Κανόνες ασφαλούς διαχείρισης εγγράφων: "Ο σιωπών δοκεί συναινείν"

Μία ορθή πολιτική διαχείρισης εγγράφων που περιλαμβάνουν σημαντικές πληροφορίες για την επιχείρηση, πρέπει να εξασφαλίζει ότι αυτά προστατεύονται, επεξεργάζονται ορθά και διακινούνται σωστά.

Ορισμός
Διαχείριση/ διακίνηση εγγράφων είναι η διαδικασία την οποία χρησιμοποιεί η διοικητική δομή επιχείρησης προκειμένου να κατευθύνει/ ελέγχει τη δημιουργία, έκδοση, διανομή, αρχειοθέτηση, διατήρηση, αποθήκευση και διάθεση γραπτών εταιρικών στοιχείων (πληροφορίας) με τρόπο διοικητικά και νομικά ορθό. Ενώ ταυτόχρονα μέσω της ορισθείσας διαδικασίας εξυπηρετούνται οι λειτουργικές ανάγκες της, διατηρώντας συνάμα επαρκές ιστορικό αρχείο (εταιρική μνήμη).
Συνεπώς, τυπικά και ουσιαστικά πρόκειται για διαδικασία διαχείρισης εταιρικής περιουσίας/κεκτημένου (πάγιο ενεργητικό), καθόσον επί των εγγράφων υφίστανται διαφορετικής μορφής, υφής και επιπέδου εταιρικές πληροφορίες και ως τέτοια διαδικασία είναι αυτονόητο (;) ότι προϋποθέτει σοβαρότητα και μέτρα ασφάλειας.

Ορολογία

• Αποδεκτός κίνδυνος: Η παραδοχή και αναγνώριση ότι ασφάλεια δεν μπορεί να επιτευχθεί εκατό τοις εκατό (η σοβαρότητα μπορεί) έναντι του κινδύνου υπεξαίρεσης του/των προαναφερθέντων εταιρικών περιουσιακών στοιχείων, αλλά η περαιτέρω βελτίωση του συστήματος διαχείρισης δεν είναι επαρκώς αιτιολογημένη.
• – Εξουσιοδότηση πρόσβασης: Είναι η διοικητική απόφαση με την οποία άτομο/α έχουν πρόσβαση σε εμπιστευτικά δεδομένα, άλλες διαβαθμισμένες πληροφορίες ή άλλο ειδικό υλικό.
• – Έλεγχος πρόσβασης: Η διαδικασία περιορισμού της πρόσβασης στους εταιρικούς πόρους, μόνο για χρήστες, κάτοχους εξουσιοδότησης πρόσβασης.
• – Μέτρα ελέγχου πρόσβασης: Διάφοροι συνδυασμοί που αποσκοπούν στην ανίχνευση και πρόληψη της ανεπίτρεπτης πρόσβασης και επιτρέπουν μόνον την κατ’ εξουσιοδότηση πρόσβαση στο σύστημα διακίνησης/ διαχείρισης εγγράφων.
• – Υπευθυνότητα: Παράμετρος του συνόλου των μέτρων ασφαλείας.
• – Διαβαθμισμένο έγγραφο: Κάθε έγγραφο το οποίο περιέχει ζωτικής ή μη ζωτικής σημασίας πληροφορία, ικανή όμως να προκαλέσει απώλεια σε επίπεδο επιχειρείν.
• – Διαβαθμισμένη πληροφορία: Όλες οι έγγραφες πληροφορίες που χρήζουν προστασίας από παράνομη δημοσιοποίηση για τη διαφύλαξη των συμφερόντων της επιχείρησης. Φυσικά ο όρος αναφέρεται και σε παλαιότερα στοιχεία περιορισμένης κυκλοφορίας, καθένα από τα οποία έχει βαθμούς σημαντικότητας – όπου ο βαθμός σημαντικότητας υποδεικνύεται από τις αντίστοιχες ταξινομήσεις Εμπιστευτικό, Απόρρητο, ¶κρως απόρρητο.
• – Έκθεση σε κίνδυνο: Κατοχή των διαβαθμισμένων πληροφοριών από πρόσωπα τα οποία υπό κανονικές συνθήκες δεν επιτρέπεται να κατέχουν τις πληροφορίες αυτές.
• – Συνέπειες: Η ζημιά που προκλήθηκε (ως αποτέλεσμα επιτυχημένης διείσδυσης) στην επιχείρηση. Οι συνέπειες μπορεί να περιλαμβάνουν βλάβες σε ένα πρόγραμμα, αρνητική διαφήμιση κ.λπ., καθώς και άμεσες χρηματικές απώλειες. Απώλειες μη χρηματοοικονομικές, περιπλέκουν τον υπολογισμό του κινδύνου και εισάγουν στοιχείο υποκειμενικότητας στην αξιολόγηση των κινδύνων.
• – Κρίσιμα στοιχεία ενεργητικού: Τα φυσικά και λοιπά στοιχεία/ πληροφορίες περιουσιακών δεδομένων που απαιτούνται και συνδράμουν στην επιτυχή εκπλήρωση της επιχειρηματικής πρακτικής/στόχου.
• – Εκτίμηση ζημιάς (απώλειας): Ο υπολογισμός απωλειών σε περίπτωση όπου διαβαθμισμένες εταιρικές πληροφορίες είναι σε κίνδυνο – ή δυνητικά σε κίνδυνο. Η εκτίμηση αυτή γίνεται – χρησιμοποιείται για τον προσδιορισμό της δυνητικής αξίας και κατοχής των σε κίνδυνο πληροφοριών από τρίτους.
• – Σχεδιασμός πολιτικής βάσει απειλών: Η δήλωση της ασκούμενης πολιτικής η οποία περιγράφει τις απειλές που έθεσαν την/τις προϋποθέσεις για τον καθορισμό απαιτήσεων και εγγυήσεων ασφάλειας.
• – Έγγραφο: Κάθε καταγραφή των αποτυπωμένων πληροφοριών, ανεξαρτήτως φυσικής μορφής ή χαρακτηριστικών, που συμπεριλαμβάνονται αλλά δεν περιορίζονται στα ακόλουθα:
  • Όλα τα χειρόγραφα, έντυπα ή δακτυλογραφημένη ύλη.
  • Όλα τα σχέδια.
  • Όλα τα αρχεία ήχου, μαγνητικές ή ηλεκτρομηχανολογικές εγγραφές ή οπτικές καταγραφές.
  • Όλες οι φωτογραφικές εκτυπώσεις, ακόμα και κινηματογραφικές ταινίες.
  • Η αυτόματη επεξεργασία των δεδομένων εισόδου της μνήμης ενός προγράμματος ή του τρόπου εξόδου των πληροφοριών και εγγράφων.
  • Όλες οι αναπαραγωγές των ανωτέρω με οποιαδήποτε διεργασία.
• Βαθμός προστασίας: Το επίπεδο των εγγυήσεων ασφάλειας που προβλέπονται για την προστασία των επιχειρηματικών συμφερόντων.
• Γραμμή Διοίκησης: Η αδιάρρηκτη διασύνδεση της ιεραρχίας (πυραμίδα διοίκησης) υπεύθυνης για την κατεύθυνση, την απόδοση και την αποτελεσματικότητα των δραστηριοτήτων ενός Οργανισμού.
• Ευαίσθητη επιχειρηματική πληροφορία: Πληροφορία, που όπως καθορίζεται από την πυραμίδα διοίκησης, πρέπει να προστατεύεται (απαγορευμένη η διάδοσή της) η αλλοίωση, απώλεια ή καταστροφή της, διότι θα προκαλέσει αισθητή ζημιά στην επιχείρηση.
• Ευαίσθητη αδιαβάθμητη πληροφορία: Αταξινόμητα αλλά ευαίσθητα εταιρικά δεδομένα τα οποία χρήζουν προστασίας λόγω του κινδύνου και του μεγέθους της απώλειας ή βλάβης που θα μπορούσαν να προκύψουν από την εκ παραδρομής ή σκόπιμη αποκάλυψή τους.

Τα τελευταία χρόνια επιχειρηματίες και διευθυντές επιχειρήσεων έχουν συνειδητοποιήσει (;) ότι η εγκληματικότητα δεν είναι η μόνη απειλή για τα επιχειρηματικά περιουσιακά στοιχεία. Στο παρελθόν επικρατούσε η τάση που είχε να κάνει περισσότερο με τρόπους μετριασμού απωλειών μέσω ποινικής δίωξης και ασφαλιστικής κάλυψης των ζημιών τους. Αν και οι μεγάλες καταστροφές, όπως μια πυρκαγιά – θεωρούμενη συχνά ως η μόνη καταστροφή που θα απειλήσει σοβαρά την επιχείρηση – αλλά ακόμη και ήσσονος σημασίας "ασήμαντα" θέματα, μεμονωμένα ή σωρευτικά μπορεί να έχουν εκτεταμένες συνέπειες. Σημαντικές απώλειες μπορεί να επισυμβούν λόγω ελλιπούς ελέγχου, ατυχημάτων ή έλλειψης κατάρτισης των εργαζομένων, από ανήθικες πρακτικές, εσωτερική απάτη και κλοπή. Ακόμα και σχετικά μικρής μορφής εγκληματική ενέργεια μπορεί να έχει σημαντικό αντίκτυπο στην επιχείρηση. Για παράδειγμα, σκεφτείτε να κλαπεί ένας υπολογιστής σε μια διάρρηξη. Ένα – κατά τα άλλα – μεμονωμένο γεγονός εκπροσωπεί αρκετές πρωτοβάθμιες και δευτεροβάθμιες απώλειες, όπως:

• Η πραγματική απώλεια του κόστους του υπολογιστή.
• Η επισκευή και / ή το κόστος αντικατάστασης.
• Ο χρόνος και η απώλεια παραγωγικότητας/εργατοωρών, ενώ επιδιώκεται αντικατάσταση.

Συχνά παραβλέπεται – όμως έχει σοβαρό αντίκτυπο – η υποψία ότι ΄΄άλλοι΄΄ έχουν πλέον στην κατοχή τους εμπιστευτικές επιχειρηματικές πληροφορίες που λαμβάνονται από το σκληρό δίσκο του υπολογιστή και το συνακόλουθο αποτέλεσμα ότι οι πελάτες της επιχείρησης ή οι συναλλασσόμενοι μπορεί να ανακαλύψουν ότι οι πληροφορίες αυτές έχουν ‘κλαπεί'(απώλεια έξωθεν καλής μαρτυρίας, κοινώς φήμης). Θα ήταν εξαιρετικά δύσκολο να αντισταθμιστεί ο συνδυασμός επιπτώσεων και κόστους, διότι τα αποτελέσματα δεν μπορούν να ποσοστικοποιηθούν. Οι επιπτώσεις κόστους είναι συχνά οι πιο επιζήμιες για μια επιχείρηση και οι επιπλέον οικονομικές ζημίες που ενδέχεται να προκύψουν, αντανακλώνται απευθείας στο ηθικό των εργαζομένων, το οποίο σαφώς επηρεάζεται (σύνδρομο της Κίνας). Αυτό είναι ιδιαίτερα καταστροφικό, αν δηλαδή ανήθικες πρακτικές αναφέρονται ως πιθανή αιτία.

Γιατί εμένα;
Σχετικά με την υπεξαίρεση/απώλεια/διαρροή εγγράφων είναι τώρα πλέον δεδομένο ότι οι "επαγγελματίες" του είδους μπορούν και χρησιμοποιούν τις ανοικτές πηγές πληροφόρησης (open source intelligence) αφειδώς παρεχόμενες (θέλω να πιστεύω ακούσια και λόγω έλλειψης σχετικής παιδείας) από τις επιχειρήσεις και από έντυπα ενημέρωσης.
Γενικά, υπάρχουν τρεις τύποι "ληστών" εγγράφων:

• Ο ερασιτέχνης.
• Ο επαγγελματίας.
• Ο ασταθής.

Όλα τα επιχειρηματικά περιβάλλοντα πρέπει να ενσκήψουν/ εντρυφήσουν στο θέμα της εσωτερικής κλοπής/ υπεξαίρεσης εγγράφων, στα πλαίσια ενός συνολικού προγράμματος ασφαλείας. Είναι ανεπαρκές να ρωτήσετε τον εαυτό σας απλά "έχω πρόβλημα"; Είναι προτιμότερο να ρωτήσετε "μπορώ να γνωρίζω εάν έχω πρόβλημα";

Υπάρχουν πολλοί λόγοι αγνόησης της πιθανότητας εσωτερικής κλοπής, στους οποίους συμπεριλαμβάνονται:

• Η έλλειψη δεδομένων.
• Είναι πιο ΄΄δόκιμο΄΄ για την αντιμετώπιση άλλων προβλημάτων.
• Η εσωτερική κλοπή και η επακόλουθη έρευνα δεν θεωρούνται καλές για το ηθικό μεταξύ των εργαζομένων.
• Η εσωτερική κλοπή έχει άσχημο αντίκτυπο για την εταιρεία, αρνητική δημοσιότητα.
• Η εσωτερική κλοπή αντανακλά άσχημα στην ικανότητα της διοικητικής πυραμίδας.
• Πολλοί διευθυντές εξορθολογίζουν την εσωτερική κλοπή, επιλέγοντας να τη θεωρήσουν ως κάτι το βαρετό προς ενασχόληση.

Πόσο τρωτή είναι η επιχείρησή σας;

Η ανάλυση ευαισθησίας (τρωτότητας) κάθε επιχείρησης σε σχέση με την εσωτερική κλοπή εγγράφων ή τη συνέργια εργαζομένων σε αυτήν, αρχίζει με μερικές εύστοχες ερωτήσεις:

• Πόσο εύκολο είναι να κλέψει κάποιος από αυτήν την επιχείρηση;
• Μπορούν οι εργαζόμενοι απλώς να φύγουν μεταφέροντας έγγραφα;
• Οι εργαζόμενοι έχουν τη δυνατότητα απεριόριστης πρόσβασης στους χώρους ή σε λοιπά σημεία διακίνησης εγγράφων;
• Πόσο αποδεκτό είναι το να υπεξαιρέσει κάποιος;
• Είναι αποδεκτός ο εξορθολογισμός από πλευράς εργαζομένου "κάνω αρκετά για αυτούς" επομένως έχω το "προνόμιο" της υπεξαίρεσης;
• Ποια είναι η τιμωρία;
• Είναι η τιμωρία για κλοπή/υπεξαίρεση/ σαφώς καθορισμένη;
• Η υπεξαίρεση/κλοπή εγγράφων από την επιχείρηση εκλαμβάνεται – εφόσον πιστοποιηθεί – ως αδίκημα που αποκρύφτηκε;
• Η υπεξαίρεση/κλοπή εγγράφων από την επιχείρηση εκλαμβάνεται ως κολάσιμο ποινικό αδίκημα;

Ο σχηματισμός ακριβούς εικόνας όσον αφορά στην κλοπή με ή χωρίς τη συνέργια εργαζομένου είναι ζωτικής σημασίας για την κατανόηση της απειλής. Πολλά ερωτήματα πρέπει να απαντηθούν και να αναλυθούν, όπως μεταξύ άλλων:

• Τι θα υπεξαιρέσει ο εργαζόμενος;
• Με ποιον τρόπο θα υπεξαιρέσει ο εργαζόμενος;
• Γιατί να υπεξαιρέσει ο εργαζόμενος;
• Είναι πιθανό να συλληφθεί;
• Τι αποτρέπει τον εργαζόμενο από τη διάπραξη υπεξαίρεσης;

Ορίστε ένα μέλος του προσωπικού σε ανύποπτο χρόνο να προβεί σε επανεξέταση της ασφάλειας (με ειδικούς όρους αναφοράς) και να υποβάλει συστάσεις. Το εν λόγω πρόσωπο πρέπει να έχει την εμπιστοσύνη του λοιπού προσωπικού. Είναι προτιμότερο ένα πρόσωπο – και όχι μία ομάδα – να διεξαγάγει την έρευνα, διότι η συντονισμένη προσέγγιση είναι άκρως απαραίτητη.

Η διαδικασία της έρευνας/επανεξέτασης μπορεί να χωριστεί σε τρία στάδια:

• 1ο Στάδιο: αναζήτηση πληροφοριών (το πώς, γιατί και με ποιο τρόπο ανά τμήμα διακινούνται έγγραφα) και η λήψη εξειδικευμένης βοήθειας από εξωτερικό σύμβουλο.
• 2ο Στάδιο: Ποιος είναι υπεύθυνος για την ασφάλεια των εγγράφων;
• 3ο Στάδιο: Διενέργεια λεπτομερούς μελέτης αναδιοργάνωσης.

Οδηγίες χειρισμού εγγράφων
Το έγγραφο αυτό καθορίζει τις κατευθυντήριες γραμμές και τις διαδικασίες που σχετίζονται με το χειρισμό και την επεξεργασία έγγραφης πληροφορίας – και όχι μόνο. Σκοπός του είναι να εξασφαλίσει ότι αυτά τα σημαντικά στοιχεία του ενεργητικού προστατεύονται, επεξεργάζονται ορθά και διακινούνται σωστά.

Βασικοί στόχοι του εν λόγω εγγράφου.

Ευθύνη: Διασφαλίζει ότι οι εργαζόμενοι οι οποίοι επεξεργάζονται ή / και λαμβάνουν έγγραφα μπορούν να θεωρηθούν υπεύθυνοι για την εκπλήρωση ή αμέλεια κατά την τέλεση των καθηκόντων τους. Η ευθύνη είναι δεδομένη όταν έχουν προσδιορισθεί τα ακόλουθα τρία (3) σημεία:

• Η γνώση του ποιος έχει ή είχε πρόσβαση – και γιατί ο ίδιος έχει ή είχε πρόσβαση – σε έγγραφα.
• Γνώση εκ μέρους του εργαζόμενου ότι τα έγγραφα είναι ισοδύναμα περιουσιακά στοιχεία.
• Γνώση των όσων διαδραματίστηκαν από την αρχή (ή γνώση του τι αποκαλύφθηκε από την αρχή) όσον αφορά στην απώλεια.

Διαχωρισμός καθηκόντων. Διασφαλίζει ότι τα δύο (2) ή περισσότερα άτομα με τα κατάλληλα προσόντα είναι τα εξουσιοδοτημένα πρόσωπα που εμπλέκονται σε δραστηριότητες οι οποίες σχετίζονται με τη συλλογή, το χειρισμό και την αρχειοθέτηση εγγράφων.
Ασφάλεια (Φυσική και Πληροφοριών): Βεβαιωθείτε ότι τα διαθέσιμα και ισοδύναμα μέτρα ασφαλείας είναι ανά πάσα στιγμή σε χρήση και προστατεύουν από απώλειες ή συμβιβασμό όσον αφορά στην εμπιστευτικότητα του υλικού.

Διαδικασίες χαρακτηρισμού εγγράφων.
Βασικά οι πληροφορίες ταξινομούνται αρχικά ή εκ των ενόντων. Η ύπαρξη οδηγού κατάταξης (χαρακτηρισμού εγγράφων) είναι η απτή απόδειξη της αρχικής απόφασης της διοίκησης για τη δημιουργία σειράς αποφάσεων χαρακτηρισμού, που αφορούν σε ένα σύστημα, σχέδιο, πρόγραμμα ή έργο. Εκ των ενόντων κατάταξη (χαρακτηρισμός) διενεργείται όταν τα υπό εξέταση στοιχεία είναι ήδη γνωστό ότι πρέπει να χαρακτηριστούν. Ο χαρακτηρισμός εφαρμόζεται μόνο στις πληροφορίες που κατέχει η επιχείρηση, που παράγονται από ή για την επιχείρηση ή είναι υπό τον έλεγχο της επιχείρησης. Οι πληροφορίες τις οποίες έχει κυκλοφορήσει επίσημα η επιχείρηση (δημοσίως γνωστές) δεν μπορούν να χαρακτηριστούν. Ποιο είναι το αναμενόμενο επίπεδο της ζημίας ("ζημία", "σοβαρή ζημία" ή "εξαιρετικά σοβαρή ζημία ") για την επιχείρηση, στην περίπτωση ακούσιας γνωστοποίησης των πληροφοριών;
Εάν η απάντηση στο ερώτημα αυτό είναι "ζημία" θα πρέπει ο χαρακτηρισμός να καταλήξει σε απόφαση για την κατάταξη σε Εμπιστευτική πληροφορία. Εάν η απάντηση είναι "σοβαρή ζημία" θα πρέπει ο χαρακτηρισμός να καταλήξει σε απόφαση για την κατάταξη σε Απόρρητη πληροφορία. Εάν η απάντηση είναι "εξαιρετικά σοβαρή βλάβη" θα πρέπει ο χαρακτηρισμός να καταλήξει σε απόφαση για την κατάταξη σε ¶κρως απόρρητο. Εξίσου σημαντική για την ταξινόμηση είναι η απόφαση για το πόσον καιρό ο χαρακτηρισμός θα πρέπει να παραμείνει σε ισχύ.

Τι είναι πολιτική ασφάλειας
Η πολιτική ασφάλειας είναι ουσιαστικά ένα σχέδιο, περιγράφοντας τι περιουσιακά στοιχεία ζωτικής σημασίας (στην περίπτωσή μας τα έγγραφα) της εταιρείας είναι και πώς πρέπει (και μπορούν) αυτά να προστατεύονται. Κύριος σκοπός της είναι να παράσχει στο προσωπικό μια σύντομη επισκόπηση της "αποδεκτής χρήσης" οιουδήποτε έγγραφου περιουσιακού στοιχείου, καθώς και να εξηγήσει τι θεωρείται ως επιτρεπόμενο και τι δεν είναι, δίνοντάς τους έτσι τη δυνατότητα συμμετοχής στην εξασφάλιση κρίσιμων στοιχείων της εταιρείας.
Το έγγραφο ενεργεί ως "πρέπει να διαβαστεί" πηγή πληροφοριών για όσους χρησιμοποιούν με οποιονδήποτε τρόπο τους έγγραφους πόρους που ορίζονται ως πιθανοί στόχοι. Βασικά οι κύριοι λόγοι πίσω από τη δημιουργία μιας πολιτικής ασφάλειας είναι να καθοριστεί ότι οι έγγραφες πληροφορίες μιας εταιρείας είναι τα θεμέλια ασφάλειάς της, να εξηγηθεί στο προσωπικό ο τρόπος με τον οποίο είναι υπεύθυνοι για την προστασία των πηγών άντλησης πληροφόρησης και να τονιστεί ιδιαιτέρως η σημασία εξασφάλισης της (ασφαλούς) διάχυσης της πληροφορίας.
Πρέπει να συνειδητοποιήσουμε όλοι μας ότι η απάντηση σε ερώτηση που αφορά στην ασφάλεια, δεν θα έχει πάντοτε ευθεία απάντηση. Η ασφάλεια είναι ένα πολύπλοκο σύστημα πειθαρχίας, σημαντικών γνώσεων και εμπειρίας, προκειμένου να ερμηνευθούν σωστά τα αποτελέσματα των δοκιμών ελέγχου και διαδικασιών.

Επιπλέον, η καταλληλότητα του προγράμματος ασφάλειας μιας επιχείρησης σε μία δεδομένη στιγμή θα πρέπει να αξιολογείται στο πλαίσιο δύο σημαντικών παραμέτρων:

• Προσφερόμενες υπηρεσίες.
• Επιχειρηματικό περιβάλλον (τόπος του επιχειρείν).

Για τους λόγους αυτούς συνιστάται ιδιαίτερα η συνδρομή ειδικού.

Του Γιάννη Κανάλη