Abstract : | Τα Πληροφοριακά Συστήματα αποτελούν τη ραχοκοκαλιά γύρω από την οποία πλέον αναπτύσσονται οι οργανισμοί και επιχειρήσεις, τόσο όσο αφορά τις πληροφορίες που διατηρούν, την επικοινωνία και τις συναλλαγές τους, την καθημερινή τους λειτουργία, όσο ακόμα και τη λειτουργία των μηχανημάτων και συστημάτων τα οποία διαθέτουν. Για το λόγο αυτό, η ασφάλειά των πληροφοριακών συστημάτων αποτελεί πλέον κρίσιμη ανάγκη. Η αναγνώριση, η ανάλυση και αντιμετώπιση των κινδύνων στον κυβερνοχώρο και η ενσωμάτωσή των πληροφοριακών συστημάτων στο πλαίσιο της διαχείρισης κινδύνων το οποίο λειτουργεί ο οργανισμός ή η επιχείρηση, εξακολουθεί να αποτελεί πρόκληση η οποία δημιουργεί προβληματισμούς στα μεσαία και ανώτερα στελέχη που κάνουν τη διαχείριση αυτή.Η παρούσα Διπλωματική Εργασία έχει ως σκοπό την αύξηση της ασφάλειας των οργανισμών έναντι απειλών του κυβερνοχώρου, μέσα από την επιλογή ενός κατάλληλου πλαισίου διαχείρισης κινδύνων από τα υπάρχοντα διαθέσιμα.Επιπλέον, αποσκοπεί στην υποβοήθηση των στελεχών στην εφαρμογή του επιλεγέντος πλαισίου, μέσα από κατευθύνσεις στα επιμέρους στάδια της διαδικασίας - της αναγνώρισης, αξιολόγησης και αντιμετώπισης των κινδύνων.Για την επίτευξη του παραπάνω σκοπού χρησιμοποιήθηκε ο παρακάτω ερευνητικός σχεδιασμός:• Διερευνήθηκαν οι διαφορές μεταξύ των κυρίαρχων διαθέσιμων πλαισίων διαχείρισης κινδύνων στον Κυβερνοχώρο (NIST και ISO), ώστε να αξιολογηθούν τα πλεονεκτήματα τους καθενός, και εξετάστηκε η καταλληλόλητα χρήσης των παραπάνω ή συνδυασμού αυτών, ανάλογα με τις απαιτήσεις του οργανισμού. Ταυτόχρονα προτείνεται μία τεχνική συνδυασμού των δύο παραπάνω πλαισίων.• Αξιολογήθηκε με ερωτηματολόγιο η σημαντικότητα των κινδύνων σύμφωνα με την εμπειρία στελεχών διοίκησης σε Ελληνικούς οργανισμούς και επιχειρήσεις, αλλά και ειδικών του χώρου..• Προτάθηκαν Στρατηγικές Αντιμετώπισης, με συνεντεύξεις ειδικών στο χώρο. Η παρούσα εργασία φιλοδοξεί ότι θα βοηθήσει τα Μεσαία και Ανώτερα Στελέχη των Ελληνικών Οργανισμών, να εντάξουν σε αυτόν τη διαχείριση των κινδύνων στον κυβερνοχώρο, και να βελτιώσουν την ασφάλεια έναντι των απειλών αυτών. Computer Information Systems form the main body for the development of modern Businesses and Organizations, through the information that they hold, the communication and the transactions established, their daily operations, and even the functionality of the machinery and of the general infrastructure. This makes their security a critical need. The identification, evaluation and mitigation of cyber risk and the incorporation of the Computer Information Systems in the organization’s risk management framework, poses a challenge for the middle and senior management.This thesis aims at increasing the security of the organizations in the Cyber domain against cyber threats, through choosing an appropriate framework.Additionally, this thesis also aims helping in the implementation of the framework, by guidance through the relevant steps of the risk assessment procedure.For obtaining the above aim, the following methodology was implemented:• The differences between the 2 dominant Cyber Risk Management Frameworks (NIST and ISO) were examined, to assess the pros and cons of each and examine the adequacy of each or a combination of both depending on the nature of the organization. Additionally, a method for combining the two frameworks is proposed.• Risks were evaluated with an appropriate questionnaire, by concentrating the experience of Greek organizations managers and field specialists.• Mitigation strategies proposals were established, through interviews of experienced Greek managers operating in Cyber Security.Through the above procedure, this thesis has the ambition in becoming a useful guide for Greek organizations’ middle and senior management, in handling the cyber risk and improving their security.
|
---|