Actualmente, los riesgos de seguridad de la información representan una gran amenaza para las actividades normales de muchas empresas e instituciones. En nuestra era de tecnología de la información, la obtención de datos prácticamente no es difícil. Por un lado, esto, por supuesto, trae muchos aspectos positivos, pero se convierte en un problema para la cara y la marca de muchas empresas.
La protección de la información en las empresas se está convirtiendo casi en una prioridad. Los expertos creen que solo mediante el desarrollo de una cierta secuencia consciente de acciones se puede lograr este objetivo. En este caso, es posible guiarse solo por hechos confiables y utilizar métodos analíticos avanzados. El desarrollo de la intuición y la experiencia del especialista responsable de esta unidad en la empresa hacen una cierta contribución.
Este material informará sobre la gestión de riesgos de la seguridad de la información de una entidad económica.
¿Qué tipos de posibles amenazas existen en el entorno de la información?
Puede haber muchos tipos de amenazas. Un análisis de los riesgos de seguridad de la información de una empresa comienza con la consideración de todas las posibles amenazas potenciales. Esto es necesario para determinar los métodos de verificación en caso de que ocurran estas situaciones imprevistas, así como para crear un sistema de protección apropiado. Los riesgos de seguridad de la información se dividen en ciertas categorías dependiendo de varias características de clasificación. Son de los siguientes tipos:
- fuentes físicas
- uso inapropiado de la red informática y la World Wide Web;
- fuga sellada;
- fugas por medios técnicos;
- intrusión no autorizada;
- ataque a los activos de información;
- violación de la integridad de la modificación de datos;
- situaciones de emergencia;
- violaciones legales
¿Qué se incluye en el concepto de "amenazas físicas a la seguridad de la información"?
Los tipos de riesgos de seguridad de la información se determinan según las fuentes de su ocurrencia, el método de implementación de la intrusión ilegal y el propósito. Las técnicas más simples, pero que aún requieren un desempeño profesional, son las amenazas físicas. Constituyen acceso no autorizado a fuentes selladas. Es decir, este proceso es de hecho un robo ordinario. La información se puede obtener personalmente, con las propias manos, simplemente invadiendo la institución, las oficinas, los archivos para obtener acceso a equipos técnicos, documentación y otros medios de almacenamiento.
Es posible que el robo ni siquiera se encuentre en los datos en sí, sino en el lugar de su almacenamiento, es decir, directamente en el equipo informático. Para interrumpir las actividades normales de la organización, los atacantes pueden simplemente garantizar un mal funcionamiento en los medios de almacenamiento o equipos técnicos.
El propósito de una intrusión física también puede ser obtener acceso a un sistema del que depende la seguridad de la información. Un atacante podría modificar las opciones de una red responsable de la seguridad de la información para facilitar aún más la implementación de métodos ilegales.
La posibilidad de una amenaza física también puede ser proporcionada por miembros de varios grupos que tienen acceso a información clasificada que no tiene publicidad. Su objetivo es valiosa documentación.Estas personas se llaman personas de adentro.
La actividad de los atacantes externos puede dirigirse al mismo objeto.
¿Cómo pueden los propios empleados de la empresa causar amenazas?
Los riesgos de seguridad de la información a menudo surgen debido al uso inapropiado de los empleados de Internet y del sistema informático interno. Los atacantes juegan maravillosamente con la inexperiencia, el descuido y la falta de educación de algunas personas con respecto a la seguridad de la información. Para excluir esta opción de robar datos confidenciales, el liderazgo de muchas organizaciones tiene una política especial entre su personal. Su propósito es educar a las personas sobre las reglas de comportamiento y uso de las redes. Esta es una práctica bastante común, ya que las amenazas que surgen de esta manera son bastante comunes. El programa incluye los siguientes puntos en el programa para adquirir habilidades de seguridad de la información:
- superar el uso ineficiente de las herramientas de auditoría;
- reducir el grado en que las personas usan herramientas especiales para el procesamiento de datos;
- uso reducido de recursos y activos;
- acostumbrarse a obtener acceso a las instalaciones de la red solo por los métodos establecidos;
- asignación de zonas de influencia y designación del territorio de responsabilidad.
Cuando cada empleado comprende que el destino de la institución depende de la ejecución responsable de las tareas que se le asignan, trata de cumplir con todas las reglas. Ante las personas es necesario establecer tareas específicas y justificar los resultados obtenidos.
¿Cómo se violan los términos de privacidad?
Los riesgos y las amenazas a la seguridad de la información se asocian en gran medida con la recepción ilegal de información que no debería ser accesible para personas no autorizadas. El primer y más común canal de fuga es todo tipo de métodos de comunicación. En un momento en que, al parecer, la correspondencia personal está disponible solo para dos partes, las partes interesadas la interceptan. Aunque las personas inteligentes entienden que transmitir algo extremadamente importante y secreto es necesario de otras maneras.
Como ahora se almacena mucha información en medios portátiles, los atacantes dominan activamente la intercepción de información a través de este tipo de tecnología. Escuchar canales de comunicación es muy popular, solo que ahora todos los esfuerzos de los genios técnicos tienen como objetivo romper las barreras protectoras de los teléfonos inteligentes.
La información confidencial puede ser divulgada inadvertidamente por los empleados de la organización. No pueden dar directamente todas las "apariencias y contraseñas", sino que solo llevan al atacante al camino correcto. Por ejemplo, las personas, sin saberlo, brindan información sobre el lugar de almacenamiento de la documentación importante.
Solo los subordinados no siempre son vulnerables. Los contratistas también pueden proporcionar información confidencial durante las asociaciones.
¿Cómo se viola la seguridad de la información por medios técnicos de influencia?
Garantizar la seguridad de la información se debe en gran medida al uso de medios técnicos confiables de protección. Si el sistema de soporte es eficiente y efectivo incluso en el propio equipo, entonces esto ya es la mitad del éxito.
En general, la fuga de información se garantiza controlando varias señales. Dichos métodos incluyen la creación de fuentes especializadas de emisión de radio o señales. Este último puede ser eléctrico, acústico o vibratorio.
Muy a menudo, se utilizan dispositivos ópticos que le permiten leer información de pantallas y monitores.
Una variedad de dispositivos proporciona una amplia gama de métodos para la introducción y extracción de información por parte de los atacantes. Además de los métodos anteriores, también hay reconocimiento televisivo, fotográfico y visual.
Debido a estas amplias posibilidades, la auditoría de seguridad de la información incluye principalmente la verificación y el análisis del funcionamiento de los medios técnicos para proteger los datos confidenciales.
¿Qué se considera acceso no autorizado a la información de la empresa?
La gestión de riesgos de seguridad de la información es imposible sin prevenir amenazas de acceso no autorizado.
Uno de los representantes más destacados de este método para hackear el sistema de seguridad de otra persona es la asignación de una identificación de usuario. Este método se llama "Mascarada". El acceso no autorizado en este caso consiste en el uso de datos de autenticación. Es decir, el objetivo del intruso es obtener una contraseña o cualquier otro identificador.
Los atacantes pueden tener un impacto desde dentro del propio objeto o desde el exterior. Pueden obtener la información necesaria de fuentes como una pista de auditoría o herramientas de auditoría.
A menudo, el atacante intenta aplicar la política de implementación y utilizar métodos completamente legales a primera vista.
El acceso no autorizado se aplica a las siguientes fuentes de información:
- Sitio web y hosts externos
- red inalámbrica empresarial;
- copias de seguridad de datos.
Existen innumerables formas y métodos de acceso no autorizado. Los atacantes buscan errores de cálculo y lagunas en la configuración y arquitectura del software. Reciben datos modificando el software. Para neutralizar y reducir la vigilancia, los intrusos lanzan malware y bombas lógicas.
¿Cuáles son las amenazas legales a la seguridad de la información de la empresa?
La gestión de riesgos de seguridad de la información funciona en varias direcciones, porque su objetivo principal es proporcionar una protección integral y holística de la empresa contra intrusiones extrañas.
No menos importante que el área técnica es legal. Por lo tanto, lo que, al parecer, debería defender los intereses, resulta obtener información muy útil.
Las infracciones legales pueden estar relacionadas con derechos de propiedad, derechos de autor y derechos de patente. El uso ilegal de software, incluida la importación y exportación, también se incluye en esta categoría. La violación de los requisitos legales solo es posible sin observar los términos del contrato o el marco legislativo en su conjunto.
¿Cómo establecer objetivos de seguridad de la información?
Garantizar la seguridad de la información comienza con el establecimiento del área de protección. Es necesario definir claramente qué necesita ser protegido y de quién. Para esto, se determina un retrato de un posible delincuente, así como los posibles métodos de piratería e implementación. Para establecer metas, en primer lugar, debe hablar con el liderazgo. Le indicará las áreas prioritarias de protección.
A partir de este momento, comienza una auditoría de seguridad de la información. Le permite determinar en qué proporción es necesario aplicar métodos tecnológicos y comerciales. El resultado de este proceso es la lista final de actividades, que consolida los objetivos de la unidad para proporcionar protección contra intrusiones no autorizadas. El procedimiento de auditoría tiene como objetivo identificar puntos críticos y debilidades en el sistema que interfieren con la operación normal y el desarrollo de la empresa.
Después de establecer objetivos, se desarrolla un mecanismo para su implementación. Los instrumentos se forman para controlar y minimizar los riesgos.
¿Qué papel juegan los activos en el análisis de riesgos?
Los riesgos de seguridad de la información de la organización afectan directamente los activos de la empresa. Después de todo, el objetivo de los atacantes es obtener información valiosa. Su pérdida o divulgación conducirá inevitablemente a pérdidas. El daño causado por una intrusión no autorizada puede tener un impacto directo o solo indirectamente.Es decir, las acciones ilegales en relación con la organización pueden conducir a una pérdida total de control sobre el negocio.
La cantidad de daño se estima de acuerdo con los activos disponibles para la organización. Afectados son todos los recursos que contribuyen de alguna manera al logro de los objetivos de gestión. Bajo los activos de la empresa se refiere a todos los activos tangibles e intangibles que traen y ayudan a generar ingresos.
Los activos son de varios tipos:
- material
- humano
- informativo;
- financiera
- procesos
- Marca y autoridad.
El último tipo de activo sufre más de intrusiones no autorizadas. Esto se debe al hecho de que cualquier riesgo real de seguridad de la información afecta la imagen. Los problemas con esta área reducen automáticamente el respeto y la confianza en dicha empresa, ya que nadie quiere que su información confidencial se haga pública. Cada organización que se respeta se encarga de proteger sus propios recursos de información.
Varios factores influyen en cuánto y qué activos sufrirán. Se dividen en externos e internos. Su impacto complejo, como regla, se aplica simultáneamente a varios grupos de recursos valiosos.
Todo el negocio de la empresa se basa en activos. Están presentes hasta cierto punto en las actividades de cualquier institución. Solo para algunos, algunos grupos son más importantes y otros menos. Dependiendo del tipo de activos que los atacantes lograron influir, el resultado, es decir, el daño causado, depende.
Una evaluación de los riesgos de seguridad de la información permite identificar claramente los principales activos, y si se vieron afectados, esto está plagado de pérdidas irreparables para la empresa. La administración debe prestar atención a estos grupos de recursos valiosos, ya que su seguridad está en la esfera de los intereses de los propietarios.
El área prioritaria para la unidad de seguridad de la información son los activos auxiliares. Una persona especial es responsable de su protección. Los riesgos contra ellos no son críticos y solo afectan el sistema de gestión.
¿Cuáles son los factores de seguridad de la información?
El cálculo de los riesgos de seguridad de la información incluye la construcción de un modelo especializado. Representa nodos que están conectados entre sí mediante conexiones funcionales. Nodos: estos son los mismos activos. El modelo utiliza los siguientes recursos valiosos:
- la gente
- estrategia
- tecnología;
- procesos.
Las costillas que las unen son los mismos factores de riesgo. Para identificar posibles amenazas, es mejor contactar al departamento o especialista que trabaje con estos activos directamente. Cualquier factor de riesgo potencial puede ser un requisito previo para la formación de un problema. El modelo identifica las principales amenazas que pueden surgir.
Con respecto al personal, el problema es el bajo nivel educativo, la falta de personal, la falta de motivación.
Los riesgos del proceso incluyen variabilidad ambiental, automatización deficiente de la producción y separación difusa de tareas.
Las tecnologías pueden sufrir de software desactualizado, falta de control sobre los usuarios. La causa también puede ser problemas con un panorama heterogéneo de tecnología de la información.
La ventaja de este modelo es que los valores umbral de los riesgos de seguridad de la información no están claramente establecidos, ya que el problema se ve desde diferentes ángulos.
¿Qué es una auditoría de seguridad de la información?
Un procedimiento importante en el campo de la seguridad de la información de una empresa es la auditoría. Es una verificación del estado actual del sistema de protección contra intrusiones no autorizadas. El proceso de auditoría determina el grado de cumplimiento de los requisitos establecidos.Su implementación es obligatoria para algunos tipos de instituciones, para el resto es de carácter consultivo. El examen se lleva a cabo en relación con la documentación de los departamentos de contabilidad e impuestos, medios técnicos y partes financieras y económicas.
Una auditoría es necesaria para comprender el nivel de seguridad y en caso de inconsistencia de la optimización a la normalidad. Este procedimiento también le permite evaluar la idoneidad de las inversiones financieras en seguridad de la información. Finalmente, el experto dará recomendaciones sobre la tasa de gasto financiero para obtener la máxima eficiencia. La auditoría le permite ajustar los controles.
El examen de la seguridad de la información se divide en varias etapas:
- Establecer objetivos y formas de alcanzarlos.
- Análisis de la información necesaria para llegar a un veredicto.
- Procesamiento de datos recopilados.
- Opinión de expertos y recomendaciones.
Finalmente, el especialista emitirá su decisión. Las recomendaciones de la comisión con mayor frecuencia apuntan a cambiar las configuraciones de hardware, así como los servidores. A menudo, se ofrece a una empresa problemática elegir un método diferente para garantizar la seguridad. Es posible que los expertos designen un conjunto de medidas de protección para un refuerzo adicional.
El trabajo después de obtener los resultados de la auditoría tiene como objetivo informar al equipo sobre los problemas. Si es necesario, vale la pena llevar a cabo una capacitación adicional para aumentar la educación de los empleados con respecto a la protección de los recursos de información de la empresa.