Actualment, els riscos per a la seguretat de la informació representen una gran amenaça per a les activitats normals de moltes empreses i institucions. En la nostra era de la tecnologia de la informació, l'obtenció de dades no és pràcticament difícil. D’una banda, això, per descomptat, aporta molts aspectes positius, però es converteix en un problema per a la cara i la marca de moltes empreses.
La protecció de la informació a les empreses està esdevenint gairebé una prioritat. Els experts creuen que només aconseguint aquest objectiu desenvolupant una determinada seqüència conscient d’accions. En aquest cas, només es pot guiar per fets fiables i utilitzar mètodes analítics avançats. El desenvolupament de la intuïció i l'experiència de l'especialista responsable d'aquesta unitat a l'empresa aporta una certa contribució.
Aquest material explicarà sobre la gestió del risc de la seguretat de la informació d'una entitat econòmica.
Quins tipus de possibles amenaces existeixen en l'entorn d'informació?
Hi pot haver molts tipus d’amenaces. Es comença a analitzar els riscos de seguretat de la informació d'una empresa tenint en compte totes les possibles amenaces possibles. Això és necessari per determinar els mètodes de verificació en cas que es produeixin aquestes situacions imprevistes, així com per crear un sistema de protecció adequat. Els riscos de seguretat de la informació es divideixen en determinades categories en funció de diverses característiques de classificació. Són dels següents tipus:
- fonts físiques;
- ús inadequat de la xarxa d’ordinadors i del World Wide Web;
- fuites segellades;
- fuites per mitjans tècnics;
- intrusió no autoritzada;
- atac a actius d'informació;
- violació de la integritat de la modificació de dades;
- situacions d’emergència;
- infraccions legals.
Què s’inclou en el concepte de “amenaces físiques a la seguretat de la informació”?
Els tipus de riscos per a la seguretat de la informació es determinen en funció de les fonts d’ocurrència, del mètode d’implementació de la intrusió il·legal i de la finalitat. Els més senzills tècnicament, però que requereixen encara un rendiment professional, són amenaces físiques. Constitueixen accés no autoritzat a fonts segellades. És a dir, aquest procés és en realitat un robatori ordinari. La informació es pot obtenir personalment, amb les pròpies mans, simplement envaint la institució, les oficines, els arxius per accedir a equips tècnics, documentació i altres suports d’emmagatzematge.
El robatori pot ni tan sols estar en les dades en si, sinó en el lloc del seu emmagatzematge, és a dir, directament al propi equip informàtic. Per tal de pertorbar les activitats normals de l’organització, els atacants poden simplement assegurar un mal funcionament del material d’emmagatzematge o dels equips tècnics.
L’objectiu d’una intrusió física també pot ser accedir a un sistema del qual depèn la seguretat de la informació. Un atacant podria modificar les opcions d’una xarxa responsable de la seguretat de la informació per tal de facilitar encara més la implementació de mètodes il·legals.
Els membres de diversos grups també poden proporcionar la possibilitat d'una amenaça física que tinguin accés a informació classificada que no tingui publicitat. El seu objectiu és la documentació valuosa.Aquests individus s'anomenen persones privilegiades.
L’activitat dels atacants externs es pot dirigir al mateix objecte.
Com poden els propis empleats empresarials provocar amenaces?
Sovint es produeixen riscos de seguretat de la informació a causa d'un ús indegut per part dels empleats d'Internet i del sistema informàtic intern. Els atacants juguen molt bé la inexperiència, el descuidi i la falta d’educació d’algunes persones en matèria de seguretat de la informació. Per tal d’excloure aquesta opció de robar dades confidencials, el lideratge de moltes organitzacions té una política especial entre el seu personal. El seu propòsit és educar les persones sobre les regles de comportament i ús de les xarxes. Aquesta és una pràctica força habitual, ja que les amenaces que es produeixen d'aquesta manera són força habituals. El programa inclou els següents punts del programa per adquirir habilitats en seguretat de la informació:
- superar l’ús ineficient d’eines d’auditoria;
- reduir el grau en què les persones utilitzen eines especials per al tractament de dades;
- reducció d’ús de recursos i actius;
- acostumat a accedir a les instal·lacions de la xarxa només mitjançant mètodes establerts;
- assignació de zones d’influència i designació del territori de responsabilitat.
Quan cada empleat entén que el destí de la institució depèn de l'execució responsable de les tasques que li siguin assignades, intenta complir totes les normes. Davant les persones cal establir tasques específiques i justificar els resultats obtinguts.
Com es violen els termes de privadesa?
Els riscos i les amenaces per a la seguretat de la informació estan en gran mesura associats a la recepció il·legal d'informació que no hauria de ser accessible per a persones no autoritzades. El primer i més comú canal de filtració és tot tipus de mètodes de comunicació. En un moment en què, segons sembla, la correspondència personal només està disponible per a dues parts, les parts interessades ho intercepten. Tot i que les persones intel·ligents entenen que transmetre alguna cosa extremadament important i secreta és necessari per altres maneres.
Com que ara s’emmagatzema molta informació en suports portàtils, els atacants dominen activament la intercepció d’informació mitjançant aquest tipus de tecnologia. Escoltar canals de comunicació és molt popular, només ara tots els esforços dels genis tècnics estan dirigits a trencar les barreres de protecció dels telèfons intel·ligents.
Els empleats de l'organització poden divulgar informació confidencial de manera involuntària. No poden donar directament totes les "aparences i contrasenyes", sinó que només porten l'atacant al camí correcte. Per exemple, les persones, sense saber-ho, donen informació sobre el lloc d’emmagatzematge de la documentació important.
Només els subordinats no sempre són vulnerables. Els contractistes també poden proporcionar informació confidencial durant les associacions.
Com es viola la seguretat de la informació pels mitjans tècnics d’influència?
Garantir la seguretat de la informació es deu en gran mesura a l’ús de mitjans tècnics fiables de protecció. Si el sistema de suport és eficaç i eficaç fins i tot en l’equip en si, aquest és ja la meitat de l’èxit.
En general, es permet una filtració d'informació mitjançant el control de diversos senyals. Aquests mètodes inclouen la creació de fonts especialitzades d'emissió de ràdio o de senyals. Aquests últims poden ser elèctrics, acústics o vibratoris.
Molt sovint s’utilitzen dispositius òptics que permeten llegir informació de pantalles i monitors.
Una varietat de dispositius proporciona una àmplia gamma de mètodes per a la introducció i extracció d'informació per part dels atacants. A més dels mètodes anteriors, també hi ha reconeixement televisiu, fotogràfic i visual.
A causa de possibilitats tan àmplies, l’auditoria de seguretat de la informació inclou principalment la verificació i l’anàlisi del funcionament de mitjans tècnics per protegir les dades confidencials.
Què es considera l’accés no autoritzat a la informació de l’empresa?
La gestió del risc de la seguretat de la informació és impossible sense prevenir amenaces d'accés no autoritzat.
Un dels representants més destacats d’aquest mètode de pirateria del sistema de seguretat d’una altra persona és l’assignació d’un identificador d’usuari. Aquest mètode s'anomena "mascarada". L’accés no autoritzat en aquest cas consisteix en l’ús de dades d’autenticació. És a dir, l’objectiu de l’intrús és obtenir una contrasenya o qualsevol altre identificador.
Els atacants poden tenir un impacte des de dins de l’objecte mateix o des de fora. Poden obtenir la informació necessària de fonts com ara un rastre d'auditoria o eines d'auditoria.
Sovint, l’atacant intenta aplicar la política d’implementació i utilitzar mètodes completament legals a primera vista.
L’accés no autoritzat s’aplica a les fonts d’informació següents:
- Lloc web i amfitrions externs
- xarxa sense fils empresarial;
- còpies de seguretat de dades.
Hi ha infinitat de maneres i mètodes d’accés no autoritzats. Els atacants busquen errors de càlcul i buits en la configuració i l'arquitectura del programari. Reben dades modificant programari. Per neutralitzar i reduir la vigilància, els intrusos inicien programari maliciós i bombes lògiques.
Quines són les amenaces legals a la seguretat de la informació de l’empresa?
La gestió del risc de la seguretat de la informació funciona en diverses direccions, perquè el seu objectiu principal és proporcionar una protecció integral i holística de l'empresa contra intrusions alienes.
No menys important que l’àrea tècnica és legal. Així, el que, al contrari, hauria de defensar els interessos, resulta obtenir informació molt útil.
Les infraccions legals poden estar relacionades amb drets de propietat, drets d’autor i drets de patent. L'ús il·legal del programari, incloses les importacions i exportacions, també pertany a aquesta categoria. Només és possible incomplir els requisits legals sense respectar els termes del contracte o del marc legislatiu en general.
Com establir objectius de seguretat de la informació?
Garantir la seguretat de la informació comença per establir l’àrea de protecció. Cal definir clarament què cal protegir i de qui. Per a això, es determina un retrat d’un criminal potencial, així com possibles mètodes de pirateria i implementació. Per establir objectius, primer que cal parlar amb el lideratge. Us dirà les àrees de protecció prioritàries.
A partir d’aquest moment, comença una auditoria de seguretat de la informació. Permet determinar en quina proporció cal aplicar mètodes tecnològics i empresarials. El resultat d’aquest procés és la llista final d’activitats, que consolida els objectius de la unitat per proporcionar protecció contra intrusions no autoritzades. El procediment d’auditoria té com a objectiu identificar punts i punts febles crítics del sistema que interfereixen amb el funcionament i desenvolupament normal de l’empresa.
Després d’establir objectius, es desenvolupa un mecanisme per a la seva implementació. Es formen instruments per controlar i minimitzar els riscos.
Quin paper juguen els actius en l’anàlisi del risc?
Els riscos de seguretat de la informació de l'organització afecten directament els actius de l'empresa. Al cap i a la fi, l’objectiu dels atacants és obtenir informació valuosa. La seva pèrdua o divulgació comportarà inevitablement pèrdues. Els danys causats per intrusions no autoritzades poden tenir un impacte directe, o només indirectament.És a dir, accions il·legals en relació amb l’organització poden comportar una pèrdua completa del control sobre el negoci.
La quantitat de dany s’estima d’acord amb els actius de què disposa l’organització. S’afecten tots els recursos que contribueixen de qualsevol manera a l’assoliment d’objectius de gestió. Sota l’actiu de l’empresa es fa referència a tots els actius tangibles i intangibles que aporten i ajuden a generar ingressos.
Els actius són de diversos tipus:
- material;
- humana
- informatiu;
- financera;
- processos
- marca i autoritat.
Aquest darrer tipus d’actiu pateix al màxim les intrusions no autoritzades. Això es deu al fet que qualsevol risc real de seguretat de la informació afecti la imatge. Els problemes d’aquest àmbit disminueixen automàticament el respecte i la confiança en una empresa d’aquest tipus, ja que ningú vol que es faci pública la seva informació confidencial. Cada organització respectant-se té cura de protegir els seus propis recursos d'informació.
Diversos factors influeixen quant i quins actius patiran. Es divideixen en externs i interns. El seu impacte complex, per regla general, s'aplica simultàniament a diversos grups de recursos valuosos.
Tot el negoci de l'empresa es basa en actius. Estan presents fins a cert punt en les activitats de qualsevol institució. Només per a alguns, alguns grups són més importants i altres menys. Segons el tipus d’actius que els atacants van aconseguir influir, el resultat, és a dir, el dany causat, depèn.
Una avaluació dels riscos per a la seguretat de la informació permet identificar clarament els principals actius i, si es veuen afectats, es tracta de pèrdues irreparables per a l'empresa. L’atenció d’aquests grups de recursos valuosos s’ha de prestar a la pròpia gestió, ja que la seva seguretat és en interès dels propietaris.
L’àrea prioritària per a la unitat de seguretat de la informació són els recursos auxiliars. Una persona especial és responsable de la seva protecció. Els riscos contra ells no són crítics i afecten només el sistema de gestió.
Quins són els factors de seguretat de la informació?
El càlcul dels riscos de seguretat de la informació inclou la construcció d’un model especialitzat. Representa nodes connectats entre si per connexions funcionals. Nodes: són els molt actius. El model utilitza els recursos valuosos següents:
- la gent
- estratègia;
- tecnologia;
- processos.
Les costelles que les uneixen són els mateixos factors de risc. Per identificar possibles amenaces, el millor és contactar directament amb el departament o especialista que treballa directament amb aquests actius. Qualsevol factor de risc potencial pot ser un requisit previ per a la formació d’un problema. El model identifica les principals amenaces que poden sorgir.
Pel que fa al personal, el problema és el baix nivell educatiu, la manca de personal, la falta de motivació.
Els riscos del procés inclouen la variabilitat mediambiental, la mala automatització de la producció i la separació difosa dels deures.
Les tecnologies poden patir programari obsolètic, falta de control sobre els usuaris. La causa també pot ser problemes amb un panorama heterogeni de tecnologia de la informació.
L’avantatge d’aquest model és que els valors llindars dels riscos per a la seguretat de la informació no s’estableixen clarament, ja que el problema es veu des de diferents angles.
Què és una auditoria de seguretat de la informació?
Un procediment important en l’àmbit de la seguretat de la informació d’una empresa és l’auditoria. És una comprovació de l’estat actual del sistema de protecció contra intrusions no autoritzades. El procés d’auditoria determina el grau de compliment dels requisits establerts.La seva implementació és obligatòria per a alguns tipus d’institucions, per a la resta és consultiva. L’examen es realitza en relació amb la documentació dels departaments de comptabilitat i impostos, mitjans tècnics i parts financeres i econòmiques.
És necessària una auditoria per entendre el nivell de seguretat i, en cas que la inconsistència de l’optimització sigui normal. Aquest procediment també permet avaluar l’adequació de les inversions financeres en seguretat de la informació. En última instància, l'expert donarà recomanacions sobre la taxa de despesa financera per obtenir la màxima eficiència. L’auditoria permet ajustar els controls.
L'examen sobre seguretat de la informació es divideix en diverses etapes:
- Definició d'objectius i formes d'aconseguir-los.
- Anàlisi de la informació necessària per arribar a un veredicte.
- Processament de dades recollides.
- Opinió i recomanacions d'experts.
En última instància, l’especialista emetrà la seva decisió. Les recomanacions de la comissió solen estar dirigides a canviar la configuració del maquinari, així com als servidors. Sovint, una empresa problemàtica s’ofereix per triar un mètode diferent per garantir la seguretat. Probablement, els experts designin un conjunt de mesures de protecció per a reforços addicionals.
El treball després d’obtenir els resultats de l’auditoria està orientat a informar l’equip sobre els problemes. Si és necessari, convé realitzar una formació addicional per augmentar l'educació dels empleats sobre la protecció dels recursos d'informació de l'empresa.