Ελεγχος των μηχανογραφικών συστημάτων

* Του Ανδρέα Μ. Λαμπριανού

Αναγνωρίζοντας τις προοπτικές για αναβάθμιση των υπηρεσιών που παρέχει το κράτος προς τους πολίτες, οι δημόσιοι οργανισμοί έχουν μηχανογραφήσει τις περισσότερες δραστηριότητές τους, ενώ η ενσωμάτωση νέων συστημάτων, λογισμικών εφαρμογών και άλλων τεχνολογιών αποτελεί σύνηθες φαινόμενο τα τελευταία χρόνια.

Η χρήση της μηχανογράφησης μπορεί να βελτιώσει την αποδοτικότητα και την αποτελεσματικότητα του δημοσίου τομέα, ενώ παράλληλα να μειώσει το κόστος λειτουργίας του, συμβάλλοντας έτσι στη βελτίωση της ανταγωνιστικότητας αλλά και στην επανεκκίνηση της οικονομίας γενικότερα.

Παρά τα σημαντικά οφέλη που παρέχει η μηχανογράφηση, εντούτοις η επιτυχής εφαρμογή και λειτουργία της προϋποθέτει την αποτελεσματική διαχείριση των κινδύνων που απορρέουν από τη χρήση της δηλαδή την εφαρμογή διαδικασιών αναγνώρισης, αποτροπής και αντιμετώπισής τους.

Ο πιο ορατός και σημαντικός κίνδυνος είναι η πιθανότητα ένα μηχανογραφικό σύστημα να μην ανταποκρίνεται επαρκώς στις ανάγκες ενός δημοσίου οργανισμού ή των πολιτών είτε λόγω ελλείψεων και αδυναμιών κατά το στάδιο της αναγνώρισης αναγκών, του καθορισμού, της εφαρμογής και του ελέγχου των προδιαγραφών του είτε λόγω ελλείψεων και αδυναμιών στην υλοποίηση και τη λειτουργία του.

Σοβαρό κίνδυνο για τα μηχανογραφικά συστήματα αποτελεί επίσης η έλλειψη επαρκούς θωράκισης σε επιθέσεις κακόβουλων εισβολέων (hackers), η οποία μπορεί να οδηγήσει στην απώλεια δεδομένων, στην αλλοίωση και στην υπεξαίρεση στοιχείων ή εγγράφων καθώς επίσης και στην αδυναμία του συστήματος να εξυπηρετήσει τους χρήστες του (απώλεια διαθεσιμότητας).

Για να διασφαλιστεί η ορθή, οικονομική, αποδοτική και ασφαλής λειτουργία των μηχανογραφικών συστημάτων, πρέπει το περιβάλλον πληροφορικής κάθε οργανισμού να διέπεται από ένα ολοκληρωμένο περιβάλλον ελέγχου (I.T. general controls) δηλαδή από κανόνες περιλαμβανομένων πολιτικών (policies) και διαδικασιών (procedures), πρότυπα (standards) και κατευθυντήριες γραμμές (guidelines) ορθής διακυβέρνησης (I.T. governance) που εκτελούνται από ανθρώπους ή/και συστήματα πληροφορικής με απώτερο σκοπό την επίτευξη των επιχειρησιακών στόχων.

Τα μέτρα αυτά εφαρμόζονται σε όλους τους τομείς της πληροφορικής (συστήματα, υπηρεσίες, θέματα, επεξεργασίες, συναλλαγές κλπ) και αφορούν περιοχές όπως η στρατηγική, η ανάπτυξη και συντήρηση συστημάτων, η λειτουργία κέντρου δεδομένων, η επιχειρησιακή συνέχεια κ.λπ. Η γενική κατεύθυνση και αναγκαιότητα των μέτρων ελέγχου πληροφορικής σχετίζονται με τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των δεδομένων, αλλά και τη γενικότερη διοίκηση της διεύθυνσης πληροφορικής του οργανισμού.

Σε γενικές γραμμές, οι πολιτικές καθορίζουν συνοπτικά τις αποφάσεις της διεύθυνσης του οργανισμού σχετικά με το θέμα στο οποίο αναφέρεται η πολιτική – υπαγορεύουν δηλαδή τι πρέπει να γίνει, αλλά όχι πώς πρέπει να γίνει. Το πώς πρέπει να γίνει καθορίζεται αναλυτικά και σε βάθος από τις διαδικασίες που συνοδεύουν τις πολιτικές.

Για παράδειγμα, η πολιτική ασφάλειας μπορεί να καθορίζει ότι όλα τα πληροφοριακά συστήματα που είναι συνδεδεμένα με το δίκτυο του οργανισμού θα πρέπει να έχουν εγκατεστημένο λογισμικό εντοπισμού ιών, το οποίο να είναι ενεργοποιημένο και ενημερωμένο με τους πιο πρόσφατους ιούς. Σε σχέση με την εγκατάσταση, τη ρύθμιση, την ενεργοποίηση και τη συνεχή ενημέρωση του εν λόγω λογισμικού, θα πρέπει να υπάρχει η αντίστοιχη διαδικασία, η οποία να περιγράφει αναλυτικά τα βήματα που θα πρέπει να ακολουθήσει ο διαχειριστής ή/και ο χρήστης για να εκτελέσει τις προαναφερόμενες ενέργειες.

Στο σημείο αυτό θα πρέπει να σημειωθεί ότι το δυναμικό και εξελισσόμενο περιβάλλον λειτουργίας των συστημάτων πληροφορικής, επιβάλλει τη συνεχή παρακολούθηση και αξιολόγηση των πολιτικών, των διαδικασιών, των προτύπων και των κατευθυντήριων γραμμών αλλά και τη λήψη διορθωτικών ή προσαρμοστικών μέτρων εφόσον οποιεσδήποτε αλλαγές στο μηχανογραφικό περιβάλλον ενός οργανισμού, δύνανται να δημιουργήσουν κινδύνους.

*Εφόρος Εσωτερικού Ελέγχου της Δημοκρατίας