάλληλα metrics
Η θέσπιση των δεικτών μέτρησης
αποτελεσματικότητας που αφορούν στην ασφάλειας
πληροφοριών, στοχεύει στη μεγιστοποίηση της
αποτελεσματικότητας της υποδομής ασφάλειας
πληροφοριών ενός οργανισμού. Για το λόγο αυτό η
ίδια η διεργασία δημιουργίας των δεικτών και της
ανάλυσης των αποτελεσμάτων πρέπει να είναι
αποτελεσματική.
Για να γίνει αυτό χρειάζεται συγκεκριμένη προσέγγιση
η οποία περιλαμβάνει τις παρακάτω δύο σημαντικές
δραστηριότητες:
• Προσδιορισμό και αναγνώριση του υφιστάμενου
επιπέδου ασφάλειας πληροφοριών
• Τλοποίηση και επιλογή συγκεκριμένων δεικτών
μέτρησης μέσω των οποίων θα αξιολογείται και θα
αποτιμάται η πρόοδος υλοποίησης, η
αποτελεσματικότητα και η επίδραση των δικλείδων
ασφάλειας.
Μερικές ιδέες που αφορούν στους δείκτες μέτρησης
είναι τα ακόλουθα:
• Δείκτες Οργάνωσης & απόδοσης
Απόδοση εργαζομένων
Ακρίβεια στο προϋπολογισμό και υλοποίηση
των σχετικών δαπανών
Αποτελεσματικότητα επικοινωνίας των
στόχων
• Δείκτες λειτουργικότητας
Αριθμός περιστατικών ασφάλειας
Αριθμός κρίσιμων συμβάντων
Κόστος λειτουργίας μονάδας ασφάλειας
πληροφοριών
9
Newsletter ISACA Athens Chapter
• Δείκτες που αφορούν στη τεχνολογία
Αριθμός „security events‟ που
καταγράφονται από τους μηχανισμούς
καταγραφής των πληροφοριακών
συστημάτων
Αριθμός patches & fixes που έχουν
εγκατασταθεί σε σχέση με τα όσα θα έπρεπε
να είχαν εγκατασταθεί
Αριθμός τεχνικών αδυναμιών ασφάλειας
που έχουν προσδιορισθεί
• Δείκτες που αφορούν στις επιχειρηματικές
διεργασίες
Φρόνος που χρειάζεται για να εγκριθούν –
υλοποιηθούν δικαιώματα πρόσβασης
ύγκριση προϋπολογισμένου σε σχέση μα
το πραγματικό κόστος των υλοποιημένων
δικλείδων ασφάλειας (διαχειριστικές,
τεχνικές)
Κόστος τήρησης – υλοποίησης δικλείδων
ασφάλειας για τις επιχειρηματικές μονάδες
του Οργανισμού
• Δείκτες μέτρησης επιχειρηματικές αξίας
Επίπτωση στη φήμη και την αξιοπιστία του
Οργανισμού
Επίπτωση στη απόδοση και
παραγωγικότητα των εργαζομένων
Επιπτώσεις και πιθανά οφέλη για του
έχοντες επιχειρηματικό συμφέρον από τη
λειτουργία του Οργανισμού
• Δείκτες που αφορούν στη κανονιστική συμμόρφωση
Αριθμός δικλείδων ασφάλειας που αφορούν
στην κάλυψη κανονιστικών απαιτήσεων
Αριθμός εξαιρέσεων που έχουν ζητηθεί από
τα κανονιστικά όργανα ε σχέση με τις
απαιτήσεις τους
Αριθμός εξαιρέσεων που έχουν εγκριθεί
2. Αρθρογραφία
Οι παραπάνω δείκτες αφορούν στην πλειοψηφία τους
τη συλλογή ποσοτικών μονάδων μέτρησης.
Εναλλακτικός τρόπος μέτρησης της
αποτελεσματικότητας της ασφάλειας πληροφοριών,
αποτελεί η χρήση της μεθόδου Balanced Scorecards.
Ο τρόπος αυτός κάνει χρήση, κυρίως, ποιοτικών
δεικτών. Αντίστοιχα, η χρήση της μεθόδου στο τομέα
της ασφάλειας πληροφοριών αφορά στην εναρμόνιση
των ενεργειών για την Ασφάλεια Πληροφοριών με την
Επιχειρηματική τρατηγική (Μετατροπή σε διεργασίες
με μετρήσιμα αποτελέσματα).
Φρήσιμες διαπιστώσεις
το σημερινό επιχειρηματικό περιβάλλον η μέτρηση
της αποτελεσματικής υλοποίησης της ασφάλειας
πληροφοριών δεν αποτελεί θεωρία, αλλά
αναγκαιότητα. Οι δείκτες μέτρησης
αποτελεσματικότητας δεν αντιπροσωπεύουν απλά
νούμερα, αφορούν στη μέτρηση της αποδοτικότητας
της διεργασίας της ασφάλειας πληροφοριών στον
Οργανισμό και προσδιορίζουν ανάγκες και σημεία
βελτίωσης.
Η αποτελεσματικότητα της διαδικασίας θέσπισης των
σχετικών δεικτών αλλά και συλλογής των απαραίτητων
δεδομένων, είναι σημαντικός παράγοντας επιτυχίας
και οι παρακάτω διαπιστώσεις μπορούν να βοηθήσουν
προς τη κατεύθυνση αυτή:
• Δεν χρειάζεται να υιοθετήσουμε πολλούς δείκτες,
λίγοι και συγκεκριμένοι για τους οποίους θα
συλλέγουμε τακτικά στοιχεία, είναι προτιμότερο και
πιο αποτελεσματικό.
• Η συχνότητα συλλογής των στοιχείων είναι
σημαντική διεργασία. Φρειαζόμαστε στοιχεία
ακριβή και πρόσφατα.
10
Newsletter ISACA Athens Chapter
• Η έγκριση τη Διοίκησης σχετικά με τους δείκτες
είναι σημαντική, διότι τα αποτελέσματα στη
Διοίκηση θα προσκομισθούν.
• Πριν τη συλλογή στοιχείων και δεικτών χρειάζεται
να σκεφτούμε το σκοπό τον οποίο θα
εξυπηρετήσουν οι δείκτες. Με το τρόπο αυτό θα
επιλεγούν οι σωστοί δείκτες και θα φέρουν και τη
προσδοκώμενη αξία.
κοπός των δεικτών μέτρησης αποτελεσματικότητας
της ασφάλειας πληροφοριών είναι να προσδιορισθεί η
αξία της όλης επένδυσης. Αυτό γίνεται με το να
αποδειχθεί η εναρμόνιση των στόχων της ασφάλειας
πληροφοριών με αυτούς της επιχειρηματικής
λειτουργίας του οργανισμού και πως η επίτευξή τους
υποβοηθείται από τις υφιστάμενες τεχνικές και
διαχειριστικές δικλείδες ασφάλειας. Φρήσιμα
συμπεράσματα που προκύπτουν από την ανάλυση των
δεικτών αφορούν και στις περιοχές που χρειάζεται να
ενισχυθούν περισσότερα. Φρησιμοποιώντας τα εν λόγω
αποτελέσματα ως εφαλτήριο, μπορούμε να
αιτιολογήσουμε τις σχετικές δαπάνες για την
ασφάλεια πληροφοριών.
ημαντικό όφελος από τη μελέτη των δεικτών
μέτρησης αποτελεσματικότητας, αφορά στο
στρατηγικό σχεδιασμό της ασφάλειας πληροφοριών
και στη μέτρηση της προόδου σε σχέση με τους
στόχους που έχουν τεθεί.
Επιπροσθέτως, σημαντικές διαπιστώσεις μπορούν να
εξαχθούν σε σχέση με τους κινδύνους και το τρόπο
αντιμετώπισής τους. υγκεκριμένα, μπορούμε να
δούμε τις τάσεις εσωτερικά και εξωτερικά του
Οργανισμού, καθώς και να προσδιορισθεί ο
εναπομένων κίνδυνος.
2. Αρθρογραφία
Θεωρία, αναγκαιότητα η ουτοπία? Η θέσπιση και
ανάλυση των δεικτών μέτρησης αποτελεσματικότητας
της ασφάλειας πληροφοριών είναι αναγκαιότητα.
Αποτελεί βασικό παράγοντα επιτυχίας και προώθησης
των στόχων της ασφάλειας πληροφοριών. Η εποχή το
απαιτεί και η θεωρία είναι ώριμη να μετουσιωθεί σε
πράξη. Καλή επιτυχία ...
Βιβλιογραφικές Αναφορές – Links:
• Developing Metrics for Effective Information
Security Governance John P. Pironti, [ISACA, 2007]
• Measuring Security, Abe Kleinfied, nCircle,
[Information Security & Risk Management 2008]
• NIST Security Metrics Guide for Information
Technology Systems
• ISO 27004: Information technology - Security
techniques - Information security management –
Measurement
• Accounting for Value and Uncertainty in Security
Metrics By C. Warren Axelrod, [ISACA, 2008]
• Accounting for Value and Uncertainty in Security
Metrics By C. Warren Axelrod, [ISSA Journal 2006]
• Key Elements of an Information Security Program
By John P. Pironti, [ISACA, 2005]
Νότης Ηλιόπουλος, CISA, CISM, ISO27001LA
Ο κ. Ηλιόπουλος εργάζεται ως Director of Technology
στην εταιρεία Intelli Solutions. Κατέχει τους
μεταπτυχιακούς τίτλους MSc Info Security, MSc
Management of Business Innovation & Technology,
καθώς και τις πιστοποιήσεις CISA, CISM,
ISO27001LA.
Διαθέτει 15-ετή εμπειρία στην ασφάλεια
πληροφοριών, έχοντας διατελέσει σε σημαντικές
θέσεις τόσο από τη πλευρά του Επιχειρηματικού
τομέα όσο και από τη πλευρά του παρόχου
συμβουλευτικών υπηρεσιών
11
Newsletter ISACA Athens Chapter
Πρόσφατες Εκπαιδευτικές Εκδηλώσεις
1ο ISACA Athens Chapter Conference, 02/12/2012
Ναι, έγινε πραγματικότητα!
Κοινό μυστικό μεταξύ των μελών του Δ.. του Ι.Ε..Π.,
και όχι μόνο, ήταν εδώ και περίπου ένα χρόνο η
επιθυμία να διεξαχθεί το πρώτο ημερήσιο συνέδριο
του ISACA Athens Chapter, με σκοπό την καθιέρωσή
του στο χώρο, σε ετήσια βάση. Και εν τέλει χωρίς
πολλές σκέψεις και μακρόχρονο σχεδιασμό,
αποφασίστηκε γύρω στα μέσα επτεμβρίου να
υλοποιηθεί αυτή η συνδιοργάνωση εντός περίπου δύο
μηνών, με λίγες διαθέσιμες εναλλακτικές ημερομηνίες
και επομένως χωρίς πολλά περιθώρια ευελιξίας. Αν και
η πρώτη διαθέσιμη ημερομηνία δεν ευδοκίμησε, η
«οργανωτική επιτροπή» των Ι.Ε..Π -
Ελληνοαμερικανικής Ένωσης διοργάνωσε στις 2
Δεκεμβρίου 2011 το πρώτο ISACA Athens Chapter
conference με τίτλο: “IT Audit, Security & Governance
Challenges in Financial Crisis”. Οι παρουσιάσεις των
προσκεκλημένων ομιλητών κινήθηκαν γύρω από τα
εξής βασικά σημεία ενδιαφέροντος:
• Πως το σημερινό οικονομικό και επιχειρησιακό
περιβάλλον επηρεάζει τη διαχείριση κινδύνων που
σχετίζονται με τα συστήματα πληροφορικής.
• Ποιες θα πρέπει να είναι σήμερα οι περιοχές
ενδιαφέροντος και οι άμεσες προτεραιότητες ενός
επιτυχημένου προγράμματος ασφάλειας.
• Πως οι πρωτοβουλίες που προκύπτουν από τη
διακυβέρνηση συστημάτων πληροφορικής μπορούν να
υποστηρίξουν τους επιχειρησιακούς στόχους, να
καθοδηγήσουν μία σύγχρονη Διεύθυνση
Πληροφορικής ώστε να είναι εναρμονισμένη με την
ευρύτερη εταιρική στρατηγική και να αναδείξουν την
αξία από την επένδυση σε έργα πληροφορικής.
3. Νέα του Ινστιτούτου
Φαιρετισμός από τον Πρόεδρο Δ.. κ. Αν. Δημόπουλο
ενότητας έγινε μία σύντομη και συνοπτική
Τψηλή η προσέλευση στο χώρο του συνεδρίου
ενότητας έγινε μία σύντομη και συνοπτική
Ο κ. Φ. Δημητριάδης, Διεθνής Αντιπρόεδρος του ISACA International
12
Newsletter ISACA Athens Chapter
ε αυτό το σημείο, θα θέλαμε να ευχαριστήσουμε
θερμά όλους και κάθε έναν από τους εξαίρετους
ομιλητές αλλά και το συντονιστή του συνεδρίου κ. Φ.
Δημητριαδή (CISM, CISA, CRISC) Head of Information
Security, Intralot, Διεθνή Αντιπρόεδρο του ISACA
International:
• John Mitchell, Managing Director, LHS Business
Control, UK
• Rolf von Roessing, President of Forfa AG,
• Dr. Βασίλης Κάτος, CHFI, Assistant Professor of
Information & Communications Systems Security,
Δημοκρίτειο Πανεπιστήμιο Θράκης, ISACA Academic
Advocate
• Νάσος Κλαδάκης, Solutions Specialist, MCT CTT+,
Microsoft Hellas
• ταυρούλα Μινασίδου, PMP, Senior Manager, IT
Advisory, KPMG Advisors S.A
• Γιώργος Παπούλιας, CISA, CGEIT, CRISC, Senior
Project Manager, Business Process Division,
Εθνική Σράπεζα της Ελλάδος
• Γρηγόριος Θεμιστοκλέους, CISA, CRISC, ITIL, Senior
Manager, Ernst & Young Advisory Services.
• Dr. Rodica Tirtea, Technical Competence
Department, ENISA
• Αστέριος Βουλανάς, CISA, CIA, CA, Partner,
Technology Assurance, PwC Greece
• Λεωνίδας Φατζηκωνσταντής, Partner, Advisory
Services, Ernst & Young
Επίσης ευχαριστούμε θερμά όσους συμμετείχαν στο
πάνελ και βοήθησαν να γίνει μία πολύ ενδιαφέρουσα
συζήτηση στο τέλος του συνεδρίου:
• Rolf von Roessing, President of Forfa AG,
• John Mitchell, Managing Director, LHS Business
Control, UK
3. Νέα του Ινστιτούτου
• Λεωνίδας Φατζηκωνσταντής, Partner, Advisory
Services, Ernst & Young
• Joyce Vassiliou, Πρόεδρος Ινστιτούτου Εσωτερικών
Ελεγκτών Ελλάδος
• Μαρούσα Θειακάκη, Εθνική Σράπεζα της Ελλάδος
• Γιώργος Βλαστός, Εθνική Σράπεζα της Ελλάδος
Σο πάνελ συντόνισε ο κ. Φ. Δημητριαδής
Οι παρουσιάσεις του συνεδρίου είναι διαθέσιμες στον
ιστότοπο του Ι.Ε..Π.
Από ό,τι μάθαμε, η συμμετοχή όλων μας ξεπέρασε
κάθε τυχόν αρχική και αισιόδοξη πρόβλεψη των
διοργανωτών. Επειδή πλέον γνωρίζετε ότι μας αρέσει
να μιλάμε με αριθμούς, ο αριθμός των συμμετεχόντων
έφτασε τους 150. Η οργανωτική επιτροπή του
συνεδρίου και το Ι.Ε..Π σας ευχαριστεί για το
ενδιαφέρον, τη συμμετοχή σας καθώς και για τα πολύ
εποικοδομητικά σχόλια και απόψεις σας. Όλα τα
παραπάνω δεν μπορούν παρά να ενθαρρύνουν τους
διοργανωτές και να θέτουν ακόμη ψηλότερα τον πήχυ
για το επόμενο ημερήσιο συνέδριο.
Ευχαριστούμε ιδιαίτερα την Ελληνοαμερικανική
Ένωση και πρωτίστως την κα Ελένη Σσιριγώτη, για την
αμέριστη βοήθεια και εργασία της κατά την
προετοιμασία του συνεδρίου.
Εις το επανιδείν!!!
13
Newsletter ISACA Athens Chapter
Εισαγωγικός Φαιρετισμός από την Πρόεδρο του ΕΙΕΕ (Hellenic IIA)
κα. Joyce Vassiliou
Εισαγωγικός Φαιρετισμός από το Γραμματέα του itSMF Hellas
κ. Κρικόρ Μαρουκιάν
3. Νέα του Ινστιτούτου
Keynote Speech από τον κ. John Mitchell, Managing Director, LHS
Business Control
Παρουσίαση από τον Dr. Βασίλη Κάτο, CHFI, Assistant Professor of
Information & Communications Systems Security, Δημοκρίτειο
Πανεπιστήμιο Θράκης, και ISACA Academic Advocate
14
Newsletter ISACA Athens Chapter
Κοπή Πίτας 2012
Η κοπή της πίτας του Ι.Ε..Π. για το 2012 θα
πραγματοποιηθεί την Σετάρτη 15 Υεβρουαρίου
2012, και ώρα 20:00 στο roof garden της
Ελληνοαμερικανικής Ένωσης. Όπως κάθε χρόνο θα
διεξαχθεί κλήρωση πλούσιων δώρων (μία συμμετοχή
σε prep course της Ελληνοαμερικανικής Ένωσης και
δωροεπιταγές από μεγάλα πολυκαταστήματα) μεταξύ
των παρευρισκομένων μελών, συνοδεία κρασιού και
εδεσμάτων.
Πριν την εκδήλωση θα προηγηθεί εκπαιδευτική
εσπερίδα στο αμφιθέατρο του 2ου ορόφου της
Ελληνο-Αμερικάνικης Ένωσης (βλ. παρακάτω).
ε κάθε περίπτωση «κλείστε» την ημερομηνία για την
εκδήλωση του Ι.Ε..Π. ας περιμένουμε όλους εκεί!
Ετήσια Γενική υνέλευση και Αρχαιρεσίες Εκλογής
Οργάνων
Σο Δ.. του Ι.Ε..Π. - ISACA Athens Chapter συγκαλεί
την Ετήσια Γενική υνέλευση του Ινστιτούτου στις 6
Μαρτίου 2012 και ώρα 18:30 στο συνεδριακό του
4ου ορόφου στην έδρα του Ι.Ε..Π. (Ελληνο-
Αμερικάνικη Ένωση - Μασσαλίας 22). Σην ίδια
ημερομηνία θα διεξαχθούν και οι εκλογές για το νέο
Διοικητικό υμβούλιο και την Εξελεγκτική Επιτροπή. ε
περίπτωση που δεν υπάρξει η απαιτούμενη από το
καταστατικό απαρτία κατά την προαναφερόμενη
ημερομηνία η Γενική υνέλευση θα συγκληθεί χωρίς
νέα πρόσκληση την επόμενη εβδομάδα, 13 Μαρτίου,
την ίδια ημέρα και ώρα, στον ίδιο τόπο. Σα θέματα
της ημερησίας διατάξεως είναι τα ακόλουθα:
3. Νέα του Ινστιτούτου
• Οικονομικός Απολογισμός 2011 και
Προϋπολογισμός 2012
• Έκθεση Εξελεγκτικής Επιτροπής επί της οικονομικής
διαχείρισης του Διοικητικού υμβουλίου
• Πεπραγμένα του Διοικητικού υμβουλίου
• Αρχαιρεσίες για την εκλογή νέου Δ.. και λοιπών
οργάνων του Ινστιτούτου
Δικαίωμα συμμετοχής στη Γενική υνέλευση έχει κάθε
ταμειακώς ενήμερο μέλος. Σέλος, σημειώνεται ότι
στους κατόχους των επαγγελματικών πιστοποιήσεων
θα δοθούν βεβαιώσεις για αναγνώριση δύο (2) CPEs.
Αναμένουμε και ευελπιστούμε σε σημαντική
συμμετοχή υποψηφίων.
υμμετοχή σε συνέδρια
2nd Internal Audit Conference, Boussias,
30/09/2011
Η “Boussias Communications” (με συνδιοργανωτή το
Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών)
διοργάνωσε για δεύτερη συνεχή χρονιά το Internal
Audit Conference. Ο τίτλος του συνεδρίου ήταν «The
360ο Οutlook» και διεξήχθη στο Αμφιθέατρο του OTE
Academy στις 30 επτεμβρίου 2011. τόχος του
φετινού συνεδρίου ήταν να δώσει έμφαση στις
στρατηγικές σχέσεις που πρέπει να έχει ο εσωτερικός
έλεγχος με την ανώτερη διοίκηση της εκάστοτε
εταιρείας, την Επιτροπή Ελέγχου (Audit Committee)
αλλά και τις εξωτερικές ρυθμιστικές αρχές. Επίσης,
διερευνήθηκαν τα καίρια θέματα της σωστής
αποτίμησης επικινδυνότητας (Risk Assessment), της
εφαρμογής του κώδικα Εταιρικής Διακυβέρνησης και
των συνεργιών μεταξύ εσωτερικού ελέγχου και
εξωτερικών ελεγκτών.
15
Newsletter ISACA Athens Chapter
Σο Ι.Ε..Π. υποστήριξε και φέτος αυτή την
προσπάθεια, έχοντας ενεργή συμμετοχή με περίπτερο
και ομιλίες. Αρχικά, ο Προέδρος του Ι.Ε..Π., κος
Ανέστης Δημόπουλος μαζί με την Πρόεδρο του
Ελληνικού Ινστιτούτου, κα Joyce Vassiliou απηύθυναν
χαιρετισμό κατά την έναρξη του συνεδρίου. τη
συνέχεια, ο Αντιπρόεδρος του Ι.Ε..Π., κος Γιάννης
Λευκάκης, παρουσίασε στο συνέδριο τα
αποτελέσματα της ετήσιας έρευνας που διεξήγαγε ο
ISACA παγκοσμίως με θέμα “Top Business /
Technology Issues”. υγκεκριμένα, αναφέρθηκε στα
κυριότερα θέματα που ανέδειξε η έρευνα για το 2010
συγκεντρωτικά αλλά και από την οπτική γωνία των
άμεσα εμπλεκόμενων οργανικών περιοχών, τον
Εσωτερικό Έλεγχο, την Ασφάλεια και την
Πληροφορική, παρουσιάζοντας επίσης ενέργειες που
έχει ήδη κάνει o ISACA για να υποστηρίξει τους
επαγγελματίες του χώρου προς την αντιμετώπιση
τους. Η παρουσίαση είναι διαθέσιμη στον ιστότοπο
του Ι.Ε..Π.
Επίσης, πρέπει να σημειώσουμε ότι όλοι οι
συμμετέχοντες είχαν τη δυνατότητα να επισκεφτούν
το περίπτερο του Ι.Ε..Π., να συζητήσουν, να
ανταλλάξουν γνώμες και ιδέες γύρω από θέματα
ελέγχου και ασφάλειας πληροφοριακών συστημάτων
αλλά και να προμηθευτούν ενημερωτικό υλικό σχετικά
με τις δράσεις και πρωτοβουλίες του ISACA στην
Ελλάδα, παγκοσμίως αλλά και για τις διεθνώς
αναγνωρισμένες επαγγελματικές πιστοποιήσεις του
ISACA (CISA, CISM, CGEIT & CRISC).
Τπενθυμίζουμε ότι το Ι.Ε..Π. στα πλαίσια της
συνεργασίας και υποστήριξης του συνεδρίου
εξασφάλισε στα μέλη του δύο προσκλήσεις, οι οποίες
δόθηκαν κατόπιν κλήρωσης, προκειμένου να το
παρακολουθήσουν δωρεάν και ένα ποσοστό έκπτωσης
στο κόστος συμμετοχής.
3. Νέα του Ινστιτούτου
Ομιλία του Αντιπροέδρου Δ.. ΙΕΠ ISACA Athens Chapter κ.
Ι.Λευκάκη
Σο περίπτερο το ΙΕΠ – ISACA Athens Chapter με τον
Γραμματέα Δ.. κ. Γ. Ράικο και τον Ι. Μπονάτο μέλος της Ο.Ε.
Newsletter
16
Newsletter ISACA Athens Chapter
6o IT Directors Forum, Boussias, 10/10/2011
To Ι.Ε..Π. υποστήριξε το 6ο IT Directors Forum που
διοργάνωσε η Boussias Communications στο κτήμα
Pentelikon στις 10 Οκτωβρίου 2011 με θέμα: “Why IT
Innovation matters in times of crisis? Exploring the
business perspective”. τόχος του φετινού συνεδρίου
ήταν να αναδείξει το νέο καθοριστικό ρόλο που
καλείται να παίξει η Πληροφορική στην επιχείρηση,
αναγνωρίζοντας τη διακεκριμένη θέση που οφείλει να
λάβει - κάτω από πρωτοφανείς δυσχερείς οικονομικές
συνθήκες - ο ΙΣ Οργανισμός τόσο σε ότι αφορά τις
κρίσιμες στρατηγικές αποφάσεις όσο και τη
δημιουργία επιχειρηματικής καινοτομίας που θα φέρει
αξία σήμερα κιόλας.
Σο Ινστιτούτο μας είχε για άλλη μια φορά δυναμική
παρουσία με περίπτερο στο χώρο του συνεδρίου με
σκοπό την περαιτέρω προώθησή του, και του ISACA,
σε ένα κομμάτι της Ελληνικής αγοράς που υπάρχει
έδαφος για την προσέγγιση νέων μελών.
IT|Pro Dev Connections 2011, 26-27/11/2011
τις 26 και 27 Νοεμβρίου 2011 διεξήχθη στο
Εκπαιδευτικό Κέντρο της Εθνικής Σράπεζας της
Ελλάδος το IT|Pro Dev Connections 2011. Μετά την
επιτυχημένη πρώτη χρονιά, η κοινότητα
επαγγελματιών πληροφορικής, το autoexec.gr, σε
συνεργασία με την αντίστοιχη κοινότητα
προγραμματιστών, το dotNETZone.gr, οργάνωσαν και
παρουσίασαν μία πολύ ενδιαφέρουσα εκδήλωση με
πέντε παράλληλα tracks μέσα σε δύο ημέρες. Η
εκδήλωση ήταν και φέτος υπό την υποστήριξη του
Ι.Ε..Π.
3. Νέα του Ινστιτούτου
Εκπαιδευτική Εσπερίδα του Ελληνικού Ινστιτούτου
κατά της Απάτης, 09/11/2011
Σο Ι.Ε..Π. υποστήριξε την ιδιαίτερα ενδιαφέρουσα
εκπαιδευτική εκδήλωση που διοργάνωσε το Ελληνικό
Ινστιτούτο κατά της Απάτης (HACFE) στο αμφιθέατρο
της Ελληνοαμερικανικής Ένωσης στις 9 Νοεμβρίου
2011 με θέμα: “Επιχειρησιακή Ηθική και
Επαγγελματική Δεοντολογία. Σο Ινστιτούτο μας
εκπροσωπήθηκε από το Γενικό Γραμματέα, κ. Γεώργιο
Ράικο, ο οποίος συμμετείχε μαζί με άλλους
διακεκριμένους επαγγελματίες σε ανοικτή συζήτηση
που έλαβε χώρα στο τελευταίο μέρος της εκδήλωσης
όπου και έγινε αναφορά σε περιπτωσιολογίες (case
studies).
Ο Γραμματέας Δ.. κ. Γ. Ράικος (δεξιά) με τον Πρόεδρο το
HACFE, κ. Π. Γεωργίου
17
Newsletter ISACA Athens Chapter
Βράβευση Ι.Ε..Π. με τη διάκριση “2011 Best
Newsletter award” στην κατηγορία “Large Chapter”
Καλομελέτα κι έρχεται! Ο λόγος για τη διάκριση για
την οποία υπήρχε συγκρατημένη – λόγω του
ανταγωνισμού – αισιοδοξία στις κατ‟ ιδίαν
επικοινωνίες των μελών του Δ.. με την Ομάδα
Εργασίας του Newsletter.
To Ι.Ε..Π. - ISACA Athens Chapter έλαβε το
βραβείο Best Newsletter Worldwide για το έτος
2011 στην κατηγορία Μεγάλων Παραρτημάτων
(Large Chapter) του ISACA International. Σο
βραβείο αυτό θα απονεμηθεί επίσημα κατά το
2012 Europe/Africa Leadership Conference το
οποίο θα διοργανωθεί πριν από το EuroCACS
Conference στο Μόναχο στις 8-9 επτεμβρίου
2012.
Για την ιστορία, το newsletter μας άρχισε να
κυκλοφορεί τον Ιούνιο του 2008 με αποκλειστικά
εκπαιδευτικό περιεχόμενο, ενώ οι πρώτες
προσθήκες στη θεματολογία του αφορούσαν νέα
του ISACA International για πιστοποιήσεις και
εγγραφές μελών οι οποίες έγιναν στο τέλος του
ίδιου έτους. H πρώτη μικρή αισθητική αναβάθμιση,
έγινε το Μάρτιο του 2009 ενώ παράλληλα
εμπλουτίστηκε το περιεχόμενο με νέα /
ανακοινώσεις για τη δράση του Ι.Ε..Π. αλλά και
του ISACA International. Σον Οκτώβριο του 2009,
συστάθηκε η 1η Ομάδα Εργασίας του Newsletter
με στόχο την καθιέρωση τακτικής, εμπλουτισμένης
επικοινωνίας προς τα μέλη και εν συνεχεία την
εικαστική βελτίωσή του. Σο Υεβρουάριο του 2010
και έχοντας ήδη εκδόσει 9 τεύχη, ολοκληρώθηκε
3. Νέα του Ινστιτούτου
ένα gap analysis με τα πρότυπα και τις απαιτήσεις
του ISACA International. Η επόμενη έκδοση, το
επτέμβριο του 2010, στηρίζεται στην κατά 60% νέα
Ομάδας Εργασίας (αποτελείται πλέον από δύο παλιά
και τρία νέα μέλη), έχει τελείως νέα εμφάνιση, τη
σημερινή, και μέχρι το τέλος του έτους η θεματολογία
περιλαμβάνει συνεντεύξεις, άρθρα, ενότητα
αποκλειστικά για το Cobit και σελίδα ειδικά για τα
μέλη. Οι βάσεις για τα επόμενα τεύχη αλλά και για τη
διεθνή αναγνώριση έχουν μπει. Σο 2011 τα τεύχη του
newsletter κυκλοφορούν και σε έντυπη μορφή με
στόχο την προώθηση του ISACA International και του
Ινστιτούτου μας σε συνέδρια και εκδηλώσεις τρίτων
φορέων στο χώρο της Πληροφορικής. Είναι και η
χρονιά που αποφασίζουμε να συμμετάσχουμε στη
διαδικασία αξιολόγησης με τα γνωστά
αποτελέσματα…
Σέλος, εδώ και περίπου ένα χρόνο, χάρη σε μία άλλη
Ομάδα Εργασίας, αυτή του website, παρέχεται online
προβολή του Newsletter σε μορφή e-paper χωρίς να
είναι απαραίτητη η λήψη του (download) μέσω του
www.isaca.gr
Με αφορμή τη συγκεκριμένη βράβευση θα θέλαμε να
σας υπενθυμίσουμε ότι πρόκειται για την 5η κατά
σειρά διεθνή διάκριση του Ι.Ε..Π. από το 2008. Πιο
συγκεκριμένα τα βραβεία που έχει λάβει μέχρι
σήμερα το ISACA Athens Chapter:
• Chapter Website Award - Bronze Level (2008,
2009, 2010)
• K.Wayne Snipes Chapter Recognition Award - Best
Large Chapter in Europe /Africa (2009)
• Best Large Chapter Newsletter Worldwide (2011)
18
Newsletter ISACA Athens Chapter
Μεγάλο μέρος της επιτυχίας ανήκει στα μέλη του
Ι.Ε..Π., που αποτελούν μέλη της Ομάδας Εργασίας
Newsletter, κκ Ιωάννη Μπονάτο, Γιώργο
Σαναμπασίδη, ταμάτη Πασσά, Φρήστο Βιδάκη και
Νίκο Μπούμπουλη, τους οποίους και ευχαριστούμε
θερμά για τη συνεισφορά τους.
Σο I.Ε..Π. στο Περιοδικό IT Security
Μια σπουδαία αναφορά
στο Ινστιτούτο Ελέγχου
υστημάτων Πληρο-
φορικής - ISACA Athens
Chapter πραγματο-
ποιήθηκε μέσα στο 2011
από το περιοδικό IT
Security, που είναι ένα
διμηνιαίο περιοδικό για το
Enterprise Computing και
την ασφάλεια στην
Πληροφορική, με τίτλο
“Επαγγελματικές
Πιστοποιήσεις ISACA για επαγγελματίες Ελέγχου,
Ασφάλειας, Διακυβέρνησης & Διαχείρισης Κινδύνων
Πληροφοριακών υστημάτων”.
Πιο αναλυτικά στο τεύχος 21 (Μάιος – Ιούνιος 2011 )
συμπεριλήφθηκε μια παρουσίαση του Ινστιτούτου από
τον Πρόεδρο του Δ.. & υντονιστή Πιστοποιήσεων, κ.
Ανέστη Δημόπουλο, μια σύντομη ανάπτυξη των
τεσσάρων πιστοποιήσεων του ISACA, (CISA, CISM,
CGEIT, CRISC) περιλαμβάνοντας και κάποια
στατιστικά στοιχεία για τους επαγγελματίες που έχουν
αποκτήσει κάποια από τις πιστοποιήσεις, δείχνοντας
έτσι την ιδιαίτερη αποδοχή που τυγχάνουν από την
επαγγελματική κοινότητα στην Ελλάδα. Σέλος στο εν
λόγω τεύχος υπήρχε και διαφημιστική καταχώριση των
πιστοποιήσεων.
3. Νέα του Ινστιτούτου
19
Newsletter ISACA Athens Chapter
Ανανέωση Πιστοποιήσεων για το 2012 & Νέες
Εκπτώσεις
Η δυνατότητα ανανέωσης των πιστοποιήσεων του
2012 είναι πλέον ανοιχτή στο σχετικό link του
επίσημου ιστότοπου του ISACA. Να υπενθυμίσουμε ότι
η ανανέωση των πιστοποιήσεων απαιτεί την καταβολή
της ετήσιου ποσού για την διατήρησή και τη δήλωση
των απαιτούμενων CPE ωρών για το 2011.
Ο ISACA προσφέρει επίσης μια νέα έκπτωση στο
ετήσιο ποσό διατήρησης της πιστοποίησης για τα
άτομα που κατέχουν και θα ανανεώσουν πάνω από 2
πιστοποιήσεις του. Πιο δυγκεκριμένα παρέχεται
έκπτωση ανανέωσης για την 3η και 4η πιστοποίηση,
στο ποσό των US $15 για τα μέλη και US $ 35 για τα
μη μέλη. Για περισσότερες λεπτομέρειες μπορείτε να
δείτε το τιμολόγιο σας για το 2012.
ημαντικές ημερομηνίες για τις Εξετάσεις
Ιουνίου 2012 CISA, CISM, CGEIT , CRISC
Οι εγγραφές για τις εξετάσεις του Ιουνίου 2012 είναι
πλέον ανοιχτές. Η πρόωρη λήξη (early bird) της
προθεσμίας εγγραφής, μέχρι την οποία παρέχεται
μειωμένη τιμή εγγραφής, παρήλθε στις 10
Υεβρουαρίου 2012. Η τελική προθεσμία για την
εγγραφή στις εξετάσεις λήγει στις 6 Απριλίου 2012.
υνοπτικά οι σημαντικές ημερομηνίες που πρέπει να
θυμόσαστε:
- Final registrations Deadline (Both online and
Mailed/Faxed): 4 Απριλίου 2012
- Exams: 9 Ιουνίου 2012
Για περισσότερες πληροφορίες ανατρέξτε στο σχετικό
link στον ιστότοπο του ISACA.
4. Νέα ISACA International
ημαντική Αλλαγή: ας υπενθυμίζουμε ότι η περιοχή
εργασίας (job practice) του CISM έχει αλλάξει και
τίθεται σε ισχύ από τις εξετάσεις του Ιουνίου 2012.
Για όσους ενδιαφέρονται σας παραθέτουμε το σχετικό
link που εξηγεί τις αλλαγές που πραγματοποιήθηκαν
για την πιστοποίηση CISM.
Η Πιστοποίηση CISM του ISACA επιλέχθηκε ως
Υιναλίστ του SC Magazine Best Professional
Certification Program 2012
Για 15ο έτος, τα ετήσια βραβεία του περιοδικού SC
Magazine παρουσιάζουν τις καλύτερες λύσεις,
υπηρεσίες και επαγγελματίες, ενώ παράλληλα το
περιοδικό αναγνωρίζει την επίτευξη και τεχνική
αριστεία. Σο SC Magazine διακρίνει τα επιτεύγματα
των επαγγελματιών της ασφάλειας, τις καινοτομίες
που συμβαίνουν στις κοινότητες των πωλητών και
παροχής υπηρεσιών, το έργο όλων των οργανισμών
(μη κερδοσκοπικών, εμπορικών κτλ.) έτσι ώστε όλοι να
εργάζονται για να βοηθήσουν τη βελτίωση της
παγκόσμιας ασφάλειας.
20
Newsletter ISACA Athens Chapter
Οι νικητές των βραβείων του SC Magazine θα
ανακοινωθούν την Σρίτη, 28 Υεβρουαρίου 2012.
Είναι μια ακόμα σπουδαία αναγνώριση για τον ISACA
και τα μέλη του παγκοσμίως, υπενθυμίζοντας πως και
στα περσινά βραβεία της κατηγορίας Επαγγελματικών
Πιστοποιήσεων 2011 Best Professional Certification
Program του ίδιου περιοδικού είχε επιλεχθεί ως
φιναλίστ η πιστοποίηση CGEIT.
ISACA Certifies 15,000th CRISC
Πάνω από 15,000 επαγγελματίες του απόκτησαν την
πιστοποίηση Certified in Risk and Information
Systems Control (CRISC) μέσω του του προγράμματος
grandfathering που ολοκληρώθηκε την περασμένη
χρονιά. Οριακά πάνω από τους 50 CRISC ανήκουν
στο roster του ISACA Athens Chapter.
Αλλαγή στην Πολιτική Φορήγησης CPEs από
01/01/2012
Σο ανώτατο ετήσιο όριο απόκτησης CPEs (ισχύει και
για τις 4 πιστοποιήσεις του ISACA) από τη συμμετοχή
των μελών του σε δραστηριότητες που εμπίπτουν στην
κατηγορία “Contributions to the Profession” έχει
αυξηθεί από τις 10 στις 20 μονάδες. Αυτές οι
δραστηριότητες περιλαμβάνουν ενεργή συμμετοχή
στον ISACA ή σε άλλα Όργανά του –
περιλαμβανομένων των τοπικών Παραρτημάτων –
που προάγουν τα επαγγέλματα που σχετίζονται με τον
έλεγχο, ασφάλεια, διοίκηση / διακυβέρνηση
συστημάτων πληροφορικής. Οι νέες αυτές πολιτικές
είναι διαθέσιμες στις αντίστοιχες ιστοσελίδες που
αφορούν τα CPEs των πιστοποιήσεων CISA, CISM,
CGEIT και CRISC.
ε αυτό το πλαίσιο ο ISACA έχει επιλεγεί ως φιναλίστ
των βραβείων του 2012 του περιοδικού SC Magazine
για την υποδειγματική και επαγγελματική ηγεσία του
στην ασφάλεια των πληροφοριών, καθώς η
πιστοποίηση CISM επιλέχθηκε για το βραβείο του
προγράμματος Best Professional Certification
Program.
“Ο ISACA αποτελεί ένα εξαιρετικό παράδειγμα ηγεσίας
για ολόκληρη τη βιομηχανία της ασφάλειας των
πληροφοριών με τις ισχυρές πολιτικές του και τις
πρακτικές που τον οδήγησαν στην εκλογή του ως
φιναλίστ” είπε η Illena Armstrong, Editor-in-Chief του
περιοδικού SC Magazine. “Αυτή η κατηγορία, συνεχώς
εξελίσσεται καθώς η βιομηχανία μαθαίνει όλο και
καλύτερες πρακτικές από διάφορες περιπτώσεις, και
είναι μια τιμή να αναγνωριστούν οι προσπάθειες του
ISACA”.
Ο Πρόεδρος του ISACA‟s Credentialing Board, Allan
Boardman, δήλωσε μεταξύ άλλων: “Είναι τιμή μας που
το περιοδικό SC μέσω του προγράμματος των
βραβείων του, έχει αναγνωρίσει την συμβολή της
πιστοποίησης CISM για τη βιομηχανία”.
4. Νέα ISACA International
21
Newsletter ISACA Athens Chapter
Treadway Commission) παρέδωσε ένα
επικαιροποιημένο πλαίσιο αρχών εσωτερικού ελέγχου
για δημόσια διαβούλευση. Ο ISACA, ως μέλος του
COSO, ενθαρρύνει κάθε ενδιαφερόμενο να διαβάσει
το επικαιροποιημένο πλαίσιο αρχών και να υποβάλει
τα σχόλιά του. Προς αυτήν την κατεύθυνση, ο COSO
και η PwC, με την οποία συνεργάστηκε για τη
συγγραφή του πλαισίου, έχουν δημιουργήσει μια σειρά
από ερωτήσεις για την καταγραφή σχολίων. Οι
συμμετέχοντες μπορούν να απαντήσουν στις
ερωτήσεις ή/και να υποβάλουν τα σχόλια τους.
Για περισσότερες πληροφορίες και για την υποβολή
των σχολίων σας επισκεφτείτε την ιστοσελίδα του
COSO στο http://www.coso.org/ και στο
http://www.ic.coso.org/default.aspx. Η καταληκτική
ημερομηνία υποβολής σχολίων είναι η 31/03/2012).
υνοπτικά, τον περασμένο Νοέμβριο, ο COSO
ανακοίνωσε ότι πρόκειται να προβεί σε αναθεώρηση
και επικαιροποίηση του πλαισίου εσωτερικού ελέγχου
(internal control framework) που δημιουργήθηκε το
1992. Ο σκοπός του εγχειρήματος αυτού, είναι να
ευαισθητοποιηθεί ολοένα και μεγαλύτερος αριθμός
του παγκόσμιου επιχειρηματικού κόσμου και να
αναβαθμιστεί η σημασία του σχεδιασμού, της
υλοποίησης και της αξιολόγησης του εσωτερικού
ελέγχου, ώστε να βελτιωθεί η αποδοτικότητα των
εταιρειών και να επιτραπεί η καλύτερη διαχείριση
κινδύνων που απορρέουν από το συνεχώς
μεταβαλλόμενο περιβάλλον.
* Επιτροπή που ξεκίνησε ως κοινή πρωτοβουλία πέντε
μεγάλων επιχειρήσεων του ιδιωτικού τομέα, με στόχο
να παρέχει συμβουλές στις υπόλοιπες επιχειρήσεις -
δημιουργώντας πλαίσια αρχών - και καθοδήγηση
σχετικά με τη διαχείριση του επιχειρηματικού
κινδύνου, τον εσωτερικό έλεγχο και πρόληψη της
απάτης.
ISACA Certifies 10,000th CRISC
Δήλωση CPE Hours
Καθώς λαμβάνουμε κατά καιρούς σχετικά ερωτήματα
για τη δήλωση των CPE ώρων σας, παραθέτουμε τα
παρακάτω στοιχεία.
Οι CPE ώρες δηλώνονται ετησίως κατά τη διάρκεια
των διαδικασιών ανανέωσης. Η δήλωση μπορεί να
γίνει και ηλεκτρονικά κατά την διαδικασία ανανέωσης
από την ιστοσελίδα του ISACA Η διατήρηση
πιστοποιήσεων απαιτεί 120 CPE ωρών μέσα σε ένα
πλαίσιο 3 ετών, με βάση την περίοδο απόκτησης της
εκάστοτε πιστοποίησης η οποία αναγράφεται και στο
πιστοποιητικό, και μπορούν πλέον να δηλωθούν
τουλάχιστον 20 για κάθε έτος όσον αφορά την
“Contributions to the Profession”.
Όσον αφορά τον ενδεχόμενο έλεγχο των δηλωμένων
CPEs από τον ISACA International, θα πρέπει να
τηρείτε στο αρχείο σας τα υποστηρικτικά/αποδεικτικά
έγγραφα για 12 μήνες μετά την πάροδο του 3ετούς
κύκλου αναφοράς.
Για να δείτε τις πολιτικές συνεχούς επαγγελματικής
κατάρτισης που ισχύουν και μια λίστα από τις
δραστηριότητες που πληρούν τις προϋποθέσεις για να
λάβετε CPEs, παρακαλούμε να επισκεφτείτε τις
αντίστοιχες ιστοσελίδες του ISACA για κάθε
πιστοποίηση ξεχωριστά CISA, CISM, CGEIT και
CRISC.
COSO Releases Updated Internal Control -
Integrated Framework for Public Comment
τις 19 Δεκεμβρίου 2011, ο οργανισμός COSO*
(Committee of Sponsoring Organizations of the
4. Νέα ISACA International
22
Newsletter ISACA Athens Chapter
•Να μείνετε ενήμεροι για τα τελευταία νέα από το
ISACA.org
•Να έχετε πρόσβαση στα blogs του ISACA.org
Σέλος, θα είναι σύντομα διαθέσιμη μία εφαρμογή με
την ίδια λειτουργικότητα για συσκευές που διαθέτουν
λειτουργικό Android.
Σο τελευταίο του ISACA Journal (Ιαν. 2012) έχει ως
κεντρικό θέμα: Critical Resource Management
Σο “ISACA Journal” είναι πλέον διαθέσιμο στο
Apple App Store
Ο ISACA - συμβαδίζοντας πάντα με τις τεχνολογικές
εξελίξεις – λανσάρισε την πρώτη του εφαρμογή
“ISACA Journal App”, η οποία είναι διαθέσιμη μόνο για
μέλη στο ηλεκτρονικό κατάστημα της Apple (App
Store).
Αναζητώντας το “ISACA Journal” στο Apple App Store
μπορείτε να κατεβάσετε την εφαρμογή για το iPhone,
το iPad ή το iTouch σας. Η εφαρμογή έχει ήδη
συμπεριλάβει περιεχόμενο από την έντυπη έκδοση
(δεύτερο τεύχος του 2011), καθώς επίσης και το
υλικό των ιστολογίων (ISACA Journal Author Blog &
ISACA Now blog). Σο περιεχόμενο ενημερώνεται σε
εβδομαδιαία βάση με νέα από τα blogs και σε
διμηνιαία βάση με κάθε νέο τεύχος του περιοδικού.
Με την εφαρμογή αυτή, έχετε τη δυνατότητα:
•Να «κατεβάσετε» όλες τις διαθέσιμες εκδόσεις του
περιοδικού, ώστε να μπορείτε να τις προσπελάσετε
“offline” οποιαδήποτε στιγμή θελήσετε.
•Να διαβάσετε άρθρα σε διάφορα formats.
•Να σημειώσετε και να μοιραστείτε άρθρα.
4. Νέα ISACA International
23
Newsletter ISACA Athens Chapter
CACS και ISRM σε ένα Ευρωπαϊκό υνέδριο
Κατά την διάρκεια των τελευταίων ετών, το
International Headquarters του ISACA έχει ξεκινήσει
και πραγματοποιεί δύο Ευρωπαϊκά εκπαιδευτικά
συνέδρια: το Euro CACS κατά το πρώτο τρίμηνο του
έτους και το Euro ISRM κατά το τέταρτο τρίμηνο του
έτους. Μετά από προσεκτική ανάλυση των επιπέδων
συμμετοχής, των χορηγιών, των πόρων και των
συνεργειών των προγραμμάτων, η Επιτροπή
Education and Dissemination του ISACA αποφάσισε
να συνδυάσει τα δυο Ευρωπαϊκά συνέδρια, CACS και
ISRM το 2012 σε ένα μεγαλύτερο Ευρωπαϊκό Σεχνικό
υνέδριο.
Μέσα στο 2012 λοιπόν, κάθε εκδήλωση θα
διατηρήσει το όνομα της, αλλά θα λάβουν χώρα στο
ίδιο μέρος και την ίδια ημερομηνία. Ξεκινώντας το
2013, οι δυο εκδηλώσεις θα συγχωνευτούν σε ένα
μόνο γεγονός που θα απευθύνεται σε όλους τους
κλάδους του ISACA. Ο στόχος είναι ότι αυτό θα
επιτρέψει το προσωπικό του ISACA να εργαστεί πιο
στενά με τα Ευρωπαϊκά Chapters για να παραδώσει
ένα event που θα προσελκύσει μεγαλύτερο αριθμό
συμμετεχόντων, θα είναι πιο ελκυστικό για πιθανούς
χορηγούς και θα παρέχει μια συνολικά καλύτερη
εκπαιδευτική εμπειρία για τα μέλη μας.
Πριν από μερικούς μήνες, εστάλη μια έρευνα σε όλους
του Προέδρους των Ευρωπαϊκών Chapters για να
βοηθήσουν στον εντοπισμό της καλύτερης εποχής του
χρόνου για να πραγματοποιηθεί το συνδυαστικό
CACS/ISRM Ευρωπαϊκό υνέδριο. Σα αποτελέσματα
της έρευνας αυτής έδειξαν ότι ο επτέμβριος θα είναι
η καλύτερη εποχή για να γίνει το event.
4. Νέα ISACA International
24
Newsletter ISACA Athens Chapter
ψηφιακή έρευνα. Ακόμα
σημαντική είναι η
παρουσίαση των θεμελιωδών
στοιχείων των ψηφιακών
εγκλημάτων που θα βοηθήσει
τους νέους ερευνητές πάνω
στα ψηφιακά εγκλήματα να
γνωρίσουν τα σημαντικά
στοιχεία που απαιτούνται για
την επίτευξη σταθερών
αποτελεσμάτων με συνοχή
που θα είναι σαφή σε
περιπτώσεις που χρειάζονται
από τρίτους ή από τις αρχές
της δικαιοσύνης.
Όσον αφορά τη δομή του βιβλίου, αυτό είναι
χωρισμένο σε τρία μέρη. Σο πρώτο έχει να κάνει με τις
βασικές αρχές των εγκληματολογικών συστημάτων, τις
τεχνικές και τις μεθόδους. Σο δεύτερο μέρος με τα
εγκληματολογικά εργαλεία. Και τέλος το τρίτο μέρος
ασχολείται με τις αντιδράσεις απέναντι στα
περιστατικά και τις μελλοντικές κατευθύνσεις στο
κομμάτι αυτό.
υνοψίζοντας, η έκδοση αυτή έχει ιδιαίτερη σημασία
για τους επαγγελματίες της ασφάλειας των
πληροφοριών, των πληροφοριακών συστημάτων και
του IT Auditing και γενικά για όλους όσους σκέφτονται
μια καριέρα με αντικείμενο τα ψηφιακά εγκλήματα.
Σέλος, χρήσιμο θα φανεί και στους IT managers στο
να ενημερωθούν και να κατανοήσουν το πεδίο
εφαρμογής και τους κινδύνους που εγκυμονούν στην
πραγματοποίηση ψηφιακών ερευνών.
Σο βιβλίο εκδόθηκε το 2011, έχει 339 σελίδες και
διατίθεται από το βιβλιοπωλείο του ISACA στην τιμή
των $90.00 για τα μέλη (Product Code: 2JBSF).
Book Review: System Forensics, Investigation,
and Response
Από τους John Vacca και K.Rudolph, Κριτική
από Jeimy J. Cano M., Ph.D., CFC, CFE, CMAS,
Chief Information Security Officer for
Ecopetrol
Μιλώντας για εγκλήματα μέσω υπολογιστών και
ψηφιακές έρευνες, είναι σαν να μιλάμε για το πώς
ένας χάκερ της ασφάλειας πληροφοριών
πραγματοποιεί «βόλτες» ανάμεσα μας, ελπίζοντας ότι
τα καλύτερα μοντέλα που χρησιμοποιούμε για
πρόληψη και αντίδραση θα αποτύχουν, αφήνοντας
μας κάθε φορά μαθήματα που πρέπει να πάρουμε για
να συνεχίσουμε να βελτιώνουμε την κατανόηση και
την πειθαρχία της προστασίας των πληροφοριών.
Η ανακάλυψη πληροφοριών σχετικά με συμβάντα
στην ασφάλεια πληροφοριών είναι ένα ταξίδι μέσα
από αρχεία, logs, συνεντεύξεις, διαδικασίες
διασφάλισης και στρατηγικές με σκοπό να βρεθεί η
αλήθεια για τα γεγονότα που είναι συνυφασμένη με
τις σχέσεις μεταξύ της τεχνολογίας, των ατόμων και
των οργανωτικών διαδικασιών. Αυτή η ψηφιακή
έρευνα, είναι μια δύσκολη αποστολή καθώς όποιος
την πραγματοποιεί θα πρέπει να αναγνωρίσει το
μυαλό του εισβολέα και να κατανοήσει τις μεθόδους
του, τις κινήσεις του, όπως επίσης θα πρέπει να έχει
τις απαραίτητες τεχνικές και διαδικαστικές δεξιότητες
πάνω σε εγκληματολογικές έρευνες στον τομέα της
πληροφορικής.
το πλαίσιο αυτό οι συγγραφείς του βιβλίου
επιχείρησαν να μας παρουσιάσουν από προσωπική
πείρα και έρευνα τις βασικές αντιδράσεις απέναντι σε
συγκεκριμένα περιστατικά και να μας επιτρέψουν να
γνωρίσουμε πως μπορούμε να εμβαθύνουμε σε μια
4. Νέα ISACA International
25
Newsletter ISACA Athens Chapter
Εκπροσώπηση Ι.Ε..Π. σε Διεθνές υνέδριο
Ο Πρόεδρος του ISACA Athens Chapter, κος Ανέστης
Δημόπουλος, εκπροσώπησε το Ινστιτούτο μας καθώς
προσκλήθηκε ως ομιλητής στο 7ο IT GRC Conference
που διοργάνωσε ο διεθνής οργανισμός συνεδρίων
«Marcus Evans» στη Βαρκελώνη στις 8 και 9
επτεμβρίου 2011. Σο θέμα της παρουσίασης του
κυρίου Δημόπουλου ήταν: “Fortifying the pillars of IT
Governance & Deploying an enterprise-wide
strategy”.
υνοπτικά κατά την παρουσίασή του αναφέρθηκε
στον ISACA παγκοσμίως, στο Ελληνικό παράρτημα
καθώς και σε θέματα διακυβέρνησης συστημάτων
πληροφορικής (ΙΣ Governance). Ιδιαίτερη αναφορά
έγινε στις τεχνολογικές προκλήσεις στο σύγχρονο
επιχειρηματικό περιβάλλον, στους βασικούς πυλώνες
του πλαισίου διακυβέρνησης συστημάτων
πληροφορικής του ISACA καθώς και πως αυτό μπορεί
να ενισχύσει το ευρύτερο πλαίσιο εταιρικής
διακυβέρνησης. Σέλος o κος Δημόπουλος, παρουσίασε
σχετικές μελέτες περιπτώσεων (case studies). Η
παρουσίαση είναι διαθέσιμη στον ιζηόηοπο ηου
Ι.Ε.Σ.Π.
ISACA Athens Chapter: Οι αριθμοί του 2012
Καθώς ξεκίνησε η νέα χρονιά, κοιτάζουμε τα νούμερα
στο roster των μελών, τα οποία διατηρούνται σε
υψηλά επίπεδα παρά την ιδιαίτερα δύσκολη
οικονομική συγκυρία, ενώ υπάρχει σταδιακή αύξηση
του αριθμού των πιστοποιήσεων που κατέχετε. Για να
τα δούμε πιο αναλυτικά (στοιχεία 10/02/2012):
5. Η ελίδα των Μελών
Αριθμός μελών 379, εκ των οποίων το 46% είναι πάνω
από πέντε συνεχόμενα έτη μέλη του Ι.Ε..Π. σύμφωνα
με τα member levels:
• Platinum (>15 έτη): 6
• Gold (10-14 έτη): 44
• Silver (5-9 έτη): 124
• Bronze (3-4 έτη): 96
• Νέα μέλη (0-2 έτη): 109
Αριθμός πιστοποιημένων μελών 210 (55%), εκ των
οποίων το 32% κατέχει πάνω από μία πιστοποίηση:
• Κάτοχοι μίας πιστοποίησης: 141
• Κάτοχοι δύο πιστοποιήσεων: 53
• Κάτοχοι τριών πιστοποιήσεων: 14
Σα 208 μέλη κατέχουν συνολικά 292 πιστοποιήσεις,
με το CISA να κυριαρχεί με 56%, ενώ έχει ανέβει πολύ
και η νέα πιστοποίηση CRISC:
• CISA: 163
• CISM: 54
• CRISC: 51
• CGEIT: 24
26
Newsletter ISACA Athens Chapter
Οριζόντια
2. The overall level of risk to the project, programme,
or business objective, when the effects of all
uncertainties and risks are combined.
7. A measure that may be qualitative or quantitative
used to compare the relative significance of risks.
8. The exposure arising from a specific risk before
any action has been taken to manage it.
9. The broad-based amount of risk a company or
other entity is willing to accept in pursuit of its
mission or vision.
10. The reporting of selected risks to more senior
staff for information; or the elevation of risks for
action by more senior staff.
Κάθετα
1. Information about the time period when a risk
might occur, having an effect on plans and
objectives. This may be during a particular activity
that a risk would affect, or a calendar period during
which the risk could occur.
3. Risks from damage to reputation, competition,
demographic trends, technological innovation,
capital availability and regulatory trends.
4. The threshold level of risk severity or exposure
which, when exceeded, will trigger an exception
report.
5. The risk of direct or indirect loss resulting from
inadequate or failed internal processes, people and
systems or from external events.
6. A term used generally to describe any active or
conscious passive approach taken to manage a
threat either before it might occur or that does occur.
5. Η ελίδα των Μελών
ταυρόλεξο και απαντήσεις του προηγούμενου
τεύχους
το παρόν τεύχος έχουμε ετοιμάσει το παρακάτω
σταυρόλεξο, αντλώντας πληροφορίες από το κομμάτι
της διαχείρισης κινδύνων στα πληροφοριακά
συστήματα. Οι πέντε πρώτοι που θα το συμπληρώσουν
σωστά θα λάβουν μία πρόσκληση για την επόμενη
εκπαιδευτική εκδήλωση του Ι.Ε..Π. (στις 15/2/2012)
προκειμένου να τις διαθέσουν σε μη μέλη του
Ινστιτούτου. Οι απαντήσεις πρέπει να σταλούν με e-
mail στο [email protected]
27
Newsletter ISACA Athens Chapter
5. Η ελίδα των Μελών Απαντήσεις προηγούμενου τεύχους (Κρυπτόλεξο):
• Infrastructure
• Rating
• Encryption
• Cisa
• Configuration
• Process
• Baseline
• Doc
• Audit
• Review
• Policy
• Vulnerability
28
Newsletter ISACA Athens Chapter
Ιστοσελίδα για το COBIT 5
Ο ISACA® έχει δημιουργήσει στον ιστότοπό του, μια
ιζηοζελίδα ειδικά για το COBIT® 5, όπου μπορείτε να
βρείτε επικαιροποιημένη όλη τη σχετική πληροφόρηση
(executive summaries, επόμενα στάδια ανάπτυξής
του, εκπαίδευση στο COBIT® 5) .
COBIT 5 Executive Summary Now Available
Μια δισέλιδη περίληψη για το επικαιροποιημένο
πλαίσιο COBIT® 5, αναρτήθηκε στον ιστότοπο του
ISACA, στο τέλος του Ιανουαρίου. ε αυτήν
απεικονίζονται διαγραμματικά και περιγράφονται οι 5
βασικές αρχές στις οποίες στηρίζεται το COBIT® 5
(Aligned and Integrated Framework, Stakeholder
Value Driven, Enterprise and Context Focused,
Enabler Based, Governance and Management
Structured). Επίσης περιλαμβάνεται η εννοιολογική
6. ε Σροχιά CobiT
προσέγγιση του Governance και του Management
από το COBIT® 5, όπου η σαφής διάκρισή τους
θεωρείται ιδιαίτερα σημαντική.
How to migrate from COBIT 4.1 to COBIT 5?
Για όσους έχουν ήδη εφαρμόσει το COBIT 4.1 και
«πονοκεφαλιάζουν» πως θα γίνει η «μετάπτωση» στο
COBIT® 5, ο ISACA έχει δημιουργήσει μία κοινότητα
για την ανταλλαγή απόψεων και ιδεών για τις αρχές
του COBIT® 5, τους ορισμούς του governance και του
management , το COBIT assessment program, κλπ.
Γραθηείηε ηώρα!
COBIT Misconceptions and Facts
Κατά την αξιολόγηση των σχολίων που υποβλήθηκαν
την περίοδο διαβούλευσης του COBIT® 5
παρατηρήθηκαν ορισμένες γενικής φύσεως
παρανοήσεις. Με στόχο να «ξεκαθαρίσει το τοπίο», για
κάθε τέτοια παρανόηση καταγράφηκε η σωστή
αντίληψη/τοποθέτηση για το COBIT® , η οποία
παρατίθεται παρακάτω:
29
Newsletter ISACA Athens Chapter
6. ε Σροχιά CobiT
Misconception Fact
COBIT is a standard.
COBIT is a framework. Unlike a standard, which requires an enterprise to follow the complete
guidance as it is documented, a framework is flexible and can—and should—be customized to fit an
enterprise’s size, culture, risk profile, business needs, etc.
COBIT is an IT audit
framework.
COBIT is a framework that covers governance and management aspects of information and
technology used across the complete enterprise from “end to end” and beyond, providing a
common business language for the business’s use of information and technology assets.
COBIT is technical. COBIT is business-language-oriented and avoids use of technical terms wherever possible.
COBIT is a competitor of ITIL.
COBIT and ITIL are complementary. COBIT brings breadth, covering all governance and management
activities related to information and technology, and ITIL provides depth of guidance in IT service
management areas.
COBIT provides only control
objectives for IT processes.
In addition, COBIT also provides guidance on good management practices. To reflect this shift in
framework content, COBIT now goes by its acronym only.
COBIT is a tool for Sarbanes-
Oxley compliance only.
COBIT helps enterprises comply with any and all relevant legislation and regulations, including, but
not limited to, Sarbanes-Oxley.
COBIT is complicated and
overwhelming.
The principles and supporting guidance in COBIT use business language to facilitate comprehension
of the material; however, governance and management of enterprise IT are not simple topics to
grasp or address.
COBIT must be
“implemented” in its entirety
or not at all.
No enterprise is expected to implement all of the practices in COBIT; each enterprise should select
the practices and activities that fit its business objectives, needs and capabilities.
COBIT is of value for big
enterprises only.
COBIT can be used by enterprises of any size, particularly when considering the principles and
enablers related to the governance and management of enterprise IT.
COBIT provides specific
directions and answers.
COBIT is not a specific route that tells an enterprise exactly where to start and stop; instead, it is a
broader map that enterprises can use to determine their starting points and where they want to go.
As a result, it can be used by any enterprise, regardless of its size, location, industry or current level
of management and governance capability.
30
Newsletter ISACA Athens Chapter
ΕΚΠΑΙΔΕΤΣΙΚΑ ΠΡΟΓΡΑΜΜΑΣΑ ISACA
Επόμενη Εκπαιδευτική Εκδήλωση Ι.Ε..Π.,
15/02/2012
Σο Ινστιτούτο Ελέγχου υστημάτων Πληροφορικής έχει
προγραμματίσει την επόμενη απογευματινή
εκπαιδευτική εκδήλωση την Σετάρτη 15 Υεβρουαρίου
2012, λίγο πριν από την κοπή της πρωτοχρονιάτικης
πίτας που θα λάβει χώρα στο ίδιο μέρος. H ευρύτερη
θεματική ενότητα είναι αφιερωμένη στην ασφάλεια
και συγκεκριμένα σε virtual machines ενώ θα
παρουσιαστούν επίσης case studies από την ελληνική
πραγματικότητα που κάνουν δύσκολη τη ζωή ενός
administrator και την ασφάλεια να ακροβατεί. Η
εκδήλωση θα διεξαχθεί στην Ελληνοαμερικανική
Ένωση (Μασσαλίας 22) στο αμφιθέατρο του 2ου
ορόφου και ώρες 18:00-19:50. Η αναλυτική
ενημέρωση της εκδήλωσης έχει αναρτηθεί στον
ιζηόηοπό μας.
e-Symposium, 28/02/2011
Ο ISACA διοργανώνει στις 28 Υεβρουαρίου 2012 e-
symposium με τίτλο “Best Practices and Controls for
Compliance and Risk Management” (11:00am-
14:00pm EST, 16:00pm-19:00pm UTC), όπου θα
αναλυθούν οι προκλήσεις που συνδέονται με την
εφαρμογή και διατήρηση ενός επιτυχούς GRC
προγράμματος, τις οποίες πρέπει να αντιμετωπίσει μία
εταιρία ώστε το εν λόγω πρόγραμμα να είναι
αποδοτικό για αυτήν.
Επίσης, εξειδικευμένοι επαγγελματίες θα συζητήσουν
για τους μηχανισμούς ελέγχου και τις βέλτιστες
πρακτικές που απαιτούνται για την επίτευξη
7. Εκπαιδευτικά Προγράμματα & υνεργασίες
αποτελεσματικής συμμόρφωσης και διαχείρισης
κινδύνων και θα απαντήσουν ζωντανά στις ερωτήσεις
σας!. Οι συμμετέχοντες μπορούν να λάβουν 3 CPEs
υπό την προϋπόθεση της επιτυχούς ολοκλήρωσης
σχετικού τεστ (70% και άνω σε quiz 10 ερωτήσεων).
Για περισσότερες πληροφορίες και εγγραφή μπορείτε
να επισκεφτείτε τη σχετική ιζηοζελίδα του ISACA.
Virtual Seminar and Tradeshow, 22/03/2012
Ο ISACA διοργανώνει στις 22 Μαρτίου 2011
ολοήμερη εκδήλωση (9:00am – 4:30pm EST, GMT-5)
με τίτλο “Enterprise Risk Management: Provide
Security from Cyber Threats”. Οι συμμετέχοντες
δικαιούνται να λάβουν CPEs. Περισσότερες
πληροφορίες αναφορικά με το πρόγραμμα της
εκδήλωσης και εγγραφή θα αναρτηθούν σύντομα στη
σχετική ιζηοζελίδα του ISACA.
EuroCACS / ISRM, 10-12/09/2012
10-12 επτεμβρίου 2012, Μόναχο, Γερμανία. Ο
ISACA διοργανώνει παράλληλα, στις ίδιες ημερομηνίες
και στο ίδιο μέρος, για πρώτη φορά και τελευταία
φορά – όπως διαβάσατε παραπάνω – τα δύο μεγάλα
ετήσια συνέδριά του, το EuroCACS και το Information
Security and Risk Management. Και μάλιστα σε νέα
χρονική περίοδο, το επτέμβριο!
Πρόκειται για ένα πολυδιάστατο συνέδριο με θέματα
για τον έλεγχο, την ασφάλεια, τη διακυβέρνηση, τον
κίνδυνο στα πληροφοριακά συστήματα, με
προγράμματα ελέγχου και ασφάλειας και με
παρουσίαση εργαλείων και μέσων για την
αντιμετώπιση των σύγχρονων αλλαγών και
προκλήσεων. Οι συμμετέχοντες μπορούν να λάβουν
έως και 41 CPEs. Για περισσότερες πληροφορίες
μπορείτε να επισκεφτείτε τη σχετική ιστοσελίδα του
ISACA.
31
Newsletter ISACA Athens Chapter
εμινάρια Προετοιμασίας CISA-CISM για τις
Εξετάσεις Ιουνιού 2012
ας ενημερώνουμε για τα προπαρασκευαστικά
προγράμματα για τις πιστοποιήσεις CISA και CISM που
θα λάβουν χώρα τους προσεχείς μήνες για την
εξεταστική περίοδο του Ιουνίου:
Προγράμματα Ελληνοαμερικανικής Ένωσης σε
συνεργασία με ISACA Athens Chapter
CISA Prep Course : 19- 21/3/2012
CISM Prep Course : 22 - 24/3/2012
ας ενημερώνουμε ότι η Ελληνοαμερικανική Ένωση
έχει προγραμματίσει τη διεξαγωγή
προπαρασκευαστικών προγραμμάτων για τις
πιστοποιήσεις CISA και CISM της εξεταστικής
περιόδου του Ιουνίου.
Κάθε ένα από τα δύο προγράμματα είναι διάρκειας
24 ωρών και θα λάβει χώρα στο συνεδριακό χώρο της
Ελληνοαμερικανικής Ένωσης (Μασσαλίας 22, Αθήνα).
Σο κόστος κάθε σεμιναρίου ανέρχεται στο ποσό των €
850. Για περισσότερες πληροφορίες μπορείτε να
επισκεφτείτε τις αντίστοιχες ιστοσελίδες της
Ελληνοαμερικάνικης Ένωσης για το CISA prep και για
το CISM prep.
7. Εκπαιδευτικά Προγράμματα & υνεργασίες
ΙDC IT Security & DataCenters Transformation
Roadshow, 18/05/2012
Όπως και πέρσι, το Ι.Ε..Π. πρόκειται να υποστηρίξει
το ΙDC Roadshow, το οποίο θα διεξαχθεί στις 18
Μαϊου 2012. Σο φετινό Roadshow της IDC
επικεντρώνεται σε μια ποικιλία θεμάτων σχετικά με τη
διαχείριση των υποδομών πληροφορικής των
σημερινών επιχειρήσεων. Ο βασικός στόχος του
Roadshow είναι να θέσει τις βάσεις για μια ουσιαστική
συζήτηση γύρω από τους τρόπους ενίσχυσης της
αποτελεσματικότητας των εταιρικών υποδομών
πληροφορικής και τη διασφάλιση της βιώσιμης
επιχειρηματικής συνέχειας.
Η εκδήλωση θα περιλαμβάνει παρουσιάσεις από
αναλυτές της IDC, εκπροσώπους διεθνών και τοπικών
προμηθευτών software και hardware, ανεξάρτητους
εμπειρογνώμονες, καθώς και πραγματικές εμπειρίες
που θα παρουσιαστούν ομιλητές της κοινότητα των
τελικών χρηστών. Για περισσότερες πληροφορίες
επισκεφτείτε την ιζηοζελίδα του Roadshow. Θα
ακολουθήσει αναλυτικότερη ενημέρωση με την
ολοκλήρωση του πλαισίου υποστήριξης από το Ι.Ε..Π.
32
Ινστιτούτο Ελέγχου υστημάτων Πληροφορικής
(ΙΕΠ) - ISACA Athens Chapter
Μασσαλίας 22, Αθήνα,
GR -10680
www.isaca.gr
Σηλ: +30 210-28 86 041
Fax: +30 210 28 86 901
Σο Ινστιτούτο Ελέγχου υστημάτων
Πληροφορικής – ISACA Athens Chapter
δραστηριοποιείται στην Ελλάδα από το 1994
και αποτελεί το Ελληνικό παράρτημα του
διεθνούς οργανισμού
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.253.1545
Fax: +1.847.253.1443
© 2012 Ινστιτούτο Ελέγχου Συστημάτων
Πληροφορικής (ISACA Athens Chapter) και ISACA
International.
ISACA®, CISA® ,CISM®, CGEIT®,CRISC®, COBIT® 3rd
Edition©, COBIT®, COBIT Quickstart™, COBIT
Online™, K-NET®, IT Governance Institute®, ITGI®,
CACSSM, Information Systems Audit and Control
Association®, and Information Systems Control
Journal®
are registered trademarks of ISACA International
Διοικητικό υμβούλιο ΙΕΠ - ISACA Athens Chapter
Πρόεδρος: Ανέστης Δημόπουλος
Αντιπρόεδρος: Ιωάννης Λευκάκης
Γραμματέας: Γεώργιος Ράικος
Σαμίας: Αντώνιος Γκινόπουλος
Μέλη Δ.. Ιωάννης Δρακούλης
Παναγιώτης Δρούκας
Παναγιώτης Μερκούρης
υντονιστής Πιστοποιήσεων:
Ανέστης Δημόπουλος
Membership & Marketing Director:
Ιωάννης Δρακούλης
Επικεφαλής Εκπαιδευτικής Επιτροπής:
Παναγιώτης Μερκούρης
Ιωάννης Λευκάκης
Τπεύθυνος Δικτυακού Σόπου:
Παναγιώτης Δρούκας
υντονιστής Ακαδημαϊκών Θεμάτων:
Παναγιώτης Μερκούρης
Ομάδα ύνταξης Ενημερωτικού Δελτίου:
Ιωάννης Λευκάκης
Παναγιώτης Μερκούρης
Ιωάννης Μπονάτος
Γιώργος Σαναμπασίδης
Φρήστος Βιδάκης
ταμάτης Πασσάς
Νίκος Μπούμπουλης
Περισσότερες πληροφορίες και στοιχεία επικοινωνίας
στο www.isaca.gr ή www.isaca.org
Newsletter
Ινστιτούτο Ελέγτοσ Σσστημάτων Πληρουορικής (ΙΕΣΠ) - ISACA Athens Chapter Ενημερωτικό Δελτίο Έτος 2012, Τ. 01 - Φεβ 2012
ISACA Athens Chapter