A la nostra era, la informació ocupa una de les posicions clau en tots els àmbits de la vida humana. Això es deu a la transició gradual de la societat de l'era industrial a la postindustrial. Com a conseqüència de l'ús, possessió i transferència d'informació diversa, poden sorgir riscos d'informació que poden afectar tota l'esfera de l'economia.
Quines indústries creixen més ràpidament?
El creixement dels fluxos d'informació es fa cada any més notable, ja que l'expansió de la innovació tècnica fa que la ràpida transferència d'informació relacionada amb l'adaptació de les noves tecnologies sigui una necessitat urgent. En el nostre temps, indústries com la indústria, el comerç, l'educació i les finances es desenvolupen a l'instant. És durant la transferència de dades que hi sorgeixen riscos d'informació.
La informació s'està convertint en un dels tipus de productes més valuosos, el cost total del qual aviat superarà el preu de tots els productes de producció. Això passarà perquè perPer tal d'assegurar la creació d'estalvi de recursos de tots els béns i serveis materials, és necessari proporcionar una manera fonamentalment nova de transmetre la informació que exclogui la possibilitat de riscos d'informació.
Definició
En els nostres temps no hi ha una definició inequívoca de risc d'informació. Molts experts interpreten aquest terme com un esdeveniment que té un impacte directe en diverses informacions. Això pot ser una violació de la confidencialitat, una distorsió i fins i tot una supressió. Per a molts, la zona de risc es limita als sistemes informàtics, que són el focus principal.
Sovint, quan s'estudia aquest tema, no es tenen en compte molts aspectes realment importants. Aquests inclouen el tractament directe de la informació i la gestió del risc de la informació. Al cap i a la fi, els riscos associats a les dades sorgeixen, per regla general, en l'etapa d'obtenció, ja que hi ha una alta probabilitat de percepció i processament incorrectes de la informació. Sovint, no es presta l'atenció deguda als riscos que provoquen errors en els algorismes de processament de dades, així com mal funcionament dels programes utilitzats per optimitzar la gestió.
Molts consideren els riscos associats al tractament de la informació, únicament des del vessant econòmic. Per a ells, això és principalment un risc associat a la implementació i l'ús incorrectes de la tecnologia de la informació. Això vol dir que la gestió del risc de la informació cobreix processos com la creació, transferència, emmagatzematge i ús d'informació, subjecte a l'ús de diversos mitjans i mitjans de comunicació.
Anàlisi iclassificació dels riscos informàtics
Quins són els riscos associats a rebre, processar i transmetre informació? En quina manera es diferencien? Hi ha diversos grups d'avaluació qualitativa i quantitativa dels riscos d'informació segons els criteris següents:
- segons fonts internes i externes d'ocurrència;
- intencionadament i sense voler;
- directament o indirectament;
- per tipus d'infracció de la informació: fiabilitat, rellevància, exhaustivitat, confidencialitat de les dades, etc.;
- segons el mètode d'impacte, els riscos són els següents: força major i desastres naturals, errors d'especialistes, accidents, etc.
L'anàlisi del risc de la informació és un procés d'avaluació global del nivell de protecció dels sistemes d'informació amb la determinació de la quantitat (recursos d'efectiu) i de la qualitat (risc baix, mitjà, alt) de diversos riscos. El procés d'anàlisi es pot dur a terme mitjançant diversos mètodes i eines per crear maneres de protegir la informació. A partir dels resultats d'aquesta anàlisi, és possible determinar els riscos més alts que poden suposar una amenaça immediata i un incentiu per a l'adopció immediata de mesures addicionals que contribueixin a la protecció dels recursos d'informació..
Metodologia per determinar els riscos informàtics
Actualment, no hi ha cap mètode generalment acceptat que determini de manera fiable els riscos específics de la tecnologia de la informació. Això es deu al fet que no hi ha prou dades estadístiques que proporcionin informació més específicariscos comuns. També té un paper important el fet que és difícil determinar a fons el valor d'un recurs d'informació particular, perquè un fabricant o propietari d'una empresa pot anomenar el cost dels mitjans d'informació amb absoluta precisió, però li costarà expressar el cost de la informació localitzada en ells. És per això que, de moment, la millor opció per determinar el cost dels riscos informàtics és una avaluació qualitativa, gràcies a la qual s'identifiquen amb precisió diversos factors de risc, així com les àrees de la seva influència i les conseqüències per a tota l'empresa.
El mètode CRAMM utilitzat al Regne Unit és la manera més potent d'identificar riscos quantitatius. Els objectius principals d'aquesta tècnica inclouen:
- automatitzar el procés de gestió de riscos;
- optimització dels costos de gestió d'efectiu;
- productivitat dels sistemes de seguretat de l'empresa;
- compromís amb la continuïtat del negoci.
Mètode d'anàlisi de riscos expert
Els experts tenen en compte els següents factors d'anàlisi de risc de seguretat de la informació:
1. Cost dels recursos. Aquest valor reflecteix el valor del recurs d'informació com a tal. Hi ha un sistema d'avaluació del risc qualitatiu en una escala on 1 és el mínim, 2 és el valor mitjà i 3 és el màxim. Si tenim en compte els recursos informàtics de l'entorn bancari, el seu servidor automatitzat tindrà un valor de 3 i un terminal d'informació independent: 1.
2. El grau de vulnerabilitat del recurs. Mostra la magnitud de l'amenaça i la probabilitat de danys a un recurs informàtic. Si parlem d'una organització bancària, el servidor del sistema bancari automatitzat serà el més accessible possible, de manera que els atacs de pirates informàtics són la major amenaça per a aquesta. També hi ha una escala de valoració de l'1 al 3, on 1 és un impacte menor, 2 és una alta probabilitat de recuperació del recurs, 3 és la necessitat de substituir completament el recurs després de neutralitzar el perill.
3. Avaluació de la possibilitat d'una amenaça. Determina la probabilitat d'una determinada amenaça per a un recurs d'informació durant un període de temps condicional (la majoria de vegades - durant un any) i, com els factors anteriors, es pot avaluar en una escala de l'1 al 3 (baix, mitjà, alt)..
Gestionar els riscos de seguretat de la informació a mesura que es produeixen
Hi ha les opcions següents per resoldre problemes amb riscos emergents:
- acceptant el risc i assumint la responsabilitat de les seves pèrdues;
- reduir el risc, és a dir, minimitzar les pèrdues associades a la seva aparició;
- transmissió, és a dir, la imposició del cost d'indemnització per danys a l'entitat asseguradora, o la transformació mitjançant determinats mecanismes en un risc amb el menor nivell de perillositat.
A continuació, els riscos del suport informatiu es distribueixen per rang per identificar els principals. Per gestionar aquests riscos, cal reduir-los i, de vegades, transferir-los a la companyia d'assegurances. Possible transferència i reducció de riscos d' alt inivell mitjà en els mateixos termes, i els riscos de nivell inferior sovint s'accepten i no s'inclouen en anàlisis posteriors.
Val la pena tenir en compte que la classificació dels riscos en els sistemes d'informació es determina a partir del càlcul i la determinació del seu valor qualitatiu. És a dir, si l'interval de classificació de riscos es troba en el rang d'1 a 18, llavors el rang de riscos baixos és d'1 a 7, els riscos mitjans són de 8 a 13 i els alts són de 14 a 18. L'essència de l'empresa La gestió del risc de la informació consisteix a reduir els riscos mitjans i alts fins al valor més baix, de manera que la seva acceptació sigui el més òptima i possible.
Mètode de mitigació del risc de CORAS
El mètode CORAS forma part del programa Tecnologies de la Societat de la Informació. El seu significat rau en l'adaptació, concreció i combinació de mètodes efectius per dur a terme anàlisis d'exemples de riscos d'informació.
La metodologia CORAS utilitza els procediments d'anàlisi de riscos següents:
- mesures per preparar la cerca i sistematització d'informació sobre l'objecte en qüestió;
- provisió per part del client de dades objectives i correctes sobre l'objecte en qüestió;
- descripció completa de la propera anàlisi, tenint en compte totes les etapes;
- anàlisi dels documents enviats per a l'autenticitat i la correcció per a una anàlisi més objectiva;
- realització d'activitats per identificar possibles riscos;
- avaluació de totes les conseqüències de les amenaces informatives emergents;
- destacant els riscos que pot assumir l'empresa i els riscos que això comportas'ha de reduir o redirigir tan aviat com sigui possible;
- mesures per eliminar possibles amenaces.
És important tenir en compte que les mesures enumerades no requereixen esforços i recursos significatius per a la seva implementació i posterior implementació. La metodologia CORAS és bastant senzilla d'utilitzar i no requereix molta formació per començar a utilitzar-la. L'únic inconvenient d'aquest conjunt d'eines és la f alta de periodicitat en l'avaluació.
Mètode OCTAVE
El mètode d'avaluació de riscos OCTAVE implica un cert grau d'implicació del propietari de la informació en l'anàlisi. Cal saber que s'utilitza per avaluar ràpidament amenaces crítiques, identificar actius i identificar debilitats en el sistema de seguretat de la informació. OCTAVE preveu la creació d'un grup d'anàlisi competent, de seguretat, que inclou els empleats de l'empresa que utilitzen el sistema i els empleats del departament d'informació. OCTAVE consta de tres etapes:
Primer s'avalua l'organització, és a dir, el grup d'anàlisi determina els criteris per avaluar el dany, i posteriorment els riscos. S'identifiquen els recursos més importants de l'organització, s'avalua l'estat general del procés de manteniment de la seguretat informàtica a l'empresa. L'últim pas és identificar els requisits de seguretat i definir una llista de riscos
- La segona etapa és una anàlisi exhaustiva de la infraestructura d'informació de l'empresa. Es posa èmfasi en la interacció ràpida i coordinada entre els empleats i els departaments responsables d'aixòinfraestructura.
- En la tercera etapa es realitza el desenvolupament de tàctiques de seguretat, es crea un pla per reduir els possibles riscos i protegir els recursos d'informació. També s'avaluen els possibles danys i la probabilitat d'implantació d'amenaces, així com els criteris per a la seva avaluació.
Mètode matricial d'anàlisi de riscos
Aquest mètode d'anàlisi reuneix amenaces, vulnerabilitats, actius i controls de seguretat de la informació i determina la seva importància per als actius respectius de l'organització. Els actius d'una organització són objectes tangibles i intangibles que són significatius en termes d'utilitat. És important saber que el mètode de la matriu consta de tres parts: una matriu d'amenaces, una matriu de vulnerabilitats i una matriu de control. Els resultats de les tres parts d'aquesta metodologia s'utilitzen per a l'anàlisi de riscos.
Val la pena tenir en compte la relació de totes les matrius durant l'anàlisi. Així, per exemple, una matriu de vulnerabilitats és un enllaç entre actius i vulnerabilitats existents, una matriu d'amenaces és una col·lecció de vulnerabilitats i amenaces, i una matriu de control enllaça conceptes com amenaces i controls. Cada cel·la de la matriu reflecteix la proporció de l'element columna i fila. S'utilitzen sistemes de qualificació alta, mitjana i baixa.
Per crear una taula, heu de crear llistes d'amenaces, vulnerabilitats, controls i actius. S'afegeixen dades sobre la interacció del contingut de la columna de la matriu amb el contingut de la fila. Més tard, les dades de la matriu de vulnerabilitats es transfereixen a la matriu d'amenaces i després, segons el mateix principi, la informació de la matriu d'amenaces es transfereix a la matriu de control.
Conclusió
El paper de les dadesva augmentar significativament amb la transició de diversos països a una economia de mercat. Sense la recepció oportuna de la informació necessària, el funcionament normal de l'empresa és simplement impossible.
Juntament amb el desenvolupament de les tecnologies de la informació, han sorgit els anomenats riscos de la informació que suposen una amenaça per a les activitats de les empreses. És per això que cal identificar-los, analitzar-los i avaluar-los per a una posterior reducció, transferència o eliminació. La formació i implementació d'una política de seguretat serà ineficaç si les normes existents no s'utilitzen correctament per incompetència o desconeixement dels empleats. És important desenvolupar un complex per al compliment de la seguretat de la informació.
La gestió del risc és una etapa subjectiva, complexa, però alhora important en l'activitat de l'empresa. El màxim èmfasi en la seguretat de les seves dades l'hauria de posar una empresa que treballi amb grans quantitats d'informació o sigui propietari de dades confidencials.
Hi ha una gran quantitat de mètodes efectius per calcular i analitzar els riscos relacionats amb la informació que permeten informar ràpidament a l'empresa i complir amb les normes de competitivitat del mercat, així com mantenir la seguretat i la continuïtat del negoci..