Πολιτικές, Πρότυπα και Κατευθυντήριες Οδηγίες του Προγράμματος Ασφαλείας

Ο συνδυασμός των κατευθυντήριων οδηγιών με κινητήριο τροχό τις Πολιτικές, δίνει τη δυνατότητα στο επιχειρηματικό σύνολο εφαρμογής, ελέγχων και διεργασιών, να αυξάνει σταδιακά αλλά σταθερά το δείκτη ασφάλειας της επιχείρησης.

Στην αναφορά μας για το πρόγραμμα ασφάλειας οποιασδήποτε μορφής και έκτασης επιχειρηματικού συνόλου, στο προηγούμενο τεύχος είχαμε καθορίσει πώς Το Πρόγραμμα Ασφάλειας (Security Program) μιας εταιρείας ή ενός Οργανισμού περιλαμβάνει τις πολιτικές και τις διαδικασίες (πρότυπα), που είναι απαραίτητες για την προστασία του προσωπικού, των υλικών αγαθών και την πνευματική ιδιοκτησία?. Η τρίτη συνεκτική συνιστώσα του τρίγωνου εφαρμογής του προγράμματος ασφαλείας, είναι οι κατευθυντήριες οδηγίες.

Οι πολιτικές, οι διαδικασίες και οι κατευθυντήριες οδηγίες είναι οι παράμετροι εκείνες, οι οποίες υπαγορεύουν ότι το επίπεδο ελέγχου (ασφάλεια) επί ενός εκάστου ξεχωριστά περιουσιακού στοιχείου, άυλου ή υλικού, είναι ισόμετρο ή ανάλογο με την αξία και προσφορά του συγκεκριμένου περιουσιακού στοιχείου στο επιχειρηματικό οικοσύστημα εν συνόλω.
Καλή πρακτική αποτελεί η τακτική τους αναθεώρηση, προκειμένου να είναι πάντα συμβατές με αλλαγές που έχουν συμβεί στο επιχειρηματικό σύνολο σε επίπεδο τεχνολογικό, μείωσης ή αύξησης του αριθμού των εργαζομένων, αλλαγή επιχειρηματικού στόχου, αλλαγή διοίκησης κ.λπ.

Επειδή λοιπόν ο κινητήριος τροχός είναι οι Πολιτικές, προκύπτουν αβίαστα τα παρακάτω ερωτήματα – ορισμένα εκ των οποίων ή όλα – εμμέσως απαντώνται στο προηγούμενο τεύχος.

• Ποιος ο λόγος ύπαρξης πολιτικής ασφάλειας;
• Ποιος αναπτύσσει (συντάσσει) την πολιτική ασφάλειας;
• Ποιος εγκρίνει την πολιτική ασφάλειας;
• Τίνος η εξουσία διατηρεί σε ισχύ την πολιτική ασφάλειας;
• Σε ποιους νόμους ή εσωτερικούς κανονισμούς (εφόσον υπάρχουν) εδράζεται η πολιτική ασφάλειας;
• Ποιος θα εφαρμόσει την πολιτική ασφάλειας;
• Πώς θα εφαρμοσθεί η πολιτική ασφάλειας;
• Ποιον / ποιους επηρεάζει η πολιτική ασφάλειας;
• Τι προσδιορίζει η πολιτική ασφάλειας ότι πρέπει να προστατευθεί;
• Τι απαιτεί η πολιτική ασφάλειας να κάνουν οι εργαζόμενοι;
• Πώς αναφέρονται αποκλίσεις ή παραβιάσεις της πολιτικής ασφάλειας;
• Από πότε τίθεται σε ισχύ και για πόσο χρονικό διάστημα η πολιτική ασφάλειας;

Διαφορές μεταξύ Πολιτικών, Διαδικασιών & Κατευθυντήριων Οδηγιών

Πολιτικές, είναι ο σημαντικότερος δείκτης του προγράμματος ασφάλειας, ο οποίος όμως δεν εξειδικεύει κάτι μεμονωμένα, αλλά εστιάζεται και αντιμετωπίζει τη συνολική εικόνα. Οι Πολιτικές καλύπτουν τεράστιο όγκο πληροφοριών, με γενικότερο τρόπο. Δηλαδή είναι συνοπτικές, πρέπει να είναι εύπεπτες, κατανοητές και να επικοινωνούνται από το υψηλότερο κλιμάκιο διοίκησης. Η πολιτική η οποία παραθέτει και εξηγεί όχι μόνον ?το πώς? αλλά και ?το γιατί? δημιουργεί εκείνο το δυναμικό υπόβαθρο το οποίο ακολουθούν οι εργαζόμενοι και μέσω αυτής της απλής επιμορφωτικής διαδικασίας (το πώς και το γιατί) επιτρέπει στους εργαζόμενους να συνειδητοποιήσουν ευκρινώς, επαρκώς και πλήρως, τις στοχεύσεις του προγράμματος ασφάλειας.
Οι Πολιτικές θέτουν κατευθύνσεις και παρέχουν πληροφορίες, χωρίς να προσδιορίζουν – λόγου χάρη – τεχνολογικά αντίμετρα και αναγκαία προγράμματα, προκειμένου να επιτευχθεί συμμόρφωση με το πρόγραμμα ασφάλειας. Εγκαθιδρύουν την οδό ελέγχου και οριοθετούν τις απαιτήσεις συμμόρφωσης για όλους, π.χ., ? Όλες οι επικοινωνίες πρέπει να προστατεύονται από υποκλοπή?.
Παρατηρούμε ότι η παραπάνω πολιτική για τις επικοινωνίες, δεν προσδιορίζει το πώς θα γίνει αυτό ή την απαιτούμενη προς χρήση τεχνολογία, αλλά παραμένει πάντοτε ένα επιτελικό / διατακτικό κείμενο. Η λειτουργία των διαδικασιών (προτύπων) είναι αυτή που δίνει τέτοια πληροφόρηση.
Διαδικασίες (πρότυπα) είναι τα παράγωγα των πολιτικών, αλλά έχουν να κάνουν με δομικά στοιχεία του προγράμματος και τεχνολογίες, διαμορφώνοντας τα ειδικά βήματα που πρέπει να ακολουθηθούν. Οι διαδικασίες, αποτελούν τη μεθοδολογία εφαρμογής των πολιτικών σε όλο το επιχειρηματικό οικοσύστημα και το βραχίονα στήριξής τους, παρέχοντας λεπτομέρειες και εξειδικεύσεις ελεγχόμενες και μετρήσιμες.
Κατευθυντήριες Οδηγίες. Αυτές διαφέρουν από τις πολιτικές και τις διαδικασίες. Αναπτύσσονται και χρησιμοποιούνται προκειμένου διαφορετικά επίπεδα ευθύνης να προσαρμόζονται ανάλογα (αναγκαία προϋπόθεση για συμμόρφωση) με τις εγκαθιδρυθείσες πολιτικές και διαδικασίες.
Από τη στιγμή κατά την οποία Πολιτικές, Διαδικασίες και Κατευθυντήριες Οδηγίες έχουν εγκριθεί, πρέπει να τις επικοινωνήσουμε στους εργαζόμενους και να γίνουν κατανοητές, σεβαστές και αποδεκτές.
Αυτό ακριβώς είναι το σημείο όπου αβίαστα εισάγεται στο επιχειρηματικό σύνολο η ευαισθητοποίηση και εκπαίδευση των χρηστών του προγράμματος (εργαζόμενοι) και οι απαιτήσεις συμμόρφωσής τους με αυτό. Η υπογραφή κάθε εργαζόμενου μετά την ενημέρωση και παραλαβή του σχετικού σώματος των πολιτικών, διαδικασιών και κατευθυντήριων οδηγιών, είναι αναγκαία και πρέπει να τηρείται σχετικό αρχείο από τη διεύθυνση προσωπικού, με ανανέωσή του σε ετήσια βάση.
Από τη στιγμή λοιπόν που δημιουργήθηκαν, κοινοποιήθηκαν και έγιναν αποδεκτές ως σώμα οι προαναφερθείσες συνιστώσες του προγράμματος ασφάλειας, πρέπει να έχουν τη διαρκή εμφανή στήριξη του ανώτατου διοικητικού επιπέδου του επιχειρηματικού συνόλου. Χωρίς αυτήν τη στήριξη, δεν αξίζουν ούτε το χαρτί στο οποίο γράφτηκαν.
Επομένως, εάν το ανώτατο κλιμάκιο διοίκησης δεν καταλαβαίνει ή δεν αντιλαμβάνεται τους στόχους ενός προγράμματος ασφάλειας και τις απαιτούμενες μεθόδους εφαρμογής του, ο εκάστοτε υπεύθυνος ασφαλείας (εάν υπάρχει) αυτού του επιχειρηματικού συνόλου είναι απλώς διακοσμητικό στοιχείο, με αυξημένες όμως πιθανότητες να του επιρριφθούν ευθύνες, οι δε παραινέσεις και υποδείξεις του, καθίστανται δυστυχώς ?φωνή βοώντος εν τη ερήμω?.

Οδηγίες δημιουργίας Πολιτικής
Η δημιουργία Πολιτικής μπορεί να βασιστεί στις παρακάτω οδηγίες:

• Προσδιορίστε το σκοπό δημιουργίας της πολιτικής. Ο προσδιορισμός πρέπει να γίνει προκειμένου να δηλωθεί εάν η πολιτική αφορά στην ολότητα του επιχειρηματικού συνόλου ή αφορά συγκεκριμένη διεύθυνση (π.χ. Προσωπικού) ή τμήμα.
• Ύπαρξη έγγραφης δέσμευσης του ανώτατου επιπέδου διοίκησης. Είναι εκ των ?ουκ άνευ? η εξασφάλιση της έγγραφης διαβεβαίωσης από τη διοίκηση ΄΄περί συμμόρφωσής της΄΄ και συνεπώς δεδομένη η υποχρέωση συμμόρφωσης όλων των επιπέδων και βαθμίδων. Η ασφάλεια είναι πάντοτε διαδικασία, η οποία ξεκινά από την κορυφή της αλυσίδας διοίκησης και διαχέεται προς τα κάτω.
• Διενεργήστε ανάλυση επιπτώσεων. Προκειμένου να αναπτυχθούν αποτελεσματικές πολιτικές, αποσαφηνίζονται εκείνα τα στοιχεία (πρωτεύοντα ή δευτερεύοντα) και η σχέση, συμμετοχή και αντίστοιχη αξία τους στα δρώμενα του επιχειρείν. Τα δεδομένα τα οποία συλλέγονται και αναλύονται (στην ανάλυση επιπτώσεων) είναι εκείνα τα οποία και θα καθορίσουν τα απαιτούμενα μέτρα σε επιτελικό πάντα επίπεδο, τα οποία θα μορφοποιηθούν στο κείμενο της πολιτικής, με την αντίστοιχη βαρύτητα και έμφαση. Εάν δεν γίνει επίσημη ανάλυση επιπτώσεων για οποιαδήποτε αιτία, πρέπει να ληφθεί υπόψη μια ?ανεπίσημη? εκτίμηση των διαφορετικών δομικών στοιχείων, που είναι δυνατό να αποτελέσουν στόχο και της αντίστοιχης αξίας και συμβολής τους στο επιχειρείν. Σοβαρό βοήθημα στη διενέργεια της ανάλυσης επιπτώσεων, δίνουν οι απαντήσεις στις ακόλουθες 7 ερωτήσεις:

1. Τι προσπαθούμε να προστατεύσουμε;
2. Από ποιον να το προστατεύσουμε;
3. Ποια η πιθανότητα να υπάρξει απειλή;
4. Ποιες οι λειτουργικές ευπάθειες;
5. Ποια η σπουδαιότητα του υποκειμένου (εκτιμώμενο κόστος απωλειών σε περίπτωση αναγνώρισης πιθανής απειλής);
6. Τι αντίμετρα μπορούν να εφαρμοσθούν; Είναι αποτελεσματικά όσον αφορά στο κόστος και στο χρόνο εφαρμογής τους;
7. Τι πρέπει να γίνει σε περίπτωση μη συμμόρφωσης με τις πολιτικές;
   • Συνομιλήστε με υπαλλήλους σε θέσεις κλειδιά. Βεβαιωθείτε ότι έχετε συναντηθεί και συνομιλήσει κατ’ ιδίαν με υπαλλήλους σε θέσεις κλειδιά. Η μέθοδος αυτή, πέραν του ότι εξασφαλίζει την απόκτηση των αναγκαίων πληροφοριών, βοηθά στη δόμηση του αναγκαίου πλέγματος υποστήριξης και διασάφησης της τρέχουσας πρακτικής. Αφού έχουν συγκεντρωθεί οι απαραίτητες πληροφορίες, διασαφηνίστε αν οι υφιστάμενες πρακτικές είναι τεκμηριωμένες και αν αυτές οι τεκμηριωμένες πρακτικές ακολουθούνται.
   • Προσχέδιο πολιτικών. Από τη στιγμή που έχει οριοθετηθεί το τι απαιτείται να προστατευθεί, έχει υπάρξει η έγγραφη στήριξη της διοίκησης και έχει ολοκληρωθεί η ανάλυση επιπτώσεων, δημιουργείται το προσχέδιο των πολιτικών, το οποίο επικεντρώνεται στις απειλές κατά των σημαντικών στοιχείων.
   • Διοικητικός έλεγχος προσχεδίου. Το κρισιμότερο βήμα στην επιτυχία δόμησης των πολιτικών, προκειμένου να εφαρμοσθούν αποτελεσματικά. Δίνει στη διοίκηση την ευκαιρία να συμμετάσχει στην τελική διαμόρφωση από το αρχικό ακόμη στάδιο, εξασφαλίζοντας κατ’ αυτόν τον τρόπο τη συν-διαμόρφωση, αποδοχή και επιτυχή εφαρμογή. Διάφορες επιμέρους παρατηρήσεις συζητούνται, αναλύονται, διαμορφώνονται και εντάσσονται στο τελικό κείμενο. Πρέπει πάντοτε να θυμόμαστε ότι πλήρης ομοφωνία δεν είναι απαραίτητη, αλλά απαιτείται η διοικητική και κάποιες φορές η νομική κάλυψη και έγκριση των πολιτικών.
   • Διανομή πολιτικών. Από τη στιγμή που οι πολιτικές έχουν οριστικοποιηθεί, πρέπει να διαβαστούν και να γίνουν κατανοητές. Η διαδικασία επικοινωνίας και κοινοποίησής τους, είναι επίσης κρίσιμης σημασίας. Συνήθης πρακτική σήμερα είναι η ανάρτηση του σώματος εγγράφων των πολιτικών στο εταιρικό δίκτυο και η εκ προοιμίου θεώρηση ότι έχουν λάβει γνώση όλοι. Καλή και πρόσφορη η τεχνολογία, όμως ?scripta manent? (τα γραπτά μένουν), καθιστώντας ευκολότερο τον έλεγχο και τη διαπίστωση αποκλίσεων εις βάρος της ασφάλειας.
   • Αναθεώρηση πολιτικών. Όπως η τεχνολογία και το επιχειρηματικό περιβάλλον εξελίσσονται καθημερινά, έτσι και το περιβάλλον ασφαλείας δεν πρέπει να είναι στατικό, αλλά δυναμικά και παράλληλα εξελισσόμενο. Οι πολιτικές πρέπει να είναι πάντοτε σε αρμονία με την καθημερινή λειτουργία της ασφάλειας, να ελέγχονται π.χ. σε τετραμηνιαία βάση και να αναθεωρούνται ετησίως.

Πολιτική διαβάθμισης επιχειρηματικών πληροφοριών
Αυτή η πολιτική θέτει την απαίτηση για την προστασία των επιχειρηματικών πληροφοριών, τις οποίες κατέχει η όποια επιχείρηση. Η εν λόγω πολιτική καθιερώνει τη στρατηγική προστασίας για όλες τις πληροφορίες οι οποίες είναι εμπορικά ευαίσθητες ή κρίσιμες, καθώς επίσης και το ποιες υπόκεινται σε προστασία λόγω νομικού πλαισίου ή ρυθμιστικών απαιτήσεων. Αυτό (η προστασία των ευαίσθητων / κρίσιμων επιχειρηματικών δεδομένων) επιτυγχάνεται με την εφαρμογή ενιαίου προτύπου σε σχέση με την επεξεργασία των εν λόγω πληροφοριών, οι οποίες είτε κατέχονται από την εν λόγω επιχείρηση είτε της έχουν παραχωρηθεί ή αποκτηθεί κατά την άσκηση του επιχειρηματικού της έργου. Σημαντικά σημεία αυτής της πολιτικής αποτελούν η προστασία της αξίας των πληροφοριών ως προς την επιχείρηση, η πρόληψη και παρακολούθηση απώλειας ή παραποίησής τους και η παροχή νομικής στήριξης για την αποτροπή μη εξουσιοδοτημένης χρήσης τους. Η διαβάθμιση των πληροφοριών αποτελεί κρίσιμο και ουσιαστικό βήμα στη διατήρηση και συνέχιση του επιχειρείν. Η διαβάθμιση βοηθά να εξασφαλίσουμε και να αντιληφθούμε ποιες πληροφορίες έχουν τύχει επεξεργασίας, το πώς έχουν τύχει αυτής της επεξεργασίας και τους τυχόν πιθανούς κινδύνους προς την επιχείρηση από τυχόν παραποίηση, ηθελημένη ή αθέλητη απώλεια / και κοινοποίησή τους. Από τη στιγμή κατά την οποία γίνεται κατανοητό το γιατί πρέπει να προστατευθούν οι επιχειρηματικές πληροφορίες μέσω συστήματος διαβάθμισής τους, είμαστε σε θέση να δομήσουμε τις απαιτούμενες διαδικασίες και κατευθυντήριες οδηγίες. Η συμμόρφωση με την εν λόγω πολιτική είναι υποχρεωτική και αποτελεί θεσμική υποχρέωση, απορρέουσα και από το ισχύον νομοθετικό πλαίσιο.

Του Γιάννη Κανάλη,
DiSPSc, CCO, CPO, SSMP, CPOI
Συντονιστής BECCA Ευρώπης