Στη σημερινή εποχή, οι περισσότεροι οργανισμοί στηρίζουν ένα πολύ μεγάλο μέρος της λειτουργίας τους σε πληροφοριακά συστήματα. Το γεγονός αυτό οδηγεί στην ανάγκη για περισσότερη ασφάλεια. Είναι πλέον γνωστό ότι είναι αδύνατο να υπάρχει 100% ασφάλεια σε ένα πληροφοριακό σύστημα, όπως είναι επίσης αδύνατο να προβλεφθεί και να εξαλειφθεί κάθε τι από τον εξωτερικό κόσμο που πιθανόν να απειλήσει το πληροφοριακό σύστημα.Αυτό που είναι δυνατό, όμως, να επιτευχθεί, είναι η μείωση της πιθανότητας εμφάνισης κινδύνου, η οποία θα οδηγήσει στη μείωση της αβεβαιότητας. Προϋπόθεση για την επίτευξη αυτής της μείωσης αποτελεί η εφαρμογή μιας κατάλληλης διαχείρισης κινδύνων ώστε να επιτευχθεί επαρκής αναγνώριση και αποτελεσματική αντιμετώπιση των διαφόρων κινδύνων που απειλούν το σύστημα.Αν η επικινδυνότητα θεωρηθεί ως το γενικότερο πλαίσιο που αναφέρεται σε οποιονδήποτε παράγοντα που απειλεί ένα πληροφοριακό σύστημα, η διαχείρισή της αποτελεί τη διαδικασία αναγνώρισης και ανάλυσης αυτών των απειλών, ποσοτικοποίησης των επιπτώσεών τους και εφαρμογής μέτρων ασφάλειας που θα μειώσουν ή θα εξαλείψουν τις αρνητικές τους συνέπειες. Η παρούσα μεταπτυχιακή διατριβή ασχολείται με την ανάλυση κινδύνων, που εντοπίζει τα προβλήματα ασφάλειας, τα ταξινομεί με βάση τη σημαντικότητά τους και τέλος προτείνει λύσεις για την επίλυσή τους. Εδώ παρουσιάζονται οι κυριότερες μέθοδοι ανάλυσης κινδύνων, που χρησιμοποιούνται σήμερα, καθώς και τα εργαλεία που κυκλοφορούν στην αγορά.Πιο αναλυτικά, στην αρχή παρουσιάζονται κάποιες βασικές έννοιες σχετικές με τις οντότητες και τα αντικείμενα που υπάρχουν σε ένα πληροφοριακό σύστημα και αξίζει να προστατευθούν, τα προβλήματα ασφάλειας που συναντώνται και πως μπορούν να αντιμετωπιστούν, καθώς επίσης και η βασική μεθοδολογία ανάλυσης κινδύνων. Στη συνέχεια, παρουσιάζονται και αναλύονται κάποιες από τις πιο γνωστές μεθόδους και κάποια από τα πιο γνωστά εργαλεία Ανάλυσης, Αξιολόγησης και Διαχείρισης Κινδύνων στα πληροφοριακά συστήματα. Τέλος, ακολουθεί σύγκριση των μεθόδων και των εργαλείων που εξετάζονται.Η παρούσα εργασία, παρέχει μια καλή βάση πάνω στην οποία μπορεί να στηριχθεί περαιτέρω έρευνα η οποία θα μπορούσε να μελετήσει το πώς οι μέθοδοι και τα εργαλεία ανάλυσης κινδύνων που προτείνονται θα μπορούσαν να βελτιωθούν για να καταστήσουν πιο εύκολη την εκτέλεση αναλύσεων κινδύνων που θα αποδώσουν πιο αντικειμενικά αποτελέσματα, ώστε να παρέχεται στον ενδιαφερόμενο μια πληρέστερη και ακριβέστερη εικόνα της κατάστασης που επικρατεί.
Nowadays, most organizations base a large part of their operations in information systems. This leads to the need for more security. It is now known that it is impossible to have 100% security in an information system, as it is also impossible to predict and eliminate anything from the outside world that may threaten the IT system.What is possible, however, to be achieved is the reduction of risk likelihood, which would lead to the reduction of the uncertainty. A prerequisite for achieving this reduction is the implementation of an appropriate risk management process to achieve adequate recognition and effective treatment of the various risks affecting the system.If risk is considered as the more general context related to any factor that threatens an information system, its management is the process of identification and analysis of these threats, quantification of their impact and implementation of the security measures that will reduce or eliminate the negative impact.This thesis deals with risk analysis, which identifies security problems, classifies them by their significance, and finally propose solutions to solve them. Here are presented the main risk analysis methods currently used, and the tools available on the market.More specifically, at first are presented some basic concepts of entities and objects that exist in an information system and is worth to be protected, the security problems encountered and how they can be addressed, as well as the basic risk analysis methodology. Then, we present and analyze some of the most popular methods and some of the best known tools for Risk Analysis, Risk Assessment and Risk Management in information systems. Finally, follows a comparison of methods and tools discussed.This paper is a good basis on which further research could be conducted, in order to study how the risk analysis methods and tools proposed could be improved to make it easier to perform risk analyses which will yield more objective results so as to provide a more complete and accurate perspective to any interested party.
