בעידן שלנו, המידע תופס את אחד מעמדות המפתח בכל תחומי החיים האנושיים. זאת בשל המעבר ההדרגתי של החברה מהעידן התעשייתי לפוסט-תעשייתי. כתוצאה משימוש, החזקה והעברת מידע שונים עלולים להיווצר סיכוני מידע שיכולים להשפיע על כל תחום המשק.
אילו תעשיות צומחות הכי מהר?
הגידול בזרימת המידע הופכת בולטת יותר ויותר מדי שנה, שכן התרחבות החדשנות הטכנית הופכת את ההעברה המהירה של מידע הקשור להתאמת טכנולוגיות חדשות לצורך דחוף. בתקופתנו, תעשיות כמו תעשייה, מסחר, חינוך ופיננסים מתפתחות באופן מיידי. במהלך העברת הנתונים מתעוררים בהם סיכוני מידע.
המידע הופך לאחד מסוגי המוצרים היקרים ביותר, שעלותו הכוללת תעלה בקרוב על המחיר של כל מוצרי הייצור. זה יקרה כי עבורעל מנת להבטיח את היצירה החוסכת במשאבים של כל הסחורה והשירותים החומריים, יש צורך לספק דרך חדשה ביסודה להעברת מידע שאינה כוללת את האפשרות לסיכוני מידע.
הגדרה
בתקופתנו אין הגדרה חד משמעית לסיכון מידע. מומחים רבים מפרשים את המונח הזה כאירוע שיש לו השפעה ישירה על מידע שונה. זו עלולה להיות הפרת סודיות, עיוות ואפילו מחיקה. עבור רבים, אזור הסיכון מוגבל למערכות מחשב, שהן המוקד העיקרי.
לעתים קרובות, כאשר לומדים נושא זה, הרבה היבטים חשובים באמת אינם נחשבים. אלה כוללים עיבוד ישיר של מידע וניהול סיכוני מידע. הרי הסיכונים הכרוכים בנתונים מתעוררים, ככלל, בשלב ההשגה, שכן קיימת סבירות גבוהה לתפיסה ועיבוד שגויים של מידע. לעתים קרובות, תשומת לב ראויה לא ניתנת לסיכונים הגורמים לכשלים באלגוריתמים לעיבוד נתונים, כמו גם לתקלות בתוכניות המשמשות לייעול הניהול.
רבים רואים את הסיכונים הכרוכים בעיבוד מידע, אך ורק מהצד הכלכלי. עבורם, מדובר בעיקר בסיכון הקשור ביישום ושימוש לא נכון בטכנולוגיית מידע. משמעות הדבר היא שניהול סיכוני מידע מכסה תהליכים כגון יצירה, העברה, אחסון ושימוש במידע, בכפוף לשימוש באמצעי תקשורת ואמצעי תקשורת שונים.
ניתוח וסיווג סיכוני IT
מהם הסיכונים הקשורים בקבלה, עיבוד והעברת מידע? באיזה אופן הם שונים? ישנן מספר קבוצות של הערכה איכותית וכמותית של סיכוני מידע על פי הקריטריונים הבאים:
- לפי מקורות פנימיים וחיצוניים של התרחשות;
- במכוון ולא בכוונה;
- באופן ישיר או עקיף;
- לפי סוג של הפרת מידע: מהימנות, רלוונטיות, שלמות, סודיות נתונים וכו';
- לפי שיטת ההשפעה, הסיכונים הם כדלקמן: כוח עליון ואסונות טבע, טעויות של מומחים, תאונות וכו'.
ניתוח סיכוני מידע הוא תהליך של הערכה גלובלית של רמת ההגנה של מערכות מידע תוך קביעת הכמות (משאבי המזומנים) והאיכות (סיכון נמוך, בינוני, גבוה) של סיכונים שונים. תהליך הניתוח יכול להתבצע באמצעות שיטות וכלים שונים ליצירת דרכים להגנה על מידע. בהתבסס על תוצאות ניתוח כזה, ניתן לקבוע את הסיכונים הגבוהים ביותר שעלולים להוות איום מיידי ותמריץ לאימוץ מיידי של אמצעים נוספים התורמים להגנה על משאבי המידע.
מתודולוגיה לקביעת סיכוני IT
כיום, אין שיטה מקובלת שקובעת באופן מהימן את הסיכונים הספציפיים של טכנולוגיית מידע. זאת בשל העובדה שאין מספיק נתונים סטטיסטיים שיספקו מידע ספציפי יותר לגביוסיכונים נפוצים. תפקיד חשוב ממלאת גם העובדה שקשה לקבוע ביסודיות את הערך של משאב מידע מסוים, מכיוון שיצרן או בעל מיזם יכול למנות את עלות מדיית המידע בדיוק מוחלט, אך הוא יתקשה להשמיע את עלות המידע שנמצא עליהם. לכן, נכון לעכשיו, האפשרות הטובה ביותר לקביעת עלות סיכוני IT היא הערכה איכותית, שבזכותה מזוהים במדויק גורמי סיכון שונים וכן תחומי השפעתם וההשלכות על המיזם כולו.
שיטת ה-CRAMM המשמשת בבריטניה היא הדרך החזקה ביותר לזהות סיכונים כמותיים. המטרות העיקריות של טכניקה זו כוללות:
- אוטומציה של תהליך ניהול הסיכונים;
- אופטימיזציה של עלויות ניהול מזומנים;
- פרודוקטיביות של מערכות אבטחה של החברה;
- מחויבות להמשכיות עסקית.
שיטת ניתוח סיכונים מומחה
מומחים שוקלים את הגורמים הבאים לניתוח סיכוני אבטחת מידע:
1. עלות משאבים. ערך זה משקף את הערך של משאב המידע ככזה. קיימת מערכת הערכה של סיכון איכותי בסולם שבו 1 הוא המינימום, 2 הוא הערך הממוצע ו-3 הוא המקסימום. אם ניקח בחשבון את משאבי ה-IT של הסביבה הבנקאית, אז לשרת האוטומטי שלו יהיה ערך של 3, ומסוף מידע נפרד - 1.
2. מידת הפגיעות של המשאב. זה מראה את גודל האיום ואת ההסתברות לנזק למשאב IT. אם נדבר על ארגון בנקאי, השרת של מערכת הבנקאות האוטומטית יהיה נגיש ככל האפשר, ולכן התקפות האקרים הן האיום הגדול ביותר עליו. יש גם סולם דירוג מ-1 עד 3, כאשר 1 הוא השפעה מינורית, 2 הוא סבירות גבוהה לשחזור משאבים, 3 הוא הצורך בהחלפה מלאה של המשאב לאחר נטרול המפגע.
3. הערכת אפשרות של איום. הוא קובע את הסבירות לאיום מסוים על משאב מידע לתקופת זמן מותנית (לרוב - למשך שנה) וכמו הגורמים הקודמים, ניתן להעריך בסולם מ-1 עד 3 (נמוך, בינוני, גבוה).
ניהול סיכוני אבטחת מידע בזמן שהם מתרחשים
ישנן האפשרויות הבאות לפתרון בעיות עם סיכונים מתעוררים:
- קבלת סיכון ולקיחת אחריות על ההפסדים שלהם;
- הפחתת הסיכון, כלומר, מזעור ההפסדים הקשורים להתרחשותו;
- טרנספר, כלומר הטלת עלות הפיצוי בגין נזק לחברת הביטוח, או הפיכה באמצעות מנגנונים מסוימים לסיכון בעל רמת הסכנה הנמוכה ביותר.
לאחר מכן, הסיכונים של תמיכה במידע מחולקים לפי דרגה על מנת לזהות את הסיכונים העיקריים. כדי לנהל סיכונים כאלה יש צורך להקטין אותם, ולעיתים - להעבירם לחברת הביטוח. העברה והפחתה אפשרית של סיכונים גבוהים ורמה בינונית באותם תנאים, וסיכונים ברמה נמוכה יותר מתקבלים לעתים קרובות ואינם נכללים בניתוח נוסף.
כדאי לשקול את העובדה שדירוג הסיכונים במערכות מידע נקבע על בסיס חישוב וקביעת ערכם האיכותי. כלומר, אם מרווח דירוג הסיכונים הוא בטווח שבין 1 ל-18, אזי טווח הסיכונים הנמוכים הוא בין 1 ל-7, הסיכונים הבינוניים הם בין 8 ל-13, וסיכונים גבוהים הם בין 14 ל-18. מהות הארגון ניהול סיכוני מידע הוא הפחתת הסיכונים הממוצעים והגבוהים עד לערך הנמוך ביותר, כך שהקבלה שלהם תהיה מיטבית ואפשרית ככל האפשר.
CORAS שיטת הפחתת סיכון
שיטת CORAS היא חלק מתוכנית טכנולוגיות חברת המידע. משמעותו נעוצה בהתאמה, קונקרטיזציה ושילוב של שיטות יעילות לביצוע ניתוח על דוגמאות לסיכוני מידע.
CORAS מתודולוגיה משתמשת בהליכי ניתוח סיכונים הבאים:
- אמצעים להכנת החיפוש והשיטתיות של מידע על האובייקט המדובר;
- מתן על ידי הלקוח של נתונים אובייקטיביים ונכונים על החפץ הנדון;
- תיאור מלא של הניתוח הקרוב, תוך התחשבות בכל השלבים;
- ניתוח של מסמכים שנשלחו לאותנטיות ונכונות לניתוח אובייקטיבי יותר;
- ביצוע פעילויות לזיהוי סיכונים אפשריים;
- הערכה של כל ההשלכות של איומי מידע מתעוררים;
- הדגשת הסיכונים שהחברה יכולה לקחת ואת הסיכונים שיש להפחית או להפנות מחדש בהקדם האפשרי;
- אמצעים להעלמת איומים אפשריים.
חשוב לציין שהאמצעים המפורטים אינם דורשים מאמצים ומשאבים משמעותיים ליישום והטמעה לאחר מכן. מתודולוגיית CORAS די פשוטה לשימוש ואינה דורשת הכשרה רבה כדי להתחיל להשתמש בה. החיסרון היחיד של ערכת כלים זו הוא חוסר המחזוריות בהערכה.
OCTAVE method
שיטת הערכת הסיכונים OCTAVE מרמזת על מידה מסוימת של מעורבות של בעל המידע בניתוח. אתה צריך לדעת שהוא משמש להערכת איומים קריטיים במהירות, זיהוי נכסים וזיהוי חולשות במערכת אבטחת המידע. OCTAVE מספקת יצירת קבוצת ניתוח, אבטחה מוסמכת, הכוללת את עובדי החברה המשתמשים במערכת ועובדי מחלקת המידע. OCTAVE מורכב משלושה שלבים:
תחילה, הארגון מוערך, כלומר, קבוצת הניתוח קובעת את הקריטריונים להערכת הנזק, ולאחר מכן את הסיכונים. מזוהים המשאבים החשובים ביותר של הארגון, מוערך המצב הכללי של תהליך שמירה על אבטחת ה-IT בחברה. השלב האחרון הוא לזהות דרישות אבטחה ולהגדיר רשימה של סיכונים
- השלב השני הוא ניתוח מקיף של תשתית המידע של החברה. ניתן דגש על אינטראקציה מהירה ומתואמת בין העובדים והמחלקות האחראיות לכךתשתית.
- בשלב השלישי מתבצע פיתוח טקטיקות אבטחה, נוצרת תוכנית לצמצום סיכונים אפשריים והגנה על משאבי מידע. כמו כן מוערכים הנזק האפשרי וההסתברות ליישום האיומים, וכן הקריטריונים להערכתם.
שיטת מטריקס לניתוח סיכונים
שיטת ניתוח זו מפגישה איומים, פגיעויות, נכסים ובקרות אבטחת מידע וקובעת את חשיבותם לנכסי הארגון בהתאמה. הנכסים של ארגון הם אובייקטים מוחשיים ובלתי מוחשיים שהם משמעותיים מבחינת תועלת. חשוב לדעת ששיטת המטריצה מורכבת משלושה חלקים: מטריצת איומים, מטריצת פגיעות ומטריצת בקרה. התוצאות של כל שלושת החלקים של מתודולוגיה זו משמשות לניתוח סיכונים.
כדאי לשקול את הקשר של כל המטריצות במהלך הניתוח. כך, למשל, מטריצת פגיעות היא קישור בין נכסים לפגיעויות קיימות, מטריצת איומים היא אוסף של פגיעויות ואיומים, ומטריצת בקרה מקשרת מושגים כמו איומים ובקרות. כל תא של המטריצה משקף את היחס בין אלמנט העמודה והשורה. נעשה שימוש במערכות דירוג גבוהות, בינוניות ונמוכות.
כדי ליצור טבלה, עליך ליצור רשימות של איומים, פגיעויות, בקרות ונכסים. מתווספים נתונים על האינטראקציה של תוכן עמודת המטריצה עם תוכן השורה. מאוחר יותר, נתוני מטריצת הפגיעות מועברים למטריצת האיומים, ולאחר מכן, על פי אותו עיקרון, מידע ממטריצת האיומים מועבר למטריצת הבקרה.
מסקנה
תפקיד הנתוניםגדל באופן משמעותי עם המעבר של מספר מדינות לכלכלת שוק. ללא קבלת המידע הדרוש בזמן, תפקוד תקין של החברה פשוט בלתי אפשרי.
ביחד עם התפתחות טכנולוגיית המידע, נוצרו מה שנקרא סיכוני מידע המהווים איום על פעילותן של חברות. לכן יש לזהות, לנתח ולהעריך אותם לצורך הפחתה, העברה או סילוק נוספים. גיבוש ויישום מדיניות אבטחה לא יהיו יעילים אם הכללים הקיימים לא ינוצלו כראוי עקב חוסר יכולת או חוסר מודעות של העובדים. חשוב לפתח מתחם לעמידה באבטחת מידע.
ניהול סיכונים הוא שלב סובייקטיבי, מורכב, אך יחד עם זאת שלב חשוב בפעילות החברה. הדגש הגדול ביותר על אבטחת הנתונים שלהם צריך להיעשות על ידי חברה שעובדת עם כמויות מידע גדולות או בעלת נתונים סודיים.
ישנן הרבה מאוד שיטות יעילות לחישוב וניתוח סיכונים הקשורים למידע המאפשרות ליידע את החברה במהירות ולאפשר לה לעמוד בכללי התחרותיות בשוק, כמו גם לשמור על אבטחה והמשכיות עסקית.
