Πληροφορική και Επιχειρήσεις

Τα πιο κρίσιμα περιουσιακά στοιχεία κατά τον 21ο αιώνα, για τις ιδιωτικές επιχειρήσεις και τους δημόσιους οργανισμούς και φορείς, και γενικά για την παγκόσμια κοινωνία και οικονομία (τοπική, εθνική, διεθνή, κ.λπ.), δεν είναι τα κτίρια, οι εγκαταστάσεις, οι μηχανές, τα εργοστάσια, τα χρήματα, οι πιστώσεις, οι μετοχές, οι επιχορηγήσεις, τα δάνεια, το λογισμικό υπολογιστών (computer software), οι υπολογιστές (computers), κ.λπ., δηλ. η φυσική περιουσία, η οικονομική περιουσία, ή η πληροφοριακή περιουσία.

Τα πιο κρίσιμα περιουσιακά στοιχεία είναι η γνώση, οι έννοιες και οι ιδέες που είναι αποθηκευμένες στους εγκεφάλους των ανθρώπων, και σε πολλές περιπτώσεις, τουλάχιστον σε σύγχρονες επιχειρήσεις και οργανισμούς, είναι καταχωρημένες σε βάσεις δεδομένων που συντηρούνται από αυτοματοποιημένα πληροφοριακά συστήματα, είτε σε προσωπικούς υπολογιστές είτε και σε κεντρικά υπολογιστικά συστήματα.

Η υπολογιστική τεχνολογία και οι συγγενείς υποδομές, τα αυτοματοποιημένα πληροφοριακά συστήματα, η εθνική, διεθνής ή και επιχειρησιακή υποδομή δικτύωσης (το λεγόμενο ‘network backbone’) και οι συμπληρωματικές τεχνολογίες αποθήκευσης μαζικών πληροφοριών παρέχουν σε όλους, και στα πλαίσια λειτουργίας εταιρειών και οργανισμών, όλες τις απαραίτητες πληροφορίες και λεπτομερειακά στοιχεία για την λειτουργία της συγκεκριμένης οργάνωσης (επιχείρησης, οργανισμού, κ.λπ.), άμεσα, έγκυρα και με σχετική ασφάλεια (συνήθως).

Aυτή η τεχνολογία και τα Συστήματα Πληροφορικής που είναι τα επακόλουθα της (γρήγορη και πιο αποτελεσματική πληροφόρηση), διέπουν την μοντέρνα επιχείρηση σε όλες τις δραστηριότητές της (ανταγωνιστικότερη, καλύτερη και οικονομικότερη παραγωγή) και έχουν ως αποτέλεσμα την καλύτερη εξυπηρέτηση των πελατών της και του ευρύτερου κοινωνικού συνόλου.

Όλα αυτά τα τεχνολογικά στοιχεία, που γενικά απαρτίζουν την τεχνολογία πληροφορικής (IT: Information Technology), και τα συναφή πληροφοριακά συστήματα (IS: Information Systems) που λειτουργούν με βάση και εντός αυτού του τεχνολογικού πλαισίου, παρέχουν τα εξής οφέλη στις σύγχρονες επιχειρήσεις και οργανισμούς (ενδεικτικά):

1. Πιο γρήγορη και πιο αποτελεσματική πληροφόρηση για την λήψη
αποφάσεων σε όλα τα επίπεδα της οργάνωσης,
2. Αυξημένη ανταγωνιστικότητα σε όλες τις υπηρεσίες που προσφέρονται από την συγκεκριμένη οργανωτική μονάδα,
3. Βελτιωμένες παραγωγικές επεξεργασίες και διαχειριστικές διαδικασίες, και
4. Καλύτερη ποιότητα σε προϊόντα και υπηρεσίες στους πελάτες (για ιδιωτικές επιχειρήσεις), πολίτες (για δημόσιους οργανισμούς), και για την κοινωνία και οικονομία (γενικότερα).

Με δεδομένο τον γρήγορο ρυθμό ανάπτυξης της πληροφοριακής και υπολογιστικής
τεχνολογίας, ένα ρυθμό χωρίς προηγούμενο στην ιστορία της ανθρωπότητας, είναι τώρα ακόμη πιο εύκολο για τις επιχειρήσεις και οργανισμούς να μεταβιβάσουν (σχεδόν) όλες τις επιχειρηματικές τους συναλλαγές και λειτουργίες να εκτελούνται από ολοκληρωμένα πληροφοριακά συστήματα.

Αυτά τα συστήματα είναι σαν φάρμακα. Ενδυναμώνουν τον συγκεκριμένο οργανισμό (ή επιχείρηση) και τον διευκολύνουν να θεραπεύσει ή επιλύσει ένα συγκεκριμένο πρόβλημα ή λειτουργική αστοχία.

Με βάση το παράδειγμα αυτό (δηλ. των φαρμάκων), εάν αυτά τα συστήματα δεν χρησιμοποιηθούν με πειθαρχεία, μπορεί να δημιουργήσουν χαώδεις καταστάσεις και πολλές φορές όχι τα αναμενόμενα αποτελέσματα. Ακόμη και την μερική ή ολική καταστροφή.

Αυτά τα ολοκληρωμένα πληροφοριακά συστήματα πρέπει, λοιπόν, να λειτουργήσουν εντός ενός επιχειρησιακού περιβάλλοντος που διέπεται από κανόνες, πολιτικές και διαδικασίες και ένα σύστημα διαχείρισης κινδύνων. Αυτά συνολικά απαρτίζουν το πλαίσιο εταιρικής διακυβέρνησης το οποίο, στην περίπτωση των πληροφοριακών συστημάτων, συμπληρώνεται και από ένα πλαίσιο τεχνολογικής διακυβέρνησης.

Επίσης,  οι πληροφορίες είναι και θεωρούνται ως το σύγχρονο και στρατηγικό όπλο κάθε οργανισμού, και είναι πια στρατηγική περιουσία του οργανισμού.

Η δαπάνη για την συλλογή, επεξεργασία και διάχυση των πληροφοριών, μέσω συστημάτων πληροφορικής, απαιτούν υπέρογκα ποσά, πόρους και προσπάθεια.

Και όπως έχει πει ο διαβόητος Mitnick1: “Οι πολύτιμες πληροφορίες πρέπει να προστατεύονται ανεξάρτητα από το φόρουμ που χρειάζονται ή όπου βρίσκονται που βρίσκεται. Η λίστα πελατών ενός οργανισμού έχει την ίδια αξία είτε σε έντυπη μορφή είτε σε ηλεκτρονικό αρχείο στο γραφείο σας ή σε κουτί αποθήκευσης. Οι κοινωνικοί μηχανικοί (social engineerss) προτιμούν πάντα το πιο εύκολο για την παράκαμψη, το λιγότερο προστατευμένο σημείο επίθεσης. Η εγκατάσταση αποθήκευσης αντιγράφων ασφαλείας εκτός τοποθεσίας μιας εταιρείας θεωρείται ότι έχει λιγότερο κίνδυνο εντοπισμού ή σύλληψης. Κάθε οργανισμός που αποθηκεύει οποιαδήποτε πολύτιμα, ευαίσθητα ή κρίσιμα δεδομένα σε τρίτους θα πρέπει να κρυπτογραφεί τα δεδομένα τους για να προστατεύει την εμπιστευτικότητά των».

Επίσης, ο έλεγχος πληροφορικής (IT Auditing) θα βελτιώσει την ποιότητα των πληροφοριών (αποτελεσματικότητα, εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα, συμμόρφωση, αξιοπιστία) σύμφωνα με την ISACA (www.isaca.org).

Η απάντηση για τους διευθυντές και τους ηγέτες των οργανισμών είναι να σχεδιάσουν αυτό το νέο περιβάλλον λειτουργίας με τα κατάλληλα εργαλεία, μεθοδολογίες και πόρους.
Μην ξεχνάτε ποτέ ότι επειδή οι οργανισμοί διαφέρουν, θα διαφέρουν και οι ανάγκες ελέγχου τους. Για παράδειγμα, όλες οι εταιρείες χρειάζονται διαχείριση αλλαγών, αλλά ο τρόπος με τον οποίο θα εφαρμοστεί θα εξαρτηθεί από την επιχείρηση. Εξετάζοντας το επίπεδο οδηγιών εργασίας, απαιτούνται έλεγχοι πρόσβασης, αλλά ο τρόπος χειρισμού τους σε ένα κεντρικό υπολογιστή έναντι ενός δικτύου Windows θα διαφέρει.

Το θέμα είναι ότι θα χρειαστεί να συντονίσετε τις πολιτικές, τις διαδικασίες και τις οδηγίες εργασίας σας όχι μόνο ώστε να ανταποκρίνονται στο πνεύμα των ελέγχων αλλά και να είναι εφικτές στο πλαίσιο του οργανισμού σας.
Σχεδόν σε όλους τους τύπους οργανισμών, ιδιωτικούς και δημόσιους, οι εταιρικοί έλεγχοι υποδηλώνουν ένα σύνολο πολιτικών, διαδικασιών, τεχνικών, μεθόδων και πρακτικών για τη διαχείριση και τον έλεγχο των επιχειρηματικών λειτουργιών τους.

Εντός αυτού του πλαισίου διακυβέρνησης εταιρικών ελέγχων, τα Μέτρα Ελέγχου Πληροφορικής (ή IT Audit Controls) είναι συγκεκριμένες ενέργειες, που συνήθως καθορίζονται από πολιτικές, διαδικασίες, πρακτικές κ.λπ., που εκτελούνται από άτομα, υλικό ή λογισμικό με κύριο στόχο τη διασφάλιση της επίτευξης συγκεκριμένων επιχειρηματικών στόχων.

Ο γενικός στόχος των ελέγχων πληροφορικής σχετίζεται με την ασφαλή επεξεργασία, την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων και τη συνολική διαχείριση της λειτουργίας πληροφορικής των οργανισμών.

Οι έλεγχοι πληροφορικής περιγράφονται συνήθως σε δύο κατηγορίες σύμφωνα με διάφορες πηγές2: Γενικοί έλεγχοι πληροφορικής και Έλεγχοι εφαρμογών πληροφορικής.

Οι γενικοί έλεγχοι πληροφορικής είναι εκείνοι οι έλεγχοι που ισχύουν για όλες τις δραστηριότητες πληροφορικής (συστήματα, υπηρεσίες, ζητήματα, διαδικασίες, λειτουργίες κ.λπ.) και δεδομένα για έναν συγκεκριμένο οργανισμό ή περιβάλλον συστημάτων πληροφορικής. Περιλαμβάνουν ελέγχους σε τομείς όπως η στρατηγική για την πληροφορική, η ανάπτυξη συστημάτων, οι λειτουργίες κέντρων δεδομένων, η βάση δεδομένων και η υποδομή επικοινωνιών δεδομένων, η υποστήριξη και συντήρηση λογισμικού συστημάτων, η ασφάλεια πληροφορικής και η απόκτηση, ανάπτυξη και συντήρηση συστημάτων έτοιμων εφαρμογών.

Οι έλεγχοι εφαρμογών πληροφορικής είναι εκείνοι οι έλεγχοι που είναι κατάλληλοι για την επεξεργασία συναλλαγών από μεμονωμένα ηλεκτρονικά υποσυστήματα, όπως χρηματοοικονομική λογιστική, διαχείριση προσωπικού, πωλήσεις πελατών, έλεγχος αποθεμάτων, μισθοδοσία ή πληρωτέοι λογαριασμοί κ.λπ.
Σχετίζονται με την επεξεργασία και αποθήκευση δεδομένων σε αρχεία που βασίζονται σε υπολογιστή από μεμονωμένες εφαρμογές πληροφορικής και διασφαλίζουν ότι οι επιχειρηματικές συναλλαγές πραγματοποιήθηκαν, είναι εξουσιοδοτημένες και καταγράφονται, αποθηκεύονται, υποβάλλονται σε επεξεργασία και αναφέρονται πλήρως και με ακρίβεια.

Τα οφέλη ενός Ελέγχου Πληροφορικής:
(1) Να παρέχει στους ελεγκτές και στελέχη πληροφορικής και διοίκησης
μεθοδολογίες και τα πρακτικά εργαλεία να επισκοπήσουν και να αξιολογήσουν
τα υπάρχοντα μέτρα διακυβέρνησης πληροφορικής και προστασίας δεδομένων,
(2) Να σχεδιάσουν βελτιωτικές ενέργειες για να αποφευχθεί η δυσλειτουργία των
συστημάτων και των υποδομών πληροφορικής μιας εταιρείας ή δημόσιου οργανισμού,
(3) Να σχεδιάσουν πιο ασφαλή πληροφοριακά συστήματα και εφαρμογές για
επιχειρησιακούς σκοπούς, και να αποφύγουν πρόστιμα από τις ρυθμιστικές αρχές, και
(4) Να εκπαιδευθούν φοιτητές πανεπιστημίων και ασκούμενοι ελεγκτές στους τρόπους
ελέγχου συστημάτων πληροφορικής και συμμόρφωσης με τα διάφορα πρότυπα ασφάλειας και συμμόρφωσης (π.χ., ISO 27001, κλπ.).

Σημειώσεις
1. Βλέπετε βιβλίο των Kevin. D. Mitnick and William L. Simon: “The art of deception”, Wiley, 2002.
2. www.isaca.org, www.theiia.org, www.theiia.org, www.itpi.org.