No momento, os riscos de segurança da informação representam uma grande ameaça às atividades normais de muitas empresas e instituições. Em nossa era da tecnologia da informação, a obtenção de quaisquer dados não é praticamente difícil. Por um lado, isso, é claro, traz muitos aspectos positivos, mas se torna um problema para o rosto e a marca de muitas empresas.
A proteção da informação nas empresas está se tornando quase uma prioridade. Especialistas acreditam que somente desenvolvendo uma certa seqüência consciente de ações pode ser alcançado este objetivo. Nesse caso, é possível ser guiado apenas por fatos confiáveis e usar métodos analíticos avançados. Uma certa contribuição é feita pelo desenvolvimento da intuição e pela experiência do especialista responsável por esta unidade na empresa.
Este material informará sobre o gerenciamento de riscos de segurança da informação de uma entidade econômica.
Quais tipos de ameaças possíveis existem no ambiente de informações?
Pode haver muitos tipos de ameaças. Uma análise dos riscos de segurança da informação de uma empresa começa com a consideração de todas as possíveis ameaças potenciais. Isso é necessário para determinar os métodos de verificação em caso de ocorrência dessas situações imprevistas, bem como para criar um sistema de proteção adequado. Os riscos de segurança da informação são divididos em certas categorias, dependendo dos vários recursos de classificação. Eles são dos seguintes tipos:
- fontes físicas;
- uso inadequado da rede de computadores e da World Wide Web;
- vazamento selado;
- vazamento por meios técnicos;
- intrusão não autorizada;
- ataque a ativos de informação;
- violação da integridade da modificação de dados;
- situações de emergência;
- violações legais.
O que está incluído no conceito de "ameaças físicas à segurança da informação"?
Os tipos de riscos de segurança da informação são determinados dependendo das fontes de sua ocorrência, do método de implementação da intrusão e finalidade ilegal. Os mais simples tecnicamente, mas ainda exigem desempenho profissional, são ameaças físicas. Eles constituem acesso não autorizado a fontes seladas. Ou seja, esse processo é, na verdade, um roubo comum. As informações podem ser obtidas pessoalmente, com suas próprias mãos, simplesmente invadindo a instituição, os escritórios, os arquivos para obter acesso a equipamentos técnicos, documentação e outras mídias de armazenamento.
O roubo pode nem estar nos dados em si, mas no local de armazenamento, ou seja, diretamente no próprio equipamento do computador. Para interromper as atividades normais da organização, os invasores podem simplesmente garantir um mau funcionamento na mídia de armazenamento ou no equipamento técnico.
O propósito de uma invasão física também pode ser obter acesso a um sistema do qual depende a segurança da informação. Um invasor pode modificar as opções de uma rede responsável pela segurança das informações para facilitar ainda mais a implementação de métodos ilegais.
A possibilidade de uma ameaça física também pode ser fornecida por membros de vários grupos que tenham acesso a informações classificadas que não tenham publicidade. Seu objetivo é documentação valiosa.Esses indivíduos são chamados de insiders.
A atividade de invasores externos pode ser direcionada ao mesmo objeto.
Como os próprios funcionários da empresa podem causar ameaças?
Riscos de segurança da informação muitas vezes surgem devido ao uso inadequado por funcionários da Internet e do sistema interno do computador. Os agressores brincam lindamente com a inexperiência, descuido e falta de educação de algumas pessoas em relação à segurança da informação. Para excluir essa opção de roubar dados confidenciais, a liderança de muitas organizações tem uma política especial entre seus funcionários. Sua finalidade é educar as pessoas sobre as regras de comportamento e uso de redes. Esta é uma prática bastante comum, pois as ameaças que surgem dessa maneira são bastante comuns. O programa inclui os seguintes pontos no programa para adquirir habilidades de segurança da informação:
- superar o uso ineficiente de ferramentas de auditoria;
- reduzir o grau em que as pessoas usam ferramentas especiais para processamento de dados;
- redução do uso de recursos e ativos;
- acostumando-se a ter acesso a instalações de rede apenas por métodos estabelecidos;
- atribuição de zonas de influência e designação do território de responsabilidade.
Quando cada funcionário entende que o destino da instituição depende da execução responsável das tarefas atribuídas a ele, ele tenta aderir a todas as regras. Antes das pessoas é necessário definir tarefas específicas e justificar os resultados obtidos.
Como os termos de privacidade são violados?
Os riscos e ameaças à segurança da informação estão amplamente associados ao recebimento ilegal de informações que não devem ser acessíveis a pessoas não autorizadas. O primeiro e mais comum canal de vazamento é todo tipo de método de comunicação. No momento em que, ao que parece, a correspondência pessoal está disponível apenas para duas partes, as partes interessadas a interceptam. Embora as pessoas inteligentes entendam que transmitir algo extremamente importante e secreto é necessário de outras maneiras.
Desde então, muitas informações são armazenadas em mídia portátil, os invasores estão dominando ativamente a interceptação de informações por meio desse tipo de tecnologia. Ouvir canais de comunicação é muito popular, só agora todos os esforços de gênios técnicos visam quebrar as barreiras de proteção dos smartphones.
Informações confidenciais podem ser inadvertidamente divulgadas pelos funcionários da organização. Eles não podem distribuir diretamente todas as “aparências e senhas”, mas apenas levam o atacante para o caminho certo. Por exemplo, as pessoas, sem saber, fornecem informações sobre o local de armazenamento de documentação importante.
Apenas os subordinados nem sempre são vulneráveis. Empreiteiros também podem fornecer informações confidenciais durante as parcerias.
Como a segurança da informação é violada por meios técnicos de influência?
Garantir a segurança da informação deve-se em grande parte ao uso de meios técnicos confiáveis de proteção. Se o sistema de suporte é eficiente e eficaz mesmo no próprio equipamento, isso já é metade do sucesso.
Em geral, o vazamento de informações é assim garantido pelo controle de vários sinais. Tais métodos incluem a criação de fontes especializadas de emissão de rádio ou sinais. Este último pode ser elétrico, acústico ou vibracional.
Muitas vezes, são usados dispositivos ópticos que permitem ler informações de monitores e monitores.
Uma variedade de dispositivos fornece uma ampla gama de métodos para a introdução e extração de informações por invasores. Além dos métodos acima, há também reconhecimento de televisão, fotografia e visual.
Devido a essas grandes possibilidades, a auditoria de segurança da informação inclui principalmente a verificação e a análise da operação de meios técnicos para proteger dados confidenciais.
O que é considerado acesso não autorizado a informações da empresa?
O gerenciamento de riscos de segurança da informação é impossível sem impedir ameaças de acesso não autorizado.
Um dos representantes mais proeminentes desse método de invadir o sistema de segurança de outra pessoa é a atribuição de um ID de usuário. Esse método é chamado de "Masquerade". O acesso não autorizado neste caso consiste no uso de dados de autenticação. Ou seja, o objetivo do intruso é obter uma senha ou qualquer outro identificador.
Os atacantes podem ter um impacto de dentro do próprio objeto ou de fora. Eles podem obter as informações necessárias de fontes, como uma trilha de auditoria ou ferramentas de auditoria.
Geralmente, o invasor tenta aplicar a política de implementação e usar métodos totalmente legais à primeira vista.
Acesso não autorizado se aplica às seguintes fontes de informação:
- Web site e anfitriões externos
- rede sem fio empresarial;
- cópias de backup de dados.
Existem inúmeras formas e métodos de acesso não autorizado. Os atacantes procuram por erros de cálculo e lacunas na configuração e arquitetura do software. Eles recebem dados modificando o software. Para neutralizar e reduzir a vigilância, intrusos lançam malware e bombas lógicas.
Quais são as ameaças legais à segurança da informação da empresa?
O gerenciamento de riscos de segurança da informação funciona em várias direções, porque seu objetivo principal é fornecer proteção abrangente e holística da empresa contra intrusões irrelevantes.
Não menos importante que a área técnica é legal. Assim, ao que parece, pelo contrário, deve defender interesses, acaba por obter informações muito úteis.
As infrações legais podem estar relacionadas a direitos de propriedade, direitos autorais e direitos de patente. O uso ilegal de software, incluindo importação e exportação, também se enquadra nessa categoria. Só é possível violar os requisitos legais sem observar os termos do contrato ou o quadro legislativo como um todo.
Como definir metas de segurança da informação?
Garantir a segurança das informações começa com o estabelecimento da área de proteção. É necessário definir claramente o que precisa ser protegido e de quem. Para isso, um retrato de um criminoso potencial é determinado, assim como possíveis métodos de hacking e implementação. Para definir metas, antes de mais nada, você precisa conversar com a liderança. Ele irá dizer-lhe as áreas prioritárias de proteção.
A partir deste momento, uma auditoria de segurança da informação é iniciada. Ele permite determinar em que proporção é necessário aplicar métodos tecnológicos e de negócios. O resultado desse processo é a lista final de atividades, que consolida os objetivos da unidade para fornecer proteção contra intrusões não autorizadas. O procedimento de auditoria é destinado a identificar pontos críticos e pontos fracos no sistema que interferem na operação e desenvolvimento normais da empresa.
Depois de estabelecer metas, um mecanismo é desenvolvido para sua implementação. Instrumentos são formados para controlar e minimizar os riscos.
Qual o papel dos ativos na análise de risco?
Os riscos de segurança da informação da organização afetam diretamente os ativos da empresa. Afinal, o objetivo dos invasores é obter informações valiosas. Sua perda ou divulgação levará inevitavelmente a perdas. Os danos causados por intrusões não autorizadas podem ter um impacto direto ou somente indiretamente.Ou seja, ações ilegais em relação à organização podem levar a uma completa perda de controle sobre o negócio.
A quantidade de dano é estimada de acordo com os ativos disponíveis para a organização. Afetados são todos os recursos que contribuem de alguma forma para a realização dos objetivos de gerenciamento. Sob os ativos da empresa refere-se a todos os ativos tangíveis e intangíveis que trazem e ajudam a gerar renda.
Os ativos são de vários tipos:
- material;
- humano
- informativo;
- financeira;
- processos
- marca e autoridade.
O último tipo de ativo sofre mais com intrusões não autorizadas. Isso se deve ao fato de que qualquer risco real à segurança da informação afeta a imagem. Problemas com essa área reduzem automaticamente o respeito e a confiança em tal empreendimento, já que ninguém quer que sua informação confidencial seja tornada pública. Cada organização que se preza cuida de proteger seus próprios recursos de informação.
Vários fatores influenciam quanto e quais ativos sofrerão. Eles são divididos em externos e internos. Seu impacto complexo, como regra, aplica-se simultaneamente a vários grupos de recursos valiosos.
Todo o negócio da empresa é construído em ativos. Eles estão presentes em alguma medida nas atividades de qualquer instituição. Apenas para alguns, alguns grupos são mais importantes e menos outros. Dependendo do tipo de ativos que os invasores conseguiram influenciar, o resultado, ou seja, o dano causado, depende.
Uma avaliação dos riscos de segurança da informação torna possível identificar claramente os principais ativos, e se eles foram afetados, isso é repleto de perdas irreparáveis para a empresa. A atenção deve ser dada a esses grupos de recursos valiosos pela própria administração, uma vez que sua segurança está na esfera de interesses dos proprietários.
A área prioritária para a unidade de segurança da informação é o ativo auxiliar. Uma pessoa especial é responsável pela sua proteção. Os riscos contra eles não são críticos e afetam apenas o sistema de gestão.
Quais são os fatores de segurança da informação?
Cálculo de riscos de segurança da informação inclui a construção de um modelo especializado. Representa nós que estão conectados uns aos outros por conexões funcionais. Nós - estes são os próprios ativos. O modelo usa os seguintes recursos valiosos:
- pessoas
- estratégia;
- tecnologia;
- processos.
As costelas que os ligam são os mesmos fatores de risco. Para identificar possíveis ameaças, é melhor entrar em contato com o departamento ou especialista que trabalha diretamente com esses ativos. Qualquer fator de risco potencial pode ser um pré-requisito para a formação de um problema. O modelo identifica as principais ameaças que podem surgir.
Em relação à equipe, o problema é a baixa escolaridade, falta de pessoal, falta de motivação.
Os riscos do processo incluem a variabilidade ambiental, a má automação da produção e a separação difusa de tarefas.
As tecnologias podem sofrer de software desatualizado, falta de controle sobre os usuários. A causa também pode ser um problema com um cenário heterogêneo de tecnologia da informação.
A vantagem deste modelo é que os valores limiares dos riscos de segurança da informação não são claramente estabelecidos, uma vez que o problema é visto de diferentes ângulos.
O que é uma auditoria de segurança da informação?
Um procedimento importante no campo da segurança da informação de uma empresa é a auditoria. É uma verificação do estado atual do sistema de proteção contra intrusões não autorizadas. O processo de auditoria determina o grau de conformidade com os requisitos estabelecidos.Sua implementação é obrigatória para alguns tipos de instituições, pois o restante é de natureza consultiva. O exame é realizado em relação à documentação das áreas contábil e fiscal, meios técnicos e partes econômico-financeiras.
Uma auditoria é necessária para entender o nível de segurança, e em caso de inconsistência da otimização para normal. Este procedimento também permite avaliar a adequação dos investimentos financeiros em segurança da informação. Em última análise, o especialista fará recomendações sobre a taxa de gastos financeiros para obter a máxima eficiência. A auditoria permite ajustar os controles.
O exame referente à segurança da informação é dividido em várias etapas:
- Definir metas e formas de alcançá-las.
- Análise das informações necessárias para chegar a um veredicto.
- Processando dados coletados.
- Opinião de especialistas e recomendações.
Em última análise, o especialista irá emitir sua decisão. As recomendações da comissão são mais frequentemente destinadas a alterar configurações de hardware, bem como servidores. Muitas vezes, uma empresa problemática é oferecida para escolher um método diferente de garantir a segurança. É possível que um conjunto de medidas de proteção seja nomeado por especialistas para reforço adicional.
O trabalho após a obtenção dos resultados da auditoria visa informar a equipe sobre os problemas. Se necessário, então vale a pena realizar um treinamento adicional a fim de aumentar a educação dos funcionários em relação à proteção dos recursos de informação da empresa.