En nuestra era, la información ocupa una de las posiciones clave en todas las esferas de la vida humana. Esto se debe a la transición paulatina de la sociedad de la era industrial a la posindustrial. Como consecuencia del uso, posesión y transferencia de información diversa, pueden surgir riesgos de información que pueden afectar a todo el ámbito de la economía.
¿Qué industrias están creciendo más rápido?
El crecimiento de los flujos de información es cada vez más notorio cada año, ya que la expansión de la innovación técnica hace que la transferencia rápida de información relacionada con la adaptación de nuevas tecnologías sea una necesidad urgente. En nuestro tiempo, industrias como la industria, el comercio, la educación y las finanzas se están desarrollando instantáneamente. Es durante la transferencia de datos cuando surgen riesgos de información en los mismos.
La información se está convirtiendo en uno de los tipos de productos más valiosos, cuyo costo total pronto superará el precio de todos los productos de producción. Esto sucederá porque paraPara garantizar la creación de todos los bienes y servicios materiales que ahorre recursos, es necesario proporcionar una forma fundamentalmente nueva de transmitir información que excluya la posibilidad de riesgos de información.
Definición
En nuestro tiempo no existe una definición inequívoca de riesgo de la información. Muchos expertos interpretan este término como un evento que tiene un impacto directo en información diversa. Esto puede ser una violación de la confidencialidad, la distorsión e incluso la eliminación. Para muchos, la zona de riesgo se limita a los sistemas informáticos, que son el foco principal.
A menudo, al estudiar este tema, muchos aspectos realmente importantes no se consideran. Estos incluyen el procesamiento directo de la información y la gestión del riesgo de la información. Después de todo, los riesgos asociados con los datos surgen, por regla general, en la etapa de obtención, ya que existe una alta probabilidad de percepción y procesamiento incorrectos de la información. A menudo, no se presta la debida atención a los riesgos que provocan fallos en los algoritmos de procesamiento de datos, así como disfunciones en los programas utilizados para optimizar la gestión.
Muchos consideran los riesgos asociados con el procesamiento de información únicamente desde el punto de vista económico. Para ellos, se trata principalmente de un riesgo asociado a la incorrecta implementación y uso de las tecnologías de la información. Esto significa que la gestión de riesgos de la información cubre procesos tales como la creación, transferencia, almacenamiento y uso de la información, sujeto al uso de diversos medios y medios de comunicación.
Análisis yclasificación de los riesgos de TI
¿Cuáles son los riesgos asociados con la recepción, el procesamiento y la transmisión de información? ¿En qué se diferencian? Existen varios grupos de evaluación cualitativa y cuantitativa de los riesgos de la información según los siguientes criterios:
- según fuentes internas y externas de ocurrencia;
- intencionadamente y sin querer;
- directa o indirectamente;
- por tipo de violación de la información: confiabilidad, relevancia, integridad, confidencialidad de los datos, etc.;
- según el método de impacto, los riesgos son los siguientes: fuerza mayor y desastres naturales, errores de especialistas, accidentes, etc.
El análisis de riesgos de la información es un proceso de evaluación global del nivel de protección de los sistemas de información con la determinación de la cantidad (recursos en efectivo) y la calidad (riesgo bajo, medio, alto) de varios riesgos. El proceso de análisis se puede llevar a cabo utilizando varios métodos y herramientas para crear formas de proteger la información. Con base en los resultados de dicho análisis, es posible determinar los riesgos más altos que pueden ser una amenaza inmediata y un incentivo para la adopción inmediata de medidas adicionales que contribuyan a la protección de los recursos de información.
Metodología para determinar riesgos TI
Actualmente, no existe un método generalmente aceptado que determine de manera confiable los riesgos específicos de la tecnología de la información. Esto se debe a que no hay suficientes datos estadísticos que proporcionen información más específica sobreriesgos comunes. También juega un papel importante el hecho de que es difícil determinar a fondo el valor de un recurso de información en particular, porque un fabricante o propietario de una empresa puede nombrar el costo de los medios de información con absoluta precisión, pero le resultará difícil determinarlo. voz el costo de la información ubicada en ellos. Es por eso que, en este momento, la mejor opción para determinar el costo de los riesgos de TI es una evaluación cualitativa, gracias a la cual se identifican con precisión varios factores de riesgo, así como sus áreas de influencia y las consecuencias para toda la empresa.
El método CRAMM utilizado en el Reino Unido es la forma más eficaz de identificar riesgos cuantitativos. Los objetivos principales de esta técnica incluyen:
- automatizar el proceso de gestión de riesgos;
- optimización de los costes de gestión de tesorería;
- productividad de los sistemas de seguridad de la empresa;
- compromiso con la continuidad del negocio.
Método de análisis de riesgo experto
Los expertos consideran los siguientes factores de análisis de riesgos de seguridad de la información:
1. Costo de recursos. Este valor refleja el valor del recurso de información como tal. Existe un sistema de evaluación del riesgo cualitativo en una escala donde 1 es el mínimo, 2 es el valor medio y 3 es el máximo. Si consideramos los recursos de TI del entorno bancario, entonces su servidor automatizado tendrá un valor de 3 y una terminal de información separada: 1.
2. El grado de vulnerabilidad del recurso. Muestra la magnitud de la amenaza y la probabilidad de daño a un recurso de TI. Si hablamos de una organización bancaria, el servidor del sistema bancario automatizado será lo más accesible posible, por lo que los ataques de piratas informáticos son la mayor amenaza para él. También hay una escala de calificación de 1 a 3, donde 1 es un impacto menor, 2 es una alta probabilidad de recuperación del recurso, 3 es la necesidad de un reemplazo completo del recurso después de que se neutralice el peligro.
3. Evaluar la posibilidad de una amenaza. Determina la probabilidad de una determinada amenaza a un recurso de información durante un período de tiempo condicional (la mayoría de las veces, durante un año) y, al igual que los factores anteriores, puede evaluarse en una escala de 1 a 3 (bajo, medio, alto).
Gestión de los riesgos de seguridad de la información a medida que ocurren
Existen las siguientes opciones para resolver problemas con riesgos emergentes:
- aceptar el riesgo y hacerse responsable de sus pérdidas;
- reducir el riesgo, es decir, minimizar las pérdidas asociadas a su ocurrencia;
- transferencia, es decir, la imposición del coste de la indemnización de daños a la compañía aseguradora, o la transformación mediante determinados mecanismos en un riesgo con el menor nivel de peligrosidad.
Luego, se distribuyen los riesgos de soporte de información por rango con el fin de identificar los primarios. Para administrar tales riesgos, es necesario reducirlos y, a veces, transferirlos a la compañía de seguros. Posible transferencia y reducción de riesgos de alta ylos riesgos de nivel medio en los mismos términos y los de nivel más bajo a menudo se aceptan y no se incluyen en análisis posteriores.
Vale la pena considerar el hecho de que la clasificación de los riesgos en los sistemas de información se determina sobre la base del cálculo y determinación de su valor cualitativo. Es decir, si el intervalo de clasificación de riesgo está en el rango de 1 a 18, entonces el rango de riesgos bajos es de 1 a 7, los riesgos medios son de 8 a 13 y los riesgos altos son de 14 a 18. La esencia de la empresa la gestión de riesgos de la información es reducir los riesgos medios y altos al valor más bajo, para que su aceptación sea lo más óptima posible.
Método de mitigación de riesgos CORAS
El método CORAS forma parte del programa de Tecnologías de la Sociedad de la Información. Su significado radica en la adaptación, concreción y combinación de métodos efectivos para realizar análisis sobre ejemplos de riesgos de la información.
La metodología CORAS utiliza los siguientes procedimientos de análisis de riesgo:
- medidas para preparar la búsqueda y sistematización de información sobre el objeto en cuestión;
- suministro por parte del cliente de datos objetivos y correctos sobre el objeto en cuestión;
- descripción completa del próximo análisis, teniendo en cuenta todas las etapas;
- análisis de la autenticidad y exactitud de los documentos presentados para un análisis más objetivo;
- realizar actividades para identificar posibles riesgos;
- evaluación de todas las consecuencias de las amenazas de información emergentes;
- res altar los riesgos que la empresa puede asumir y los riesgos quedebe reducirse o redirigirse lo antes posible;
- medidas para eliminar posibles amenazas.
Es importante señalar que las medidas enumeradas no requieren esfuerzos y recursos significativos para su implementación y posterior implementación. La metodología CORAS es bastante sencilla de utilizar y no requiere de mucha formación para empezar a utilizarla. El único inconveniente de este conjunto de herramientas es la f alta de periodicidad en la evaluación.
método OCTAVE
El método de evaluación de riesgos OCTAVE implica un cierto grado de involucramiento del propietario de la información en el análisis. Debe saber que se utiliza para evaluar rápidamente amenazas críticas, identificar activos e identificar debilidades en el sistema de seguridad de la información. OCTAVE prevé la creación de un grupo de seguridad de análisis competente, que incluye empleados de la empresa que utiliza el sistema y empleados del departamento de información. OCTAVA consta de tres etapas:
Primero se evalúa la organización, es decir, el grupo de análisis determina los criterios para evaluar los daños y posteriormente los riesgos. Se identifican los recursos más importantes de la organización, se evalúa el estado general del proceso de mantenimiento de la seguridad informática en la empresa. El último paso es identificar los requisitos de seguridad y definir una lista de riesgos
- La segunda etapa es un análisis exhaustivo de la infraestructura de información de la empresa. Se hace hincapié en la interacción rápida y coordinada entre los empleados y los departamentos responsables de esteinfraestructura.
- En la tercera etapa se lleva a cabo el desarrollo de tácticas de seguridad, se crea un plan para reducir posibles riesgos y proteger los recursos de información. También se evalúan los posibles daños y la probabilidad de ejecución de las amenazas, así como los criterios para su evaluación.
Método matricial de análisis de riesgo
Este método de análisis reúne amenazas, vulnerabilidades, activos y controles de seguridad de la información y determina su importancia para los respectivos activos de la organización. Los activos de una organización son objetos tangibles e intangibles que son significativos en términos de utilidad. Es importante saber que el método matricial consta de tres partes: una matriz de amenazas, una matriz de vulnerabilidades y una matriz de control. Los resultados de las tres partes de esta metodología se utilizan para el análisis de riesgos.
Vale la pena considerar la relación de todas las matrices durante el análisis. Entonces, por ejemplo, una matriz de vulnerabilidades es un vínculo entre los activos y las vulnerabilidades existentes, una matriz de amenazas es una colección de vulnerabilidades y amenazas, y una matriz de control vincula conceptos como amenazas y controles. Cada celda de la matriz refleja la proporción del elemento de columna y fila. Se utilizan sistemas de clasificación altos, medios y bajos.
Para crear una tabla, debe crear listas de amenazas, vulnerabilidades, controles y activos. Se agregan datos sobre la interacción del contenido de la columna de la matriz con el contenido de la fila. Posteriormente, los datos de la matriz de vulnerabilidades se transfieren a la matriz de amenazas y luego, de acuerdo con el mismo principio, la información de la matriz de amenazas se transfiere a la matriz de control.
Conclusión
El papel de los datosaumentó significativamente con la transición de varios países a una economía de mercado. Sin la recepción oportuna de la información necesaria, el funcionamiento normal de la empresa es simplemente imposible.
Junto con el desarrollo de las tecnologías de la información, han surgido los denominados riesgos de la información que suponen una amenaza para las actividades de las empresas. Por eso es necesario identificarlos, analizarlos y evaluarlos para su posterior reducción, transferencia o eliminación. La formación e implementación de una política de seguridad será ineficaz si las reglas existentes no se utilizan correctamente debido a la incompetencia o f alta de conciencia de los empleados. Es importante desarrollar un complejo para el cumplimiento de la seguridad de la información.
La gestión de riesgos es una etapa subjetiva, compleja, pero al mismo tiempo importante en las actividades de la empresa. El mayor énfasis en la seguridad de sus datos debe ser realizado por una empresa que trabaje con grandes cantidades de información o posea datos confidenciales.
Existen una gran cantidad de métodos efectivos para calcular y analizar los riesgos relacionados con la información que le permiten informar rápidamente a la empresa y permitirle cumplir con las reglas de competitividad en el mercado, así como mantener la seguridad y la continuidad del negocio..