στον Δημόσιο Τομέα

Αναγνωρίζοντας τις προοπτικές για αναβάθμιση των υπηρεσιών που παρέχει το Κράτος προς τους πολίτες, οι δημόσιοι οργανισμοί έχουν μηχανογραφήσει τις περισσότερες δραστηριότητές τους ενώ η ενσωμάτωση νέων συστημάτων, λογισμικών εφαρμογών και άλλων τεχνολογιών αποτελεί σύνηθες φαινόμενο τα τελευταία χρόνια. Η χρήση της μηχανογράφησης μπορεί να βελτιώσει την αποδοτικότητα και την αποτελεσματικότητα του δημόσιου τομέα ενώ παράλληλα να μειώσει το κόστος λειτουργίας του, συμβάλλοντας έτσι στη βελτίωση της ανταγωνιστικότητας αλλά και στην επανεκκίνηση της οικονομίας γενικότερα.

Παρά τα σημαντικά οφέλη που παρέχει η μηχανογράφηση, εντούτοις η επιτυχής εφαρμογή και λειτουργία της προϋποθέτει την αποτελεσματική διαχείριση των κινδύνων που απορρέουν από τη χρήση της, δηλαδή την εφαρμογή διαδικασιών αναγνώρισης, αποτροπής και αντιμετώπισής τους. Ο πιο ορατός και σημαντικός κίνδυνος είναι η πιθανότητα ένα μηχανογραφικό σύστημα να μην ανταποκρίνεται επαρκώς στις ανάγκες ενός δημόσιου οργανισμού ή των πολιτών, είτε λόγω ελλείψεων και αδυναμιών κατά το στάδιο της αναγνώρισης αναγκών, του καθορισμού, της εφαρμογής και του ελέγχου των προδιαγραφών του, είτε λόγω ελλείψεων και αδυναμιών στην υλοποίηση και τη λειτουργία του.

Σοβαρό κίνδυνο για τα μηχανογραφικά συστήματα αποτελεί επίσης η έλλειψη επαρκούς θωράκισης σε επιθέσεις κακόβουλων εισβολέων (hackers), η οποία μπορεί να οδηγήσει στην απώλεια δεδομένων, στην αλλοίωση και στην υπεξαίρεση στοιχείων ή εγγράφων καθώς επίσης και στην αδυναμία του συστήματος να εξυπηρετήσει τους χρήστες του (απώλεια διαθεσιμότητας). Για να διασφαλιστεί η ορθή, οικονομική, αποδοτική και ασφαλής λειτουργία των μηχανογραφικών συστημάτων, πρέπει το περιβάλλον πληροφορικής κάθε οργανισμού να διέπεται από ένα ολοκληρωμένο περιβάλλον ελέγχου (I.T. general controls) δηλαδή από κανόνες περιλαμβανομένων πολιτικών (policies) και διαδικασιών (procedures), πρότυπα (standards) και κατευθυντήριες γραμμές (guidelines) ορθής διακυβέρνησης (I.T. governance) που εκτελούνται από ανθρώπους ή/ και συστήματα πληροφορικής με απώτερο σκοπό την επίτευξη των επιχειρησιακών στόχων.

Τα μέτρα αυτά εφαρμόζονται σε όλους τους τομείς της πληροφορικής (συστήματα, υπηρεσίες, θέματα, επεξεργασίες, συναλλαγές κλπ) και αφορούν περιοχές όπως η στρατηγική, η ανάπτυξη και συντήρηση συστημάτων, η λειτουργία κέντρου δεδομένων, η επιχειρησιακή συνέχεια κλπ. Η γενική κατεύθυνση και αναγκαιότητα των μέτρων ελέγχου πληροφορικής σχετίζονται με τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των δεδομένων αλλά και τη γενικότερη διοίκηση της διεύθυνσης πληροφορικής του οργανισμού. Σε γενικές γραμμές, οι πολιτικές καθορίζουν συνοπτικά τις αποφάσεις της διεύθυνσης του οργανισμού σχετικά με το θέμα στο οποίο αναφέρεται η πολιτική - υπαγορεύουν δηλαδή τι πρέπει να γίνει αλλά όχι πώς πρέπει να γίνει.

Το πώς πρέπει να γίνει καθορίζεται αναλυτικά και σε βάθος από τις διαδικασίες που συνοδεύουν τις πολιτικές. Για παράδειγμα, η πολιτική ασφάλειας μπορεί να καθορίζει ότι όλα τα πληροφοριακά συστήματα που είναι συνδεδεμένα με το δίκτυο του οργανισμού θα πρέπει να έχουν εγκατεστημένο λογισμικό εντοπισμού ιών, το οποίο να είναι ενεργοποιημένο και ενημερωμένο με τους πιο πρόσφατους ιούς. Σε σχέση με την εγκατάσταση, τη ρύθμιση, την ενεργοποίηση και τη συνεχή ενημέρωση του εν λόγω λογισμικού, θα πρέπει να υπάρχει η αντίστοιχη διαδικασία, η οποία να περιγράφει αναλυτικά τα βήματα που θα πρέπει να ακολουθήσει ο διαχειριστής ή/ και ο χρήστης για να εκτελέσει τις προαναφερόμενες ενέργειες.

Στο σημείο αυτό θα πρέπει να σημειωθεί ότι το δυναμικό και εξελισσόμενο περιβάλλον λειτουργίας των συστημάτων πληροφορικής, επιβάλλει τη συνεχή παρακολούθηση και αξιολόγηση των πολιτικών, των διαδικασιών, των προτύπων και των κατευθυντήριων γραμμών αλλά και τη λήψη διορθωτικών ή προσαρμοστικών μέτρων εφόσον οποιεσδήποτε αλλαγές στο μηχανογραφικό περιβάλλον ενός οργανισμού, δύνανται να δημιουργήσουν κινδύνους.

Υπό το φως των πιο πάνω δεδομένων, βασική επιδίωξη της ανεξάρτητης Υπηρεσίας Εσωτερικού Ελέγχου της Δημοκρατίας είναι η διενέργεια ελέγχων σε μηχανογραφικά συστήματα της Δημόσιας Υπηρεσίας που περιλαμβάνουν μεταξύ άλλων την αξιολόγηση τόσο των δικλίδων ασφαλείας μέσω εξομοίωσης επιθέσεων από κακόβουλους εισβολείς (hackers), όσο και του περιβάλλοντος ελέγχου των μηχανογραφικών συστημάτων (I.T. general control audits) που αποσκοπούν στη θωράκισή τους ώστε να διασφαλίζεται επαρκώς η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα των πληροφοριών που είναι αποθηκευμένες σε αυτά.

Τα τελευταία χρόνια το εξειδικευμένο κλιμάκιο της Υπηρεσίας έχει διενεργήσει μεγάλο αριθμό ελέγχων σε νευραλγικά και κρίσιμα συστήματα και εφαρμογές του Δημόσιου και του Ευρύτερου Δημόσιου Τομέα μέσα από την αξιολόγηση της ύπαρξης και της λειτουργίας των πολιτικών, των διαδικασιών, των προτύπων και των κατευθυντήριων γραμμών αλλά και το πλαίσιο που διασφαλίζει τη συνεχή τους αναβάθμιση και προσαρμογή. Μέσα στα πλαίσια αυτά, έχουν εντοπιστεί κενά και αδυναμίες για την αντιμετώπιση των οποίων έχουν γίνει οι σχετικές συστάσεις στις διευθύνσεις των ελεγχόμενων οργανισμών και έχουν προγραμματιστεί έλεγχοι παρακολούθησης (follow up) έτσι ώστε να διαπιστωθεί η πρόοδος της υλοποίησής τους ή/ και ο βαθμός συμμόρφωσής τους.

ΑΝΔΡΕΑΣ Μ. ΛΑΜΠΡΙΑΝΟΥ
Εφόρου Εσωτερικού Ελέγχου της Δημοκρατίας