Publicații de siguranță

Risc de informare - este riscul de pierdere sau deteriorare ca urmare a utilizării tehnologiei informației companie. Cu alte cuvinte, IT-riscuri asociate cu crearea, transmiterea, stocarea și utilizarea informațiilor prin intermediul mijloacelor electronice și a altor mijloace de comunicare.

Lucrările la minimizarea riscurilor IT este de a preveni accesul neautorizat la date, precum și accidente și avarii ale echipamentelor. Procesul de minimizare a riscurilor IT ar trebui să fie luate în considerare complexe: în primul rând, identificarea potențialelor probleme, și apoi a determinat, în ce moduri în care pot fi rezolvate.

În practică, metode de a identifica IT-riscurile nu sunt diferite de orice alte modalități de a determina riscul: 1. Hărțile de risc sunt pregătite colectează opinii ale experților, etc ...

Identificați riscurile cele mai critice de informații poate fi o modalitate mai simplă - răspunzând la următoarele întrebări.
  1. Poate accesul de control companie la sistemele de informații, care se formează și situațiile financiare sunt stocate?
  2. Clienții au suportul informațiile necesare cu condiția, adică, dacă acestea pot, la momentul potrivit pentru a ne suna sau contactați prin e-mail?
  3. Dacă societatea pe termen scurt pentru a integra tehnologia existentă cu sistemul informatic de întreprindere face obiectul unei fuziuni sau achiziții?
De exemplu, compania se execută unul sau mai multe sisteme contabile prin care finanțatorii obține date pentru întocmirea situațiilor financiare consolidate. Atunci când cumpără o întreprindere nouă este dezvăluit faptul că el a instalat un alt sistem contabil. Prin urmare, compania ar trebui să aibă un plan clar pentru transformarea unor astfel de declarații în standardele adoptate de întreprinderea-mamă. În caz contrar, se poate pierde controlul operațional al situației.
  • Are organizarea documentelor companiei în sistemele existente să-și continue activitatea ca de obicei în cazul plecării angajaților cheie?

    Această problemă este extrem de relevantă pentru companiile românești, deoarece chiar și informațiile financiare și contabile sunt adesea înregistrate și stocate în orice formă, să nu mai vorbim de informații cu privire la clienți, și așa mai departe. N. Acest lucru conduce la costuri suplimentare de personal timp nou pe „intrarea“ în leagăn de lucruri și crește riscul de erori.
  • dacă protecția proprietății intelectuale furnizate de companie și clienții săi?
  • Are compania au o secvență clar de acțiuni într-o situație de urgență, de exemplu, în cazul unei funcționări defectuoase a rețelelor de calculatoare sau atacuri de viruși?
  • Are modul de funcționare a sistemelor de informații obiective generale ale companiei? (În cazul în care Societatea ar trebui să aibă un obiectiv comun al centrului de management al fluxului de numerar, precum și sistemele contabile stabilite în diferitele ramuri nu sunt conectate, sarcina set este rezolvată).

    • Pinpoint orice posibilă deteriorare din majoritatea IT-riscuri este dificil, dar pentru a estima le este posibil.

    Experiența personală: Vladimir Isaev, directorul general al "Pharmster" (București)

    În cazul în care proiectul de buget consiliului de administrație al protecției am nevoie pentru a dovedi profitabilitatea instalării sistemului anti-virus. Pentru a face acest lucru, am calculat pierderile aproximative suportate de societate în penetrarea virusului într-o rețea de calculatoare. Având în vedere nivelul de alfabetizare de calculator a personalului, probabilitatea ca un angajat se va deschide litera „suspecte“ și a alerga virusul este de 30%. Frecvența la care pentru a primi e-mail de viruși, de asemenea, poate fi determinată - astfel de date sunt publicate în mai multe reviste de calculator. Pentru restaurare completă rețea după un atac de virus noastre servicii IT necesită una sau două zile. Astfel, costul lucrărilor de restaurare sunt formate din salarii IT-specialist pentru aceste două zile, costurile de tranzacție asociate cu oprirea de muncă, precum și din profitul mediu, pe care compania va primi mai puțin în acest timp. Când membrii consiliului au văzut modul în care aceste costuri depășesc costul de software anti-virus, problema oportunității de cumpărare a dispărut.

    Cum să reducă la minimum riscurile IT

    Experiența multor companii din Romania, strategia cea mai de succes de prevenire a riscurilor IT bazat pe trei reguli de bază.

    Regula numărul 1. angajați accesul la sistemele de informații și documente ale societății ar trebui să fie variat în funcție de importanța și confidențialitatea conținutului documentului.

    Regula numărul 2. Societatea trebuie să controleze accesul la informații și pentru a asigura protecția vulnerabilităților sistemelor informatice.

    Regula numărul 3. Sisteme informatice, de care depinde direct de operațiunile companiei (liniile strategice de comunicare, documente, arhive, rețea de calculatoare) ar trebui să ruleze fără probleme chiar și în cazul unei crize.

    Vadim Korneev, șeful de adoptare a tehnologiilor de factoring AB "IBG NIKoil" (București)

    Pentru a partaja datele clienților noștri prin intermediul rețelelor publice, cum ar fi Internetul, am alocat un server separat. Se copiază datele de pe serverul principal, astfel încât, chiar dacă nu putem respinge atacatorii, ei nu vor avea acces la informații interne ale companiei, precum și arhivele electronice care sunt stocate pe suporturi care nu au acces la Internet. Accesul clientului la datele furnizate de diferitele grade de protecție, care garantează confidențialitatea și fiabilitatea informațiilor transmise. În opinia mea, acest nivel de securitate este acceptabil pentru acest nivel de sisteme.

    Dmitri Volov, IT-director al "Empils" (Rostov-on-Don)

    Rezultatul este o matrice de fluxuri de informații, dintre care fiecare nivel corespunde unui anumit nivel de acces.

    Dezvoltarea reglementărilor legate de securitatea informațiilor, a fost departamentul de re-inginerie și standardizarea proceselor de afaceri. Pe baza acestor reglementări, fiecare cap de forme unitare pentru angajați fișele de post și atribuie răspunderea pentru respectarea securității informațiilor din cadrul unității.

    Lucrările tehnice privind securitatea informațiilor este importantă dublarea funcțiilor care afectează siguranța și integritatea informațiilor și continuitatea companiei (de exemplu, instalarea de servere de schimb, sisteme de backup). Pentru a minimiza riscul de eșecuri, folosim doar echipamente de la producători de încredere. Costurile pe care le amortizează, ca pierderea sistemelor informatice de nefuncționare timp de mai multe ore depășesc în mod repetat costul lor, precum și pierderea de informații, în general, pot paraliza activitatea întreprinderii.

    Securitatea informațiilor - este, în primul rând, problema eficienței pentru dvs. buck, astfel încât să cheltuielile de apărare nu trebuie să depășească valoarea pagubelor potențiale.

    Deoarece orice cu costurile de prevenire a riscurilor trebuie să fie justificată, este imperios necesar să se calculeze rentabilitatea lor. Calculul eficienței și justificarea cheltuielilor pentru reuniunea comisiei de buget a fost administrator al care este interesat în reducerea riscului.

    Pentru a asigura protecția necesară de riscurile de securitate IT și controalele pot fi efectuate următoarele activități.
    1. Identificarea persoanelor responsabile de securitatea informațiilor, să stabilească reglementări, care vor fi descrise acțiuni ale personalului companiei au ca scop prevenirea riscurilor IT, și să furnizeze putere de rezervă pentru a lucra într-o situație critică.
    2. Pentru a dezvolta standarde uniforme pentru sistemele de informații în cadrul organizației, care este, comuta la o singură formulare de raportare, precum și norme uniforme de calcul al indicatorilor care vor fi utilizate în toate produsele companiei care sunt utilizate în acest scop.
    3. Clasifică de date în funcție de gradul de confidențialitate și să se facă distincția între dreptul de acces la acestea.
    4. Asigurați-vă că toate documentele care circulă în cadrul organizației, create cu ajutorul sistemelor instalate central pe calculatoarele. Instalarea orice alt software trebuie să fie autorizat, în caz contrar riscul de accidente și atacuri de virus va creste in mod dramatic.
    5. Punerea în aplicare instrumente de monitorizare pentru a monitoriza starea tuturor sistemelor de întreprindere în caz de acces neautorizat sau de sistem ar trebui să interzică în mod automat intrarea sau pentru a semnala un pericol pentru personalul poate lua măsuri.
    În plus față de aceste măsuri, este necesar să se pregătească pentru consecințele posibile situații de criză și pentru a descrie acțiunile companiei pentru a depăși criza. Pentru a face acest lucru:
    • analiza script-uri de intruziune sau fără angajații autorităților corespunzătoare la rețeaua de informații interne, precum și de a desfășura activități de formare, în scopul de a dezvolta comportamente ale angajaților responsabili pentru securitatea informațiilor în situații de criză;
    • să dezvolte soluții la problemele legate de personal, inclusiv îngrijirea angajaților companiei cheie, cum ar fi și să familiarizeze personalul cu planul de management pentru continuitatea întreprinderii;
    • Informații pentru a pregăti o capacitate de rezervă (servere, calculatoare), precum si link-ul de backup.

    În cazul în care activitatea societății depinde în mare măsură de starea rețelelor sale de informații (de exemplu, companiile implicate în dezvoltarea de software), este necesar să se numească o persoană responsabilă cu normele de dezvoltare, implementare și monitorizare a performanței corporative menite să reducă IT riscuri. Este de dorit ca un astfel de co-coordonator nu avea nicio relație cu Compania IT-structura (de exemplu, CEO-ul).

    Se crede că un angajat care nu este direct legată de tehnologia informației, va fi cel mai obiectiv în organizarea de evenimente în managementul riscului. Munca lui ar trebui să fie evaluate cu ajutorul unor indicatori măsurabili, de exemplu, în timp ce serverul de depanare nu trebuie să depășească 30 de minute, sau frecvența acestor eșecuri nu ar trebui să fie mai mare decât de două ori pe an.

    O condiție esențială a managementului riscului de succes în domeniul tehnologiei informației este continuitatea. Prin urmare, evaluarea riscurilor IT și să dezvolte și să actualizeze planurile pentru a minimiza acestora ar trebui să fie efectuate la intervale regulate, cum ar fi o dată pe trimestru. Auditul periodică a informațiilor de sistem (informații de audit) deținute de către experți independenți, va contribui în continuare la minimizarea riscurilor.