Διοίκηση Ασφάλειας Πληροφοριακών Συστημάτων

Το μάθημα αποσκοπεί στην απόκτηση γνώσεων και την κατανόηση θεμάτων σχετικών με τη διοίκηση ασφάλειας πληροφοριών σε οργανωσιακά περιβάλλοντα. Η ύλη του μαθήματος και η διδασκαλία έχουν σχεδιαστεί ώστε να στοχεύουν αρχικά στην κατανόηση από τους φοιτητές ενός εννοιολογικού πλαισίου για το επιστημονικό πεδίο της διοίκησης ασφάλειας πληροφοριακών συστημάτων. Στο πλαίσιο του μαθήματος αναλύονται μέθοδοι ανάλυσης και διαχείρισης επικινδυνότητας ασφάλειας πληροφοριών, με επίδειξη εργαλείων λογισμικού όπου αυτά απαιτούνται και ανάλυση μελετών περίπτωσης, με στόχο τη γνώση και απόκτηση δεξιοτήτων εφαρμογής τέτοιων μεθόδων στην πράξη. Επιπλέον, αναλύεται η Οδηγία 2022/2555 για την κυβερνοασφάλεια (NIS2) καθώς επίσης και τεχνικά πρότυπα διοίκησης ασφάλειας πληροφοριών και σχετικές πιστοποιήσεις. Ενθαρρύνεται η αναγνώριση της σημασίας της διοίκησης ασφάλειας πληροφοριακών συστημάτων σε σύγχρονους οργανισμούς και οι σχετικοί επαγγελματικοί ρόλοι που συναντώνται στη σημερινή αγορά.

Με την επιτυχή ολοκλήρωση του μαθήματος ο/η φοιτητής/φοιτήτρια θα:

• Έχει αποδεδειγμένη γνώση των όρων και εννοιών που αφορούν στον τομέα της διοίκησης ασφάλειας πληροφοριακών συστημάτων (π.χ. επικινδυνότητα, απειλή, ευπάθεια)
• Είναι σε θέση να εφαρμόσει πρακτικά σε ένα συγκεκριμένο πληροφοριακό σύστημα τις θεωρητικές έννοιες και σχετικές μεθοδολογίες διοίκησης ασφάλειας πληροφοριακών συστημάτων
• Κατέχει τις δεξιότητες να εφαρμόσει μεθόδους και εργαλεία λογισμικού για την ανάλυση επικινδυνότητας ασφάλειας πληροφοριακών συστημάτων
• Είναι σε θέση να αναλύσει ένα πληροφοριακό σύστημα και το αντίστοιχο οργανωσιακό περιβάλλον, αναφορικά με τις απαιτήσεις ασφάλειας πληροφοριών του, να προτεραιοποιήσει τις απαιτήσεις αυτές, και να τεκμηριώσει μέτρα προστασίας
• Έχει τη γνώση και τις δεξιότητες για την ανάπτυξη πολιτικών ασφάλειας για τη διαχείριση επικινδυνότητας
• Έχει την ικανότητα να συγκεντρώσει και να αξιολογήσει στοιχεία για την αξιοποίηση των διαθέσιμων τεχνικών προτύπων ασφάλειας πληροφοριών
• Γνωρίζει τις απαιτήσεις που επιφέρει η Οδηγία (ΕΕ) 2022/2555 (NIS2) σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση
• Γνωρίζει το ευρύτερο πεδίο της διοίκησης ασφάλειας πληροφοριακών συστημάτων, αλλά και των επιμέρους ερευνητικών και πρακτικών προκλήσεων

Τα περιεχόμενα του μαθήματος αναλυτικά:

• Εννοιολογικό πλαίσιο διοίκησης ασφάλειας πληροφοριακών συστημάτων
• Μέθοδοι και εργαλεία λογισμικού για την ανάλυση επικινδυνότητας (ITSRM2, MEHARI, OCTAVE, MONARC)
• Πρότυπα διακυβέρνησης ασφάλειας. Πλαίσια, οδηγίες και πιστοποιήσεις για την διοίκηση ασφάλειας πληροφοριακών συστημάτων (ISO 27001, ISO 27002, NIST SP 800-30, κ.ά.)
• Το Ευρωπαϊκό πλαίσιο δεξιοτήτων κυβερνοασφάλειας (ENISA European Cybersecurity Skills Framework – ECSF)
• Επιθεώρηση ασφάλειας πληροφοριακών συστημάτων. Ο κύκλος ζωής της επιθεώρησης για τη διοίκηση ασφάλειας πληροφοριών. Προσόντα και δεξιότητες επιθεωρητών (ISO 27006, ISO 27007).
• Πολιτικές ασφάλειας. Σκοπός, δομή και περιεχόμενα οργανωσιακών πολιτικών ασφάλειας. Παραδείγματα γενικευμένων και εξειδικευμένων πολιτικών ασφάλειας.
• Διαχείριση Περιστατικών Ασφάλειας. Σχεδιασμός για τη διαχείριση περιστατικών ασφάλειας, βήματα αντιμετώπισης περιστατικών ασφάλειας.
• Επιχειρησιακή συνέχεια και σχέδιο ανάκαμψης από καταστροφή. Σχεδιασμός επιχειρησιακής συνέχειας και στρατηγικές για την ανάκαμψη πληροφοριακής υποδομής από καταστροφή.
• Ενημερότητα ασφάλειας. Ο ρόλος του ανθρώπου στη διοίκηση ασφάλειας πληροφοριακών συστημάτων. Σχεδιασμός προγραμμάτων ενημερότητας ασφάλειας σε οργανισμούς.
• Η Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS 2)
• Μέτρηση ασφάλειας πληροφοριών. Σχεδιασμός μετρικών για την μέτρηση αποτελεσματικότητας διαδικασιών και τεχνικών για την προστασία της ασφάλειας πληροφοριών.

• Σωκρ. Κάτσικας, (2014), Διαχείριση Ασφάλειας Πληροφοριών, Εκδόσεις Πεδίο, ISBN 978-960-546-415-8
•  Στεφ. Γκρίτζαλης, Σωκρ. Κάτσικας (2021), Ασφαλεια Πληροφοριων και Συστηματων στον Κυβερνοχωρο, Εκδόσεις Νέων Τεχνολογιών, ISBN 9789605780647

Συναφή επιστημονικά περιοδικά:

• Computers & Security, Elsevier

• Information and Computer Security, Emerald

• Journal of Information Privacy and Security, Taylor & Francis

• International Journal of Information Security, Springer

• Computer Law & Security Review, Elsevier

• Information Security Journal: A Global Perspective, Taylor & Francis

Η διδασκαλία πραγματοποιείται μέσω:

• Θεωρητικών διαλέξεων 
• Εργαστηριακών διαλέξεων και ασκήσεων
• Σεμιναρίων και φροντιστηρίων

Αξιοποιούνται οι ηλεκτρονικές υπηρεσίες και εφαρμογές του Τμήματος για την οργάνωση του εκπαιδευτικού υλικού και την υποστήριξη της διδασκαλίας (opencourses).

Αξιοποιούνται υπηρεσίες ηλεκτρονικού ταχυδρομείου για την επικοινωνία με τους διδάσκοντες και τους φοιτητές/τις φοιτήτριες.

Διδάσκονται και χρησιμοποιούνται εξειδικευμένες εφαρμογές λογισμικού για την προστασία της ιδιωτικότητας: ενδεικτικά, SimpleRisk, VERINICE, RM Studio, CORAS, PTA.

Η αξιολόγηση πραγματοποιείται στην ελληνική γλώσσα.

Γραπτές εξετάσεις: 60%

Γραπτές εργασίες:  40%