Γράφει ο Ανδρέας Καραντώνης, Marketing & Communications Director, Channel IT Ltd.
Η διεύρυνση των δραστηριοτήτων μιας επιχείρησης, συνεπάγεται ταυτόχρονα περισσότερη πολυπλοκότητα των λειτουργιών της. Το μέγεθος των πληροφοριών που διαχειρίζεται αυξάνεται διαρκώς ενώ, σε πολλές περιπτώσεις, οι εν λόγω πληροφορίες μπορεί να αφορούν περισσότερα του ενός τμήματα της εταιρείας, με διαφορετική διαβάθμιση σε επίπεδο ευαισθησίας δεδομένων το καθένα. Ως αποτέλεσμα, οι εταιρικές λειτουργίες εμπίπτουν συχνά στην αρμοδιότητα διαφορετικών ρυθμιστικών φορέων και κανονιστικών πλαισίων συμμόρφωσης.
Αρχές που διέπουν την προσέγγιση GRC και οφέλη υιοθέτησης
Οι επιχειρησιακές δραστηριότητες οφείλουν να ευθυγραμμίζονται με τους επιχειρηματικούς σκοπούς. Για τον λόγο αυτό, οι οργανισμοί θα πρέπει να υιοθετήσουν μια ενιαία προσέγγιση εταιρικής διακυβέρνησης, διαχείρισης κινδύνων και νομοθετικής και κανονιστικής συμμόρφωσης, την επονομαζόμενη GRC.
Με τις τρεις αυτές αρχές να διαθέτουν κοινά χαρακτηριστικά μεταξύ τους, μια ολοκληρωμένη λύση GRC, μειώνει καταλυτικά τον φόρτο εργασίας, βοηθώντας τους οργανισμούς να εξορθολογήσουν τις δραστηριότητές τους, να περιορίσουν τα λειτουργικά κόστη και να επιτρέψουν την καλύτερη ανάλυση δεδομένων μεταξύ των τμημάτων, προκειμένου για την εξαγωγή ενδελεχών αποτελεσμάτων. Παράλληλα βελτιώνουν σημαντικά την απόδοση, τη φήμη και την αξιοπιστία του οργανισμού, συνολικά.
Τα οφέλη για τις επιχειρήσεις που υιοθετούν ένα μοντέλο οργάνωσης και λειτουργίας με βάση τις βέλτιστες πρακτικές GRC, συνοψίζονται παρακάτω:
– Καλύτερη, ακριβής, έγκαιρη και πλήρης παρακολούθηση της λειτουργίας της εταιρείας.
– Μεγαλύτερη διαφάνεια και υπευθυνότητα για την αξιοπιστία του συστήματος εσωτερικού ελέγχου που υποστηρίζει τις επιχειρηματικές αποφάσεις και τη διακυβέρνηση της εταιρείας.
– Αξιοποίηση νέων τεχνολογιών και βέλτιστων πρακτικών οργάνωσης και λειτουργίας.
– Προστασία περιουσιακών στοιχείων και μείωση της πιθανότητας απάτης ή/και απώλειας εσόδων.
– Βελτίωση αποτελεσματικότητας και αποδοτικότητας επιχειρησιακών διαδικασιών.
– Ενίσχυση της αξιοπιστίας και ακεραιότητας της Διοίκησης.
– Διασφάλιση συμμόρφωσης με τους νόμους και τους ισχύοντες κανονισμούς.
– Αποφυγή επιβολής προστίμων από τις αρμόδιες Εποπτικές Αρχές.
– Ικανοποίηση προτιμήσεων και προσδοκιών των μετόχων, επενδυτών και λοιπών ενδιαφερόμενων Μερών.
– Ενίσχυση της δομής της διακυβέρνησης των κινδύνων και συντονισμός των επιπέδων άμυνας της εταιρείας.
– Ανάπτυξη ενός συνόλου βέλτιστων πρακτικών διαχείρισης κρίσεων.
Χαρακτηριστικά, χρήσεις και ιδανική πρακτική εφαρμογή των λύσεων GRC
Για τις επιχειρήσεις, η ικανότητα πρόβλεψης, ανθεκτικότητας και αντιμετώπισης του ανταγωνισμού, προϋποθέτει την κατανόηση των σημείων που υστερούν και επηρεάζουν το σύνολο της λειτουργίας τους. Με τον εντοπισμό των τρωτών σημείων και την αυτοματοποίηση βασικών διαδικασιών στις ροές εργασίας, διασφαλίζεται η ενίσχυση της διαφάνειας, η προστασία από οικονομικές παγίδες και η επιχειρησιακή συνέχεια.
Εξάλλου, οι λύσεις GRC, θα πρέπει να παρέχουν λειτουργίες που είναι σύμφωνες με τις απαιτήσεις της νομοθεσίας συμμόρφωσης και βοηθούν σε ελεγκτικές οντότητες, συστήματα και προμηθευτές που σχετίζονται με τον οργανισμό. Ορισμένες από τις κυριότερες λειτουργίες μιας λύσης GRC, είναι η διαχείριση πολιτικής (policy management), η διαχείριση συμμόρφωσης (compliance management), η διαχείριση κινδύνου (risk management) και η διαχείριση κινδύνου προμηθευτή (vendor risk management).
Σε επίπεδο πρακτικής εφαρμογής μιας λύσης GRC, όπως αναφέρει ο παγκόσμιος Μη Κερδοσκοπικός Οργανισμός Open Compliance and Ethics Group (OCEG), θα πρέπει να ενσωματώνονται τα παρακάτω:
– Γνώση: Απόκτηση γνώσεων σχετικά με το πλαίσιο, τις εσωτερικές πολιτικές και την κουλτούρα του οργανισμού, οι οποίες μπορούν να ενσωματωθούν για τη δημιουργία στρατηγικών και στόχων.
– Εναρμόνιση: Χρήση αποτελεσματικών εργαλείων λήψης αποφάσεων για τη δημιουργία ενεργών στρατηγικών, στόχων και διαδικασιών που συνάδουν με τις αξίες, τις απαιτήσεις, τον ανταγωνισμό και τις ευκαιρίες.
– Δράση: Εκτέλεση ενεργειών που υλοποιούν τις στρατηγικές, αποφεύγοντας παράλληλα τις δυσλειτουργίες, με επιβράβευση των επιθυμητών ενεργειών και διόρθωση των αντίστοιχων αντιπαραγωγικών.
– Ανασκόπηση: Επαναξιολόγηση της λειτουργικής αποτελεσματικότητας των εταιρικών στρατηγικών και των αντίστοιχων ενεργειών τους, με επιπρόσθετη ανακατεύθυνση των στόχων -εφόσον κρίνεται απαραίτητο- και λήψη μέτρων για την ενίσχυση της αποτελεσματικότητας της ροής εργασιών.
ManageEngine AD360: Επιτυγχάνοντας συμμόρφωση με GDPR και ISO 27001
Η σουίτα AD360 της ManageEngine, διαθέτει ενσωματωμένα χαρακτηριστικά που μπορούν να αντιστοιχιστούν με τις υποχρεώσεις συμμόρφωσης διαφόρων κανονιστικών πλαισίων, άλλων λιγότερο γνωστών στο ευρύ κοινό, όπως Sarbanes–Oxley (SOX) Act, Federal Information Security Management Act (FISMA), Brazil‘s General Data Protection Law (LGPD), Gramm–Leach–Bliley Act (GLBA), κι άλλων περισσότερο γνωστών και εφαρμόσιμων σε πολλές επιχειρήσεις -αναλόγως του κλάδου που ανήκουν- όπως Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) και φυσικά General Data Protection Regulation (GDPR) και ISO 27001.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), είναι ένα κανονιστικό πλαίσιο με το οποίο πρέπει να συμμορφώνονται οι οργανισμοί που λειτουργούν στην Ευρωπαϊκή Ένωση ή εξυπηρετούν πελάτες που ανήκουν σε αυτήν. Ο GDPR ασχολείται με την ασφάλεια των προσωπικών δεδομένων των πελατών, των εργαζομένων και των δυνητικών πελατών που κατέχει μια εταιρεία. Το AD360 διασφαλίζει ότι οι οργανισμοί είναι εφοδιασμένοι με τα κατάλληλα εργαλεία που διασφαλίζουν τη συμμόρφωση με τον GDPR, καθώς -μεταξύ άλλων- παρέχει τη δυνατότητα:
– Προβολής μελών από καθορισμένες ομάδες καθώς και λεπτομέρειες των εν λόγω ομάδων.
– Προσδιορισμού κοινόχρηστων φακέλων που υπάρχουν σε διακομιστές και ελέγχου των δικαιωμάτων πρόσβασης.
– Καταγραφής των δικαιωμάτων πρόσβασης χρηστών και ομάδων σε φακέλους που είναι αποθηκευμένοι σε καθορισμένες τοποθεσίες.
– Ορατότητας των δικαιωμάτων καθορισμένων χρηστών που διαθέτουν σε φακέλους και διακομιστές.
– Καταγραφής των χρηστών και ομάδων που έχουν πρόσβαση σε συγκεκριμένους διακομιστές.
– Ειδοποίησης των κατάλληλων ατόμων για αιτήματα που έχουν υποβληθεί, αναθεωρηθεί ή εγκριθεί.
– Δημιουργίας κανόνων για την αξιολόγηση και την ανάθεση αιτημάτων στους κατάλληλους εκπροσώπους εξυπηρέτησης του help desk της εταιρείας.
– Προβολής αιτημάτων ροής εργασιών που δημιουργήθηκαν και ανατέθηκαν στο help desk της εταιρείας.
– Ανασκόπησης και καταγραφή των ενεργειών διαχείρισης που πραγματοποιούνται από τους εκπροσώπους εξυπηρέτησης του help desk της εταιρείας.
Επιπλέον, το AD360 μπορεί να ενισχύσει την ασφάλεια των προσωπικών δεδομένων των οργανισμών, ελέγχοντας τις προσπάθειες σύνδεσης για τον εντοπισμό μη εξουσιοδοτημένης πρόσβασης. Παρέχοντας ορατότητα στις πληροφορίες σύνδεσης, τις κλιμακώσεις προνομίων και άλλες ενέργειες που αφορούν στη δραστηριότητα των χρηστών, το AD360 αυξάνει την ικανότητα των οργανισμών να εντοπίζουν παραβιάσεις πληροφοριών, διασφαλίζοντας παράλληλα τη συμμόρφωση με τον GDPR.
Σε ό,τι αφορά στο ISO 27001, πρόκειται για ένα πρότυπο που τονίζει την ανάγκη για τις εταιρείες να δημιουργήσουν, να εφαρμόσουν, να διαχειρίζονται και να βελτιώνουν συνεχώς ένα σύστημα διαχείρισης ασφάλειας πληροφοριών. Το ADAudit Plus, εργαλείο που ενσωματώνεται στο AD360 αλλά διατίθεται και ως μεμονωμένη λύση, χρησιμοποιεί τα δεδομένα καταγραφής συμβάντων (logs) από όλους τους domain controllers του Active Directory, τους διακομιστές αρχείων, τους διακομιστές Windows και τους σταθμούς εργασίας, για να δημιουργήσει αναφορές και ειδοποιήσεις σε πραγματικό χρόνο.
Αποκλειστικός διανομέας των λύσεων της ManageEngine στην Κύπρο, την Ελλάδα και την Μάλτα, είναι η Channel IT.
