ในยุคของเรา ข้อมูลเป็นหนึ่งในตำแหน่งสำคัญในทุกด้านของชีวิตมนุษย์ นี่เป็นเพราะการเปลี่ยนแปลงของสังคมอย่างค่อยเป็นค่อยไปจากยุคอุตสาหกรรมไปสู่ยุคหลังอุตสาหกรรม อันเป็นผลมาจากการใช้ การครอบครอง และการถ่ายโอนข้อมูลต่าง ๆ ความเสี่ยงของข้อมูลอาจเกิดขึ้นที่อาจส่งผลกระทบต่อทรงกลมทั้งหมดของเศรษฐกิจ
อุตสาหกรรมใดเติบโตเร็วที่สุด
กระแสข้อมูลเติบโตขึ้นอย่างเห็นได้ชัดทุกปี เนื่องจากการขยายตัวของนวัตกรรมทางเทคนิคทำให้การถ่ายโอนข้อมูลที่เกี่ยวข้องกับการปรับตัวของเทคโนโลยีใหม่เป็นความจำเป็นเร่งด่วน ในยุคของเรา อุตสาหกรรมต่างๆ เช่น อุตสาหกรรม การค้า การศึกษา และการเงินกำลังพัฒนาในทันที ระหว่างการถ่ายโอนข้อมูลมีความเสี่ยงด้านข้อมูลเกิดขึ้น
ข้อมูลกำลังกลายเป็นผลิตภัณฑ์ประเภทหนึ่งที่มีค่าที่สุด ต้นทุนรวมจะเกินราคาของผลิตภัณฑ์ที่ผลิตทั้งหมดในไม่ช้า สิ่งนี้จะเกิดขึ้นเพราะสำหรับเพื่อให้แน่ใจว่าการสร้างสินค้าและบริการที่ประหยัดทรัพยากรทั้งหมด จำเป็นต้องจัดเตรียมวิธีการใหม่ในการส่งข้อมูลโดยพื้นฐานซึ่งไม่รวมถึงความเสี่ยงของข้อมูลที่อาจเกิดขึ้น
คำจำกัดความ
ในสมัยของเราไม่มีคำจำกัดความที่ชัดเจนของความเสี่ยงด้านข้อมูล ผู้เชี่ยวชาญหลายคนตีความคำนี้เป็นเหตุการณ์ที่มีผลกระทบโดยตรงต่อข้อมูลต่างๆ ซึ่งอาจเป็นการละเมิดการรักษาความลับ การบิดเบือน และแม้กระทั่งการลบ สำหรับหลายๆ คน พื้นที่เสี่ยงจะจำกัดอยู่ที่ระบบคอมพิวเตอร์เท่านั้น ซึ่งเป็นจุดสนใจหลัก
บ่อยครั้งที่ศึกษาหัวข้อนี้ ประเด็นที่สำคัญหลายๆ อย่างไม่ได้รับการพิจารณา ซึ่งรวมถึงการประมวลผลข้อมูลโดยตรงและการจัดการความเสี่ยงด้านข้อมูล ท้ายที่สุดความเสี่ยงที่เกี่ยวข้องกับข้อมูลเกิดขึ้นตามกฎในขั้นตอนของการได้รับเนื่องจากมีโอกาสสูงที่จะรับรู้และประมวลผลข้อมูลที่ไม่ถูกต้อง บ่อยครั้ง การไม่ใส่ใจเนื่องจากความเสี่ยงที่ทำให้เกิดความล้มเหลวในอัลกอริธึมการประมวลผลข้อมูล ตลอดจนการทำงานผิดพลาดในโปรแกรมที่ใช้ในการเพิ่มประสิทธิภาพการจัดการ
หลายคนพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูล แต่เพียงผู้เดียวจากด้านเศรษฐกิจ สำหรับพวกเขาแล้ว นี่เป็นความเสี่ยงหลักที่เกี่ยวข้องกับการใช้งานที่ไม่ถูกต้องและการใช้เทคโนโลยีสารสนเทศ ซึ่งหมายความว่าการจัดการความเสี่ยงด้านข้อมูลครอบคลุมกระบวนการต่างๆ เช่น การสร้าง การถ่ายโอน การจัดเก็บ และการใช้ข้อมูล ขึ้นอยู่กับการใช้สื่อและวิธีการสื่อสารต่างๆ
วิเคราะห์และการจำแนกความเสี่ยงด้านไอที
ความเสี่ยงที่เกี่ยวข้องกับการรับ การประมวลผล และการส่งข้อมูลคืออะไร? ต่างกันอย่างไร? การประเมินความเสี่ยงด้านข้อมูลเชิงคุณภาพและเชิงปริมาณมีหลายกลุ่มตามเกณฑ์ต่อไปนี้:
- ตามแหล่งที่มาของเหตุการณ์ภายในและภายนอก
- ทั้งตั้งใจและไม่ตั้งใจ;
- ทางตรงหรือทางอ้อม
- ตามประเภทของการละเมิดข้อมูล: ความน่าเชื่อถือ ความเกี่ยวข้อง ความสมบูรณ์ การรักษาความลับของข้อมูล ฯลฯ;
- ตามวิธีการกระแทก ความเสี่ยงมีดังนี้: เหตุสุดวิสัยและภัยธรรมชาติ ข้อผิดพลาดของผู้เชี่ยวชาญ อุบัติเหตุ ฯลฯ
การวิเคราะห์ความเสี่ยงของข้อมูลเป็นกระบวนการของการประเมินระดับการป้องกันระบบข้อมูลทั่วโลกด้วยการกำหนดปริมาณ (ทรัพยากรเงินสด) และคุณภาพ (ความเสี่ยงต่ำ ปานกลาง สูง) ของความเสี่ยงต่างๆ กระบวนการวิเคราะห์สามารถทำได้โดยใช้วิธีการและเครื่องมือต่างๆ ในการสร้างวิธีการปกป้องข้อมูล จากผลการวิเคราะห์ดังกล่าว มีความเป็นไปได้ที่จะระบุความเสี่ยงสูงสุดที่อาจเป็นภัยคุกคามในทันที และสิ่งจูงใจสำหรับการใช้มาตรการเพิ่มเติมในทันทีซึ่งมีส่วนช่วยในการปกป้องแหล่งข้อมูล
วิธีการกำหนดความเสี่ยงด้านไอที
ปัจจุบันไม่มีวิธีการที่ยอมรับกันโดยทั่วไปที่จะกำหนดความเสี่ยงเฉพาะของเทคโนโลยีสารสนเทศได้อย่างน่าเชื่อถือ เนื่องจากไม่มีข้อมูลทางสถิติเพียงพอที่จะให้ข้อมูลที่เฉพาะเจาะจงมากขึ้นเกี่ยวกับความเสี่ยงทั่วไป บทบาทที่สำคัญยังเล่นโดยข้อเท็จจริงที่ว่าเป็นการยากที่จะกำหนดมูลค่าของแหล่งข้อมูลเฉพาะอย่างถี่ถ้วนเพราะผู้ผลิตหรือเจ้าขององค์กรสามารถระบุต้นทุนของสื่อข้อมูลได้อย่างแม่นยำ แต่เขาจะพบว่ามันยากที่จะ พูดต้นทุนของข้อมูลที่อยู่ในพวกเขา นั่นคือเหตุผลที่ตัวเลือกที่ดีที่สุดในการพิจารณาต้นทุนความเสี่ยงด้านไอทีในขณะนี้คือการประเมินเชิงคุณภาพ ซึ่งต้องขอบคุณปัจจัยเสี่ยงต่างๆ ที่ได้รับการระบุอย่างแม่นยำ ตลอดจนขอบเขตของอิทธิพลและผลที่ตามมาสำหรับทั้งองค์กร
วิธี CRAMM ที่ใช้ในสหราชอาณาจักรเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการระบุความเสี่ยงเชิงปริมาณ เป้าหมายหลักของเทคนิคนี้ ได้แก่
- ทำให้กระบวนการจัดการความเสี่ยงเป็นอัตโนมัติ
- การเพิ่มประสิทธิภาพต้นทุนการจัดการเงินสด
- ประสิทธิภาพของระบบรักษาความปลอดภัยของบริษัท
- ความมุ่งมั่นเพื่อความต่อเนื่องทางธุรกิจ
วิธีวิเคราะห์ความเสี่ยงของผู้เชี่ยวชาญ
ผู้เชี่ยวชาญพิจารณาปัจจัยการวิเคราะห์ความเสี่ยงด้านความปลอดภัยของข้อมูลต่อไปนี้:
1. ต้นทุนทรัพยากร ค่านี้สะท้อนถึงคุณค่าของแหล่งข้อมูลดังกล่าว มีระบบการประเมินความเสี่ยงเชิงคุณภาพในระดับที่ 1 คือค่าต่ำสุด 2 คือค่าเฉลี่ยและ 3 คือค่าสูงสุด หากเราพิจารณาทรัพยากรไอทีของสภาพแวดล้อมการธนาคาร เซิร์ฟเวอร์อัตโนมัติจะมีค่าเท่ากับ 3 และเทอร์มินัลข้อมูลแยกต่างหาก - 1.
2. ระดับความเปราะบางของทรัพยากร แสดงขนาดของภัยคุกคามและความน่าจะเป็นของความเสียหายต่อทรัพยากรไอที หากเราพูดถึงองค์กรด้านการธนาคาร เซิร์ฟเวอร์ของระบบธนาคารอัตโนมัติจะสามารถเข้าถึงได้มากที่สุด ดังนั้นการโจมตีของแฮ็กเกอร์จึงเป็นภัยคุกคามที่ใหญ่ที่สุด นอกจากนี้ยังมีระดับการจัดอันดับตั้งแต่ 1 ถึง 3 โดยที่ 1 มีผลกระทบเล็กน้อย 2 มีความเป็นไปได้สูงที่จะกู้คืนทรัพยากร 3 คือความจำเป็นในการเปลี่ยนทรัพยากรโดยสมบูรณ์หลังจากที่อันตรายถูกทำให้เป็นกลาง
3. การประเมินความเป็นไปได้ของการคุกคาม กำหนดแนวโน้มของภัยคุกคามต่อแหล่งข้อมูลในช่วงเวลาตามเงื่อนไข (ส่วนใหญ่ - เป็นเวลาหนึ่งปี) และสามารถประเมินได้ในระดับตั้งแต่ 1 ถึง 3 (ต่ำ กลาง สูง) เช่นเดียวกับปัจจัยก่อนหน้า.
การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลเมื่อเกิดขึ้น
มีตัวเลือกต่อไปนี้สำหรับการแก้ปัญหาความเสี่ยงที่เกิดขึ้น:
- ยอมรับความเสี่ยงและรับผิดชอบต่อการสูญเสีย
- ลดความเสี่ยง นั่นคือ ลดความสูญเสียที่เกี่ยวข้องกับการเกิดขึ้นให้เหลือน้อยที่สุด
- โอน นั่นคือการกำหนดค่าใช้จ่ายในการชดเชยความเสียหายให้กับ บริษัท ประกันภัยหรือการเปลี่ยนแปลงผ่านกลไกบางอย่างไปสู่ความเสี่ยงที่มีระดับอันตรายน้อยที่สุด
จากนั้น ความเสี่ยงของการสนับสนุนข้อมูลจะถูกกระจายตามอันดับเพื่อระบุปัจจัยหลัก ในการจัดการความเสี่ยงดังกล่าว จำเป็นต้องลดความเสี่ยง และบางครั้ง - เพื่อโอนไปยังบริษัทประกันภัย การถ่ายโอนที่เป็นไปได้และการลดความเสี่ยงของสูงและระดับกลางในแง่เดียวกัน และความเสี่ยงระดับล่างมักจะยอมรับและไม่รวมอยู่ในการวิเคราะห์เพิ่มเติม
การพิจารณาการจัดอันดับความเสี่ยงในระบบสารสนเทศนั้นพิจารณาจากการคำนวณและการกำหนดค่าเชิงคุณภาพ กล่าวคือหากช่วงการจัดอันดับความเสี่ยงอยู่ในช่วงตั้งแต่ 1 ถึง 18 ช่วงความเสี่ยงต่ำจะอยู่ระหว่าง 1 ถึง 7 ความเสี่ยงปานกลางจะอยู่ระหว่าง 8 ถึง 13 และความเสี่ยงสูงคือตั้งแต่ 14 ถึง 18 สาระสำคัญขององค์กร การจัดการความเสี่ยงด้านสารสนเทศคือการลดความเสี่ยงโดยเฉลี่ยและความเสี่ยงสูงลงไปที่ค่าต่ำสุด เพื่อให้ยอมรับได้อย่างเหมาะสมที่สุดและเป็นไปได้
วิธีลดความเสี่ยงของ CORAS
วิธี CORAS เป็นส่วนหนึ่งของโปรแกรม Information Society Technologies ความหมายของมันอยู่ที่การปรับตัว การสรุป และการรวมกันของวิธีที่มีประสิทธิภาพสำหรับการวิเคราะห์ตัวอย่างความเสี่ยงของข้อมูล
วิธี CORAS ใช้ขั้นตอนการวิเคราะห์ความเสี่ยงต่อไปนี้:
- มาตรการเตรียมการค้นหาและจัดระบบข้อมูลเกี่ยวกับวัตถุที่เป็นปัญหา
- จัดเตรียมโดยลูกค้าของวัตถุประสงค์และแก้ไขข้อมูลของวัตถุที่เป็นปัญหา
- คำอธิบายแบบเต็มของบทวิเคราะห์ที่กำลังจะมีขึ้นโดยคำนึงถึงทุกขั้นตอน;
- การวิเคราะห์เอกสารที่ส่งมาเพื่อความถูกต้องและถูกต้องเพื่อการวิเคราะห์ที่เป็นกลางมากขึ้น
- ดำเนินกิจกรรมเพื่อระบุความเสี่ยงที่อาจเกิดขึ้น
- การประเมินผลที่ตามมาทั้งหมดของภัยคุกคามข้อมูลที่เกิดขึ้นใหม่
- เน้นความเสี่ยงที่บริษัทรับได้และความเสี่ยงที่ต้องลดหรือเปลี่ยนเส้นทางโดยเร็วที่สุด
- มาตรการกำจัดภัยคุกคามที่อาจเกิดขึ้น
สิ่งสำคัญคือต้องสังเกตว่ามาตรการที่ระบุไว้ไม่ต้องการความพยายามและทรัพยากรที่สำคัญสำหรับการดำเนินการและการดำเนินการในภายหลัง วิธีการของ CORAS นั้นค่อนข้างใช้งานง่ายและไม่ต้องการการฝึกอบรมมากนักเพื่อเริ่มใช้งาน ข้อเสียเพียงอย่างเดียวของชุดเครื่องมือนี้คือการขาดระยะเวลาในการประเมิน
วิธีอ็อกเทฟ
วิธีประเมินความเสี่ยงของ OCTAVE แสดงถึงระดับการมีส่วนร่วมของเจ้าของข้อมูลในการวิเคราะห์ คุณจำเป็นต้องรู้ว่ามันถูกใช้เพื่อประเมินภัยคุกคามที่สำคัญ ระบุสินทรัพย์ และระบุจุดอ่อนในระบบความปลอดภัยของข้อมูลอย่างรวดเร็ว OCTAVE จัดให้มีการสร้างการวิเคราะห์ที่มีความสามารถกลุ่มความปลอดภัยซึ่งรวมถึงพนักงานของ บริษัท ที่ใช้ระบบและพนักงานของแผนกข้อมูล อ็อกเทฟประกอบด้วยสามขั้นตอน:
ขั้นแรก องค์กรได้รับการประเมิน กล่าวคือ กลุ่มวิเคราะห์จะกำหนดเกณฑ์ในการประเมินความเสียหาย และความเสี่ยงในภายหลัง มีการระบุทรัพยากรที่สำคัญที่สุดขององค์กรการประเมินสถานะทั่วไปของกระบวนการรักษาความปลอดภัยด้านไอทีใน บริษัท ขั้นตอนสุดท้ายคือการระบุข้อกำหนดด้านความปลอดภัยและกำหนดรายการความเสี่ยง
- ขั้นตอนที่สองคือการวิเคราะห์โครงสร้างพื้นฐานข้อมูลของบริษัทอย่างครอบคลุม เน้นการโต้ตอบที่รวดเร็วและประสานงานระหว่างพนักงานและแผนกที่รับผิดชอบในเรื่องนี้โครงสร้างพื้นฐาน
- ในขั้นตอนที่สาม การพัฒนากลวิธีด้านความปลอดภัยได้ดำเนินการแล้ว มีการสร้างแผนเพื่อลดความเสี่ยงที่อาจเกิดขึ้นและปกป้องแหล่งข้อมูล ความเสียหายที่เป็นไปได้และความน่าจะเป็นของการดำเนินการคุกคามจะได้รับการประเมินเช่นเดียวกับเกณฑ์สำหรับการประเมิน
วิธีวิเคราะห์ความเสี่ยงของเมทริกซ์
วิธีการวิเคราะห์นี้รวบรวมภัยคุกคาม ช่องโหว่ สินทรัพย์ และการควบคุมความปลอดภัยของข้อมูลเข้าด้วยกัน และกำหนดความสำคัญต่อสินทรัพย์ขององค์กร ทรัพย์สินขององค์กรเป็นวัตถุที่จับต้องได้และจับต้องไม่ได้ซึ่งมีนัยสำคัญในแง่ของประโยชน์ใช้สอย สิ่งสำคัญคือต้องรู้ว่าวิธีเมทริกซ์ประกอบด้วยสามส่วน: เมทริกซ์ภัยคุกคาม เมทริกซ์ช่องโหว่ และเมทริกซ์ควบคุม ผลลัพธ์ของวิธีการทั้งสามส่วนนี้ใช้สำหรับการวิเคราะห์ความเสี่ยง
การพิจารณาความสัมพันธ์ของเมทริกซ์ทั้งหมดในระหว่างการวิเคราะห์เป็นสิ่งที่คุ้มค่า ตัวอย่างเช่น เมทริกซ์ช่องโหว่คือการเชื่อมโยงระหว่างสินทรัพย์และช่องโหว่ที่มีอยู่ เมทริกซ์ภัยคุกคามคือชุดของช่องโหว่และภัยคุกคาม และเมทริกซ์ควบคุมเชื่อมโยงแนวคิด เช่น การคุกคามและการควบคุม แต่ละเซลล์ของเมทริกซ์สะท้อนอัตราส่วนขององค์ประกอบคอลัมน์และแถว ใช้ระบบการให้เกรดสูง กลาง และต่ำ
ในการสร้างตาราง คุณต้องสร้างรายการภัยคุกคาม ช่องโหว่ การควบคุม และสินทรัพย์ ข้อมูลถูกเพิ่มเกี่ยวกับการโต้ตอบของเนื้อหาในคอลัมน์เมทริกซ์กับเนื้อหาของแถว ต่อมา ข้อมูลเมทริกซ์ช่องโหว่จะถูกโอนไปยังเมทริกซ์ภัยคุกคาม จากนั้นตามหลักการเดียวกัน ข้อมูลจากเมทริกซ์ภัยคุกคามจะถูกโอนไปยังเมทริกซ์ควบคุม
สรุป
บทบาทของข้อมูลเพิ่มขึ้นอย่างมีนัยสำคัญเมื่อเปลี่ยนจากหลายประเทศไปสู่เศรษฐกิจแบบตลาด หากไม่ได้รับข้อมูลที่จำเป็นอย่างทันท่วงที การทำงานปกติของบริษัทก็เป็นไปไม่ได้เลย
ร่วมกับการพัฒนาเทคโนโลยีสารสนเทศที่เรียกว่าความเสี่ยงด้านข้อมูลได้เกิดขึ้นซึ่งเป็นภัยคุกคามต่อกิจกรรมของบริษัท นั่นคือเหตุผลที่จำเป็นต้องระบุ วิเคราะห์ และประเมินผลเพื่อลด ถ่ายโอน หรือกำจัดทิ้งต่อไป การก่อตัวและการดำเนินการตามนโยบายความปลอดภัยจะไม่ได้ผลหากกฎที่มีอยู่ไม่ได้ใช้อย่างเหมาะสมเนื่องจากขาดความสามารถหรือขาดความตระหนักรู้ของพนักงาน การพัฒนาระบบที่ซับซ้อนเพื่อให้สอดคล้องกับความปลอดภัยของข้อมูลเป็นสิ่งสำคัญ
การบริหารความเสี่ยงเป็นเรื่องส่วนตัว ซับซ้อน แต่ในขณะเดียวกันก็เป็นขั้นตอนสำคัญในกิจกรรมของบริษัท บริษัทที่ทำงานกับข้อมูลจำนวนมากหรือเป็นเจ้าของข้อมูลลับควรให้ความสำคัญสูงสุดในเรื่องความปลอดภัยของข้อมูล
มีวิธีการที่มีประสิทธิภาพมากมายในการคำนวณและวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับข้อมูล ซึ่งช่วยให้คุณแจ้งบริษัทได้อย่างรวดเร็ว และอนุญาตให้ปฏิบัติตามกฎการแข่งขันในตลาด ตลอดจนรักษาความปลอดภัยและความต่อเนื่องของธุรกิจ.