Page 1

Ινστιτούτο Ελέγτοσ Σσστημάτων Πληρουορικής (ΙΕΣΠ) - ISACA Athens Chapter

Ενημερωτικό Δελτίο

Έτος 2012, Τ. 01 – Φεβ 2012

Newsletter ISACA Athens Chapter

Αγαπητά μέλη,

ΠΕΡΙΕΦΟΜΕΝΑ 1. ΢υνέντευξη Νίκη Φίου, 4η Πρόεδρος του ISACA Athens Chapter (2006-2008)

4

2. Αρθρογραφία Μέτρηση αποτελεσματικότητας της ασφάλειας πληροφοριών: θεωρία, αναγκαιότητα ή ουτοπία;

7

3. Νέα του Ινστιτούτου Πρόσφατες Εκπαιδευτικές Εκδηλώσεις

11

΢υμμετοχή σε ΢υνέδρια

14

Βράβευση Best Newsletter Award

17

Σο IΕ΢Π στο Περιοδικό IT Security

18

4. Νέα ISACA International Ανανέωση Πιστοποιήσεων για το 2012 & Νέες Εκπτώσεις ΢ημαντικές ημερομηνίες για τις Εξετάσεις Ιουνίου Η Πιστοποίηση CISM Υιναλίστ Best Professional Certification Program 2012 ISACA Certifies 10,000th CRISC Αλλαγή στην Πολιτική Φορήγησης CPEs Δήλωση CPE Hours COSO Releases Updated Internal Control Integrated Framework “ISACA Journal” είναι πλέον διαθέσιμο στο Apple App Store CACS και ISRM σε ένα Ευρωπαϊκό ΢υνέδριο Book Review: System Forensics, Investigation, and Response

19 19 19 20 20 21 21 22 23 24

Έχω τη χαρά να προλογίζω το πρώτο Newsletter του 2012 που βγαίνει μετά από μια ιδιαίτερα επιτυχημένη χρονιά για το Ινστιτούτο μας, παρά τις αντίξοες οικονομικές συνθήκες. Από τα γεγονότα της περασμένης χρονιάς ξεχώρισα το 1st ISACA Athens Chapter Conference με τίτλο "IT Audit, Security & Governance Challenges in Financial Crisis" το οποίο, παρόλο που αποτέλεσε πρόκληση το ίδιο για την προετοιμασία του, σημείωσε μεγάλη επιτυχία και τιμήθηκε με τη συμμετοχή των μελών μας. Ο όγκος της δουλειάς που απαιτήθηκε για την οργάνωση της εκπαιδευτικής ημερίδας ήταν πραγματικά πολύ μεγάλος και ξεκίνησε ήδη από τον Δεκέμβριο του 2010 με την ηλεκτρονική έρευνα Μελών, η οποία αποτέλεσε το σημείο αναφοράς για την επιλογή θεματολογίας καθώς και για την κοστολόγηση του. ΢το σημείο αυτό αξίζει να σημειωθεί ότι τίποτε από όσα προαναφέρθηκαν δεν θα είχε πραγματοποιηθεί δίχως τη συμβολή και την προσπάθεια των μελών του Δ.΢. και των Ομάδων Εργασίας του Ινστιτούτου. Επίσης, θα ήθελα να ευχαριστήσω την Ελληνοαμερικανική Ένωση και ιδιαίτερα την κα Ελένη Σσιριγώτη για την υποστήριξη της ημερίδας αλλά και για την άψογη συνεργασία μας. Παρά την κρίση λοιπόν, με σχεδιασμό, προγραμματισμό αλλά και με πολύ και συλλογική δουλειά καταφέραμε η χρονιά που μας πέρασε να κλείσει με αξιόλογο έργο και θετικό οικονομικό αποτέλεσμα για το Ινστιτούτο. Να ευχηθούμε κάτι ανάλογο για τη χώρα μας για το 2012; Με φιλικούς χαιρετισμούς, Παναγιώτης Δρούκας Μέλος Δ.΢. και Webmaster Ι.Ε.΢.Π. - ISACA Athens Chapter

1


ISACA Athens Chapter

Newsletter Περιεχόμενα (συνέχεια)

5. Η ΢ελίδα των Μελών Εκπροσώπηση Ι.Ε.΢.Π. σε Διεθνές ΢υνέδριο

25

ISACA Athens Chapter: Οι αριθμοί του 2012

25

΢ταυρόλεξο και απαντήσεις του προηγούμενου τεύχους

26

6. ΢ε Σροχιά CobiT Ιστοσελίδα για το COBIT 5

28

COBIT 5 Executive Summary Now Available

28

How to migrate from COBIT 4.1 to COBIT 5?

28

COBIT Misconceptions and Facts

28

7. Εκπαιδευτικά προγράμματα και συνεργασίες

Εκπαιδευτικά Προγράμματα ISACA Επόμενη Εκπαιδευτική Εκδήλωση 15/02/2012

30

e-Symposium, Virtual Seminar and Tradeshow

30

EuroCACS / ISRM 10-12/09/2012

30

Εκπαιδευτικές ΢υνεργασίες ΢εμινάρια Προετοιμασίας CISA-CISM

31

ΙDC IT Security & DataCenters Transformation Roadshow

31

2


ISACA Athens Chapter

Newsletter

Για περισσότερες πληροφορίες επικοινωνήστε στο info@isaca.gr

3


ISACA Athens Chapter

Newsletter 1. ΢υνέντευξη Με την κα Νίκη Φίου, 4η Πρόεδρος του ISACA Athens Chapter (2006-2008) Έχουμε μεγάλη χαρά και τιμή να φιλοξενούμε σε αυτό το τεύχος, του βραβευμένου πλέον, Newsletter μας τη συνέντευξη που μας παραχώρησε η κυρία Νίκη Φίου. Η κυρία Φίου διετέλεσε Πρόεδρος του Ινστιτούτου την περίοδο 2006 με 2008 ενώ προηγουμένως είχε συνεισφέρει στο Ινστιτούτο από τη θέση της Γραμματέας (2002 με 2004). Η αλήθεια είναι πως η επικοινωνία που είχαμε μαζί της προκειμένου να εξασφαλίσουμε τη συνέντευξη της ξεκινάει αρκετούς μήνες πίσω κάπου στο 2010. Αυτό που έχει μείνει περισσότερο χαραγμένο στη μνήμη μας όλο αυτό το διάστημα θεωρούμε πως είναι η στιγμή που συζητήσαμε μαζί της για πρώτη φορά την περίπτωση να μας δώσει αυτή τη συνέντευξη. Επιτρέψτε μας να μοιραστούμε μαζί σας αυτή τη στιγμή. Η κυρία Φίου έτυχε να είναι από τα πρώτα μέλη εκτός της Ομάδας Εργασίας του Newsletter και του Δ.΢. του ISACA Athens Chapter που πληροφορήθηκε ανεπίσημα την πρόθεσή μας να προσθέσουμε αυτή τη νέα θεματική ενότητα (συνέντευξη όλων των Προέδρων) στο Newsletter μας. Θυμόμαστε χαρακτηριστικά ήταν τέλη ΢επτεμβρίου του 2010 και μόλις είχε τελειώσει το πρώτο “Internal Audit Conference”. Εκεί, λοιπόν, λίγο πριν τον αποχαιρετισμό και μεταξύ σοβαρού και αστείου (την πιάσαμε απροετοίμαστη...) κάναμε την πρώτη νύξη

και τη ρωτήσαμε για το αν θα συμμετείχε και θα υποστήριζε μία τέτοια προσπάθεια. Μετά το πρώτο αρχικό χαμόγελο και τις ενστάσεις (δείγμα μετριοφροσύνης) καταφέραμε και αποσπάσαμε εκτός από το χαμόγελό της και την εξής απάντηση: Ξεκινήστε εσείς και εγώ μαζί σας...” Όντως ξεκινήσαμε Νίκη και όχι μόνο, προχωράμε! Νίκη, σε ευχαριστούμε θερμά για τις ενδιαφέρουσες απαντήσεις σου, το χρόνο που διέθεσες και προπάντων για την υποστήριξή σου και τη θετική σου ενέργεια. Η Νίκη γεννήθηκε στην Φαλκίδα και μεγάλωσε στα Χαχνά Ευβοίας. ΢πούδασε Πληροφορική στο Εθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών από όπου και αποφοίτησε το 1996. Εργάστηκε ως Καθηγήτρια Πληροφορικής έως το 1998 οπότε και προσελήφθη στην Σράπεζα Εργασίας για να στελεχώσει το νεοσύστατο τότε τμήμα ελέγχου πληροφορικών συστημάτων. Έκτοτε ξεκίνησε η ενασχόληση της με την “τέχνη” του εσωτερικού ελέγχου την οποία και υπηρετεί έως και σήμερα. ΢‟ αυτό το διάστημα έχει διατελέσει επικεφαλής του τμήματος ελέγχου πληροφορικών συστημάτων της Σράπεζας Eurobank Ergasias και Audit Manager στην Σράπεζα Probank όπου συμμετείχε στην οργάνωση του εσωτερικού ελέγχου ενώ παράλληλα ασχολήθηκε και με τον έλεγχο των κεντρικών υπηρεσιών και πιστοδοτήσεων. Από το 2008 εργάζεται ως Audit Manager στην Σράπεζα Πειραιώς. Διετέλεσε πρόεδρος του Ελληνικού Ινστιτούτου Ελέγχου ΢υστημάτων Πληροφορικών την περίοδο 2006-2008. Είναι κάτοχος πιστοποίησης CISA και CIA και μέλος των οργανισμών ISACA και ΙΙΑ.

4


ISACA Athens Chapter

Newsletter 1. Συνέντευξη Πως αποφασίσατε να ασχοληθείτε ενεργά με το Ινστιτούτο Ελέγχου ΢υστημάτων Πληροφορικής; Ποια χρόνια διετελέσατε Πρόεδρος του Ι.Ε.΢.Π; Ξεκίνησα να ασχολούμαι με τον έλεγχο συστημάτων πληροφορικής το 1998 όταν το επάγγελμα βρίσκονταν ακόμη σε εμβρυακό στάδιο στην Ελλάδα. Σότε ήταν εμφανής η ανάγκη ενδυνάμωσης του ινστιτούτου όντας ουσιαστικά το κύριο μέσο διάχυσης γνώσης και ανταλλαγής εμπειριών αναφορικά με το αντικείμενο του ελέγχου συστημάτων πληροφορικής. Ψς επαγγελματίας θεώρησα ότι έπρεπε να συνεισφέρω σ‟ αυτή την προσπάθεια, οπότε διετέλεσα Γραμματέας την περίοδο 2002-2004 και Πρόεδρος την περίοδο 2006-2008. Ποια θεωρείτε πως ήταν η μεγαλύτερη πρόκληση που αντιμετωπίσατε στη θητεία σας ως Πρόεδρος του Ινστιτούτου και πως ανταπεξήλθατε σε αυτήν; Σο σύνολο της θητείας ήταν μία πρόκληση, δεδομένων των θεμάτων που έπρεπε να διευθετηθούν. ΢ίγουρα όμως η καθιέρωση του Ινστιτούτου σε όλες τις διαστάσεις (νομική, οικονομική, επικοινωνιακή και ως προς τα μέλη αλλά και ως προς τον ISACA) υπήρξε η μεγαλύτερη πρόκληση. Κάθε πρόκληση ωστόσο, αντιμετωπίζεται με σκληρή δουλειά και αποτελεσματική συνεργασία όχι μόνο με τα μέλη του Δ.΢. αλλά και γενικότερα με τα μέλη του Ινστιτούτου. Κάνοντας μια καταγραφή των σημαντικότερων στιγμών στην ιστορία του Ινστιτούτου, ποια θεωρείτε ως τα 3 πιο σημαντικά γεγονότα/επιτεύγματα του Ι.Ε.΢.Π. κατά τη θητεία σας ως Πρόεδρος;

• Καθιέρωση του Ινστιτούτου ξεκινώντας από την οικονομική του υπόσταση και συνεχίζοντας στην βελτίωση της επικοινωνίας με τον ISACA (καθιέρωση

τακτικών αναφορών, συμμετοχή στο “marketing assistance program”), με τα μέλη (διενέργεια μηνιαίων εκπαιδευτικών συγκεντρώσεων) αλλά και με τρίτους φορείς (διενέργεια προγράμματος προώθησης της παρουσίας του ελληνικού παραρτήματος του ISACA κυρίως στον ελληνικό επιχειρηματικό κόσμο). Σο 2008 ξεπεράσαμε τα 200 μέλη επιτυγχάνοντας ετήσια αύξηση 30% με ισχυρή δυναμική εξέλιξης. • Διαδικτυακή παρουσία (www.isaca.gr). • Υιλοξενία του 1ου ISACA Training Week στην Αθήνα. Ποιος είναι ο ρόλος του επαγγελματία στο χώρο της Πληροφορικής και ιδιαίτερα εκείνου στη γνωστική περιοχή της Ασφάλειας και Ελέγχου Πληροφοριακών ΢υστημάτων στην Ελλάδα σήμερα και ποια θεωρείτε πως είναι τα απαιτούμενα εφόδια/χαρακτηριστικά που θα πρέπει να διαθέτει; Ιδιαίτερα σημαντικός, λαμβάνοντας υπόψη τη συνεχή εξέλιξη της επιστήμης της Πληροφορικής και την εκτεταμένη εφαρμογή της σε ποικίλα πεδία. ΢ίγουρα έχουν σημειωθεί άλματα ως προς την καθιέρωση του επαγγέλματος απόρροια και των επιταγών του κανονιστικού πλαισίου σε ορισμένους χώρους όπως τα χρηματοπιστωτικά ιδρύματα. Ψστόσο, υπάρχουν σημαντικά περιθώρια βελτίωσης και σ‟ αυτήν καθοριστικό ρόλο καλείται να διαδραματίσει ο επαγγελματίας ασφάλειας και ελέγχου συστημάτων πληροφορικής. Πέραν της απαιτούμενης τεχνικής κατάρτισης θεωρώ σημαντική την γνώση της ελεγκτικής επιστήμης ή/και αρχών ασφάλειας αλλά και την ουσιαστική κατανόηση του εκάστοτε επιχειρησιακού περιβάλλοντος. Υυσικά δεν συγκαταλέγω στα εφόδια / χαρακτηριστικά την ύπαρξη ήθους και δεοντολογίας γιατί τις θεωρώ εκ των ων ουκ άνευ αρετές για έναν ελεγκτή.

5


ISACA Athens Chapter

Newsletter 1. Συνέντευξη Ποιο είναι το μεγαλύτερο όφελος που αποκομίσατε από τη συμμετοχή σας στο Ι.Ε.΢.Π; ΢ημαντικές εμπειρίες αλλά κυρίως, όπως θέλω να πιστεύω, τον σεβασμό των συναδέλφων μου. Σι έχετε να πείτε σε κάποιον/α που σκέφτεται σήμερα για το αν θα πρέπει να (α) γίνει μέλος στο Ινστιτούτο (β) συμμετάσχει στο Δ.΢. ή σε κάποια από τις Ομάδες Εργασίας;

(α) ΢ε συνδυασμό με την απόκτηση των σχετικών πιστοποιήσεων θεωρώ ότι αποτελεί σημαντική συνιστώσα για την επιτυχή πορεία και καθιέρωσή του/της ως επαγγελματία. (β) Είναι μοναδική ευκαιρία να συνεισφέρει στην εξέλιξη και περαιτέρω καθιέρωση του επαγγέλματος καθώς και να ανταλλάξει εμπειρίες με άλλους συναδέλφους και επαγγελματίες που δραστηριοποιούνται στον ευρύτερο χώρο της πληροφορικής καθώς και του εσωτερικού ελέγχου. Αυτό που κατά την άποψή μου έχει την μεγαλύτερη αξία είναι ότι η συμμετοχή είναι εθελοντική και υπό αυτό το πρίσμα η οποιαδήποτε συνεισφορά καθίσταται ακόμη πιο ουσιαστική.

6


ISACA Athens Chapter

Newsletter 2. Αρθρογραφία Μέτρηση αποτελεσματικότητας της ασφάλειας πληροφοριών: θεωρία, αναγκαιότητα ή ουτοπία; Από τον κ. Νότη Ηλιόπουλο, CISA, CISM, ISO27001LA

Η πιο συχνή ερώτηση που απευθύνεται, σε Επιχειρηματικό επίπεδο, στους επαγγελματίες της ασφάλειας πληροφοριών είναι η ακόλουθη, «είμαστε ασφαλείς?» Υυσικά απάντηση δεν υπάρχει. υπάρχει όμως απάντηση στις ερωτήσεις που ακολουθούν: Από τι κινδυνεύουμε και πόσο? ΢ε ποια κατεύθυνση χρειάζεται να επενδύσουμε? Έχει αποδώσει η επένδυση στην ασφάλεια (πόροι και συστήματα, λύσεις)? Πόσο αποτελεσματική είναι η υποδομή ασφάλειας πληροφοριών και που χρειάζεται βελτιώσεις?

Οι παραπάνω ερωτήσεις ακούγονται με ιδιαίτερη συχνότητα, ειδικά σε περιόδους οικονομικής ύφεσης όπως αυτή που διανύουμε. Ο μόνος τρόπος για να απαντήσουμε και ταυτόχρονα να προωθήσουμε τους στόχους της ασφάλειας πληροφοριών, είναι μόνο μέσα από τεκμηριωμένα στοιχεία τα οποία προκύπτουν από δείκτες μέτρησης της αποτελεσματικότητας και της απόδοσης της διεργασίας της Ασφάλειας Πληροφοριών.

Οι δείκτες μέτρησης αποτελεσματικότητας είναι εργαλεία σκοπός των οποίων είναι να διευκολύνουν στη λήψη αποφάσεων, να βελτιώσουν την απόδοση, να συμβάλουν στο καταμερισμό ευθυνών, μέσω μια διαδικασίας συλλογής, ανάλυσης και αναφοράς των σχετικών με την απόδοση δεδομένων. Όσον αφορά στην ασφάλεια πληροφοριών, οι δείκτες μέτρησης αποτελεσματικότητας πρέπει να βασίζονται σε μετρήσιμους στόχους και αντίστοιχα προσδοκώμενα αποτελέσματα. Για την ασφάλεια πληροφοριών οι δείκτες μέτρησης αποτελεσματικότητας αποτελούν τα επιθυμητά αποτελέσματα της υλοποίησης της διεργασίας της ασφάλειας πληροφοριών. Οι δείκτες μέτρησης αποτελεσματικότητας αφορούν στη παρακολούθηση της επίτευξης των στόχων μέσω μια διαδικασίας ποσοτικοποίησης του βαθμού υλοποίησης των δικλείδων ασφάλειας αλλά και μέτρησης της αποτελεσματικότητας των συγκεκριμένων δικλείδων ασφάλειας. Ο τρόπος με τον οποίο γίνεται αυτό είναι μέσω αξιολόγησης της επάρκειας και πληρότητας των δικλείδων ασφάλειας (διαδικασίες & τεχνικές δικλείδες ασφάλειας) και προσδιορισμού των απαραίτητων διορθωτικών ενεργειών. Οι δείκτες μέτρησης αποτελεσματικότητας είναι τριών ειδών: • Δείκτες υλοποίησης, που αφορούν στο ποσοστό υλοποίησης της πολιτικής ασφάλειας • Δείκτες αποτελεσματικότητας, που αφορούν στην αποτελεσματικότητα των υλοποιημένων δικλείδων ασφάλειας • Δείκτες αρνητικής επίδρασης, που αφορούν στην επίδραση των περιστατικών ασφάλειας στην επιχειρηματική δραστηριότητα του Οργανισμού.

7


ISACA Athens Chapter

Newsletter 2. Αρθρογραφία Φρησιμότητα και προσδοκώμενα οφέλη ΢το σημερινό επιχειρηματικό περιβάλλον η μέτρηση της αποτελεσματικότητας της ασφάλειας πληροφοριών δεν αποτελεί μια θεωρία, αλλά αναγκαιότητα η οποία επιβάλλεται τόσο από τον ίδιο το οργανισμό (αιτιολόγηση δαπανών, επίπεδο ασφάλειας) αλλά και από το κανονιστικό πλαίσιο και τα διεθνή πρότυπα (ISO 27004: Information technology - Security techniques - Information security management - Measurement). Μερικοί από τους λόγους που μας οδηγούν στην υλοποίηση μιας συνεχούς διεργασίας για τη μέτρηση της αποτελεσματικότητας, είναι οι ακόλουθοι: • Η εκάστοτε Διοίκηση προσδιορίζει μετρήσιμους στόχους για να μπορεί να ελέγχει την απόδοση αλλά και την αποτελεσματικότητα της κάθε επένδυσης. • Όλοι μας είμαστε υπόλογοι και αξιολογούμαστε σχετικά με την απόδοση και την αποτελεσματικότητά μας. Είναι καλύτερα οι σχετικοί δείκτες να προσδιορισθούν από τους επαγγελματίες της ασφάλειας πληροφοριών όχι από τις λοιπές επιχειρηματικές μονάδες. • Κάθε Οργανισμός (αργά ή γρήγορα) αξιολογεί και αξιολογείται σε θέματα απόδοσης βάσει προκαθορισμένων δεικτών. Η ασφάλεια πληροφοριών δεν αποτελεί εξαίρεση. • Είναι αναγκαίο να μπορούμε να απαντήσουμε τεκμηριωμένα στην ερώτηση „‟πόσο ασφαλείς είμαστε‟‟. Όσον αφορά στον κίνδυνο, υπάρχει μέτρηση μέσω της διαδικασίας αξιολόγησης κινδύνων. Κατ‟ επέκταση, πρέπει να αξιολογείται και η αποτελεσματικότητα των δικλείδων που χρησιμοποιούνται για την ελαχιστοποίηση των κινδύνων.

• Απαίτηση για μέτρηση της αποτελεσματικότητας από το κανονιστικό πλαίσιο και τα διεθνή πρότυπα για την ασφάλεια πληροφοριών. Δημιουργώντας τα κατάλληλα metrics Η θέσπιση των δεικτών μέτρησης αποτελεσματικότητας που αφορούν στην ασφάλειας πληροφοριών, στοχεύει στη μεγιστοποίηση της αποτελεσματικότητας της υποδομής ασφάλειας πληροφοριών ενός οργανισμού. Για το λόγο αυτό η ίδια η διεργασία δημιουργίας των δεικτών και της ανάλυσης των αποτελεσμάτων πρέπει να είναι αποτελεσματική.

Για να γίνει αυτό χρειάζεται συγκεκριμένη προσέγγιση η οποία περιλαμβάνει τις παρακάτω δύο σημαντικές δραστηριότητες: • Προσδιορισμό και αναγνώριση του υφιστάμενου επιπέδου ασφάλειας πληροφοριών • Τλοποίηση και επιλογή συγκεκριμένων δεικτών μέτρησης μέσω των οποίων θα αξιολογείται και θα αποτιμάται η πρόοδος υλοποίησης, η αποτελεσματικότητα και η επίδραση των δικλείδων ασφάλειας. Μερικές ιδέες που αφορούν στους δείκτες μέτρησης είναι τα ακόλουθα: • Δείκτες Οργάνωσης & απόδοσης Απόδοση εργαζομένων Ακρίβεια στο προϋπολογισμό και υλοποίηση των σχετικών δαπανών Αποτελεσματικότητα επικοινωνίας των στόχων • Δείκτες λειτουργικότητας Αριθμός περιστατικών ασφάλειας Αριθμός κρίσιμων συμβάντων Κόστος λειτουργίας μονάδας ασφάλειας πληροφοριών

8


ISACA Athens Chapter

Newsletter 2. Αρθρογραφία • Δείκτες που αφορούν στη τεχνολογία Αριθμός „security events‟ που καταγράφονται από τους μηχανισμούς καταγραφής των πληροφοριακών συστημάτων Αριθμός patches & fixes που έχουν εγκατασταθεί σε σχέση με τα όσα θα έπρεπε να είχαν εγκατασταθεί Αριθμός τεχνικών αδυναμιών ασφάλειας που έχουν προσδιορισθεί • Δείκτες που αφορούν στις επιχειρηματικές διεργασίες Φρόνος που χρειάζεται για να εγκριθούν – υλοποιηθούν δικαιώματα πρόσβασης ΢ύγκριση προϋπολογισμένου σε σχέση μα το πραγματικό κόστος των υλοποιημένων δικλείδων ασφάλειας (διαχειριστικές, τεχνικές) Κόστος τήρησης – υλοποίησης δικλείδων ασφάλειας για τις επιχειρηματικές μονάδες του Οργανισμού • Δείκτες μέτρησης επιχειρηματικές αξίας Επίπτωση στη φήμη και την αξιοπιστία του Οργανισμού Επίπτωση στη απόδοση και παραγωγικότητα των εργαζομένων Επιπτώσεις και πιθανά οφέλη για του έχοντες επιχειρηματικό συμφέρον από τη λειτουργία του Οργανισμού • Δείκτες που αφορούν στη κανονιστική συμμόρφωση Αριθμός δικλείδων ασφάλειας που αφορούν στην κάλυψη κανονιστικών απαιτήσεων Αριθμός εξαιρέσεων που έχουν ζητηθεί από τα κανονιστικά όργανα ε σχέση με τις απαιτήσεις τους Αριθμός εξαιρέσεων που έχουν εγκριθεί

Οι παραπάνω δείκτες αφορούν στην πλειοψηφία τους τη συλλογή ποσοτικών μονάδων μέτρησης. Εναλλακτικός τρόπος μέτρησης της αποτελεσματικότητας της ασφάλειας πληροφοριών, αποτελεί η χρήση της μεθόδου Balanced Scorecards. Ο τρόπος αυτός κάνει χρήση, κυρίως, ποιοτικών δεικτών. Αντίστοιχα, η χρήση της μεθόδου στο τομέα της ασφάλειας πληροφοριών αφορά στην εναρμόνιση των ενεργειών για την Ασφάλεια Πληροφοριών με την Επιχειρηματική ΢τρατηγική (Μετατροπή σε διεργασίες με μετρήσιμα αποτελέσματα). Φρήσιμες διαπιστώσεις ΢το σημερινό επιχειρηματικό περιβάλλον η μέτρηση της αποτελεσματικής υλοποίησης της ασφάλειας πληροφοριών δεν αποτελεί θεωρία, αλλά αναγκαιότητα. Οι δείκτες μέτρησης αποτελεσματικότητας δεν αντιπροσωπεύουν απλά νούμερα, αφορούν στη μέτρηση της αποδοτικότητας της διεργασίας της ασφάλειας πληροφοριών στον Οργανισμό και προσδιορίζουν ανάγκες και σημεία βελτίωσης. Η αποτελεσματικότητα της διαδικασίας θέσπισης των σχετικών δεικτών αλλά και συλλογής των απαραίτητων δεδομένων, είναι σημαντικός παράγοντας επιτυχίας και οι παρακάτω διαπιστώσεις μπορούν να βοηθήσουν προς τη κατεύθυνση αυτή: •

Δεν χρειάζεται να υιοθετήσουμε πολλούς δείκτες, λίγοι και συγκεκριμένοι για τους οποίους θα συλλέγουμε τακτικά στοιχεία, είναι προτιμότερο και πιο αποτελεσματικό. Η συχνότητα συλλογής των στοιχείων είναι σημαντική διεργασία. Φρειαζόμαστε στοιχεία ακριβή και πρόσφατα.

9


ISACA Athens Chapter

Newsletter 2. Αρθρογραφία • •

Η έγκριση τη Διοίκησης σχετικά με τους δείκτες είναι σημαντική, διότι τα αποτελέσματα στη Διοίκηση θα προσκομισθούν. Πριν τη συλλογή στοιχείων και δεικτών χρειάζεται να σκεφτούμε το σκοπό τον οποίο θα εξυπηρετήσουν οι δείκτες. Με το τρόπο αυτό θα επιλεγούν οι σωστοί δείκτες και θα φέρουν και τη προσδοκώμενη αξία.

Θεωρία, αναγκαιότητα η ουτοπία? Η θέσπιση και ανάλυση των δεικτών μέτρησης αποτελεσματικότητας της ασφάλειας πληροφοριών είναι αναγκαιότητα. Αποτελεί βασικό παράγοντα επιτυχίας και προώθησης των στόχων της ασφάλειας πληροφοριών. Η εποχή το απαιτεί και η θεωρία είναι ώριμη να μετουσιωθεί σε πράξη. Καλή επιτυχία ... Βιβλιογραφικές Αναφορές – Links:

΢κοπός των δεικτών μέτρησης αποτελεσματικότητας της ασφάλειας πληροφοριών είναι να προσδιορισθεί η αξία της όλης επένδυσης. Αυτό γίνεται με το να αποδειχθεί η εναρμόνιση των στόχων της ασφάλειας πληροφοριών με αυτούς της επιχειρηματικής λειτουργίας του οργανισμού και πως η επίτευξή τους υποβοηθείται από τις υφιστάμενες τεχνικές και διαχειριστικές δικλείδες ασφάλειας. Φρήσιμα συμπεράσματα που προκύπτουν από την ανάλυση των δεικτών αφορούν και στις περιοχές που χρειάζεται να ενισχυθούν περισσότερα. Φρησιμοποιώντας τα εν λόγω αποτελέσματα ως εφαλτήριο, μπορούμε να αιτιολογήσουμε τις σχετικές δαπάνες για την ασφάλεια πληροφοριών. ΢ημαντικό όφελος από τη μελέτη των δεικτών μέτρησης αποτελεσματικότητας, αφορά στο στρατηγικό σχεδιασμό της ασφάλειας πληροφοριών και στη μέτρηση της προόδου σε σχέση με τους στόχους που έχουν τεθεί. Επιπροσθέτως, σημαντικές διαπιστώσεις μπορούν να εξαχθούν σε σχέση με τους κινδύνους και το τρόπο αντιμετώπισής τους. ΢υγκεκριμένα, μπορούμε να δούμε τις τάσεις εσωτερικά και εξωτερικά του Οργανισμού, καθώς και να προσδιορισθεί ο εναπομένων κίνδυνος.

• Developing Metrics for Effective Information Security Governance John P. Pironti, [ISACA, 2007] • Measuring Security, Abe Kleinfied, nCircle, [Information Security & Risk Management 2008] • NIST Security Metrics Guide for Information Technology Systems • ISO 27004: Information technology - Security techniques - Information security management – Measurement • Accounting for Value and Uncertainty in Security Metrics By C. Warren Axelrod, [ISACA, 2008] • Accounting for Value and Uncertainty in Security Metrics By C. Warren Axelrod, [ISSA Journal 2006] • Key Elements of an Information Security Program By John P. Pironti, [ISACA, 2005]

Νότης Ηλιόπουλος, CISA, CISM, ISO27001LA Ο κ. Ηλιόπουλος εργάζεται ως Director of Technology στην εταιρεία Intelli Solutions. Κατέχει τους μεταπτυχιακούς τίτλους MSc Info Security, MSc Management of Business Innovation & Technology, καθώς και τις πιστοποιήσεις CISA, CISM, ISO27001LA. Διαθέτει 15-ετή εμπειρία στην ασφάλεια πληροφοριών, έχοντας διατελέσει σε σημαντικές θέσεις τόσο από τη πλευρά του Επιχειρηματικού τομέα όσο και από τη πλευρά του παρόχου συμβουλευτικών υπηρεσιών

10


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου Πρόσφατες Εκπαιδευτικές Εκδηλώσεις 1ο ISACA Athens Chapter Conference, 02/12/2012 Ναι, έγινε πραγματικότητα! Κοινό μυστικό μεταξύ των μελών του Δ.΢. του Ι.Ε.΢.Π., και όχι μόνο, ήταν εδώ και περίπου ένα χρόνο η επιθυμία να διεξαχθεί το πρώτο ημερήσιο συνέδριο του ISACA Athens Chapter, με σκοπό την καθιέρωσή του στο χώρο, σε ετήσια βάση. Και εν τέλει χωρίς πολλές σκέψεις και μακρόχρονο σχεδιασμό, αποφασίστηκε γύρω στα μέσα ΢επτεμβρίου να υλοποιηθεί αυτή η συνδιοργάνωση εντός περίπου δύο μηνών, με λίγες διαθέσιμες εναλλακτικές ημερομηνίες και επομένως χωρίς πολλά περιθώρια ευελιξίας. Αν και η πρώτη διαθέσιμη ημερομηνία δεν ευδοκίμησε, η «οργανωτική επιτροπή» των Ι.Ε.΢.Π Ελληνοαμερικανικής Ένωσης διοργάνωσε στις 2 Δεκεμβρίου 2011 το πρώτο ISACA Athens Chapter conference με τίτλο: “IT Audit, Security & Governance Challenges in Financial Crisis”. Οι παρουσιάσεις των προσκεκλημένων ομιλητών κινήθηκαν γύρω από τα εξής βασικά σημεία ενδιαφέροντος: • Πως το σημερινό οικονομικό και επιχειρησιακό περιβάλλον επηρεάζει τη διαχείριση κινδύνων που σχετίζονται με τα συστήματα πληροφορικής. • Ποιες θα πρέπει να είναι σήμερα οι περιοχές ενδιαφέροντος και οι άμεσες προτεραιότητες ενός επιτυχημένου προγράμματος ασφάλειας. • Πως οι πρωτοβουλίες που προκύπτουν από τη διακυβέρνηση συστημάτων πληροφορικής μπορούν να υποστηρίξουν τους επιχειρησιακούς στόχους, να καθοδηγήσουν μία σύγχρονη Διεύθυνση Πληροφορικής ώστε να είναι εναρμονισμένη με την ευρύτερη εταιρική στρατηγική και να αναδείξουν την αξία από την επένδυση σε έργα πληροφορικής.

Φαιρετισμός από τον Πρόεδρο Δ.΢. κ. Αν. Δημόπουλο

ενότητας έγινε μία σύντομη και συνοπτική Τψηλή η προσέλευση στο χώρο του συνεδρίου

ενότητας έγινε μία σύντομη και συνοπτική

Ο κ. Φ. Δημητριάδης, Διεθνής Αντιπρόεδρος του ISACA International

11


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου ΢ε αυτό το σημείο, θα θέλαμε να ευχαριστήσουμε θερμά όλους και κάθε έναν από τους εξαίρετους ομιλητές αλλά και το συντονιστή του συνεδρίου κ. Φ. Δημητριαδή (CISM, CISA, CRISC) Head of Information Security, Intralot, Διεθνή Αντιπρόεδρο του ISACA International: • John Mitchell, Managing Director, LHS Business Control, UK • Rolf von Roessing, President of Forfa AG, • Dr. Βασίλης Κάτος, CHFI, Assistant Professor of Information & Communications Systems Security, Δημοκρίτειο Πανεπιστήμιο Θράκης, ISACA Academic Advocate • Νάσος Κλαδάκης, Solutions Specialist, MCT CTT+, Microsoft Hellas • ΢ταυρούλα Μινασίδου, PMP, Senior Manager, IT Advisory, KPMG Advisors S.A • Γιώργος Παπούλιας, CISA, CGEIT, CRISC, Senior Project Manager, Business Process Division, Εθνική Σράπεζα της Ελλάδος • Γρηγόριος Θεμιστοκλέους, CISA, CRISC, ITIL, Senior Manager, Ernst & Young Advisory Services. • Dr. Rodica Tirtea, Technical Competence Department, ENISA • Αστέριος Βουλανάς, CISA, CIA, CA, Partner, Technology Assurance, PwC Greece • Λεωνίδας Φατζηκωνσταντής, Partner, Advisory Services, Ernst & Young

• Λεωνίδας Φατζηκωνσταντής, Partner, Advisory Services, Ernst & Young • Joyce Vassiliou, Πρόεδρος Ινστιτούτου Εσωτερικών Ελεγκτών Ελλάδος • Μαρούσα Θειακάκη, Εθνική Σράπεζα της Ελλάδος • Γιώργος Βλαστός, Εθνική Σράπεζα της Ελλάδος

Επίσης ευχαριστούμε θερμά όσους συμμετείχαν στο πάνελ και βοήθησαν να γίνει μία πολύ ενδιαφέρουσα συζήτηση στο τέλος του συνεδρίου:

Εις το επανιδείν!!!

Σο πάνελ συντόνισε ο κ. Φ. Δημητριαδής Οι παρουσιάσεις του συνεδρίου είναι διαθέσιμες στον ιστότοπο του Ι.Ε.΢.Π. Από ό,τι μάθαμε, η συμμετοχή όλων μας ξεπέρασε κάθε τυχόν αρχική και αισιόδοξη πρόβλεψη των διοργανωτών. Επειδή πλέον γνωρίζετε ότι μας αρέσει να μιλάμε με αριθμούς, ο αριθμός των συμμετεχόντων έφτασε τους 150. Η οργανωτική επιτροπή του συνεδρίου και το Ι.Ε.΢.Π σας ευχαριστεί για το ενδιαφέρον, τη συμμετοχή σας καθώς και για τα πολύ εποικοδομητικά σχόλια και απόψεις σας. Όλα τα παραπάνω δεν μπορούν παρά να ενθαρρύνουν τους διοργανωτές και να θέτουν ακόμη ψηλότερα τον πήχυ για το επόμενο ημερήσιο συνέδριο. Ευχαριστούμε ιδιαίτερα την Ελληνοαμερικανική Ένωση και πρωτίστως την κα Ελένη Σσιριγώτη, για την αμέριστη βοήθεια και εργασία της κατά την προετοιμασία του συνεδρίου.

• Rolf von Roessing, President of Forfa AG, • John Mitchell, Managing Director, LHS Business Control, UK

12


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου

Εισαγωγικός Φαιρετισμός από την Πρόεδρο του ΕΙΕΕ (Hellenic IIA) κα. Joyce Vassiliou

Keynote Speech από τον κ. John Mitchell, Managing Director, LHS Business Control

Εισαγωγικός Φαιρετισμός από το Γραμματέα του itSMF Hellas κ. Κρικόρ Μαρουκιάν

Παρουσίαση από τον Dr. Βασίλη Κάτο, CHFI, Assistant Professor of Information & Communications Systems Security, Δημοκρίτειο Πανεπιστήμιο Θράκης, και ISACA Academic Advocate

13


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου Κοπή Πίτας 2012 Η κοπή της πίτας του Ι.Ε.΢.Π. για το 2012 θα πραγματοποιηθεί την Σετάρτη 15 Υεβρουαρίου 2012, και ώρα 20:00 στο roof garden της Ελληνοαμερικανικής Ένωσης. Όπως κάθε χρόνο θα διεξαχθεί κλήρωση πλούσιων δώρων (μία συμμετοχή σε prep course της Ελληνοαμερικανικής Ένωσης και δωροεπιταγές από μεγάλα πολυκαταστήματα) μεταξύ των παρευρισκομένων μελών, συνοδεία κρασιού και εδεσμάτων. Πριν την εκδήλωση θα προηγηθεί εκπαιδευτική εσπερίδα στο αμφιθέατρο του 2ου ορόφου της Ελληνο-Αμερικάνικης Ένωσης (βλ. παρακάτω).

΢ε κάθε περίπτωση «κλείστε» την ημερομηνία για την εκδήλωση του Ι.Ε.΢.Π. ΢ας περιμένουμε όλους εκεί!

Ετήσια Γενική ΢υνέλευση και Αρχαιρεσίες Εκλογής Οργάνων Σο Δ.΢. του Ι.Ε.΢.Π. - ISACA Athens Chapter συγκαλεί την Ετήσια Γενική ΢υνέλευση του Ινστιτούτου στις 6 Μαρτίου 2012 και ώρα 18:30 στο συνεδριακό του 4ου ορόφου στην έδρα του Ι.Ε.΢.Π. (ΕλληνοΑμερικάνικη Ένωση - Μασσαλίας 22). Σην ίδια ημερομηνία θα διεξαχθούν και οι εκλογές για το νέο Διοικητικό ΢υμβούλιο και την Εξελεγκτική Επιτροπή. ΢ε περίπτωση που δεν υπάρξει η απαιτούμενη από το καταστατικό απαρτία κατά την προαναφερόμενη ημερομηνία η Γενική ΢υνέλευση θα συγκληθεί χωρίς νέα πρόσκληση την επόμενη εβδομάδα, 13 Μαρτίου, την ίδια ημέρα και ώρα, στον ίδιο τόπο. Σα θέματα της ημερησίας διατάξεως είναι τα ακόλουθα:

• Οικονομικός Απολογισμός 2011 και Προϋπολογισμός 2012 • Έκθεση Εξελεγκτικής Επιτροπής επί της οικονομικής διαχείρισης του Διοικητικού ΢υμβουλίου • Πεπραγμένα του Διοικητικού ΢υμβουλίου • Αρχαιρεσίες για την εκλογή νέου Δ.΢. και λοιπών οργάνων του Ινστιτούτου Δικαίωμα συμμετοχής στη Γενική ΢υνέλευση έχει κάθε ταμειακώς ενήμερο μέλος. Σέλος, σημειώνεται ότι στους κατόχους των επαγγελματικών πιστοποιήσεων θα δοθούν βεβαιώσεις για αναγνώριση δύο (2) CPEs. Αναμένουμε και ευελπιστούμε συμμετοχή υποψηφίων.

σε

σημαντική

Conference,

Boussias,

΢υμμετοχή σε συνέδρια

2nd Internal 30/09/2011

Audit

Η “Boussias Communications” (με συνδιοργανωτή το Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών) διοργάνωσε για δεύτερη συνεχή χρονιά το Internal Audit Conference. Ο τίτλος του συνεδρίου ήταν «The 360ο Οutlook» και διεξήχθη στο Αμφιθέατρο του OTE Academy στις 30 ΢επτεμβρίου 2011. ΢τόχος του φετινού συνεδρίου ήταν να δώσει έμφαση στις στρατηγικές σχέσεις που πρέπει να έχει ο εσωτερικός έλεγχος με την ανώτερη διοίκηση της εκάστοτε εταιρείας, την Επιτροπή Ελέγχου (Audit Committee) αλλά και τις εξωτερικές ρυθμιστικές αρχές. Επίσης, διερευνήθηκαν τα καίρια θέματα της σωστής αποτίμησης επικινδυνότητας (Risk Assessment), της εφαρμογής του κώδικα Εταιρικής Διακυβέρνησης και των συνεργιών μεταξύ εσωτερικού ελέγχου και εξωτερικών ελεγκτών.

14


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου Σο Ι.Ε.΢.Π. υποστήριξε και φέτος αυτή την προσπάθεια, έχοντας ενεργή συμμετοχή με περίπτερο και ομιλίες. Αρχικά, ο Προέδρος του Ι.Ε.΢.Π., κος Ανέστης Δημόπουλος μαζί με την Πρόεδρο του Ελληνικού Ινστιτούτου, κα Joyce Vassiliou απηύθυναν χαιρετισμό κατά την έναρξη του συνεδρίου. ΢τη συνέχεια, ο Αντιπρόεδρος του Ι.Ε.΢.Π., κος Γιάννης Λευκάκης, παρουσίασε στο συνέδριο τα αποτελέσματα της ετήσιας έρευνας που διεξήγαγε ο ISACA παγκοσμίως με θέμα “Top Business / Technology Issues”. ΢υγκεκριμένα, αναφέρθηκε στα κυριότερα θέματα που ανέδειξε η έρευνα για το 2010 συγκεντρωτικά αλλά και από την οπτική γωνία των άμεσα εμπλεκόμενων οργανικών περιοχών, τον Εσωτερικό Έλεγχο, την Ασφάλεια και την Πληροφορική, παρουσιάζοντας επίσης ενέργειες που έχει ήδη κάνει o ISACA για να υποστηρίξει τους επαγγελματίες του χώρου προς την αντιμετώπιση τους. Η παρουσίαση είναι διαθέσιμη στον ιστότοπο του Ι.Ε.΢.Π.

Ομιλία του Αντιπροέδρου Δ.΢. ΙΕ΢Π ISACA Athens Chapter κ. Ι.Λευκάκη

Επίσης, πρέπει να σημειώσουμε ότι όλοι οι συμμετέχοντες είχαν τη δυνατότητα να επισκεφτούν το περίπτερο του Ι.Ε.΢.Π., να συζητήσουν, να ανταλλάξουν γνώμες και ιδέες γύρω από θέματα ελέγχου και ασφάλειας πληροφοριακών συστημάτων αλλά και να προμηθευτούν ενημερωτικό υλικό σχετικά με τις δράσεις και πρωτοβουλίες του ISACA στην Ελλάδα, παγκοσμίως αλλά και για τις διεθνώς αναγνωρισμένες επαγγελματικές πιστοποιήσεις του ISACA (CISA, CISM, CGEIT & CRISC). Τπενθυμίζουμε ότι το Ι.Ε.΢.Π. στα πλαίσια της συνεργασίας και υποστήριξης του συνεδρίου εξασφάλισε στα μέλη του δύο προσκλήσεις, οι οποίες δόθηκαν κατόπιν κλήρωσης, προκειμένου να το παρακολουθήσουν δωρεάν και ένα ποσοστό έκπτωσης στο κόστος συμμετοχής.

Σο περίπτερο το ΙΕ΢Π – ISACA Athens Chapter με τον Γραμματέα Δ.΢. κ. Γ. Ράικο και τον Ι. Μπονάτο μέλος της Ο.Ε. Newsletter

15


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου 6o IT Directors Forum, Boussias, 10/10/2011 To Ι.Ε.΢.Π. υποστήριξε το 6ο IT Directors Forum που διοργάνωσε η Boussias Communications στο κτήμα Pentelikon στις 10 Οκτωβρίου 2011 με θέμα: “Why IT Innovation matters in times of crisis? Exploring the business perspective”. ΢τόχος του φετινού συνεδρίου ήταν να αναδείξει το νέο καθοριστικό ρόλο που καλείται να παίξει η Πληροφορική στην επιχείρηση, αναγνωρίζοντας τη διακεκριμένη θέση που οφείλει να λάβει - κάτω από πρωτοφανείς δυσχερείς οικονομικές συνθήκες - ο ΙΣ Οργανισμός τόσο σε ότι αφορά τις κρίσιμες στρατηγικές αποφάσεις όσο και τη δημιουργία επιχειρηματικής καινοτομίας που θα φέρει αξία σήμερα κιόλας.

Εκπαιδευτική Εσπερίδα του Ελληνικού Ινστιτούτου κατά της Απάτης, 09/11/2011 Σο Ι.Ε.΢.Π. υποστήριξε την ιδιαίτερα ενδιαφέρουσα εκπαιδευτική εκδήλωση που διοργάνωσε το Ελληνικό Ινστιτούτο κατά της Απάτης (HACFE) στο αμφιθέατρο της Ελληνοαμερικανικής Ένωσης στις 9 Νοεμβρίου 2011 με θέμα: “Επιχειρησιακή Ηθική και Επαγγελματική Δεοντολογία. Σο Ινστιτούτο μας εκπροσωπήθηκε από το Γενικό Γραμματέα, κ. Γεώργιο Ράικο, ο οποίος συμμετείχε μαζί με άλλους διακεκριμένους επαγγελματίες σε ανοικτή συζήτηση που έλαβε χώρα στο τελευταίο μέρος της εκδήλωσης όπου και έγινε αναφορά σε περιπτωσιολογίες (case studies).

Σο Ινστιτούτο μας είχε για άλλη μια φορά δυναμική παρουσία με περίπτερο στο χώρο του συνεδρίου με σκοπό την περαιτέρω προώθησή του, και του ISACA, σε ένα κομμάτι της Ελληνικής αγοράς που υπάρχει έδαφος για την προσέγγιση νέων μελών.

IT|Pro Dev Connections 2011, 26-27/11/2011 ΢τις 26 και 27 Νοεμβρίου 2011 διεξήχθη στο Εκπαιδευτικό Κέντρο της Εθνικής Σράπεζας της Ελλάδος το IT|Pro Dev Connections 2011. Μετά την επιτυχημένη πρώτη χρονιά, η κοινότητα επαγγελματιών πληροφορικής, το autoexec.gr, σε συνεργασία με την αντίστοιχη κοινότητα προγραμματιστών, το dotNETZone.gr, οργάνωσαν και παρουσίασαν μία πολύ ενδιαφέρουσα εκδήλωση με πέντε παράλληλα tracks μέσα σε δύο ημέρες. Η εκδήλωση ήταν και φέτος υπό την υποστήριξη του Ι.Ε.΢.Π.

Ο Γραμματέας Δ.΢. κ. Γ. Ράικος (δεξιά) με τον Πρόεδρο το HACFE, κ. Π. Γεωργίου

16


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου Βράβευση Ι.Ε.΢.Π. με τη διάκριση “2011 Best Newsletter award” στην κατηγορία “Large Chapter” Καλομελέτα κι έρχεται! Ο λόγος για τη διάκριση για την οποία υπήρχε συγκρατημένη – λόγω του ανταγωνισμού – αισιοδοξία στις κατ‟ ιδίαν επικοινωνίες των μελών του Δ.΢. με την Ομάδα Εργασίας του Newsletter. To Ι.Ε.΢.Π. - ISACA Athens Chapter έλαβε το βραβείο Best Newsletter Worldwide για το έτος 2011 στην κατηγορία Μεγάλων Παραρτημάτων (Large Chapter) του ISACA International. Σο βραβείο αυτό θα απονεμηθεί επίσημα κατά το 2012 Europe/Africa Leadership Conference το οποίο θα διοργανωθεί πριν από το EuroCACS Conference στο Μόναχο στις 8-9 ΢επτεμβρίου 2012. Για την ιστορία, το newsletter μας άρχισε να κυκλοφορεί τον Ιούνιο του 2008 με αποκλειστικά εκπαιδευτικό περιεχόμενο, ενώ οι πρώτες προσθήκες στη θεματολογία του αφορούσαν νέα του ISACA International για πιστοποιήσεις και εγγραφές μελών οι οποίες έγιναν στο τέλος του ίδιου έτους. H πρώτη μικρή αισθητική αναβάθμιση, έγινε το Μάρτιο του 2009 ενώ παράλληλα εμπλουτίστηκε το περιεχόμενο με νέα / ανακοινώσεις για τη δράση του Ι.Ε.΢.Π. αλλά και του ISACA International. Σον Οκτώβριο του 2009, συστάθηκε η 1η Ομάδα Εργασίας του Newsletter με στόχο την καθιέρωση τακτικής, εμπλουτισμένης επικοινωνίας προς τα μέλη και εν συνεχεία την εικαστική βελτίωσή του. Σο Υεβρουάριο του 2010 και έχοντας ήδη εκδόσει 9 τεύχη, ολοκληρώθηκε

ένα gap analysis με τα πρότυπα και τις απαιτήσεις του ISACA International. Η επόμενη έκδοση, το ΢επτέμβριο του 2010, στηρίζεται στην κατά 60% νέα Ομάδας Εργασίας (αποτελείται πλέον από δύο παλιά και τρία νέα μέλη), έχει τελείως νέα εμφάνιση, τη σημερινή, και μέχρι το τέλος του έτους η θεματολογία περιλαμβάνει συνεντεύξεις, άρθρα, ενότητα αποκλειστικά για το Cobit και σελίδα ειδικά για τα μέλη. Οι βάσεις για τα επόμενα τεύχη αλλά και για τη διεθνή αναγνώριση έχουν μπει. Σο 2011 τα τεύχη του newsletter κυκλοφορούν και σε έντυπη μορφή με στόχο την προώθηση του ISACA International και του Ινστιτούτου μας σε συνέδρια και εκδηλώσεις τρίτων φορέων στο χώρο της Πληροφορικής. Είναι και η χρονιά που αποφασίζουμε να συμμετάσχουμε στη διαδικασία αξιολόγησης με τα γνωστά αποτελέσματα… Σέλος, εδώ και περίπου ένα χρόνο, χάρη σε μία άλλη Ομάδα Εργασίας, αυτή του website, παρέχεται online προβολή του Newsletter σε μορφή e-paper χωρίς να είναι απαραίτητη η λήψη του (download) μέσω του www.isaca.gr Με αφορμή τη συγκεκριμένη βράβευση σας υπενθυμίσουμε ότι πρόκειται για σειρά διεθνή διάκριση του Ι.Ε.΢.Π. από συγκεκριμένα τα βραβεία που έχει σήμερα το ISACA Athens Chapter:

θα θέλαμε να την 5η κατά το 2008. Πιο λάβει μέχρι

• Chapter Website Award - Bronze Level (2008, 2009, 2010) • K.Wayne Snipes Chapter Recognition Award - Best Large Chapter in Europe /Africa (2009) • Best Large Chapter Newsletter Worldwide (2011)

17


ISACA Athens Chapter

Newsletter 3. Νέα του Ινστιτούτου Μεγάλο μέρος της επιτυχίας ανήκει στα μέλη του Ι.Ε.΢.Π., που αποτελούν μέλη της Ομάδας Εργασίας Newsletter, κκ Ιωάννη Μπονάτο, Γιώργο Σαναμπασίδη, ΢ταμάτη Πασσά, Φρήστο Βιδάκη και Νίκο Μπούμπουλη, τους οποίους και ευχαριστούμε θερμά για τη συνεισφορά τους.

Σο I.Ε.΢.Π. στο Περιοδικό IT Security Μια σπουδαία αναφορά στο Ινστιτούτο Ελέγχου ΢υστημάτων Πληροφορικής - ISACA Athens Chapter πραγματοποιήθηκε μέσα στο 2011 από το περιοδικό IT Security, που είναι ένα διμηνιαίο περιοδικό για το Enterprise Computing και την ασφάλεια στην Πληροφορική, με τίτλο “Επαγγελματικές Πιστοποιήσεις ISACA για επαγγελματίες Ελέγχου, Ασφάλειας, Διακυβέρνησης & Διαχείρισης Κινδύνων Πληροφοριακών ΢υστημάτων”. Πιο αναλυτικά στο τεύχος 21 (Μάιος – Ιούνιος 2011 ) συμπεριλήφθηκε μια παρουσίαση του Ινστιτούτου από τον Πρόεδρο του Δ.΢. & ΢υντονιστή Πιστοποιήσεων, κ. Ανέστη Δημόπουλο, μια σύντομη ανάπτυξη των τεσσάρων πιστοποιήσεων του ISACA, (CISA, CISM, CGEIT, CRISC) περιλαμβάνοντας και κάποια στατιστικά στοιχεία για τους επαγγελματίες που έχουν αποκτήσει κάποια από τις πιστοποιήσεις, δείχνοντας έτσι την ιδιαίτερη αποδοχή που τυγχάνουν από την επαγγελματική κοινότητα στην Ελλάδα. Σέλος στο εν λόγω τεύχος υπήρχε και διαφημιστική καταχώριση των πιστοποιήσεων.

18


ISACA Athens Chapter

Newsletter 4. Νέα ISACA International Ανανέωση Πιστοποιήσεων για το 2012 & Νέες Εκπτώσεις Η δυνατότητα ανανέωσης των πιστοποιήσεων του 2012 είναι πλέον ανοιχτή στο σχετικό link του επίσημου ιστότοπου του ISACA. Να υπενθυμίσουμε ότι η ανανέωση των πιστοποιήσεων απαιτεί την καταβολή της ετήσιου ποσού για την διατήρησή και τη δήλωση των απαιτούμενων CPE ωρών για το 2011.

΢ημαντική Αλλαγή: ΢ας υπενθυμίζουμε ότι η περιοχή εργασίας (job practice) του CISM έχει αλλάξει και τίθεται σε ισχύ από τις εξετάσεις του Ιουνίου 2012. Για όσους ενδιαφέρονται σας παραθέτουμε το σχετικό link που εξηγεί τις αλλαγές που πραγματοποιήθηκαν για την πιστοποίηση CISM.

Ο ISACA προσφέρει επίσης μια νέα έκπτωση στο ετήσιο ποσό διατήρησης της πιστοποίησης για τα άτομα που κατέχουν και θα ανανεώσουν πάνω από 2 πιστοποιήσεις του. Πιο δυγκεκριμένα παρέχεται έκπτωση ανανέωσης για την 3η και 4η πιστοποίηση, στο ποσό των US $15 για τα μέλη και US $ 35 για τα μη μέλη. Για περισσότερες λεπτομέρειες μπορείτε να δείτε το τιμολόγιο σας για το 2012.

΢ημαντικές ημερομηνίες για τις Εξετάσεις Ιουνίου 2012 CISA, CISM, CGEIT , CRISC Οι εγγραφές για τις εξετάσεις του Ιουνίου 2012 είναι πλέον ανοιχτές. Η πρόωρη λήξη (early bird) της προθεσμίας εγγραφής, μέχρι την οποία παρέχεται μειωμένη τιμή εγγραφής, παρήλθε στις 10 Υεβρουαρίου 2012. Η τελική προθεσμία για την εγγραφή στις εξετάσεις λήγει στις 6 Απριλίου 2012. ΢υνοπτικά οι σημαντικές ημερομηνίες που πρέπει να θυμόσαστε: - Final registrations Deadline (Both online and Mailed/Faxed): 4 Απριλίου 2012 - Exams: 9 Ιουνίου 2012 Για περισσότερες πληροφορίες ανατρέξτε στο σχετικό link στον ιστότοπο του ISACA.

Η Πιστοποίηση CISM του ISACA επιλέχθηκε ως Υιναλίστ του SC Magazine Best Professional Certification Program 2012 Για 15ο έτος, τα ετήσια βραβεία του περιοδικού SC Magazine παρουσιάζουν τις καλύτερες λύσεις, υπηρεσίες και επαγγελματίες, ενώ παράλληλα το περιοδικό αναγνωρίζει την επίτευξη και τεχνική αριστεία. Σο SC Magazine διακρίνει τα επιτεύγματα των επαγγελματιών της ασφάλειας, τις καινοτομίες που συμβαίνουν στις κοινότητες των πωλητών και παροχής υπηρεσιών, το έργο όλων των οργανισμών (μη κερδοσκοπικών, εμπορικών κτλ.) έτσι ώστε όλοι να εργάζονται για να βοηθήσουν τη βελτίωση της παγκόσμιας ασφάλειας.

19


ISACA Athens Chapter

Newsletter 4. Νέα ISACA International ΢ε αυτό το πλαίσιο ο ISACA έχει επιλεγεί ως φιναλίστ των βραβείων του 2012 του περιοδικού SC Magazine για την υποδειγματική και επαγγελματική ηγεσία του στην ασφάλεια των πληροφοριών, καθώς η πιστοποίηση CISM επιλέχθηκε για το βραβείο του προγράμματος Best Professional Certification Program. “Ο ISACA αποτελεί ένα εξαιρετικό παράδειγμα ηγεσίας για ολόκληρη τη βιομηχανία της ασφάλειας των πληροφοριών με τις ισχυρές πολιτικές του και τις πρακτικές που τον οδήγησαν στην εκλογή του ως φιναλίστ” είπε η Illena Armstrong, Editor-in-Chief του περιοδικού SC Magazine. “Αυτή η κατηγορία, συνεχώς εξελίσσεται καθώς η βιομηχανία μαθαίνει όλο και καλύτερες πρακτικές από διάφορες περιπτώσεις, και είναι μια τιμή να αναγνωριστούν οι προσπάθειες του ISACA”. Ο Πρόεδρος του ISACA‟s Credentialing Board, Allan Boardman, δήλωσε μεταξύ άλλων: “Είναι τιμή μας που το περιοδικό SC μέσω του προγράμματος των βραβείων του, έχει αναγνωρίσει την συμβολή της πιστοποίησης CISM για τη βιομηχανία”.

Οι νικητές των βραβείων του SC Magazine θα ανακοινωθούν την Σρίτη, 28 Υεβρουαρίου 2012. Είναι μια ακόμα σπουδαία αναγνώριση για τον ISACA και τα μέλη του παγκοσμίως, υπενθυμίζοντας πως και στα περσινά βραβεία της κατηγορίας Επαγγελματικών Πιστοποιήσεων 2011 Best Professional Certification Program του ίδιου περιοδικού είχε επιλεχθεί ως φιναλίστ η πιστοποίηση CGEIT.

ISACA Certifies 15,000th CRISC Πάνω από 15,000 επαγγελματίες του απόκτησαν την πιστοποίηση Certified in Risk and Information Systems Control (CRISC) μέσω του του προγράμματος grandfathering που ολοκληρώθηκε την περασμένη χρονιά. Οριακά πάνω από τους 50 CRISC ανήκουν στο roster του ISACA Athens Chapter.

Αλλαγή στην Πολιτική Φορήγησης CPEs από 01/01/2012 Σο ανώτατο ετήσιο όριο απόκτησης CPEs (ισχύει και για τις 4 πιστοποιήσεις του ISACA) από τη συμμετοχή των μελών του σε δραστηριότητες που εμπίπτουν στην κατηγορία “Contributions to the Profession” έχει αυξηθεί από τις 10 στις 20 μονάδες. Αυτές οι δραστηριότητες περιλαμβάνουν ενεργή συμμετοχή στον ISACA ή σε άλλα Όργανά του – περιλαμβανομένων των τοπικών Παραρτημάτων – που προάγουν τα επαγγέλματα που σχετίζονται με τον έλεγχο, ασφάλεια, διοίκηση / διακυβέρνηση συστημάτων πληροφορικής. Οι νέες αυτές πολιτικές είναι διαθέσιμες στις αντίστοιχες ιστοσελίδες που αφορούν τα CPEs των πιστοποιήσεων CISA, CISM, CGEIT και CRISC.

20


ISACA Athens Chapter

Newsletter 4. Νέα ISACA International Δήλωση CPE Hours Καθώς λαμβάνουμε κατά καιρούς σχετικά ερωτήματα για τη δήλωση των CPE ώρων σας, παραθέτουμε τα παρακάτω στοιχεία. Οι CPE ώρες δηλώνονται ετησίως κατά τη διάρκεια των διαδικασιών ανανέωσης. Η δήλωση μπορεί να γίνει και ηλεκτρονικά κατά την διαδικασία ανανέωσης από την ιστοσελίδα του ISACA Η διατήρηση πιστοποιήσεων απαιτεί 120 CPE ωρών μέσα σε ένα πλαίσιο 3 ετών, με βάση την περίοδο απόκτησης της εκάστοτε πιστοποίησης η οποία αναγράφεται και στο πιστοποιητικό, και μπορούν πλέον να δηλωθούν τουλάχιστον 20 για κάθε έτος όσον αφορά την “Contributions to the Profession”. Όσον αφορά τον ενδεχόμενο έλεγχο των δηλωμένων CPEs από τον ISACA International, θα πρέπει να τηρείτε στο αρχείο σας τα υποστηρικτικά/αποδεικτικά έγγραφα για 12 μήνες μετά την πάροδο του 3ετούς κύκλου αναφοράς. Για να δείτε τις πολιτικές συνεχούς επαγγελματικής κατάρτισης που ισχύουν και μια λίστα από τις δραστηριότητες που πληρούν τις προϋποθέσεις για να λάβετε CPEs, παρακαλούμε να επισκεφτείτε τις αντίστοιχες ιστοσελίδες του ISACA για κάθε πιστοποίηση ξεχωριστά CISA, CISM, CGEIT και CRISC.

COSO Releases Updated Internal Control Integrated Framework for Public Comment ΢τις 19 Δεκεμβρίου 2011, ο οργανισμός COSO* (Committee of Sponsoring Organizations of the

Treadway Commission) παρέδωσε ένα επικαιροποιημένο πλαίσιο αρχών εσωτερικού ελέγχου για δημόσια διαβούλευση. Ο ISACA, ως μέλος του COSO, ενθαρρύνει κάθε ενδιαφερόμενο να διαβάσει το επικαιροποιημένο πλαίσιο αρχών και να υποβάλει τα σχόλιά του. Προς αυτήν την κατεύθυνση, ο COSO και η PwC, με την οποία συνεργάστηκε για τη συγγραφή του πλαισίου, έχουν δημιουργήσει μια σειρά από ερωτήσεις για την καταγραφή σχολίων. Οι συμμετέχοντες μπορούν να απαντήσουν στις ερωτήσεις ή/και να υποβάλουν τα σχόλια τους. Για περισσότερες πληροφορίες και για την υποβολή των σχολίων σας επισκεφτείτε την ιστοσελίδα του COSO στο http://www.coso.org/ και στο http://www.ic.coso.org/default.aspx. Η καταληκτική ημερομηνία υποβολής σχολίων είναι η 31/03/2012). ΢υνοπτικά, τον περασμένο Νοέμβριο, ο COSO ανακοίνωσε ότι πρόκειται να προβεί σε αναθεώρηση και επικαιροποίηση του πλαισίου εσωτερικού ελέγχου (internal control framework) που δημιουργήθηκε το 1992. Ο σκοπός του εγχειρήματος αυτού, είναι να ευαισθητοποιηθεί ολοένα και μεγαλύτερος αριθμός του παγκόσμιου επιχειρηματικού κόσμου και να αναβαθμιστεί η σημασία του σχεδιασμού, της υλοποίησης και της αξιολόγησης του εσωτερικού ελέγχου, ώστε να βελτιωθεί η αποδοτικότητα των εταιρειών και να επιτραπεί η καλύτερη διαχείριση κινδύνων που απορρέουν από το συνεχώς μεταβαλλόμενο περιβάλλον. * Επιτροπή που ξεκίνησε ως κοινή πρωτοβουλία πέντε μεγάλων επιχειρήσεων του ιδιωτικού τομέα, με στόχο να παρέχει συμβουλές στις υπόλοιπες επιχειρήσεις δημιουργώντας πλαίσια αρχών - και καθοδήγηση σχετικά με τη διαχείριση του επιχειρηματικού κινδύνου, τον εσωτερικό έλεγχο και πρόληψη της απάτης.

21


ISACA Athens Chapter

Newsletter 4. Νέα ISACA International Σο “ISACA Journal” είναι πλέον διαθέσιμο στο Apple App Store

•Να μείνετε ενήμεροι για τα τελευταία νέα από το ISACA.org •Να έχετε πρόσβαση στα blogs του ISACA.org

Ο ISACA - συμβαδίζοντας πάντα με τις τεχνολογικές εξελίξεις – λανσάρισε την πρώτη του εφαρμογή “ISACA Journal App”, η οποία είναι διαθέσιμη μόνο για μέλη στο ηλεκτρονικό κατάστημα της Apple (App Store).

Σέλος, θα είναι σύντομα διαθέσιμη μία εφαρμογή με την ίδια λειτουργικότητα για συσκευές που διαθέτουν λειτουργικό Android. Σο τελευταίο του ISACA Journal (Ιαν. 2012) έχει ως κεντρικό θέμα: Critical Resource Management

Αναζητώντας το “ISACA Journal” στο Apple App Store μπορείτε να κατεβάσετε την εφαρμογή για το iPhone, το iPad ή το iTouch σας. Η εφαρμογή έχει ήδη συμπεριλάβει περιεχόμενο από την έντυπη έκδοση (δεύτερο τεύχος του 2011), καθώς επίσης και το υλικό των ιστολογίων (ISACA Journal Author Blog & ISACA Now blog). Σο περιεχόμενο ενημερώνεται σε εβδομαδιαία βάση με νέα από τα blogs και σε διμηνιαία βάση με κάθε νέο τεύχος του περιοδικού. Με την εφαρμογή αυτή, έχετε τη δυνατότητα: •Να «κατεβάσετε» όλες τις διαθέσιμες εκδόσεις του περιοδικού, ώστε να μπορείτε να τις προσπελάσετε “offline” οποιαδήποτε στιγμή θελήσετε. •Να διαβάσετε άρθρα σε διάφορα formats. •Να σημειώσετε και να μοιραστείτε άρθρα.

22


ISACA Athens Chapter

Newsletter 4. Νέα ISACA International CACS και ISRM σε ένα Ευρωπαϊκό ΢υνέδριο Κατά την διάρκεια των τελευταίων ετών, το International Headquarters του ISACA έχει ξεκινήσει και πραγματοποιεί δύο Ευρωπαϊκά εκπαιδευτικά συνέδρια: το Euro CACS κατά το πρώτο τρίμηνο του έτους και το Euro ISRM κατά το τέταρτο τρίμηνο του έτους. Μετά από προσεκτική ανάλυση των επιπέδων συμμετοχής, των χορηγιών, των πόρων και των συνεργειών των προγραμμάτων, η Επιτροπή Education and Dissemination του ISACA αποφάσισε να συνδυάσει τα δυο Ευρωπαϊκά συνέδρια, CACS και ISRM το 2012 σε ένα μεγαλύτερο Ευρωπαϊκό Σεχνικό ΢υνέδριο. Μέσα στο 2012 λοιπόν, κάθε εκδήλωση θα διατηρήσει το όνομα της, αλλά θα λάβουν χώρα στο ίδιο μέρος και την ίδια ημερομηνία. Ξεκινώντας το 2013, οι δυο εκδηλώσεις θα συγχωνευτούν σε ένα μόνο γεγονός που θα απευθύνεται σε όλους τους κλάδους του ISACA. Ο στόχος είναι ότι αυτό θα επιτρέψει το προσωπικό του ISACA να εργαστεί πιο στενά με τα Ευρωπαϊκά Chapters για να παραδώσει ένα event που θα προσελκύσει μεγαλύτερο αριθμό συμμετεχόντων, θα είναι πιο ελκυστικό για πιθανούς χορηγούς και θα παρέχει μια συνολικά καλύτερη εκπαιδευτική εμπειρία για τα μέλη μας.

Πριν από μερικούς μήνες, εστάλη μια έρευνα σε όλους του Προέδρους των Ευρωπαϊκών Chapters για να βοηθήσουν στον εντοπισμό της καλύτερης εποχής του χρόνου για να πραγματοποιηθεί το συνδυαστικό CACS/ISRM Ευρωπαϊκό ΢υνέδριο. Σα αποτελέσματα της έρευνας αυτής έδειξαν ότι ο ΢επτέμβριος θα είναι η καλύτερη εποχή για να γίνει το event.

23


ISACA Athens Chapter

Newsletter 4. Νέα ISACA International Book Review: System Forensics, Investigation, and Response Από τους John Vacca και K.Rudolph, Κριτική από Jeimy J. Cano M., Ph.D., CFC, CFE, CMAS, Chief Information Security Officer for Ecopetrol Μιλώντας για εγκλήματα μέσω υπολογιστών και ψηφιακές έρευνες, είναι σαν να μιλάμε για το πώς ένας χάκερ της ασφάλειας πληροφοριών πραγματοποιεί «βόλτες» ανάμεσα μας, ελπίζοντας ότι τα καλύτερα μοντέλα που χρησιμοποιούμε για πρόληψη και αντίδραση θα αποτύχουν, αφήνοντας μας κάθε φορά μαθήματα που πρέπει να πάρουμε για να συνεχίσουμε να βελτιώνουμε την κατανόηση και την πειθαρχία της προστασίας των πληροφοριών. Η ανακάλυψη πληροφοριών σχετικά με συμβάντα στην ασφάλεια πληροφοριών είναι ένα ταξίδι μέσα από αρχεία, logs, συνεντεύξεις, διαδικασίες διασφάλισης και στρατηγικές με σκοπό να βρεθεί η αλήθεια για τα γεγονότα που είναι συνυφασμένη με τις σχέσεις μεταξύ της τεχνολογίας, των ατόμων και των οργανωτικών διαδικασιών. Αυτή η ψηφιακή έρευνα, είναι μια δύσκολη αποστολή καθώς όποιος την πραγματοποιεί θα πρέπει να αναγνωρίσει το μυαλό του εισβολέα και να κατανοήσει τις μεθόδους του, τις κινήσεις του, όπως επίσης θα πρέπει να έχει τις απαραίτητες τεχνικές και διαδικαστικές δεξιότητες πάνω σε εγκληματολογικές έρευνες στον τομέα της πληροφορικής. ΢το πλαίσιο αυτό οι συγγραφείς του βιβλίου επιχείρησαν να μας παρουσιάσουν από προσωπική πείρα και έρευνα τις βασικές αντιδράσεις απέναντι σε συγκεκριμένα περιστατικά και να μας επιτρέψουν να γνωρίσουμε πως μπορούμε να εμβαθύνουμε σε μια

ψηφιακή έρευνα. Ακόμα σημαντική είναι η παρουσίαση των θεμελιωδών στοιχείων των ψηφιακών εγκλημάτων που θα βοηθήσει τους νέους ερευνητές πάνω στα ψηφιακά εγκλήματα να γνωρίσουν τα σημαντικά στοιχεία που απαιτούνται για την επίτευξη σταθερών αποτελεσμάτων με συνοχή που θα είναι σαφή σε περιπτώσεις που χρειάζονται από τρίτους ή από τις αρχές της δικαιοσύνης. Όσον αφορά τη δομή του βιβλίου, αυτό είναι χωρισμένο σε τρία μέρη. Σο πρώτο έχει να κάνει με τις βασικές αρχές των εγκληματολογικών συστημάτων, τις τεχνικές και τις μεθόδους. Σο δεύτερο μέρος με τα εγκληματολογικά εργαλεία. Και τέλος το τρίτο μέρος ασχολείται με τις αντιδράσεις απέναντι στα περιστατικά και τις μελλοντικές κατευθύνσεις στο κομμάτι αυτό. ΢υνοψίζοντας, η έκδοση αυτή έχει ιδιαίτερη σημασία για τους επαγγελματίες της ασφάλειας των πληροφοριών, των πληροφοριακών συστημάτων και του IT Auditing και γενικά για όλους όσους σκέφτονται μια καριέρα με αντικείμενο τα ψηφιακά εγκλήματα. Σέλος, χρήσιμο θα φανεί και στους IT managers στο να ενημερωθούν και να κατανοήσουν το πεδίο εφαρμογής και τους κινδύνους που εγκυμονούν στην πραγματοποίηση ψηφιακών ερευνών.

Σο βιβλίο εκδόθηκε το 2011, έχει 339 σελίδες και διατίθεται από το βιβλιοπωλείο του ISACA στην τιμή των $90.00 για τα μέλη (Product Code: 2JBSF).

24


ISACA Athens Chapter

Newsletter 5. Η ΢ελίδα των Μελών Εκπροσώπηση Ι.Ε.΢.Π. σε Διεθνές ΢υνέδριο Ο Πρόεδρος του ISACA Athens Chapter, κος Ανέστης Δημόπουλος, εκπροσώπησε το Ινστιτούτο μας καθώς προσκλήθηκε ως ομιλητής στο 7ο IT GRC Conference που διοργάνωσε ο διεθνής οργανισμός συνεδρίων «Marcus Evans» στη Βαρκελώνη στις 8 και 9 ΢επτεμβρίου 2011. Σο θέμα της παρουσίασης του κυρίου Δημόπουλου ήταν: “Fortifying the pillars of IT Governance & Deploying an enterprise-wide strategy”. ΢υνοπτικά κατά την παρουσίασή του αναφέρθηκε στον ISACA παγκοσμίως, στο Ελληνικό παράρτημα καθώς και σε θέματα διακυβέρνησης συστημάτων πληροφορικής (ΙΣ Governance). Ιδιαίτερη αναφορά έγινε στις τεχνολογικές προκλήσεις στο σύγχρονο επιχειρηματικό περιβάλλον, στους βασικούς πυλώνες του πλαισίου διακυβέρνησης συστημάτων πληροφορικής του ISACA καθώς και πως αυτό μπορεί να ενισχύσει το ευρύτερο πλαίσιο εταιρικής διακυβέρνησης. Σέλος o κος Δημόπουλος, παρουσίασε σχετικές μελέτες περιπτώσεων (case studies). Η παρουσίαση είναι διαθέσιμη στον ιζηόηοπο ηου Ι.Ε.Σ.Π.

Αριθμός μελών 379, εκ των οποίων το 46% είναι πάνω από πέντε συνεχόμενα έτη μέλη του Ι.Ε.΢.Π. σύμφωνα με τα member levels:

• Platinum (>15 έτη): 6 • Gold (10-14 έτη): 44 • Silver (5-9 έτη): 124 • Bronze (3-4 έτη): 96 • Νέα μέλη (0-2 έτη): 109 Αριθμός πιστοποιημένων μελών 210 (55%), εκ των οποίων το 32% κατέχει πάνω από μία πιστοποίηση: • Κάτοχοι μίας πιστοποίησης: 141 • Κάτοχοι δύο πιστοποιήσεων: 53 • Κάτοχοι τριών πιστοποιήσεων: 14 Σα 208 μέλη κατέχουν συνολικά 292 πιστοποιήσεις, με το CISA να κυριαρχεί με 56%, ενώ έχει ανέβει πολύ και η νέα πιστοποίηση CRISC: • CISA: 163

ISACA Athens Chapter: Οι αριθμοί του 2012

• CISM: 54

Καθώς ξεκίνησε η νέα χρονιά, κοιτάζουμε τα νούμερα στο roster των μελών, τα οποία διατηρούνται σε υψηλά επίπεδα παρά την ιδιαίτερα δύσκολη οικονομική συγκυρία, ενώ υπάρχει σταδιακή αύξηση του αριθμού των πιστοποιήσεων που κατέχετε. Για να τα δούμε πιο αναλυτικά (στοιχεία 10/02/2012):

• CRISC: 51 • CGEIT: 24

25


ISACA Athens Chapter

Newsletter 5. Η ΢ελίδα των Μελών ΢ταυρόλεξο και απαντήσεις του προηγούμενου τεύχους ΢το παρόν τεύχος έχουμε ετοιμάσει το παρακάτω σταυρόλεξο, αντλώντας πληροφορίες από το κομμάτι της διαχείρισης κινδύνων στα πληροφοριακά συστήματα. Οι πέντε πρώτοι που θα το συμπληρώσουν σωστά θα λάβουν μία πρόσκληση για την επόμενη εκπαιδευτική εκδήλωση του Ι.Ε.΢.Π. (στις 15/2/2012) προκειμένου να τις διαθέσουν σε μη μέλη του Ινστιτούτου. Οι απαντήσεις πρέπει να σταλούν με email στο newsletter@isaca.gr

Οριζόντια 2. The overall level of risk to the project, programme, or business objective, when the effects of all uncertainties and risks are combined. 7. A measure that may be qualitative or quantitative used to compare the relative significance of risks. 8. The exposure arising from a specific risk before any action has been taken to manage it. 9. The broad-based amount of risk a company or other entity is willing to accept in pursuit of its mission or vision. 10. The reporting of selected risks to more senior staff for information; or the elevation of risks for action by more senior staff. Κάθετα 1. Information about the time period when a risk might occur, having an effect on plans and objectives. This may be during a particular activity that a risk would affect, or a calendar period during which the risk could occur. 3. Risks from damage to reputation, competition, demographic trends, technological innovation, capital availability and regulatory trends. 4. The threshold level of risk severity or exposure which, when exceeded, will trigger an exception report. 5. The risk of direct or indirect loss resulting from inadequate or failed internal processes, people and systems or from external events. 6. A term used generally to describe any active or conscious passive approach taken to manage a threat either before it might occur or that does occur.

26


ISACA Athens Chapter

Newsletter 5. Η ΢ελίδα των Μελών Απαντήσεις προηγούμενου τεύχους (Κρυπτόλεξο): • • • • • • • • • • • •

Infrastructure Rating Encryption Cisa Configuration Process Baseline Doc Audit Review Policy Vulnerability

27


ISACA Athens Chapter

Newsletter 6. ΢ε Σροχιά CobiT Ιστοσελίδα για το COBIT 5

προσέγγιση του Governance και του Management από το COBIT® 5, όπου η σαφής διάκρισή τους θεωρείται ιδιαίτερα σημαντική. How to migrate from COBIT 4.1 to COBIT 5?

Ο ISACA® έχει δημιουργήσει στον ιστότοπό του, μια ιζηοζελίδα ειδικά για το COBIT® 5, όπου μπορείτε να βρείτε επικαιροποιημένη όλη τη σχετική πληροφόρηση (executive summaries, επόμενα στάδια ανάπτυξής του, εκπαίδευση στο COBIT® 5) .

COBIT 5 Executive Summary Now Available Μια δισέλιδη περίληψη για το επικαιροποιημένο πλαίσιο COBIT® 5, αναρτήθηκε στον ιστότοπο του ISACA, στο τέλος του Ιανουαρίου. ΢ε αυτήν απεικονίζονται διαγραμματικά και περιγράφονται οι 5 βασικές αρχές στις οποίες στηρίζεται το COBIT® 5 (Aligned and Integrated Framework, Stakeholder Value Driven, Enterprise and Context Focused, Enabler Based, Governance and Management Structured). Επίσης περιλαμβάνεται η εννοιολογική

Για όσους έχουν ήδη εφαρμόσει το COBIT 4.1 και «πονοκεφαλιάζουν» πως θα γίνει η «μετάπτωση» στο COBIT® 5, ο ISACA έχει δημιουργήσει μία κοινότητα για την ανταλλαγή απόψεων και ιδεών για τις αρχές του COBIT® 5, τους ορισμούς του governance και του management , το COBIT assessment program, κλπ. Γραθηείηε ηώρα!

COBIT Misconceptions and Facts Κατά την αξιολόγηση των σχολίων που υποβλήθηκαν την περίοδο διαβούλευσης του COBIT® 5 παρατηρήθηκαν ορισμένες γενικής φύσεως παρανοήσεις. Με στόχο να «ξεκαθαρίσει το τοπίο», για κάθε τέτοια παρανόηση καταγράφηκε η σωστή αντίληψη/τοποθέτηση για το COBIT® , η οποία παρατίθεται παρακάτω:

28


ISACA Athens Chapter

Newsletter 6. ΢ε Σροχιά CobiT Misconception

Fact

COBIT is a standard.

COBIT is a framework. Unlike a standard, which requires an enterprise to follow the complete guidance as it is documented, a framework is flexible and can—and should—be customized to fit an enterprise’s size, culture, risk profile, business needs, etc.

COBIT is an IT audit framework.

COBIT is a framework that covers governance and management aspects of information and technology used across the complete enterprise from “end to end” and beyond, providing a common business language for the business’s use of information and technology assets.

COBIT is technical.

COBIT is business-language-oriented and avoids use of technical terms wherever possible.

COBIT and ITIL are complementary. COBIT brings breadth, covering all governance and management COBIT is a competitor of ITIL. activities related to information and technology, and ITIL provides depth of guidance in IT service management areas. COBIT provides only control objectives for IT processes.

In addition, COBIT also provides guidance on good management practices. To reflect this shift in framework content, COBIT now goes by its acronym only.

COBIT is a tool for SarbanesOxley compliance only.

COBIT helps enterprises comply with any and all relevant legislation and regulations, including, but not limited to, Sarbanes-Oxley.

COBIT is complicated and overwhelming.

The principles and supporting guidance in COBIT use business language to facilitate comprehension of the material; however, governance and management of enterprise IT are not simple topics to grasp or address.

COBIT must be No enterprise is expected to implement all of the practices in COBIT; each enterprise should select “implemented” in its entirety the practices and activities that fit its business objectives, needs and capabilities. or not at all. COBIT is of value for big enterprises only.

COBIT can be used by enterprises of any size, particularly when considering the principles and enablers related to the governance and management of enterprise IT.

COBIT provides specific directions and answers.

COBIT is not a specific route that tells an enterprise exactly where to start and stop; instead, it is a broader map that enterprises can use to determine their starting points and where they want to go. As a result, it can be used by any enterprise, regardless of its size, location, industry or current level of management and governance capability.

29


ISACA Athens Chapter

Newsletter 7. Εκπαιδευτικά Προγράμματα & ΢υνεργασίες ΕΚΠΑΙΔΕΤΣΙΚΑ ΠΡΟΓΡΑΜΜΑΣΑ ISACA Επόμενη Εκπαιδευτική 15/02/2012

Εκδήλωση

Ι.Ε.΢.Π.,

Σο Ινστιτούτο Ελέγχου ΢υστημάτων Πληροφορικής έχει προγραμματίσει την επόμενη απογευματινή εκπαιδευτική εκδήλωση την Σετάρτη 15 Υεβρουαρίου 2012, λίγο πριν από την κοπή της πρωτοχρονιάτικης πίτας που θα λάβει χώρα στο ίδιο μέρος. H ευρύτερη θεματική ενότητα είναι αφιερωμένη στην ασφάλεια και συγκεκριμένα σε virtual machines ενώ θα παρουσιαστούν επίσης case studies από την ελληνική πραγματικότητα που κάνουν δύσκολη τη ζωή ενός administrator και την ασφάλεια να ακροβατεί. Η εκδήλωση θα διεξαχθεί στην Ελληνοαμερικανική Ένωση (Μασσαλίας 22) στο αμφιθέατρο του 2ου ορόφου και ώρες 18:00-19:50. Η αναλυτική ενημέρωση της εκδήλωσης έχει αναρτηθεί στον ιζηόηοπό μας. e-Symposium, 28/02/2011 Ο ISACA διοργανώνει στις 28 Υεβρουαρίου 2012 esymposium με τίτλο “Best Practices and Controls for Compliance and Risk Management” (11:00am14:00pm EST, 16:00pm-19:00pm UTC), όπου θα αναλυθούν οι προκλήσεις που συνδέονται με την εφαρμογή και διατήρηση ενός επιτυχούς GRC προγράμματος, τις οποίες πρέπει να αντιμετωπίσει μία εταιρία ώστε το εν λόγω πρόγραμμα να είναι αποδοτικό για αυτήν. Επίσης, εξειδικευμένοι επαγγελματίες θα συζητήσουν για τους μηχανισμούς ελέγχου και τις βέλτιστες πρακτικές που απαιτούνται για την επίτευξη

αποτελεσματικής συμμόρφωσης και διαχείρισης κινδύνων και θα απαντήσουν ζωντανά στις ερωτήσεις σας!. Οι συμμετέχοντες μπορούν να λάβουν 3 CPEs υπό την προϋπόθεση της επιτυχούς ολοκλήρωσης σχετικού τεστ (70% και άνω σε quiz 10 ερωτήσεων). Για περισσότερες πληροφορίες και εγγραφή μπορείτε να επισκεφτείτε τη σχετική ιζηοζελίδα του ISACA. Virtual Seminar and Tradeshow, 22/03/2012

Ο ISACA διοργανώνει στις 22 Μαρτίου 2011 ολοήμερη εκδήλωση (9:00am – 4:30pm EST, GMT-5) με τίτλο “Enterprise Risk Management: Provide Security from Cyber Threats”. Οι συμμετέχοντες δικαιούνται να λάβουν CPEs. Περισσότερες πληροφορίες αναφορικά με το πρόγραμμα της εκδήλωσης και εγγραφή θα αναρτηθούν σύντομα στη σχετική ιζηοζελίδα του ISACA. EuroCACS / ISRM, 10-12/09/2012 10-12 ΢επτεμβρίου 2012, Μόναχο, Γερμανία. Ο ISACA διοργανώνει παράλληλα, στις ίδιες ημερομηνίες και στο ίδιο μέρος, για πρώτη φορά και τελευταία φορά – όπως διαβάσατε παραπάνω – τα δύο μεγάλα ετήσια συνέδριά του, το EuroCACS και το Information Security and Risk Management. Και μάλιστα σε νέα χρονική περίοδο, το ΢επτέμβριο! Πρόκειται για ένα πολυδιάστατο συνέδριο με θέματα για τον έλεγχο, την ασφάλεια, τη διακυβέρνηση, τον κίνδυνο στα πληροφοριακά συστήματα, με προγράμματα ελέγχου και ασφάλειας και με παρουσίαση εργαλείων και μέσων για την αντιμετώπιση των σύγχρονων αλλαγών και προκλήσεων. Οι συμμετέχοντες μπορούν να λάβουν έως και 41 CPEs. Για περισσότερες πληροφορίες μπορείτε να επισκεφτείτε τη σχετική ιστοσελίδα του ISACA.

30


ISACA Athens Chapter

Newsletter 7. Εκπαιδευτικά Προγράμματα & ΢υνεργασίες

΢εμινάρια Προετοιμασίας CISA-CISM για τις Εξετάσεις Ιουνιού 2012 ΢ας ενημερώνουμε για τα προπαρασκευαστικά προγράμματα για τις πιστοποιήσεις CISA και CISM που θα λάβουν χώρα τους προσεχείς μήνες για την εξεταστική περίοδο του Ιουνίου:

Προγράμματα Ελληνοαμερικανικής Ένωσης σε συνεργασία με ISACA Athens Chapter CISA Prep Course : 19- 21/3/2012 CISM Prep Course : 22 - 24/3/2012

΢ας ενημερώνουμε ότι η Ελληνοαμερικανική Ένωση έχει προγραμματίσει τη διεξαγωγή προπαρασκευαστικών προγραμμάτων για τις πιστοποιήσεις CISA και CISM της εξεταστικής περιόδου του Ιουνίου. Κάθε ένα από τα δύο προγράμματα είναι διάρκειας 24 ωρών και θα λάβει χώρα στο συνεδριακό χώρο της Ελληνοαμερικανικής Ένωσης (Μασσαλίας 22, Αθήνα). Σο κόστος κάθε σεμιναρίου ανέρχεται στο ποσό των € 850. Για περισσότερες πληροφορίες μπορείτε να επισκεφτείτε τις αντίστοιχες ιστοσελίδες της Ελληνοαμερικάνικης Ένωσης για το CISA prep και για το CISM prep.

ΙDC IT Security & DataCenters Transformation Roadshow, 18/05/2012

Όπως και πέρσι, το Ι.Ε.΢.Π. πρόκειται να υποστηρίξει το ΙDC Roadshow, το οποίο θα διεξαχθεί στις 18 Μαϊου 2012. Σο φετινό Roadshow της IDC επικεντρώνεται σε μια ποικιλία θεμάτων σχετικά με τη διαχείριση των υποδομών πληροφορικής των σημερινών επιχειρήσεων. Ο βασικός στόχος του Roadshow είναι να θέσει τις βάσεις για μια ουσιαστική συζήτηση γύρω από τους τρόπους ενίσχυσης της αποτελεσματικότητας των εταιρικών υποδομών πληροφορικής και τη διασφάλιση της βιώσιμης επιχειρηματικής συνέχειας. Η εκδήλωση θα περιλαμβάνει παρουσιάσεις από αναλυτές της IDC, εκπροσώπους διεθνών και τοπικών προμηθευτών software και hardware, ανεξάρτητους εμπειρογνώμονες, καθώς και πραγματικές εμπειρίες που θα παρουσιαστούν ομιλητές της κοινότητα των τελικών χρηστών. Για περισσότερες πληροφορίες επισκεφτείτε την ιζηοζελίδα του Roadshow. Θα ακολουθήσει αναλυτικότερη ενημέρωση με την ολοκλήρωση του πλαισίου υποστήριξης από το Ι.Ε.΢.Π.

31


Ινστιτούτο Ελέγτοσ Σσστημάτων Πληρουορικής (ΙΕΣΠ) - ISACA Athens Chapter

Ενημερωτικό Δελτίο

Έτος 2012, Τ. 01 - Φεβ 2012

Newsletter ISACA Athens Chapter

Ινστιτούτο Ελέγχου ΢υστημάτων Πληροφορικής (ΙΕ΢Π) - ISACA Athens Chapter Μασσαλίας 22, Αθήνα, GR -10680 www.isaca.gr newsletter@isaca.gr Σηλ: +30 210-28 86 041 Fax: +30 210 28 86 901 Σο Ινστιτούτο Ελέγχου ΢υστημάτων Πληροφορικής – ISACA Athens Chapter δραστηριοποιείται στην Ελλάδα από το 1994 και αποτελεί το Ελληνικό παράρτημα του διεθνούς οργανισμού ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1.847.253.1545 Fax: +1.847.253.1443 © 2012 Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής (ISACA Athens Chapter) και ISACA International. ISACA®, CISA® ,CISM®, CGEIT®,CRISC®, COBIT® 3rd Edition©, COBIT®, COBIT Quickstart™, COBIT Online™, K-NET®, IT Governance Institute®, ITGI®, CACSSM, Information Systems Audit and Control Association®, and Information Systems Control Journal® are registered trademarks of ISACA International

Διοικητικό ΢υμβούλιο ΙΕ΢Π - ISACA Athens Chapter Πρόεδρος: Αντιπρόεδρος: Γραμματέας: Σαμίας: Μέλη Δ.΢.

Ανέστης Δημόπουλος Ιωάννης Λευκάκης Γεώργιος Ράικος Αντώνιος Γκινόπουλος Ιωάννης Δρακούλης Παναγιώτης Δρούκας Παναγιώτης Μερκούρης

΢υντονιστής Πιστοποιήσεων: Ανέστης Δημόπουλος Membership & Marketing Director: Ιωάννης Δρακούλης Επικεφαλής Εκπαιδευτικής Επιτροπής: Παναγιώτης Μερκούρης Ιωάννης Λευκάκης Τπεύθυνος Δικτυακού Σόπου: Παναγιώτης Δρούκας ΢υντονιστής Ακαδημαϊκών Θεμάτων: Παναγιώτης Μερκούρης

Ομάδα ΢ύνταξης Ενημερωτικού Δελτίου: Ιωάννης Λευκάκης Παναγιώτης Μερκούρης Ιωάννης Μπονάτος Γιώργος Σαναμπασίδης Φρήστος Βιδάκης ΢ταμάτης Πασσάς Νίκος Μπούμπουλης Περισσότερες πληροφορίες και στοιχεία επικοινωνίας στο www.isaca.gr ή www.isaca.org

32

Newsletter #1 2012  

ISACA Athens Chapter Newsletter #1 2012

Read more
Read more
Similar to
Popular now
Just for you