Riscos de la informació: concepte, anàlisi, avaluació

Taula de continguts:

Riscos de la informació: concepte, anàlisi, avaluació
Riscos de la informació: concepte, anàlisi, avaluació
Anonim

A la nostra era, la informació ocupa una de les posicions clau en tots els àmbits de la vida humana. Això es deu a la transició gradual de la societat de l'era industrial a la postindustrial. Com a conseqüència de l'ús, possessió i transferència d'informació diversa, poden sorgir riscos d'informació que poden afectar tota l'esfera de l'economia.

Quines indústries creixen més ràpidament?

El creixement dels fluxos d'informació es fa cada any més notable, ja que l'expansió de la innovació tècnica fa que la ràpida transferència d'informació relacionada amb l'adaptació de les noves tecnologies sigui una necessitat urgent. En el nostre temps, indústries com la indústria, el comerç, l'educació i les finances es desenvolupen a l'instant. És durant la transferència de dades que hi sorgeixen riscos d'informació.

Riscos de la informació
Riscos de la informació

La informació s'està convertint en un dels tipus de productes més valuosos, el cost total del qual aviat superarà el preu de tots els productes de producció. Això passarà perquè perPer tal d'assegurar la creació d'estalvi de recursos de tots els béns i serveis materials, és necessari proporcionar una manera fonamentalment nova de transmetre la informació que exclogui la possibilitat de riscos d'informació.

Definició

En els nostres temps no hi ha una definició inequívoca de risc d'informació. Molts experts interpreten aquest terme com un esdeveniment que té un impacte directe en diverses informacions. Això pot ser una violació de la confidencialitat, una distorsió i fins i tot una supressió. Per a molts, la zona de risc es limita als sistemes informàtics, que són el focus principal.

Protecció de la informació
Protecció de la informació

Sovint, quan s'estudia aquest tema, no es tenen en compte molts aspectes realment importants. Aquests inclouen el tractament directe de la informació i la gestió del risc de la informació. Al cap i a la fi, els riscos associats a les dades sorgeixen, per regla general, en l'etapa d'obtenció, ja que hi ha una alta probabilitat de percepció i processament incorrectes de la informació. Sovint, no es presta l'atenció deguda als riscos que provoquen errors en els algorismes de processament de dades, així com mal funcionament dels programes utilitzats per optimitzar la gestió.

Molts consideren els riscos associats al tractament de la informació, únicament des del vessant econòmic. Per a ells, això és principalment un risc associat a la implementació i l'ús incorrectes de la tecnologia de la informació. Això vol dir que la gestió del risc de la informació cobreix processos com la creació, transferència, emmagatzematge i ús d'informació, subjecte a l'ús de diversos mitjans i mitjans de comunicació.

Anàlisi iclassificació dels riscos informàtics

Quins són els riscos associats a rebre, processar i transmetre informació? En quina manera es diferencien? Hi ha diversos grups d'avaluació qualitativa i quantitativa dels riscos d'informació segons els criteris següents:

  • segons fonts internes i externes d'ocurrència;
  • intencionadament i sense voler;
  • directament o indirectament;
  • per tipus d'infracció de la informació: fiabilitat, rellevància, exhaustivitat, confidencialitat de les dades, etc.;
  • segons el mètode d'impacte, els riscos són els següents: força major i desastres naturals, errors d'especialistes, accidents, etc.
    • Protecció de dades
    Protecció de dades

L'anàlisi del risc de la informació és un procés d'avaluació global del nivell de protecció dels sistemes d'informació amb la determinació de la quantitat (recursos d'efectiu) i de la qualitat (risc baix, mitjà, alt) de diversos riscos. El procés d'anàlisi es pot dur a terme mitjançant diversos mètodes i eines per crear maneres de protegir la informació. A partir dels resultats d'aquesta anàlisi, és possible determinar els riscos més alts que poden suposar una amenaça immediata i un incentiu per a l'adopció immediata de mesures addicionals que contribueixin a la protecció dels recursos d'informació..

Metodologia per determinar els riscos informàtics

Actualment, no hi ha cap mètode generalment acceptat que determini de manera fiable els riscos específics de la tecnologia de la informació. Això es deu al fet que no hi ha prou dades estadístiques que proporcionin informació més específicariscos comuns. També té un paper important el fet que és difícil determinar a fons el valor d'un recurs d'informació particular, perquè un fabricant o propietari d'una empresa pot anomenar el cost dels mitjans d'informació amb absoluta precisió, però li costarà expressar el cost de la informació localitzada en ells. És per això que, de moment, la millor opció per determinar el cost dels riscos informàtics és una avaluació qualitativa, gràcies a la qual s'identifiquen amb precisió diversos factors de risc, així com les àrees de la seva influència i les conseqüències per a tota l'empresa.

Mètodes de seguretat de la informació
Mètodes de seguretat de la informació

El mètode CRAMM utilitzat al Regne Unit és la manera més potent d'identificar riscos quantitatius. Els objectius principals d'aquesta tècnica inclouen:

  • automatitzar el procés de gestió de riscos;
  • optimització dels costos de gestió d'efectiu;
  • productivitat dels sistemes de seguretat de l'empresa;
  • compromís amb la continuïtat del negoci.

Mètode d'anàlisi de riscos expert

Els experts tenen en compte els següents factors d'anàlisi de risc de seguretat de la informació:

1. Cost dels recursos. Aquest valor reflecteix el valor del recurs d'informació com a tal. Hi ha un sistema d'avaluació del risc qualitatiu en una escala on 1 és el mínim, 2 és el valor mitjà i 3 és el màxim. Si tenim en compte els recursos informàtics de l'entorn bancari, el seu servidor automatitzat tindrà un valor de 3 i un terminal d'informació independent: 1.

Sistema de seguretat de la informació
Sistema de seguretat de la informació

2. El grau de vulnerabilitat del recurs. Mostra la magnitud de l'amenaça i la probabilitat de danys a un recurs informàtic. Si parlem d'una organització bancària, el servidor del sistema bancari automatitzat serà el més accessible possible, de manera que els atacs de pirates informàtics són la major amenaça per a aquesta. També hi ha una escala de valoració de l'1 al 3, on 1 és un impacte menor, 2 és una alta probabilitat de recuperació del recurs, 3 és la necessitat de substituir completament el recurs després de neutralitzar el perill.

3. Avaluació de la possibilitat d'una amenaça. Determina la probabilitat d'una determinada amenaça per a un recurs d'informació durant un període de temps condicional (la majoria de vegades - durant un any) i, com els factors anteriors, es pot avaluar en una escala de l'1 al 3 (baix, mitjà, alt)..

Gestionar els riscos de seguretat de la informació a mesura que es produeixen

Hi ha les opcions següents per resoldre problemes amb riscos emergents:

  • acceptant el risc i assumint la responsabilitat de les seves pèrdues;
  • reduir el risc, és a dir, minimitzar les pèrdues associades a la seva aparició;
  • transmissió, és a dir, la imposició del cost d'indemnització per danys a l'entitat asseguradora, o la transformació mitjançant determinats mecanismes en un risc amb el menor nivell de perillositat.

A continuació, els riscos del suport informatiu es distribueixen per rang per identificar els principals. Per gestionar aquests riscos, cal reduir-los i, de vegades, transferir-los a la companyia d'assegurances. Possible transferència i reducció de riscos d' alt inivell mitjà en els mateixos termes, i els riscos de nivell inferior sovint s'accepten i no s'inclouen en anàlisis posteriors.

Protecció de dades
Protecció de dades

Val la pena tenir en compte que la classificació dels riscos en els sistemes d'informació es determina a partir del càlcul i la determinació del seu valor qualitatiu. És a dir, si l'interval de classificació de riscos es troba en el rang d'1 a 18, llavors el rang de riscos baixos és d'1 a 7, els riscos mitjans són de 8 a 13 i els alts són de 14 a 18. L'essència de l'empresa La gestió del risc de la informació consisteix a reduir els riscos mitjans i alts fins al valor més baix, de manera que la seva acceptació sigui el més òptima i possible.

Mètode de mitigació del risc de CORAS

El mètode CORAS forma part del programa Tecnologies de la Societat de la Informació. El seu significat rau en l'adaptació, concreció i combinació de mètodes efectius per dur a terme anàlisis d'exemples de riscos d'informació.

La metodologia CORAS utilitza els procediments d'anàlisi de riscos següents:

  • mesures per preparar la cerca i sistematització d'informació sobre l'objecte en qüestió;
  • provisió per part del client de dades objectives i correctes sobre l'objecte en qüestió;
  • descripció completa de la propera anàlisi, tenint en compte totes les etapes;
  • anàlisi dels documents enviats per a l'autenticitat i la correcció per a una anàlisi més objectiva;
  • realització d'activitats per identificar possibles riscos;
  • avaluació de totes les conseqüències de les amenaces informatives emergents;
  • destacant els riscos que pot assumir l'empresa i els riscos que això comportas'ha de reduir o redirigir tan aviat com sigui possible;
  • mesures per eliminar possibles amenaces.

És important tenir en compte que les mesures enumerades no requereixen esforços i recursos significatius per a la seva implementació i posterior implementació. La metodologia CORAS és bastant senzilla d'utilitzar i no requereix molta formació per començar a utilitzar-la. L'únic inconvenient d'aquest conjunt d'eines és la f alta de periodicitat en l'avaluació.

Mètode OCTAVE

El mètode d'avaluació de riscos OCTAVE implica un cert grau d'implicació del propietari de la informació en l'anàlisi. Cal saber que s'utilitza per avaluar ràpidament amenaces crítiques, identificar actius i identificar debilitats en el sistema de seguretat de la informació. OCTAVE preveu la creació d'un grup d'anàlisi competent, de seguretat, que inclou els empleats de l'empresa que utilitzen el sistema i els empleats del departament d'informació. OCTAVE consta de tres etapes:

Primer s'avalua l'organització, és a dir, el grup d'anàlisi determina els criteris per avaluar el dany, i posteriorment els riscos. S'identifiquen els recursos més importants de l'organització, s'avalua l'estat general del procés de manteniment de la seguretat informàtica a l'empresa. L'últim pas és identificar els requisits de seguretat i definir una llista de riscos

Com garantir la seguretat de la informació?
Com garantir la seguretat de la informació?
  • La segona etapa és una anàlisi exhaustiva de la infraestructura d'informació de l'empresa. Es posa èmfasi en la interacció ràpida i coordinada entre els empleats i els departaments responsables d'aixòinfraestructura.
  • En la tercera etapa es realitza el desenvolupament de tàctiques de seguretat, es crea un pla per reduir els possibles riscos i protegir els recursos d'informació. També s'avaluen els possibles danys i la probabilitat d'implantació d'amenaces, així com els criteris per a la seva avaluació.

Mètode matricial d'anàlisi de riscos

Aquest mètode d'anàlisi reuneix amenaces, vulnerabilitats, actius i controls de seguretat de la informació i determina la seva importància per als actius respectius de l'organització. Els actius d'una organització són objectes tangibles i intangibles que són significatius en termes d'utilitat. És important saber que el mètode de la matriu consta de tres parts: una matriu d'amenaces, una matriu de vulnerabilitats i una matriu de control. Els resultats de les tres parts d'aquesta metodologia s'utilitzen per a l'anàlisi de riscos.

Val la pena tenir en compte la relació de totes les matrius durant l'anàlisi. Així, per exemple, una matriu de vulnerabilitats és un enllaç entre actius i vulnerabilitats existents, una matriu d'amenaces és una col·lecció de vulnerabilitats i amenaces, i una matriu de control enllaça conceptes com amenaces i controls. Cada cel·la de la matriu reflecteix la proporció de l'element columna i fila. S'utilitzen sistemes de qualificació alta, mitjana i baixa.

Per crear una taula, heu de crear llistes d'amenaces, vulnerabilitats, controls i actius. S'afegeixen dades sobre la interacció del contingut de la columna de la matriu amb el contingut de la fila. Més tard, les dades de la matriu de vulnerabilitats es transfereixen a la matriu d'amenaces i després, segons el mateix principi, la informació de la matriu d'amenaces es transfereix a la matriu de control.

Conclusió

El paper de les dadesva augmentar significativament amb la transició de diversos països a una economia de mercat. Sense la recepció oportuna de la informació necessària, el funcionament normal de l'empresa és simplement impossible.

Juntament amb el desenvolupament de les tecnologies de la informació, han sorgit els anomenats riscos de la informació que suposen una amenaça per a les activitats de les empreses. És per això que cal identificar-los, analitzar-los i avaluar-los per a una posterior reducció, transferència o eliminació. La formació i implementació d'una política de seguretat serà ineficaç si les normes existents no s'utilitzen correctament per incompetència o desconeixement dels empleats. És important desenvolupar un complex per al compliment de la seguretat de la informació.

La gestió del risc és una etapa subjectiva, complexa, però alhora important en l'activitat de l'empresa. El màxim èmfasi en la seguretat de les seves dades l'hauria de posar una empresa que treballi amb grans quantitats d'informació o sigui propietari de dades confidencials.

Hi ha una gran quantitat de mètodes efectius per calcular i analitzar els riscos relacionats amb la informació que permeten informar ràpidament a l'empresa i complir amb les normes de competitivitat del mercat, així com mantenir la seguretat i la continuïtat del negoci..

Recomanat:

Risc a l'economia: què és? El concepte, tipus i avaluació de riscos en l'economia

Risc a l'economia: què és? El concepte, tipus i avaluació de riscos en l'economia

Aquest article destaca el concepte de riscos en els sistemes econòmics moderns. Es presenten els principals tipus de riscos existents i la seva classificació. Es tracten amb detall els problemes de l'avaluació de riscos i els possibles mètodes populars en aquesta àrea

Riscos estratègics: tipus, anàlisi i avaluació

Riscos estratègics: tipus, anàlisi i avaluació

Les decisions de gestió incorrectes, així com la implementació inadequada de les decisions correctes i la resposta inadequada als canvis constants de l'entorn empresarial, generen situacions en les quals augmenten els riscos estratègics, quan es troben en risc els fluxos financers i de capital

Anàlisi i avaluació de dades. Mètodes d'avaluació de dades

Anàlisi i avaluació de dades. Mètodes d'avaluació de dades

Com sabeu, el segle XXI s'anomena el segle de les tecnologies de la informació. De fet, l'home modern opera amb diferents mètodes d'obtenció i tractament de la informació. L'anàlisi ocupa un lloc especial en el procés d'ús de la informació

Processos d'informació en vida salvatge. El concepte de procés d'informació

Processos d'informació en vida salvatge. El concepte de procés d'informació

Els processos d'informació en la vida salvatge són molt més comuns del que podria semblar a primera vista

Riscos de producció: què és? Definició, classificació i anàlisi de riscos de producció

Riscos de producció: què és? Definició, classificació i anàlisi de riscos de producció

Totes les empreses estan en risc. La producció es veu afectada per factors tant interns com externs que poden afectar negativament el rendiment de l'empresa. La tasca dels directius és identificar situacions perilloses i reduir la probabilitat que es produeixin. Els riscos de producció són diverses circumstàncies imprevistes o desfavorables previstes. Què són, com es duu a terme l'anàlisi i la gestió, es parlarà a l'article

Articles més populars

Popular per al mes

Consell expert