Në epokën tonë, informacioni zë një nga pozicionet kryesore në të gjitha sferat e jetës njerëzore. Kjo është për shkak të kalimit gradual të shoqërisë nga epoka industriale në atë post-industriale. Si rezultat i përdorimit, posedimit dhe transferimit të informacioneve të ndryshme, mund të lindin rreziqe informacioni që mund të ndikojnë në të gjithë sferën e ekonomisë.
Cilat industri po rriten më shpejt?
Rritja e flukseve të informacionit po bëhet gjithnjë e më e dukshme çdo vit, pasi zgjerimi i inovacionit teknik e bën një nevojë urgjente transferimin e shpejtë të informacionit në lidhje me përshtatjen e teknologjive të reja. Në kohën tonë, industri të tilla si industria, tregtia, arsimi dhe financat po zhvillohen menjëherë. Është gjatë transferimit të të dhënave që lindin rreziqe informacioni në to.
Informacioni po bëhet një nga llojet më të vlefshme të produkteve, kostoja totale e të cilit shumë shpejt do të kalojë çmimin e të gjitha produkteve të prodhimit. Kjo do të ndodhë sepse përPër të siguruar krijimin e kursimit të burimeve të të gjitha të mirave dhe shërbimeve materiale, është e nevojshme të sigurohet një mënyrë thelbësisht e re e transmetimit të informacionit që përjashton mundësinë e rreziqeve të informacionit.
Përkufizim
Në kohën tonë nuk ka një përkufizim të qartë të rrezikut të informacionit. Shumë ekspertë e interpretojnë këtë term si një ngjarje që ka një ndikim të drejtpërdrejtë në informacione të ndryshme. Kjo mund të jetë një shkelje e konfidencialitetit, shtrembërim dhe madje edhe fshirje. Për shumë, zona e rrezikut është e kufizuar në sistemet kompjuterike, të cilat janë fokusi kryesor.
Shpesh, kur studiohet kjo temë, nuk merren parasysh shumë aspekte vërtet të rëndësishme. Këto përfshijnë përpunimin e drejtpërdrejtë të informacionit dhe menaxhimin e rrezikut të informacionit. Në fund të fundit, rreziqet që lidhen me të dhënat lindin, si rregull, në fazën e marrjes, pasi ekziston një probabilitet i lartë i perceptimit dhe përpunimit të gabuar të informacionit. Shpesh, vëmendja e duhur nuk i kushtohet rreziqeve që shkaktojnë dështime në algoritmet e përpunimit të të dhënave, si dhe keqfunksionimeve në programet e përdorura për të optimizuar menaxhimin.
Shumë konsiderojnë rreziqet që lidhen me përpunimin e informacionit, vetëm nga ana ekonomike. Për ta, ky është kryesisht një rrezik që lidhet me zbatimin dhe përdorimin e gabuar të teknologjisë së informacionit. Kjo do të thotë se menaxhimi i rrezikut të informacionit mbulon procese të tilla si krijimi, transferimi, ruajtja dhe përdorimi i informacionit, duke iu nënshtruar përdorimit të mediave dhe mjeteve të ndryshme të komunikimit.
Analiza dheklasifikimi i rreziqeve të IT
Cilat janë rreziqet që lidhen me marrjen, përpunimin dhe transmetimin e informacionit? Në çfarë mënyre ndryshojnë ato? Ekzistojnë disa grupe të vlerësimit cilësor dhe sasior të rreziqeve të informacionit sipas kritereve të mëposhtme:
- sipas burimeve të brendshme dhe të jashtme të shfaqjes;
- me dashje dhe pa dashje;
- direkt ose indirekt;
- sipas llojit të shkeljes së informacionit: besueshmëria, rëndësia, plotësia, konfidencialiteti i të dhënave, etj.;
- sipas metodës së ndikimit, rreziqet janë si më poshtë: forca madhore dhe fatkeqësitë natyrore, gabimet e specialistëve, aksidentet, etj.
Analiza e rrezikut të informacionit është një proces i vlerësimit global të nivelit të mbrojtjes së sistemeve të informacionit me përcaktimin e sasisë (burimet e parave të gatshme) dhe cilësisë (rrezik të ulët, të mesëm, të lartë) të rreziqeve të ndryshme. Procesi i analizës mund të kryhet duke përdorur metoda dhe mjete të ndryshme për krijimin e mënyrave për mbrojtjen e informacionit. Bazuar në rezultatet e një analize të tillë, është e mundur të përcaktohen rreziqet më të larta që mund të jenë një kërcënim i menjëhershëm dhe një nxitje për miratimin e menjëhershëm të masave shtesë që kontribuojnë në mbrojtjen e burimeve të informacionit.
Metodologjia për përcaktimin e rreziqeve të TI
Aktualisht, nuk ka asnjë metodë të pranuar përgjithësisht që përcakton në mënyrë të besueshme rreziqet specifike të teknologjisë së informacionit. Kjo për faktin se nuk ka të dhëna të mjaftueshme statistikore që do të ofronin informacion më specifik rrethrreziqet e përbashkëta. Një rol të rëndësishëm luan edhe fakti se është e vështirë të përcaktohet plotësisht vlera e një burimi të caktuar informacioni, sepse një prodhues ose pronar i një ndërmarrje mund të emërojë koston e medias së informacionit me saktësi absolute, por ai do ta ketë të vështirë të shprehni koston e informacionit të vendosur në to. Kjo është arsyeja pse, për momentin, opsioni më i mirë për përcaktimin e kostos së rreziqeve të TI-së është një vlerësim cilësor, falë të cilit identifikohen me saktësi faktorë të ndryshëm rreziku, si dhe zonat e ndikimit të tyre dhe pasojat për të gjithë ndërmarrjen.
Metoda CRAMM e përdorur në MB është mënyra më e fuqishme për të identifikuar rreziqet sasiore. Qëllimet kryesore të kësaj teknike përfshijnë:
- automatizoni procesin e menaxhimit të rrezikut;
- optimizimi i kostove të menaxhimit të parave të gatshme;
- produktiviteti i sistemeve të sigurisë së kompanisë;
- angazhim për vazhdimësinë e biznesit.
Metodë e analizës së rrezikut të ekspertëve
Ekspertët marrin parasysh faktorët e mëposhtëm të analizës së rrezikut të sigurisë së informacionit:
1. Kostoja e burimit. Kjo vlerë pasqyron vlerën e burimit të informacionit si i tillë. Ekziston një sistem vlerësimi i rrezikut cilësor në një shkallë ku 1 është minimumi, 2 është vlera mesatare dhe 3 është maksimumi. Nëse marrim parasysh burimet IT të mjedisit bankar, atëherë serveri i tij i automatizuar do të ketë një vlerë prej 3, dhe një terminal informacioni të veçantë - 1.
2. Shkalla e cenueshmërisë së burimit. Ai tregon madhësinë e kërcënimit dhe probabilitetin e dëmtimit të një burimi IT. Nëse flasim për një organizatë bankare, serveri i sistemit të automatizuar bankar do të jetë sa më i aksesueshëm, ndaj sulmet e hakerëve janë kërcënimi më i madh për të. Ekziston gjithashtu një shkallë vlerësimi nga 1 në 3, ku 1 është një ndikim i vogël, 2 është një probabilitet i lartë i rikuperimit të burimit, 3 është nevoja për një zëvendësim të plotë të burimit pasi të jetë neutralizuar rreziku.
3. Vlerësimi i mundësisë së një kërcënimi. Ai përcakton mundësinë e një kërcënimi të caktuar për një burim informacioni për një periudhë kohore të kushtëzuar (më shpesh - për një vit) dhe, si faktorët e mëparshëm, mund të vlerësohet në një shkallë nga 1 në 3 (i ulët, i mesëm, i lartë)..
Menaxhimi i rreziqeve të sigurisë së informacionit kur ato ndodhin
Ekzistojnë opsionet e mëposhtme për zgjidhjen e problemeve me rreziqet në zhvillim:
- pranimi i rrezikut dhe marrja e përgjegjësisë për humbjet e tyre;
- reduktimi i rrezikut, pra minimizimi i humbjeve që lidhen me shfaqjen e tij;
- transferim, pra vendosja e kostos së kompensimit të dëmit ndaj shoqërisë së sigurimit, ose shndërrimi nëpërmjet mekanizmave të caktuar në një rrezik me nivelin më të ulët të rrezikut.
Më pas, rreziqet e mbështetjes së informacionit shpërndahen sipas renditjes për të identifikuar ato parësore. Për të menaxhuar rreziqe të tilla, është e nevojshme t'i zvogëloni ato, dhe ndonjëherë - t'i transferoni ato në kompaninë e sigurimeve. Transferimi i mundshëm dhe reduktimi i rreziqeve të larta dhetë nivelit të mesëm me të njëjtat kushte dhe rreziqet e nivelit më të ulët shpesh pranohen dhe nuk përfshihen në analiza të mëtejshme.
Vlen të merret në konsideratë fakti se renditja e rreziqeve në sistemet e informacionit përcaktohet në bazë të llogaritjes dhe përcaktimit të vlerës së tyre cilësore. Kjo do të thotë, nëse intervali i renditjes së rrezikut është në intervalin nga 1 në 18, atëherë diapazoni i rreziqeve të ulëta është nga 1 në 7, rreziqet e mesme janë nga 8 në 13, dhe rreziqet e larta janë nga 14 në 18. Thelbi i ndërmarrjes Menaxhimi i rrezikut të informacionit është të reduktojë rreziqet mesatare dhe të larta deri në vlerën më të ulët, në mënyrë që pranimi i tyre të jetë sa më optimal dhe i mundur.
Metoda e zbutjes së rrezikut CORAS
Metoda CORAS është pjesë e programit të Teknologjive të Shoqërisë së Informacionit. Kuptimi i tij qëndron në përshtatjen, konkretizimin dhe kombinimin e metodave efektive për kryerjen e analizave mbi shembuj të rreziqeve të informacionit.
Metodologjia CORAS përdor procedurat e mëposhtme të analizës së rrezikut:
- masa për përgatitjen e kërkimit dhe sistematizimit të informacionit rreth objektit në fjalë;
- sigurimi nga klienti i të dhënave objektive dhe të sakta për objektin në fjalë;
- përshkrim i plotë i analizës së ardhshme, duke marrë parasysh të gjitha fazat;
- analizë e dokumenteve të dorëzuara për autenticitetin dhe korrektësinë për një analizë më objektive;
- kryerja e aktiviteteve për të identifikuar rreziqet e mundshme;
- vlerësimi i të gjitha pasojave të kërcënimeve të informacionit në zhvillim;
- duke theksuar rreziqet që kompania mund të marrë dhe rreziqet që mund të marrëduhet të reduktohet ose të ridrejtohet sa më shpejt të jetë e mundur;
- masa për të eliminuar kërcënimet e mundshme.
Është e rëndësishme të theksohet se masat e listuara nuk kërkojnë përpjekje dhe burime të konsiderueshme për zbatimin dhe zbatimin e mëvonshëm. Metodologjia CORAS është mjaft e thjeshtë për t'u përdorur dhe nuk kërkon shumë trajnim për të filluar përdorimin e saj. E vetmja pengesë e kësaj pakete mjetesh është mungesa e periodicitetit në vlerësim.
Metoda OCTAVE
Metoda e vlerësimit të rrezikut OCTAVE nënkupton një shkallë të caktuar të përfshirjes së zotëruesit të informacionit në analizë. Duhet të dini se përdoret për të vlerësuar shpejt kërcënimet kritike, për të identifikuar asetet dhe për të identifikuar dobësitë në sistemin e sigurisë së informacionit. OCTAVE parashikon krijimin e një grupi kompetent analizash, sigurie, i cili përfshin punonjësit e kompanisë që përdorin sistemin dhe punonjësit e departamentit të informacionit. OCTAVE përbëhet nga tre faza:
Së pari vlerësohet organizata, pra grupi i analizës përcakton kriteret për vlerësimin e dëmit dhe më pas rreziqet. Identifikohen burimet më të rëndësishme të organizatës, vlerësohet gjendja e përgjithshme e procesit të ruajtjes së sigurisë së IT në kompani. Hapi i fundit është identifikimi i kërkesave të sigurisë dhe përcaktimi i një liste rreziqesh
- Faza e dytë është një analizë gjithëpërfshirëse e infrastrukturës së informacionit të kompanisë. Theksi vihet në ndërveprimin e shpejtë dhe të koordinuar ndërmjet punonjësve dhe departamenteve përgjegjëse për këtëinfrastrukturë.
- Në fazën e tretë, zhvillohet zhvillimi i taktikave të sigurisë, krijohet një plan për të zvogëluar rreziqet e mundshme dhe për të mbrojtur burimet e informacionit. Gjithashtu vlerësohen dëmet e mundshme dhe probabiliteti i zbatimit të kërcënimeve, si dhe kriteret e vlerësimit të tyre.
Metoda matricore e analizës së rrezikut
Kjo metodë analize bashkon kërcënimet, dobësitë, asetet dhe kontrollet e sigurisë së informacionit dhe përcakton rëndësinë e tyre për asetet përkatëse të organizatës. Asetet e një organizate janë objekte të prekshme dhe të paprekshme që janë të rëndësishme për sa i përket dobisë. Është e rëndësishme të dini se metoda e matricës përbëhet nga tre pjesë: një matricë kërcënimi, një matricë cenueshmërie dhe një matricë kontrolli. Rezultatet e të tre pjesëve të kësaj metodologjie përdoren për analizën e rrezikut.
Ia vlen të merret parasysh marrëdhënia e të gjitha matricave gjatë analizës. Kështu, për shembull, një matricë cenueshmërie është një lidhje midis aktiveve dhe dobësive ekzistuese, një matricë kërcënimi është një koleksion dobësish dhe kërcënimesh, dhe një matricë kontrolli lidh koncepte të tilla si kërcënimet dhe kontrollet. Çdo qelizë e matricës pasqyron raportin e elementit të kolonës dhe rreshtit. Përdoren sisteme të notimit të lartë, të mesëm dhe të ulët.
Për të krijuar një tabelë, duhet të krijoni lista kërcënimesh, dobësish, kontrollesh dhe asetesh. Shtohen të dhëna për ndërveprimin e përmbajtjes së kolonës së matricës me përmbajtjen e rreshtit. Më vonë, të dhënat e matricës së cenueshmërisë transferohen në matricën e kërcënimit dhe më pas, sipas të njëjtit parim, informacioni nga matrica e kërcënimit transferohet në matricën e kontrollit.
Përfundim
Roli i të dhënaveu rrit ndjeshëm me kalimin e një numri vendesh në një ekonomi tregu. Pa marrjen në kohë të informacionit të nevojshëm, funksionimi normal i kompanisë është thjesht i pamundur.
Së bashku me zhvillimin e teknologjisë së informacionit, janë shfaqur të ashtuquajturat rreziqe informacioni që paraqesin kërcënim për aktivitetet e kompanive. Kjo është arsyeja pse ato duhet të identifikohen, analizohen dhe vlerësohen për reduktim, transferim ose asgjësim të mëtejshëm. Formimi dhe zbatimi i një politike sigurie do të jetë joefektiv nëse rregullat ekzistuese nuk përdoren siç duhet për shkak të paaftësisë ose mungesës së ndërgjegjësimit të punonjësve. Është e rëndësishme të zhvillohet një kompleks për përputhjen me sigurinë e informacionit.
Menaxhimi i rrezikut është një fazë subjektive, komplekse, por në të njëjtën kohë një fazë e rëndësishme në aktivitetet e kompanisë. Theksi më i madh në sigurinë e të dhënave të tyre duhet të bëhet nga një kompani që punon me sasi të mëdha informacioni ose zotëron të dhëna konfidenciale.
Ka shumë metoda efektive për llogaritjen dhe analizimin e rreziqeve të lidhura me informacionin që ju lejojnë të informoni shpejt kompaninë dhe ta lejoni atë të respektojë rregullat e konkurrencës në treg, si dhe të ruani sigurinë dhe vazhdimësinë e biznesit.