„Nimic nu-i surprinde pe oameni mai mult decât bunul simț și să meargă conform planului.”

Ralph Emerson, scriitor american

Odată ce deciziile privind tratamentul riscului au fost luate, acțiunile de implementare a acestor decizii trebuie identificate și planificate. Fiecare activitate ar trebui să fie clar definită și împărțită în cât mai multe activități este necesar pentru a atribui clar responsabilitățile, pentru a evalua cerințele de alocare a resurselor, pentru a stabili etape și puncte de control, pentru a defini criteriile pentru atingerea obiectivelor și pentru a monitoriza progresul.

Deciziile managementului privind tratamentul riscului sunt documentate sub forma unui „Plan de tratare a riscurilor”. Acest document este un derivat al „Registrului Riscurilor Informaționale”, care definește pentru fiecare grup de amenințări și vulnerabilități o listă de măsuri de tratare a riscurilor care fac posibilă reducerea nivelului maxim de risc pentru un anumit grup de amenințări la nivelul rezidual. risc acceptabil pentru organizație. Planul de tratare a riscurilor determină, de asemenea, termenul de implementare, resursele alocate și executanții responsabili.

Procesul de planificare ar trebui să includă identificarea proprietarilor cheie ai activelor și proceselor de afaceri, consultarea cu aceștia cu privire la alocarea de timp, resurse financiare și alte resurse pentru implementarea planului de tratare a riscurilor și obținerea aprobării nivelului adecvat de management pentru utilizarea resurselor.

___________________________________

Elaborarea și implementarea unui plan de tratare a riscurilor include următoarele măsuri:

• determinarea succesiunii măsurilor de implementare a deciziilor luate cu privire la tratamentul riscului;
• detalierea și prioritizarea activităților de tratare a riscurilor;
• repartizarea responsabilității între artiști interpreți;
• alocarea resurselor necesare;
• definirea reperelor și punctelor de control;
• definirea criteriilor pentru atingerea obiectivelor;
• monitorizarea progresului.

______________________________________

Implementarea măsurilor de tratare a riscurilor trebuie să aibă prioritate în mod corespunzător. Momentul în care poate fi întreprinsă fiecare acțiune depinde de prioritatea sa absolută față de alte acțiuni, de disponibilitatea resurselor (inclusiv de resurse financiare și umane) și de activitățile care trebuie finalizate înainte ca procesul să poată fi început. Planul de tratare a riscurilor trebuie coordonat cu alte planuri de afaceri. Orice dependențe între aceste planuri trebuie identificate.

Măsurile de tratare a riscurilor pot fi prioritizate după cum urmează:

1. Toate contramăsurile sunt împărțite în grupe în funcție de nivelul de risc pe care intenționează să-l reducă. Cea mai mare prioritate este acordată contramăsurilor care reduc cele mai mari riscuri.

2. În fiecare grupă, primul loc este acordat acelor măsuri care sunt mai rapid și mai ușor de implementat și care dau cel mai rapid efect.

3. Prioritatea contramăsurilor care oferă cea mai mare rentabilitate a investiției este crescută.

4. Contramăsurile primare, de care depinde succesul altor contramăsuri, au o prioritate mai mare.

5. Sunt luate în considerare toate celelalte considerente care pot afecta implementarea contramăsurilor, inclusiv relațiile cu alte planuri, disponibilitatea anumitor resurse, considerente politice, economice și de altă natură.

La ieșirea acestui proces, obținem o listă prioritară de măsuri de tratare a riscurilor, pe baza căreia se realizează o planificare mai detaliată, alocarea resurselor și implementarea deciziilor de management al riscului.

Coordonarea tuturor etapelor de implementare a planului de tratare a riscurilor (inclusiv achiziția, implementarea, testarea mecanismelor de securitate, încheierea contractelor de asigurare și externalizare etc.) este realizată de către managerul de securitate a informațiilor sau managerul de risc, care trebuie să controleze că implementarea activitatile se desfasoara in conformitate cu planul, cu o calitate corespunzatoare si in limita resurselor financiare, umane si de timp alocate. La implementarea contramăsurilor într-un sistem informatic, trebuie efectuate teste pentru a confirma fiabilitatea și performanța mecanismelor de securitate implementate, precum și pentru a măsura eficacitatea funcționării acestora.

Principii de bază ale managementului riscului de securitate a informațiilor

În ciuda diferitelor operațiuni, produse și servicii, organizațiile folosesc cinci principii pentru gestionarea riscurilor de securitate a informațiilor:

· Evaluează riscul și identifică nevoile

· Stabilirea managementului centralizat

· Implementați politicile necesare și controalele adecvate

· Promovarea gradului de conștientizare a angajaților

· Monitorizarea și evaluarea eficienței politicilor și controalelor

Un factor esențial în implementarea eficientă a acestor principii este ciclul de comunicare al activității, asigurându-se că managementul securității informațiilor este în permanență concentrat pe riscurile actuale. Este important ca conducerea de vârf a organizației să recunoască existența riscurilor de întrerupere a proceselor de afaceri asociate cu securitatea sistemelor informaționale. Baza pentru dezvoltarea și implementarea politicilor și selectarea controalelor necesare este o evaluare a riscurilor aplicațiilor individuale de afaceri. Pașii luați vor crește gradul de conștientizare a utilizatorilor cu privire la riscuri și politicile aferente. Eficacitatea controalelor este supusă evaluării prin diverse studii și audituri. Rezultatele oferă o abordare pentru evaluările ulterioare ale riscurilor și identifică modificările necesare la politici și controale. Toate aceste acțiuni sunt coordonate central de către serviciul de securitate sau un colectiv de specialiști format din consultanți, reprezentanți ai unităților de afaceri și conducerea organizației.

Evaluarea riscurilor este primul pas în implementarea unui program de securitate a informațiilor. Securitatea nu este privită „în sine”, ci ca un set de politici și controale asociate menite să sprijine procesele de afaceri și să atenueze riscurile asociate. Astfel, identificarea riscurilor de afaceri asociate cu securitatea informațiilor este punctul de plecare al ciclului de management al riscului (securitatea informațiilor).

Recunoașterea riscurilor de securitate a informațiilor de către conducerea unei organizații, precum și un set de măsuri care vizează identificarea și gestionarea acestor riscuri, reprezintă un factor important în dezvoltarea unui program de securitate a informațiilor. Această abordare de management va asigura că securitatea informațiilor este luată în serios la nivelurile organizaționale inferioare ale organizației și că profesioniștii în securitatea informațiilor beneficiază de resursele necesare pentru implementarea eficientă a programului.

Există diverse metodologii de evaluare a riscurilor, de la discuții informale despre risc până la metode destul de complexe care implică utilizarea unor instrumente software specializate. Cu toate acestea, experiența globală a procedurilor de management al riscului de succes descrie un proces relativ simplu care presupune participarea diferitelor departamente ale organizațiilor financiare cu implicarea specialiștilor cu cunoștințe despre procesele de afaceri, specialiști tehnici și specialiști în domeniul securității informațiilor. Merită subliniat faptul că înțelegerea riscurilor nu implică cuantificarea precisă a acestora, inclusiv probabilitatea unui incident sau costul daunelor. Asemenea date nu sunt disponibile deoarece pierderile pot să nu fie detectate și managementul poate să nu fie notificat. În plus, datele privind costurile totale ale reparației daunelor cauzate de controalele de securitate slabe, precum și costurile de operare ale acestor controale (controale), sunt limitate. Din cauza schimbărilor constante în tehnologie și a software-ului și instrumentelor disponibile atacatorilor, aplicarea datelor statistice colectate în anii anteriori este discutabilă. Ca urmare, este dificil să se compare cu acuratețe costul controalelor cu riscul de pierdere pentru a determina care control este cel mai rentabil. În orice caz, managerii unităților de afaceri și profesioniștii în securitatea informațiilor trebuie să se bazeze pe cele mai bune informații disponibile atunci când decid asupra controalelor adecvate.

Managerii unităților de afaceri trebuie să poarte responsabilitatea principală pentru determinarea nivelului de securitate (confidențialitate) al resurselor de informații care susțin procesele de afaceri. Managerii unităților de afaceri sunt cei mai capabili să determine care resursă de informații este cea mai critică, precum și impactul posibil asupra afacerii dacă integritatea, confidențialitatea sau disponibilitatea acesteia este compromisă. În plus, managerii unităților de afaceri pot indica controale (mecanisme) care pot dăuna proceselor de afaceri. Astfel, prin implicarea acestora în selecția controalelor, se poate asigura că controalele îndeplinesc cerințele și vor fi implementate cu succes.

Securitatea informațiilor necesită o atenție continuă pentru a se asigura că controalele sunt adecvate și eficiente. Informațiile moderne și tehnologiile conexe, precum și factorii legați de securitatea informațiilor, sunt în continuă schimbare. Astfel de factori includ amenințările, tehnologiile și configurațiile sistemului, vulnerabilitățile software cunoscute, nivelul de fiabilitate al sistemelor automate și al datelor electronice și criticitatea datelor și a operațiunilor. Echipa de management acționează în primul rând ca consilier sau consultant al unităților de afaceri și nu poate impune metode (instrumente) de securitate a informațiilor. În general, echipa de conducere ar trebui să fie (1) un catalizator (accelerator) al procesului, asigurându-se că riscurile de securitate a informațiilor sunt abordate în mod continuu; (2) o resursă centrală de consultanță pentru unitățile organizaționale; (3) un mijloc de comunicare către conducerea organizației a informațiilor despre starea securității informațiilor și măsurile luate. În plus, echipa de conducere permite gestionarea centralizată a sarcinilor atribuite, altfel aceste sarcini pot fi duplicate de diferite departamente ale organizației. Oamenii din cadrul organizației trebuie să fie implicați în diverse aspecte ale programului de securitate a informațiilor și să aibă abilitățile și cunoștințele adecvate. Nivelul necesar de profesionalism al angajaților poate fi atins prin instruire, care poate fi efectuată atât de specialiști organizatoric, cât și de consultanți externi.

Politicile de securitate a informațiilor stau la baza adoptării anumitor proceduri și selectarea mijloacelor (mecanismelor) de control (management). Politica este mecanismul principal prin care managementul își comunică opiniile și cerințele către angajați, clienți și parteneri de afaceri. Pentru securitatea informațiilor, ca și în alte domenii ale controlului intern, cerințele politicii depind direct de rezultatele evaluării riscurilor. Un set cuprinzător de politici adecvate care sunt accesibile și ușor de înțeles pentru utilizatori este unul dintre primii pași în stabilirea unui program de securitate a informațiilor. Merită subliniată importanța sprijinului (ajustării) continue a politicilor pentru un răspuns în timp util la riscurile identificate și eventualele dezacorduri.

Competența utilizatorului este o condiție prealabilă pentru securitatea informațiilor de succes și, de asemenea, ajută la asigurarea faptului că controalele funcționează corect. Utilizatorii nu pot urma o politică pe care nu o cunosc sau nu o înțeleg. Fără conștientizarea riscurilor asociate cu resursele informaționale ale unei organizații, este posibil ca aceștia să nu vadă nevoia de a aplica politici menite să atenueze riscurile.

Ca orice tip de activitate, securitatea informației este supusă controlului și reevaluării periodice pentru a asigura adecvarea (respectarea) politicilor și mijloacelor (metodelor) de control cu ​​obiectivele stabilite.

Controlul ar trebui să se concentreze în primul rând pe (1) disponibilitatea controalelor și utilizarea acestora pentru a reduce riscul și (2) evaluarea eficienței programului și politicilor de securitate a informațiilor pentru a îmbunătăți înțelegerea utilizatorilor și a reduce incidentele. Astfel de audituri presupun testarea mijloacelor (metodelor) de control, evaluarea conformității acestora cu politicile organizației, analizarea incidentelor de securitate, precum și a altor indicatori ai eficacității programului de securitate a informațiilor. Eficacitatea echipei de conducere poate fi evaluată pe baza, de exemplu, dar fără a se limita la următoarele:

· numărul de traininguri și întâlniri desfășurate;

· numărul de evaluări de risc (riscuri) efectuate;

· numărul de specialişti atestaţi;

· absența incidentelor care complică munca angajaților organizației;

· reducerea numărului de noi proiecte implementate cu întârzieri din cauza problemelor de securitate a informațiilor;

· conformitatea deplină sau abaterile convenite și înregistrate de la cerințele minime de securitate a informațiilor;

· reducerea numărului de incidente care au ca rezultat accesul neautorizat, pierderea sau denaturarea informațiilor.

Cu siguranță, controalele ajută la aducerea unei organizații în conformitate cu politicile de securitate a informațiilor stabilite, dar beneficiile complete ale controalelor nu vor fi atinse decât dacă rezultatele sunt utilizate pentru a îmbunătăți programul de securitate a informațiilor. Revizuirea controlului oferă profesioniștilor în securitatea informațiilor și managerilor de afaceri mijloacele de (1) să reevalueze riscurile identificate anterior, (2) să identifice noi domenii de îngrijorare, (3) să reevalueze suficiența și caracterul adecvat al controalelor și acțiunilor de aplicare existente. securitatea informațiilor, (4). ) identificarea nevoilor de noi mijloace și mecanisme de control, (5) redirecționarea eforturilor de control (acțiuni de control). În plus, rezultatele pot fi folosite pentru a evalua performanța managerilor de afaceri responsabili de înțelegerea și atenuarea riscurilor în unitățile de afaceri.
Este important să ne asigurăm că (1) profesioniștii în securitatea informațiilor țin pasul cu dezvoltarea de metode și instrumente (aplicații) și au cele mai recente informații despre vulnerabilitatea sistemelor și aplicațiilor informaționale, (2) conducerea superioară se asigură că au resursele necesare pentru a face acest.

Metode de analiză

PEST este o abreviere a patru cuvinte în limba engleză: P - Politic-legal - politic și juridic, E - Esopomis - economic, S - Sociocultural - sociocultural, T - Forțe tehnologice - factori tehnologici.

Analiza PEST constă în identificarea și evaluarea influenței factorilor de macromediu asupra rezultatelor activităților curente și viitoare ale întreprinderii .

Există patru grupuri de factori care sunt cei mai importanți pentru strategia întreprinderii:

Politice și juridice;

Economic;

Socioculturale;

Tehnologic.

Scopul analizei PEST este de a urmări (monitoriza) schimbările din macromediu în patru domenii cheie și de a identifica tendințele și evenimentele care nu sunt sub controlul întreprinderii, dar influențează rezultatele deciziilor strategice luate.

Tabelul 1. Analiza PEST

Factorul politic mediul extern este studiat în primul rând pentru a avea o înțelegere clară a intențiilor autorităților guvernamentale cu privire la dezvoltarea societății și a mijloacelor prin care statul intenționează să-și pună în aplicare politicile.

Analiză aspect economic mediul extern ne permite să înțelegem cum se formează și se distribuie resursele economice la nivel de stat. Pentru majoritatea întreprinderilor, aceasta este cea mai importantă condiție pentru activitatea lor comercială.

Studiu componenta sociala mediul extern are ca scop înțelegerea și evaluarea impactului asupra afacerilor al unor fenomene sociale precum atitudinea oamenilor față de calitatea vieții, mobilitatea oamenilor, activitatea de consum etc.

Analiză componenta tehnologica vă permite să prevedeți oportunități asociate cu dezvoltarea științei și tehnologiei, să vă adaptați în timp util la producția și vânzarea unui produs promițător din punct de vedere tehnologic și să preziceți momentul abandonării tehnologiei utilizate.

Procedura de realizare a analizei PE5T.

Se disting următoarele etape ale analizei externe:

1. Se elaborează o listă de factori strategici externi care au o mare probabilitate de implementare și impact asupra funcționării întreprinderii.

2. Semnificația (probabilitatea de apariție) fiecărui eveniment pentru o întreprindere dată este evaluată prin atribuirea unei anumite ponderi de la unu (cel mai important) la zero (nesemnificativ). Suma greutăților trebuie să fie egală cu unu, care este asigurată prin normalizare.

3. Se face o evaluare a gradului de influență a fiecărui factor-eveniment asupra strategiei întreprinderii pe o scară de 5 puncte: „cinci” – impact puternic, pericol grav; „unu” – absența impactului, amenințare.

4. Evaluările ponderate sunt determinate prin înmulțirea ponderii factorului cu puterea impactului acestuia și se calculează evaluarea totală ponderată pentru întreprinderea dată.

Evaluarea totală indică gradul de pregătire a întreprinderii de a răspunde la factorii de mediu actuali și prevăzuți.

Tabelul 2. Rezultatele analizei factorilor strategici externi

În acest caz, un scor de 3,05 arată că răspunsul întreprinderii la factorii strategici de mediu este la un nivel mediu.

Metoda SWOT utilizată pentru analiza mediului este o abordare larg recunoscută care permite un studiu comun al mediului extern și intern.

Folosind metoda analizei SWOT, se pot stabili linii de comunicare între punctele forte și punctele slabe care sunt inerente organizației și amenințările și oportunitățile externe. Metodologia presupune mai întâi identificarea punctele forte și punctele slabe,și amenințări și oportunități, iar după aceea stabilirea lanțurilor de conexiuni între ele, care pot fi folosite ulterior pentru a formula strategia organizației.

Thompson și Strickland au propus următorul set aproximativ de caracteristici, a căror concluzie ar trebui să ne permită să întocmim o listă cu punctele slabe și punctele forte ale organizației, precum și o listă a amenințărilor și oportunităților pentru aceasta în mediul extern.

Puncte forte:

Competență remarcabilă;

resurse financiare adecvate;

Calificare înaltă;

Bună reputație în rândul cumpărătorilor;

Lider de piață cunoscut;

Un strateg plin de resurse în zonele funcționale ale organizației;

Posibilitatea de a obține economii din volumul de producție crescut;

Protecție (cel puțin undeva) de presiunea competitivă puternică;

Tehnologie adecvată;

Avantajele de cost;

Avantaje competitive;

Disponibilitatea abilităților inovatoare și posibilitatea implementării acestora;

Management testat în timp.

Părți slabe:

Nu există direcții strategice clare;

Deteriorarea poziției competitive;

Echipamente învechite;

Rentabilitate mai scazuta deoarece...;

Lipsa talentului managerial și profunzimea rezolvării problemelor;

Lipsa anumitor tipuri de calificări și competențe cheie;

Urmărirea slabă a procesului de implementare a strategiei;

Suferind de probleme de producție internă;

Vulnerabilitatea la presiunile competitive;

Decalaj în cercetare și dezvoltare;

Linie de producție foarte îngustă;

Înțelegerea slabă a pieței;

Dezavantaje competitive;

Abilități de marketing sub medie;

Eșecul finanțării schimbărilor necesare în strategie.

Posibilitati:

Intrarea pe noi piețe sau segmente de piață;

Extinderea liniei de productie;

Diversitate crescută a produselor interconectate;

Adăugarea de produse conexe;

Integrare verticala;

Oportunitatea de a trece într-un grup cu o strategie mai bună;

Complezența între firmele concurente;

Accelerarea creșterii pieței.

Posibilitatea apariției de noi concurenți;

Creșterea vânzărilor unui produs de înlocuire;

Încetinirea creșterii pieței;

Politici guvernamentale nefavorabile;

Creșterea presiunii competitive;

Recesiunea și estomparea ciclului de afaceri;

Creșterea puterii de negociere între cumpărători și furnizori;

Schimbarea nevoilor și gusturilor clienților;

Schimbări demografice nefavorabile.

Subtitlu: Metodologia analizei si construirea unei matrice de analiza SWOT

O organizație poate completa fiecare dintre cele patru părți ale listei cu acele caracteristici ale mediului extern și intern care reflectă situația specifică în care se află.

Odată întocmită o listă specifică a punctelor slabe și a punctelor forte ale organizației, precum și a amenințărilor și oportunităților, începe etapa de stabilire a conexiunilor între acestea. Pentru a stabili aceste conexiuni, este compilată o matrice SWOT, care are următoarea formă (Fig. 1).

Orez. 1. Matricea analizei SWOT

În stânga sunt evidențiate două blocuri (puncte tari, puncte slabe), în care sunt trecute, respectiv, toate aspectele organizației identificate la prima etapă de analiză.

În partea de sus a matricei există și două blocuri (oportunități și amenințări), în care sunt notate toate oportunitățile și amenințările identificate. La intersecția blocurilor se formează patru câmpuri:

SIV (putere și capacități); SIS (putere și amenințări); SLV (slăbiciune și oportunitate); SLU (slăbiciune și amenințări). În fiecare domeniu, cercetătorul trebuie să ia în considerare toate combinațiile posibile în perechi și să le evidențieze pe cele care ar trebui să fie luate în considerare la elaborarea strategiei comportamentale a organizației.

Pentru acele perechi care au fost selectate din domeniul SIV, ar trebui dezvoltată o strategie care să folosească punctele forte ale organizației pentru a valorifica oportunitățile apărute în mediul extern.

Pentru acele cupluri care se regăsesc pe domeniul SLV, strategia ar trebui structurată în așa fel încât, datorită oportunităților apărute, să încerce să depășească slăbiciunile din organizație.

Dacă cuplul se află în domeniul SIS, atunci strategia ar trebui să implice utilizarea puterii organizației pentru a elimina amenințarea.

În cele din urmă, pentru cuplurile din domeniul SLU, organizația trebuie să dezvolte o strategie care să îi permită atât să scape de slăbiciune, cât și să încerce să prevină amenințarea care planează asupra acesteia.

Când dezvoltați strategii, trebuie să vă amintiți că oportunitățile și amenințările se pot transforma în contrariile lor. Astfel, o oportunitate neexploatată poate deveni o amenințare dacă un concurent o exploatează. Sau, dimpotrivă, o amenințare prevenită cu succes poate deschide oportunități suplimentare pentru organizație dacă concurenții nu reușesc să elimine aceeași amenințare.

Subtitlu: Construirea unei matrice de „oportunități”

Pentru a analiza cu succes mediul unei organizații folosind analiza SWOT, este important nu numai să poți identifica amenințările și oportunitățile, ci și să le poți evalua din punct de vedere al importanței și gradului de influență asupra strategiei organizației.

Pentru a evalua oportunitățile, se utilizează o metodă de poziționare a fiecărei oportunități specifice pe matricea oportunităților (Fig. 2).

Orez. 2. Matricea de oportunitati

Matricea este construită după cum urmează:

– orizontal de sus se trasează gradul de influență a oportunității asupra activităților organizației (puternic, moderat, mic);

– pe verticala stângă se află probabilitatea ca organizația să poată profita de oportunitate (mare, medie, scăzută).

Cele nouă câmpuri de oportunitate rezultate din matrice au semnificații diferite pentru organizație.

Oportunitățile care se încadrează în domeniile BC, B, U și SS sunt de mare importanță pentru organizație și trebuie folosite.

Oportunitățile care se încadrează în domeniile SM, NU și NM practic nu merită atenția organizației.

Subtitlu: Construirea unei matrice de „amenințări”.

O matrice similară este compilată pentru a evalua amenințările (Fig. 3):

– posibilele consecințe pentru organizație, care ar putea rezulta din implementarea amenințării (distrugere, stare critică, stare gravă, „echimoze minore”) sunt așezate orizontal în partea de sus.

– în stânga verticală este probabilitatea ca amenințarea să fie realizată (mare, medie, scăzută).

Orez. 3. Matricea amenințărilor

Acele amenințări care intră în domeniile VR, VC și SR reprezintă un pericol foarte mare pentru organizație și necesită eliminare imediată și obligatorie.

Amenințările care au intrat în domeniul VT, SC și HP trebuie să fie și în vizorul conducerii superioare și să fie eliminate cu prioritate.

În ceea ce privește amenințările localizate în domeniile NK, ST și VL, este necesară o abordare atentă și responsabilă pentru eliminarea acestora. Deși sarcina de a le elimina mai întâi nu este stabilită. De asemenea, amenințările care se încadrează în domeniile rămase nu ar trebui să scadă din vizorul conducerii organizației. Dezvoltarea lor trebuie monitorizată îndeaproape.

Subtitlu: Profilarea mediului

Alături de metodele de studiu a amenințărilor, oportunităților, punctelor forte și punctelor slabe ale unei organizații, metoda de profilare a unei organizații poate fi utilizată pentru a analiza mediul. Această metodă este convenabilă de utilizat pentru a profila separat macromediul, mediul imediat și mediul intern. Folosind metoda profilării mediului, este posibil să se evalueze importanța relativă a factorilor individuali de mediu pentru organizație.

Metoda de elaborare a unui profil de mediu este următoarea. Factorii de mediu individuali sunt enumerați în tabelul profilului de mediu (Fig. 4). Fiecare factor primește o evaluare de specialitate:

Importanța pentru industrie la scară: 3 – mare, 2 – moderată, 1 – slabă;

Impact asupra organizației pe o scară: 3 – puternic, 2 – moderat, 1 – slab, 0 – fără influență;

Direcții de influență pe scară: +1 – pozitiv, -1 – negativ.

Orez. 4. Tabelul profilului mediului

În continuare, se înmulțesc toate cele trei evaluări ale experților și se obține o evaluare integrală, care arată gradul de importanță a factorului pentru organizație. Din această evaluare, managementul poate concluziona care factori de mediu sunt relativ mai importanți pentru organizarea lor și, prin urmare, merită cea mai serioasă atenție și care factori merită mai puțină atenție.

Analiza de mediu este foarte importantă pentru dezvoltarea strategiei unei organizații și a unui proces foarte complex care necesită monitorizarea atentă a proceselor care au loc în mediu, evaluarea factorilor și stabilirea de legături între factori și punctele forte și punctele slabe ale organizației, precum și oportunitățile și amenințările pe care le prezintă. exista in mediul extern.

Este evident că fără cunoașterea mediului, organizația nu poate exista. Cu toate acestea, nu plutește ca o barcă fără cârmă, vâsle sau pânză. O organizație își examinează mediul pentru a-și asigura progresul cu succes în atingerea obiectivelor sale. Prin urmare, în structura procesului de management strategic, analiza de mediu este urmată de stabilirea misiunii și obiectivelor organizației.

9.3. Ciclul de viață al produsului/serviciului

Orice produs (serviciu) parcurge ciclul său de viață de la început (apariția pe piață) până la terminare (lansarea ultimului eșantion).

Se pot distinge următoarele etape principale ale ciclului de viață (Fig. 5):

Orez. 5. Ciclul de viață tipic al produsului în timp

Matricea BCG

Cea mai populară procedură de analiză a poziției unei companii pe piață este construirea de matrici de portofoliu. De obicei, astfel de matrici sunt construite pe baza unor variabile importante din punct de vedere strategic, cum ar fi rata de creștere a industriei, dimensiunea pieței, atractivitatea pe termen lung a industriei, statutul competitiv etc. Astfel de matrici bidimensionale sunt relativ simple și oferă o piață clară. mediu inconjurator. Cele mai utilizate matrice sunt BCG (BCG - Boston Consulting Group) și General Electric.

Boston Matrix se bazează pe un model ciclului de viață al produsului, conform căruia un produs trece prin patru etape în dezvoltarea sa: intrarea pe piață (produsul „wildcat”), creșterea (produsul „vedea”) și maturitatea (produsul „stele”). produs „vacă de numerar”). „) și declin (produs - „câine”).

Pentru a evalua competitivitatea tipurilor individuale de afaceri, sunt utilizate două criterii: rata de creștere a pieței industriei; cota relativa de piata.

Rata de creștere a pieței este definită ca medie ponderată rata de creștere a diferitelor segmente de piață în care operează întreprinderea sau este considerată egală cu rata de creștere a produsului național brut. Ratele de creștere a industriei de 10% sau mai mult sunt considerate ridicate.

Cota de piață relativă este determinată prin împărțirea cotei de piață a afacerii în cauză la cota de piață a celui mai mare concurent.

Orez. 6. Matricea BCG pentru o companie ipotetică

O valoare a cotei de piață de 1 separă produsele lider de piață de adepți. Astfel, tipurile de afaceri (produse individuale) sunt împărțite în patru grupuri diferite (Fig. 6).

Matricea BCG se bazează pe două ipoteze:

1. O afacere cu o cotă de piață semnificativă câștigă un avantaj competitiv în ceea ce privește costurile de producție ca urmare a efectului. Rezultă că cel mai mare concurent are cea mai mare profitabilitate atunci când vinde la prețurile pieței și pentru acesta fluxurile financiare sunt maxime.

2. Prezența pe o piață în creștere înseamnă o nevoie crescută de resurse financiare pentru dezvoltarea acesteia, de ex. renovarea și extinderea producției, publicitate intensivă etc. Dacă rata de creștere a pieței este scăzută, cum ar fi o piață matură, atunci produsul nu necesită finanțare semnificativă.

În cazul în care ambele ipoteze sunt îndeplinite, se pot distinge patru grupuri de piețe de produse, corespunzătoare unor obiective strategice prioritare și nevoi financiare diferite:

Wildcats (Creștere mare/Cotă scăzută): Produsele din acest grup pot fi foarte promițătoare pe măsură ce piața se extinde, dar necesită capital semnificativ pentru a susține creșterea. În raport cu această grupă de produse, este necesar să se decidă: creșterea cotei de piață a acestor produse sau încetarea finanțării acestora.

Vedetele (creștere rapidă/cotă mare) sunt lideri de piață. Acestea generează profituri semnificative datorită competitivității lor, dar necesită și finanțare pentru a menține o pondere ridicată a unei piețe dinamice.

Cash Cows (Creștere lentă/Cotă mare): Produse care pot genera mai mult profit decât este necesar pentru a le susține creșterea. Ele sunt principala sursă de fonduri pentru diversificare și cercetare. Scopul strategic prioritar este „recoltarea”.

„Câinii” (creștere lentă/cotă scăzută) sunt produse care sunt în dezavantaj din punct de vedere al costurilor și nu au loc de creștere. Conservarea unor astfel de bunuri implică costuri financiare semnificative cu șanse reduse de a îmbunătăți situația. Strategia prioritară este dezinvestirea și traiul modest.

În mod ideal, un portofoliu de produse echilibrat al unei întreprinderi ar trebui să includă:

2-3 produse sunt „vaci”, 1-2 sunt „stele”, mai multe „pisici” ca fundație pentru viitor și, poate, un număr mic de produse sunt „câini”. Un exces de mărfuri vechi („câini”) indică pericolul unei recesiuni, chiar dacă performanța actuală a companiei este relativ bună. O ofertă excesivă de produse noi poate duce la dificultăți financiare.

Într-un portofoliu corporativ dinamic, se disting următoarele traiectorii de dezvoltare (scenarii) (Fig. 7).

Orez. 7. Principalele scenarii de dezvoltare

„Traiectoria produsului”. Investind în fonduri de cercetare și dezvoltare primite de la „vaci de numerar”, compania intră pe piață cu un produs fundamental nou, care ține locul vedetei.

„Traiectoria urmăritorilor”. Fondurile de la „vaci de numerar” sunt investite într-un produs – „pisica”, a cărui piață este dominată de lider. Compania aderă la o strategie agresivă de creștere a cotei de piață, iar produsul „pisica” se transformă într-o „stea”.

„Traiectoria eșecului” Din cauza investițiilor insuficiente, produsul vedetă își pierde poziția de lider pe piață și devine un produs „pisica”.

„Traiectoria mediocrității”. Produsul „pisica” nu reușește să-și crească cota de piață și intră în etapa următoare (produsul „câine”).

În prezent, riscurile de securitate a informațiilor reprezintă o mare amenințare pentru activitățile normale ale multor întreprinderi și instituții. În era noastră a tehnologiei informației, obținerea oricăror date nu este practic dificilă. Pe de o parte, acest lucru, desigur, aduce multe aspecte pozitive, dar devine o problemă pentru chipul și brandul multor companii.

Protejarea informațiilor în întreprinderi devine acum aproape o prioritate de top. Experții consideră că numai prin dezvoltarea unei anumite secvențe conștiente de acțiuni poate fi atins acest obiectiv. În acest caz, este posibil să te ghidezi numai după fapte de încredere și să folosești metode analitice avansate. Dezvoltarea intuiției și experienței specialistului responsabil de această divizie în întreprindere aduce o anumită contribuție.

Acest material vă va spune despre gestionarea riscurilor de securitate a informațiilor ale unei entități de afaceri.

Ce tipuri de posibile amenințări există în mediul informațional?

Pot exista multe tipuri de amenințări. Analiza riscurilor de securitate a informațiilor întreprinderii începe cu luarea în considerare a tuturor amenințărilor potențiale posibile. Acest lucru este necesar pentru a decide asupra metodelor de verificare în cazul acestor situații neprevăzute, precum și pentru a crea un sistem de protecție adecvat. Riscurile de securitate a informațiilor sunt împărțite în anumite categorii în funcție de diferite criterii de clasificare. Sunt de următoarele tipuri:

• surse fizice;
• utilizarea necorespunzătoare a rețelei de calculatoare și a World Wide Web;
• scurgeri din surse sigilate;
• scurgeri prin mijloace tehnice;
• intrare neautorizată;
• atacul bunurilor informaționale;
• încălcarea integrității modificării datelor;
• urgențe;
• încălcări legale.

Ce este inclus în conceptul de „amenințări fizice la adresa securității informațiilor”?

Tipurile de riscuri de securitate a informațiilor sunt determinate în funcție de sursele apariției acestora, de modalitatea de implementare a intruziunii ilegale și de scop. Cele mai simple din punct de vedere tehnic, dar care necesită încă o execuție profesională, sunt amenințările fizice. Acestea reprezintă acces neautorizat la surse închise. Adică, acest proces este de fapt un furt obișnuit. Informațiile pot fi obținute personal, cu propriile mâini, prin simpla invadare a teritoriului instituției, birourilor, arhivelor pentru a avea acces la echipamente tehnice, documentație și alte medii de informare.

Furtul poate să nu implice nici măcar datele în sine, ci locul unde sunt stocate, adică echipamentul informatic în sine. Pentru a perturba activitățile normale ale unei organizații, atacatorii pot cauza pur și simplu funcționarea defectuoasă a suporturilor de stocare sau a echipamentelor tehnice.

Scopul unei intruziuni fizice poate fi, de asemenea, acela de a obține acces la un sistem de care depinde protecția informațiilor. Un atacator poate modifica opțiunile de rețea responsabile de securitatea informațiilor pentru a facilita și mai mult implementarea metodelor ilegale.

Posibilitatea unei amenințări fizice poate fi oferită și de membrii diferitelor grupuri care au acces la informații clasificate care nu sunt făcute publice. Scopul lor este o documentare valoroasă. Astfel de persoane sunt numite persoane din interior.

Activitatea atacatorilor externi poate fi îndreptată către același obiect.

Cum pot angajații companiei să devină înșiși cauza amenințărilor?

Riscurile de securitate a informațiilor apar adesea din cauza utilizării necorespunzătoare de către angajați a internetului și a sistemelor informatice interne. Atacatorii sunt grozavi în a profita de lipsa de experiență, nepăsarea și lipsa de educație a unor oameni în ceea ce privește securitatea informațiilor. Pentru a exclude această opțiune de sustragere a datelor confidențiale, conducerea multor organizații urmărește o politică specială în rândul personalului lor. Scopul său este de a învăța oamenii regulile de comportament și de utilizare a rețelelor. Aceasta este o practică destul de comună, deoarece amenințările care apar în acest fel sunt destul de frecvente. Programele pentru dobândirea abilităților de securitate a informațiilor pentru angajații întreprinderii includ următoarele:

• depășirea utilizării ineficiente a instrumentelor de audit;
• reducerea gradului în care oamenii folosesc instrumente speciale pentru prelucrarea datelor;
• reducerea utilizării resurselor și activelor;
• instruire în obținerea accesului la instrumentele de rețea numai prin metode stabilite;
• identificarea zonelor de influență și desemnarea teritoriului de responsabilitate.

Când fiecare angajat înțelege că soarta instituției depinde de îndeplinirea responsabilă a sarcinilor care îi sunt atribuite, el încearcă să respecte toate regulile. Este necesar să se stabilească sarcini specifice pentru oameni și să se justifice rezultatele obținute.

Cum sunt încălcați termenii de confidențialitate?

Riscurile și amenințările la adresa securității informațiilor sunt asociate în mare măsură cu achiziționarea ilegală de informații care nu ar trebui să fie disponibile persoanelor neautorizate. Primul și cel mai comun canal de scurgere este tot felul de metode de comunicare și comunicare. Într-un moment în care s-ar părea că corespondența personală este disponibilă doar pentru două părți, aceasta este interceptată de părțile interesate. Deși oamenii rezonabili înțeleg că este necesar să transmită ceva extrem de important și secret în alte moduri.

Deoarece o mulțime de informații sunt acum stocate pe medii portabile, atacatorii stăpânesc în mod activ interceptarea informațiilor prin acest tip de tehnologie. Ascultarea canalelor de comunicare este foarte populară, doar că acum toate eforturile geniilor tehnice sunt menite să spargă barierele de protecție ale smartphone-urilor.

Informațiile confidențiale pot fi dezvăluite neintenționat de către angajații unei organizații. Ele nu pot dezvălui în mod direct toate „aparițiile și parolele”, ci doar ghidează atacatorul pe calea cea bună. De exemplu, oamenii, fără să știe, oferă informații despre locația documentației importante.

Nu numai subordonații sunt vulnerabili. Contractorii pot oferi, de asemenea, informații confidențiale în timpul parteneriatelor.

Cum este încălcată securitatea informațiilor prin mijloace tehnice?

Asigurarea securității informațiilor se datorează în mare măsură utilizării unor mijloace tehnice de protecție fiabile. Dacă sistemul de suport este eficient și eficient, cel puțin în echipamentul în sine, atunci acesta este deja jumătate din succes.

Practic, scurgerea de informații se realizează astfel prin controlul diferitelor semnale. Metode similare includ crearea de surse specializate de emisie sau semnale radio. Acestea din urmă pot fi electrice, acustice sau vibraționale.

Destul de des se folosesc instrumente optice care permit citirea informațiilor de pe afișaje și monitoare.

Varietatea dispozitivelor oferă o gamă largă de metode pentru infiltrarea și extragerea informațiilor de către atacatori. Pe lângă metodele de mai sus, există și televiziune, recunoaștere fotografică și vizuală.

Datorită posibilităților atât de largi, un audit de securitate a informațiilor include în primul rând verificarea și analizarea funcționării mijloacelor tehnice de protejare a datelor confidențiale.

Ce este considerat acces neautorizat la informațiile companiei?

Gestionarea riscului de securitate a informațiilor este imposibilă fără a preveni amenințările de acces neautorizat.

Unul dintre cei mai proeminenți reprezentanți ai acestei metode de a pirata sistemul de securitate al altcuiva este atribuirea unui ID de utilizator. Această metodă se numește „Masquerade”. Accesul neautorizat în acest caz implică utilizarea datelor de autentificare. Adică, scopul intrusului este să obțină o parolă sau orice alt identificator.

Atacatorii pot exercita influență din interiorul obiectului însuși sau din exterior. Ei pot obține informațiile de care au nevoie din surse precum jurnalul de audit sau instrumentele de audit.

Adesea, infractorul încearcă să aplice politica de implementare și să folosească metode aparent complet legale.

Accesul neautorizat se aplică următoarelor surse de informații:

• site web și gazde externe;
• rețea fără fir pentru întreprinderi;
• copii de siguranță ale datelor.

Există nenumărate moduri și metode de acces neautorizat. Atacatorii caută defecte și lacune în configurația și arhitectura software-ului. Ei obțin date prin modificarea software-ului. Pentru a neutraliza și a calma vigilența, infractorii lansează malware și bombe logice.

Care sunt amenințările legale la adresa securității informațiilor unei companii?

Managementul riscului de securitate a informațiilor funcționează în diverse direcții, deoarece scopul său principal este de a asigura o protecție cuprinzătoare și holistică a întreprinderii împotriva intruziunilor externe.

Nu mai puțin importantă decât direcția tehnică este cea juridică. În acest fel, care, dimpotrivă, s-ar părea, ar trebui să apere interesele, se dovedește a obține informații foarte utile.

Încălcările din punct de vedere juridic pot fi legate de drepturi de proprietate, drepturi de autor și drepturi de brevet. În această categorie intră și utilizarea ilegală a software-ului, inclusiv importul și exportul. Puteți încălca cerințele legale doar nerespectând termenii contractului sau cadrul legal în ansamblu.

Cum se stabilesc obiectivele de securitate a informațiilor?

Asigurarea securității informațiilor începe cu stabilirea zonei de protecție. Este necesar să se definească clar ce trebuie protejat și de cine. Pentru a face acest lucru, este determinat un portret al unui potențial criminal, precum și posibile metode de hacking și infiltrare. Pentru a stabili obiective, trebuie mai întâi să discutați cu managementul. Acesta va sugera zone prioritare de protecție.

Din acest moment începe auditul de securitate a informațiilor. Vă permite să determinați în ce raport este necesar să aplicați tehnici tehnologice și metode de afaceri. Rezultatul acestui proces este o listă finală de activități, care stabilește obiectivele cu care se confruntă unitatea pentru a asigura protecția împotriva intruziunilor neautorizate. Procedura de audit are ca scop identificarea momentelor critice și a punctelor slabe ale sistemului care interferează cu activitățile normale și cu dezvoltarea întreprinderii.

După stabilirea obiectivelor, se dezvoltă un mecanism de implementare a acestora. Sunt dezvoltate instrumente pentru monitorizarea și minimizarea riscurilor.

Ce rol joacă activele în analiza riscului?

Riscurile de securitate a informațiilor organizaționale afectează direct activele întreprinderii. La urma urmei, scopul atacatorilor este să obțină informații valoroase. Pierderea sau dezvăluirea acestuia va duce cu siguranță la pierderi. Daunele cauzate de intruziunea neautorizată pot avea un impact direct sau pot avea doar un impact indirect. Adică, acțiunile ilegale împotriva unei organizații pot duce la o pierdere completă a controlului asupra afacerii.

Valoarea prejudiciului este evaluată în funcție de bunurile de care dispune organizația. Resursele subiectului sunt toate resursele care contribuie în orice fel la implementarea obiectivelor managementului. Activele unei întreprinderi înseamnă toate activele corporale și necorporale care generează și ajută la generarea de venituri.

Există mai multe tipuri de active:

• material;
• uman;
• informativ;
• financiar;
• procese;
• marcă și autoritate.

Ultimul tip de activ suferă cel mai mult din cauza intruziunii neautorizate. Acest lucru se datorează faptului că orice risc real de securitate a informațiilor afectează imaginea. Problemele cu acest domeniu reduc automat respectul și încrederea într-o astfel de întreprindere, deoarece nimeni nu dorește ca informațiile lor confidențiale să devină publice. Fiecare organizație care se respectă are grijă să își protejeze propriile resurse de informații.

Diferiți factori influențează cât de mult și ce active vor avea de suferit. Ele sunt împărțite în externe și interne. Impactul lor complex, de regulă, afectează simultan mai multe grupuri de resurse valoroase.

Întreaga afacere a întreprinderii este construită pe active. Sunt prezenți într-o oarecare măsură în activitățile oricărei instituții. Doar că pentru unii oameni unele grupuri sunt mai importante, iar altele mai puțin importante. În funcție de ce tip de bunuri au putut influența atacatorii, depinde rezultatul, adică prejudiciul cauzat.

Evaluarea riscurilor de securitate a informațiilor vă permite să identificați în mod clar principalele active și, dacă acestea au fost afectate, atunci aceasta este plină de pierderi ireparabile pentru întreprindere. Conducerea în sine ar trebui să acorde atenție acestor grupuri de resurse valoroase, deoarece siguranța lor este în interesul proprietarilor.

Zona prioritară pentru departamentul de securitate a informațiilor este ocupată de active auxiliare. O persoană specială este responsabilă pentru protecția lor. Riscurile privind acestea nu sunt critice și afectează doar sistemul de management.

Care sunt factorii de securitate a informațiilor?

Calculul riscurilor de securitate a informațiilor include construirea unui model specializat. Reprezintă noduri care sunt conectate între ele prin conexiuni funcționale. Nodurile sunt aceleași active. Modelul folosește următoarele resurse valoroase:

• Oameni;
• strategie;
• tehnologii;
• proceselor.

Coastele care le unesc sunt chiar factorii de risc. Pentru a identifica posibilele amenințări, cel mai bine este să contactați direct departamentul sau specialistul care lucrează cu aceste active. Orice potențial factor de risc poate fi o condiție prealabilă pentru formarea unei probleme. Modelul evidențiază principalele amenințări care pot apărea.

În ceea ce privește echipa, problema constă în nivelul scăzut de educație, lipsa personalului și lipsa motivației.

Riscurile de proces includ variabilitatea mediului, automatizarea slabă a producției și împărțirea neclară a responsabilităților.

Tehnologiile pot suferi din cauza software-ului învechit și a lipsei de control asupra utilizatorilor. Problemele legate de peisajul eterogen al tehnologiei informației pot fi, de asemenea, cauza.

Avantajul acestui model este că valorile de prag ale riscurilor de securitate a informațiilor nu sunt clar stabilite, deoarece problema este privită din unghiuri diferite.

Ce este un audit de securitate a informațiilor?

O procedură importantă în domeniul securității informațiilor întreprinderii este auditul. Este o verificare a stării actuale a sistemului de protecție împotriva intruziunilor neautorizate. Procesul de audit determină gradul de conformitate cu cerințele stabilite. Implementarea sa este obligatorie pentru unele tipuri de instituții, pentru altele este consultativă. Examinarea se desfășoară în raport cu documentația compartimentelor de contabilitate și fiscalitate, a echipamentelor tehnice și a părților financiare și economice.

Un audit este necesar pentru a înțelege nivelul de securitate, iar în caz de neconformitate, optimizarea la normal. Această procedură vă permite, de asemenea, să evaluați fezabilitatea investițiilor financiare în securitatea informațiilor. În cele din urmă, expertul va da recomandări cu privire la rata cheltuielilor financiare pentru a obține o eficiență maximă. Un audit vă permite să ajustați controalele.

Expertiza în securitatea informațiilor este împărțită în mai multe etape:

1. Stabilirea obiectivelor și modalităților de a le atinge.
2. Analiza informațiilor necesare pentru a ajunge la un verdict.
3. Prelucrarea datelor colectate.
4. Opinie și recomandări ale experților.

În cele din urmă, specialistul își va da decizia. Recomandările comisiei vizează cel mai adesea schimbarea configurațiilor echipamentelor tehnice, precum și a serverelor. Adesea, unei întreprinderi cu probleme i se cere să aleagă o metodă de securitate diferită. Poate că, pentru o consolidare suplimentară, experții vor prescrie un set de măsuri de protecție.

Munca după primirea rezultatelor auditului are ca scop informarea echipei despre probleme. Dacă acest lucru este necesar, atunci merită să se efectueze instruire suplimentară pentru a crește educația angajaților în ceea ce privește protecția resurselor informaționale ale întreprinderii.

Una dintre cele mai importante sarcini de gestionare a securității informațiilor unei organizații și a CISS-ului acesteia este managementul riscurilor, sau managementul riscului - activități coordonate pentru a gestiona riscul unei organizații. În contextul riscurilor de securitate a informațiilor, sunt luate în considerare doar consecințele negative (pierderile).

În ceea ce privește atingerea obiectivelor de afaceri ale organizației, managementul riscului este procesul de creare și dezvoltare dinamică a unui sistem de securitate a informațiilor fezabil din punct de vedere economic și a unui sistem eficient de management al securității informațiilor. Prin urmare, managementul riscului este una dintre principalele sarcini și responsabilități ale managementului organizației.

Managementul riscului folosește propriul cadru conceptual, care este în prezent standardizat și este prezentat în standardele GOST R ISO/IEC 13335-1-2006, GOST R ISO/IEC 27001-2006. Standardul ISO/IEC 27005:2008 „Tehnologia informației. Metode și mijloace de asigurare a securității. Managementul riscului de securitate a informațiilor” oferă îndrumări conceptuale privind managementul riscului de securitate a informațiilor și sprijină conceptele generale și modelul ISMS definit în GOST R ISO/IEC 27001-2006. Se bazează pe standardul britanic BS 7799-3:2006 și are o oarecare suprapunere cu standardul american NIST SP 800-30:2002, care oferă, de asemenea, îndrumări de gestionare a riscurilor pentru sistemele de tehnologie a informației și este destinat să ajute la asigurarea unei securități adecvate a informațiilor pentru o organizație și KISS-ul său bazat pe o abordare de management al riscului. A fost elaborat un proiect al standardului național rus GOST R ISO/IEC 27005-2008, armonizat cu ISO/IEC 27005:2008.

Aceste standarde definesc riscul ca fiind potențialul de prejudiciu adus unei organizații ca urmare a unei amenințări care exploatează vulnerabilitățile unui activ sau grup de active. Risc pentru securitatea informațiilor - posibilitatea ca această amenințare să exploateze vulnerabilitățile unui activ informațional (grup de active) și, prin urmare, să dăuneze organizației. Se măsoară printr-o combinație a probabilității unui eveniment nedorit și a consecințelor acestuia (posibil daune).

Managementul riscului de securitate a informațiilor acoperă mai multe procese, dintre care cele mai importante sunt evaluarea riscului, care include analiza și evaluarea riscurilor, și tratamentul riscului - selectarea și implementarea măsurilor de modificare a riscului folosind rezultatele evaluării. Managementul riscului de securitate a informațiilor este un proces iterativ care necesită monitorizare și revizuire periodică.

În funcție de sfera, obiectul și obiectivele managementului riscului, pot fi utilizate diverse abordări pentru gestionarea și evaluarea riscului de securitate a informațiilor - evaluarea riscului la nivel înalt și detaliată. Abordarea poate fi, de asemenea, diferită pentru fiecare iterație.

Analiza riscurilor (identificarea și măsurarea) poate fi efectuată la diferite niveluri de detaliu, în funcție de criticitatea activelor, de prevalența vulnerabilităților cunoscute și de incidentele anterioare care afectează organizația. Forma de analiză trebuie să fie în concordanță cu criteriile de evaluare a riscurilor selectate. Metodologia de măsurare poate fi calitativă sau cantitativă sau o combinație a ambelor, în funcție de circumstanțe. În practică, evaluarea calitativă este adesea folosită mai întâi pentru a obține o imagine de ansamblu asupra nivelului de risc și pentru a identifica valorile cheie ale riscului. Ulterior, poate fi necesar să se efectueze o analiză mai specifică sau cantitativă a valorilor de risc subiacente, deoarece analiza calitativă este de obicei mai puțin complexă și mai puțin costisitoare de efectuat decât analiza cantitativă.

Atunci când alegeți o abordare a managementului și evaluării riscurilor, sunt luate în considerare trei grupuri de criterii principale - criteriile de evaluare a riscului, criteriile de influență și criteriile de acceptare a riscului. Ele trebuie dezvoltate și definite.

Criteriile de evaluare a riscurilor de securitate a informațiilor ale unei organizații ar trebui elaborate ținând cont de următoarele:

• - valoarea strategică a prelucrării informațiilor de afaceri;
• - criticitatea activelor informaționale afectate;
• - cerințe legale și de reglementare și obligații contractuale;
• - importanța operațională și de afaceri a disponibilității, confidențialității și integrității informațiilor;
• - așteptările de percepție ale părților implicate, precum și consecințele negative asupra „capitalului intangibil” și reputației.

În plus, criteriile de evaluare a riscurilor pot fi utilizate pentru a determina prioritățile pentru tratamentul riscului.

Criteriile de impact sunt identificate cu criterii pentru o posibilă pierdere a confidențialității, integrității și disponibilității activelor și reflectă o schimbare negativă a nivelului obiectivelor de afaceri atinse.

Criteriile de impact ar trebui să fie dezvoltate și determinate în funcție de amploarea prejudiciului sau a costurilor pentru organizație cauzate de un eveniment de securitate a informațiilor, ținând cont de următoarele:

• - nivelul de clasificare a activului informatic care este afectat;
• - încălcări ale securității informațiilor (de exemplu, pierderea confidențialității, integrității și disponibilității);
• - operațiuni degradate (interne sau terți);
• - pierderea valorii afacerii si a valorii financiare;
• - încălcarea planurilor și a termenelor limită;
• - prejudiciu adus reputatiei;
• - încălcarea cerințelor legale, de reglementare sau contractuale.

Criteriile de acceptare a riscurilor corespund „criteriilor de acceptare a riscului și de identificare a unui nivel acceptabil de risc” definite în GOST R ISO/IEC 27001-2006. Ele trebuie dezvoltate și definite. Criteriile de acceptare a riscurilor depind adesea de politicile, intențiile, obiectivele organizației și interesele părților implicate.

Organizația trebuie să-și definească propriile scale pentru nivelurile de acceptare a riscurilor. În timpul dezvoltării trebuie luate în considerare următoarele:

• - criteriile de acceptare a riscului pot include mai multe praguri, cu un nivel țintă de risc dorit, dar cu condiția ca, în anumite circumstanțe, conducerea superioară să accepte riscuri peste nivelul specificat;
• - criteriile de acceptare a riscului pot fi exprimate ca raportul dintre beneficiul cuantificat (sau alt beneficiu comercial) și riscul cuantificat;
• - diferite criterii de acceptare a riscului se pot aplica diferitelor clase de risc, de exemplu, riscurile de nerespectare a directivelor și legilor nu pot fi acceptate, în timp ce acceptarea riscurilor de nivel înalt poate fi permisă dacă este specificat într-o cerință contractuală;
• - criteriile de acceptare a riscului pot include cerințe pentru viitoare procesări suplimentare, de exemplu, un risc poate fi acceptat dacă există aprobare și acord pentru a lua măsuri pentru a-l reduce la un nivel acceptabil într-o perioadă de timp specificată.

Criteriile de acceptare a riscului pot varia în funcție de cât timp este de așteptat să existe riscul, de exemplu riscul poate fi asociat cu o activitate temporară sau pe termen scurt. Criteriile de acceptare a riscurilor ar trebui stabilite luând în considerare criteriile de afaceri; aspecte legale și de reglementare; operațiuni; tehnologie; finanţa; factori sociali si umanitari.

Conform ISO/IEC 27005:2008, managementul riscului de securitate a informațiilor acoperă următoarele procese: stabilirea contextului, evaluarea riscurilor, tratarea riscurilor, acceptarea riscurilor, comunicarea riscurilor și monitorizarea și revizuirea riscurilor.

După cum se poate observa din fig. 3.5, procesul de management al riscului de securitate a informațiilor poate fi iterativ pentru activități precum evaluarea riscurilor și/sau tratarea riscurilor. O abordare iterativă a efectuării unei evaluări a riscurilor poate crește profunzimea și detaliile evaluării cu fiecare iterație. O abordare iterativă oferă un echilibru bun între timpul și efortul petrecut pentru identificarea controalelor, oferind în același timp încredere că riscurile de nivel înalt sunt abordate în mod corespunzător.

În modelul ISMS și PDAP în patru faze, stabilirea contextului, evaluarea riscului, dezvoltarea unui plan de tratare a riscului și acceptarea riscului fac parte din faza „planului”. În faza de acțiune „a face”.

Orez. 3.5.

iar controalele necesare pentru a reduce riscul la un nivel acceptabil sunt implementate în conformitate cu planul de tratare a riscurilor. În faza de „verificare”, managerii identifică necesitatea revizuirii tratamentului riscului în lumina incidentelor și schimbărilor de circumstanțe. Faza „Act” este locul în care se efectuează orice activitate necesară, inclusiv reinițializarea procesului de management al riscului de securitate a informațiilor.

În tabel 3.3 prezintă tipurile de activități (procese) legate de managementul riscului care sunt semnificative pentru cele patru faze ale procesului ISMS bazat pe modelul PDAP.

Tabelul 3.3

Relația dintre fazele procesului ISMS și procesele și subprocesele de management al riscului de securitate a informațiilor

Stabilirea contextului pentru managementul riscului de securitate a informațiilor presupune stabilirea criteriilor de bază (evaluarea riscului, impactul sau acceptarea riscului), definirea domeniului și limitelor și stabilirea unei structuri organizaționale adecvate pentru implementarea managementului riscului.

Contextul este stabilit mai întâi atunci când se realizează o evaluare a riscurilor la nivel înalt. Evaluarea la nivel înalt permite prioritizarea și cronologia acțiunilor. Dacă oferă suficiente informații pentru a determina în mod eficient acțiunile necesare pentru a reduce riscul la un nivel acceptabil, atunci sarcina este finalizată și urmează tratamentul riscului. Dacă informațiile sunt insuficiente, se efectuează o altă iterație a evaluării riscurilor folosind un context revizuit (de exemplu, evaluarea riscului, acceptarea riscului sau criterii de impact), eventual pe părți limitate ale întregului domeniu de aplicare (a se vedea figura 3.5, punctul de decizie de risc nr. 1). ).

Această parte abordează următoarele probleme:

• Management de securitate
• Atribuirea responsabilităților de management al securității
• Abordare de sus în jos
• Administrarea securității și măsurile de protecție
• Principii de bază de securitate (triada AIC)
• Disponibilitate
• Integritate
• Confidențialitate
• Definiții de securitate (vulnerabilitate, amenințare, risc, impact, contramăsuri)
• Securitate prin obscuritate

Actualizat: 21.02.2010

Procesul de management al securității este continuu. Începe cu evaluarea riscurilor și identificarea nevoilor, urmată de monitorizarea și evaluarea sistemelor și practicilor. Aceasta este urmată de creșterea gradului de conștientizare în rândul angajaților companiei, ceea ce asigură înțelegerea problemelor care trebuie luate în considerare. Pasul final este implementarea politicilor și măsurilor de protecție pentru reducerea riscurilor și satisfacerea nevoilor identificate în primul pas. Apoi ciclul începe de la capăt. Astfel, acest proces analizează și monitorizează în mod constant securitatea companiei, permițându-i acesteia să se adapteze și să evolueze în funcție de nevoile de securitate și de mediul în care compania există și își desfășoară activitatea.

Managementul securității se modifică în timp, pe măsură ce mediul de rețea, computerele și aplicațiile care procesează informații se modifică. Internetul, extraneturile (rețelele partenerilor de afaceri) și intraneturile fac securitatea nu numai mai complexă, ci și mai critică. Arhitectura de bază a rețelei s-a schimbat de la calculul offline localizat la un mediu de calcul distribuit, crescând complexitatea sa. În timp ce accesul la Internet intranet oferă utilizatorilor o serie de capabilități și facilități importante, crește expunerea unei companii la Internet, ceea ce poate crea riscuri suplimentare de securitate.

Astăzi, majoritatea organizațiilor nu vor putea funcționa fără computere și capabilitățile lor de calcul. Multe corporații mari și-au dat deja seama că datele lor sunt un activ critic care trebuie protejat la fel ca clădirile, echipamentele și alte active fizice. Securitatea trebuie să se schimbe pe măsură ce rețelele și mediile se schimbă. Securitatea este mai mult decât un firewall și un router cu o listă de control al accesului. Aceste sisteme sunt, fără îndoială, importante, dar gestionarea a ceea ce fac utilizatorii și a procedurilor pe care le urmează este mult mai importantă pentru securitate. Acest lucru ne aduce la practica managementului securității, care se concentrează pe protecția continuă a activelor unei companii.

În lumea securității, responsabilitățile unui lider includ stabilirea de obiective, limite, politici, priorități și strategii. Conducerea trebuie să definească limite clare și obiective relevante care se așteaptă să fie atinse ca rezultat al programului de siguranță. De asemenea, managementul trebuie să evalueze obiectivele de afaceri, riscurile de securitate, productivitatea utilizatorilor, cerințele funcționale și obiectivele. În cele din urmă, conducerea trebuie să stabilească pașii pentru a se asigura că aceste sarcini sunt alocate și rezolvate corect.

Multe companii privesc afacerile ca parte a ecuației și presupun că securitatea informațiilor și computerelor este responsabilitatea administratorului IT. Conducerea unor astfel de companii nu ia în serios securitatea informațiilor și a computerelor, ceea ce duce la securitatea în astfel de companii care par subdezvoltate, prost sprijinite, subfinanțate și fără succes. Siguranța trebuie luată în considerare la nivel de conducere. Administratorul IT (sau Administratorul de securitate) poate sfătui conducerea cu privire la problemele de securitate, dar securitatea companiei nu ar trebui să fie delegată complet administratorului IT (Administratorul de securitate).

Managementul securității se bazează pe activele companiei clar identificate și evaluate. Odată ce activele sunt identificate și evaluate, politicile de securitate, procedurile, standardele și liniile directoare sunt implementate pentru a asigura integritatea, confidențialitatea și disponibilitatea acelor active. Sunt utilizate diverse instrumente pentru a clasifica datele, pentru a efectua analize și pentru a evalua riscurile. Aceste instrumente ajută la identificarea vulnerabilităților și la afișarea nivelului lor de criticitate, ceea ce vă permite să implementați contramăsuri eficiente pentru a reduce riscurile în cel mai optim mod. Este responsabilitatea conducerii să asigure protecția resurselor companiei în ansamblu. Aceste resurse sunt oameni, capital, echipamente și informații. Conducerea trebuie să fie implicată pentru a se asigura că programul de securitate este în vigoare, amenințările care afectează resursele companiei sunt abordate și pentru a se asigura că protecțiile necesare sunt eficiente.

Resursele și finanțarea necesare trebuie să fie disponibile, iar cei responsabili trebuie să fie dispuși să participe la programul de securitate. Conducerea trebuie să atribuie responsabilități și să definească rolurile necesare pentru a iniția un program de securitate, pentru a asigura succesul acestuia și pentru a evolua pe măsură ce mediul se schimbă. De asemenea, managementul trebuie să integreze programul de securitate în mediul de afaceri existent și să le monitorizeze performanța. Sprijinul managementului este una dintre cele mai importante părți ale unui program de siguranță.

În timpul procesului de planificare și implementare a unui program de securitate, profesionistul în securitate trebuie să determine funcțiile care trebuie îndeplinite și rezultatul final așteptat. Adesea, companiile încep pur și simplu să blocheze computerele și să instaleze firewall-uri fără a înțelege cerințele generale de securitate, obiectivele și nivelurile de încredere pe care le doresc de la securitate în întregul mediu. Echipa implicată în acest proces ar trebui să înceapă de la vârf, cu idei și termeni foarte largi și să lucreze până la configurații detaliate și parametrii de sistem. În fiecare etapă, membrii echipei trebuie să țină cont de obiectivele de securitate de bază, astfel încât fiecare componentă nouă să adauge mai multe detalii obiectivului corespunzător.

Politica de securitate este un fel de fundație pentru programul de securitate al companiei. Această politică trebuie luată în serios încă de la început și trebuie să fie integrată în conceptul de actualizare continuă pentru a se asigura că toate componentele de securitate funcționează întotdeauna și lucrează la obiectivele care sunt în concordanță cu obiectivele de afaceri.

Următorul pas este dezvoltarea și implementarea procedurilor, standardelor și liniilor directoare care susțin politica de securitate și definesc contramăsurile și tehnicile care trebuie utilizate pentru asigurarea securității. Odată ce aceste elemente au fost dezvoltate, programul de securitate ar trebui să fie detaliat prin dezvoltarea liniilor de bază și a configurațiilor pentru caracteristicile și metodele de securitate selectate.

Dacă securitatea se bazează pe o bază solidă și este concepută având în vedere scopuri și obiective, compania nu va trebui să facă schimbări semnificative în aceasta. În acest caz, procesul poate fi mai metodic, necesitând mai puțin timp, bani și resurse, atingând în același timp echilibrul potrivit între funcționalitate și securitate. Aceasta nu este o cerință, dar înțelegerea acesteia poate face ca abordarea companiei dumneavoastră față de securitate să fie mai gestionabilă. Puteți explica unei companii cum să planificați, să implementați și să impuneți securitatea într-un mod organizat, care evită o grămadă uriașă de controale de securitate care sunt dezarticulate și pline de defecte.

Pentru programul de securitate ar trebui să utilizați abordare de sus în jos , ceea ce înseamnă că inițiativa, sprijinul și direcția vin de la conducerea de vârf și trec prin managementul mediu către angajați. Opus Abordarea de jos în sus se referă la o situație în care departamentul IT încearcă să dezvolte un program de securitate pe cont propriu, fără îndrumarea și sprijinul adecvat din partea conducerii. Abordarea de jos în sus este de obicei mai puțin eficientă, destul de îngustă și sortită eșecului. Abordarea de sus în jos asigură că programul este condus de oamenii (conducerea superioră) care sunt cu adevărat responsabili pentru protejarea activelor companiei.

Dacă rolul de administrator de securitate nu există, conducerea trebuie să creeze unul. Rolul de administrator de securitate este direct responsabil pentru supravegherea aspectelor cheie ale programului de securitate. În funcție de organizație, dimensiunea acesteia și nevoile de securitate, administrarea securității poate fi gestionată de o persoană sau de un grup de angajați care lucrează central sau descentralizat. Indiferent de dimensiune, administrarea securității necesită o structură clară de raportare, o înțelegere a responsabilităților și capabilități de audit și monitorizare pentru a se asigura că nu există breșe de securitate cauzate de lipsa de comunicare sau înțelegere.

Proprietarii de informații trebuie să specifice ce utilizatori își pot accesa resursele și ce pot face cu acele resurse. Este sarcina administratorului de securitate să se asigure că acest proces este implementat. Următoarele măsuri de protecție trebuie utilizate pentru a respecta instrucțiunile de siguranță:

• Măsuri administrative includ dezvoltarea și publicarea de politici, standarde, proceduri și manuale, managementul riscurilor, selecția personalului, instruirea în domeniul securității și implementarea procedurilor de management al schimbării.
• Tmăsuri tehnice (logice). includ implementarea și suportul mecanismelor de control al accesului, gestionarea parolelor și a resurselor, metode de identificare și autentificare, dispozitive de securitate și setări de infrastructură.
• Fmasuri fizice includ controlul accesului oamenilor la clădire și la diferite încăperi, utilizarea încuietorilor și îndepărtarea unităților de disc și unităților CD-ROM neutilizate, protejarea perimetrului clădirii, detectarea intruziunilor și monitorizarea mediului.

Figura 1-1 Nivelurile administrative, tehnice și fizice ale măsurilor de securitate trebuie să conlucreze pentru a proteja activele companiei

Ar trebui să existe o comunicare continuă între echipa de management al securității și conducerea superioară pentru a se asigura că programul de securitate primește suficient sprijin și conducerea ia deciziile necesare pentru a-l implementa. Adesea, conducerea superioară exclude complet implicarea lor în problemele de siguranță, nerecunoscând că atunci când apar incidente grave de siguranță, conducerea superioară este cea care va explica motivele partenerilor de afaceri, acționarilor și publicului. După un astfel de incident, atitudinea se schimbă radical, conducerea se implică pe cât posibil în probleme de siguranță. Ar trebui să existe un proces de comunicare continuă între echipa de management al securității și conducerea superioară pentru a asigura o relație bidirecțională.

Managementul inadecvat poate deraia eforturile de securitate ale unei companii. Motivele posibile ale managementului inadecvat pot fi lipsa de înțelegere de către conducere a nevoilor de securitate ale companiei, securitatea care concurează cu alte obiective ale managementului, viziunea conducerii despre securitate ca o întreprindere costisitoare și inutilă sau sprijinul conducerii companiei pentru securitate doar în cuvinte. Tehnologiile, dispozitivele, software-ul, procedurile și metodologiile puternice și utile oferă un anumit nivel de securitate, dar fără un management puternic al securității și un suport de management, ele nu au sens.

Există mai multe obiective mici și mari ale unui program de securitate, dar 3 principii de bază sunt prezente în toate programele: disponibilitate, integritate și confidențialitate. Se numeste triada AIC (Disponibilitate, Integritate, Confidențialitate). Nivelul de securitate necesar pentru implementarea acestor principii variază de la companie la companie, deoarece fiecare companie are propria sa combinație unică de obiective și nevoi de afaceri și de securitate. Toate măsurile de protecție și mecanismele de securitate sunt implementate pentru a implementa unul (sau mai multe) dintre aceste principii, iar toate riscurile, amenințările și vulnerabilitățile sunt măsurate prin potențialul lor de a încălca unul sau toate principiile AIC. Triada AIC este prezentată în Figura 1-2.

Figura 1-2 triada AIC

Disponibilitate

Sistemele și rețelele trebuie să ofere un nivel suficient de predictibilitate combinat cu un nivel acceptabil de performanță. Aceștia trebuie să poată recupera rapid și în siguranță după defecțiuni, astfel încât productivitatea companiei să nu fie afectată negativ. „Punctele unice de defecțiune” ar trebui evitate, trebuie efectuate copii de siguranță, dacă este necesar, trebuie asigurat un anumit nivel de redundanță și ar trebui prevenite influențele negative din mediul extern. Este necesar să se implementeze mecanisme de protecție împotriva amenințărilor interne și externe care pot afecta disponibilitatea și performanța rețelei, sistemelor și informațiilor. Disponibilitate oferă persoanelor autorizate acces fiabil și în timp util la date și resurse.

Atacurile DoS sunt o tehnică populară de hacker care perturbă operațiunile unei companii. Astfel de atacuri reduc capacitatea utilizatorilor de a accesa resursele și informațiile sistemului. Pentru a vă proteja împotriva lor, ar trebui să limitați numărul de porturi disponibile, să utilizați sisteme IDS, să monitorizați traficul de rețea și funcționarea computerului. Configurarea corectă a firewall-urilor și a routerelor poate reduce, de asemenea, amenințarea atacurilor DoS.

Integritate

Integritate oferă garanții privind acuratețea și fiabilitatea informațiilor și sistemelor informaționale care le furnizează și previne posibilitatea unor modificări neautorizate. Hardware-ul, software-ul și echipamentele de comunicații trebuie să conlucreze pentru a stoca și procesa corect datele și pentru a se asigura că se deplasează corect la destinație, nemodificate. Sistemele și rețelele trebuie protejate de interferențele externe.

De obicei, utilizatorii influențează integritatea sistemelor sau a datelor prin erori (deși utilizatorii interni pot, de asemenea, să comită acte frauduloase sau rău intenționate). De exemplu, ștergerea accidentală a fișierelor de configurare, introducerea unei sume de tranzacție eronate etc.

Măsurile de securitate ar trebui să limiteze capacitățile utilizatorilor doar la setul minim necesar de funcții, ceea ce va reduce probabilitatea și consecințele greșelilor lor. Accesul la fișierele de sistem critice ar trebui să fie limitat la utilizatori. Aplicațiile ar trebui să includă mecanisme de control al informațiilor primite pentru a verifica corectitudinea și caracterul adecvat al acestora. Drepturile de modificare a datelor din bazele de date ar trebui acordate numai persoanelor autorizate, iar datele transmise prin canalele de comunicare ar trebui protejate prin criptare sau alte mecanisme.

Confidențialitate

Confidențialitate asigură nivelul necesar de secretizare la fiecare punct de prelucrare a datelor și previne dezvăluirea neautorizată. Confidențialitatea trebuie asigurată atât la stocarea informațiilor, cât și la transmiterea acesteia.

Confidențialitatea poate fi asigurată prin criptarea datelor în timpul stocării și transmisiei, implementarea unor sisteme stricte de control al accesului, clasificarea datelor și instruirea personalului cu privire la practicile adecvate de manipulare a informațiilor confidențiale.

Este important să înțelegeți sensul cuvintelor vulnerabilitate, amenințare, risc, impact și relația dintre ele.

Vulnerabilitate este o defecțiune în software, hardware sau procedură care ar putea permite unui atacator să obțină acces la un computer sau o rețea și să obțină acces neautorizat la resursele de informații ale companiei. Vulnerabilitatea este absența sau slăbiciunea măsurilor de protecție. O vulnerabilitate ar putea fi un serviciu care rulează pe server, o aplicație sau un sistem de operare „nepattchat”, autentificare fără restricții printr-un pool de modem, un port deschis pe un firewall, securitate fizică slabă care permite oricui să intre în camera serverului sau lipsa parolei management pe servere și stații de lucru.

Amenințare reprezintă un pericol potențial pentru informații sau sistem. O amenințare este dacă cineva sau ceva descoperă prezența unei anumite vulnerabilități și o folosește împotriva unei companii sau persoane. Ceva care permite exploatarea unei vulnerabilități se numește sursa amenintarii (agent de amenințare). Sursa amenințării ar putea fi un hacker care a obținut acces la rețea printr-un port deschis pe firewall; un proces care accesează datele într-un mod care încalcă politica de securitate; o tornadă care a distrus o clădire; un angajat care a comis o greșeală care ar putea duce la o scurgere de informații confidențiale sau la o încălcare a integrității fișierelor.

Risc este probabilitatea ca o sursă de amenințare să exploateze o vulnerabilitate, având ca rezultat un impact negativ asupra afacerii. Dacă un firewall are mai multe porturi deschise, există șanse mari ca un atacator să folosească unul dintre ele pentru a obține acces neautorizat la rețea. Dacă utilizatorii nu sunt instruiți în procesele și procedurile corecte, există o mare probabilitate ca aceștia să comită erori intenționate și neintenționate care ar putea duce la distrugerea datelor. Dacă un sistem IDS nu este implementat în rețea, există o mare probabilitate ca faptul atacului să rămână nedetectat până când este prea târziu.

Impact (expunere) - acesta este ceva care duce la pierderi din cauza acțiunilor sursei amenințării. Vulnerabilitățile afectează compania, ducând la posibilitatea de deteriorare a acesteia. Dacă gestionarea parolelor este slabă și cerințele privind parola nu sunt implementate, compania este expusă potențialului ca parolele utilizatorilor să fie compromise și utilizate pentru acces neautorizat. Dacă o companie nu își întreține cablajul electric și ia măsuri pentru a preveni incendiile, este expusă efectelor potențiale ale incendiului.

Contramăsuri (sau măsuri de protecție ) sunt măsuri a căror implementare reduce nivelul de risc potențial. Contramăsurile pot fi ajustări ale software-ului, hardware-ului sau procedurilor care elimină vulnerabilitățile sau reduc probabilitatea ca o sursă de amenințare să poată exploata o vulnerabilitate. Exemplele de contramăsuri includ gestionarea strictă a parolelor, securitatea, mecanismele de control al accesului la sistemul de operare, setarea parolelor BIOS și furnizarea de instruire pentru securitatea utilizatorilor.

Dacă o companie folosește software antivirus, dar nu își actualizează bazele de date cu semnături de viruși, aceasta este o vulnerabilitate. Compania este vulnerabilă la atacuri de virus. Amenințarea este că virusul va pătrunde în rețeaua companiei și va paraliza activitatea acesteia. Riscul în acest caz este probabilitatea ca un virus să intre în rețeaua companiei și să-i provoace daune. Dacă un virus pătrunde în rețeaua unei companii, vulnerabilitatea va fi exploatată și compania va fi expusă daunelor pe care le provoacă. Contramăsurile în această situație ar fi instalarea de software antivirus pe toate computerele companiei și menținerea la zi a bazelor de date cu semnături de viruși. Relația dintre riscuri, vulnerabilități, amenințări și contramăsuri este prezentată în Figura 1-3.

Figura 1-3 Relația dintre diferitele componente de securitate