Risiko informasi: konsep, analisis, penilaian

Daftar Isi:

Risiko informasi: konsep, analisis, penilaian
Risiko informasi: konsep, analisis, penilaian
Anonim

Di zaman kita, informasi menempati salah satu posisi kunci di semua bidang kehidupan manusia. Hal ini disebabkan transisi masyarakat secara bertahap dari era industri ke era pasca-industri. Sebagai akibat dari penggunaan, kepemilikan, dan transfer berbagai informasi, risiko informasi dapat muncul yang dapat mempengaruhi seluruh bidang ekonomi.

Industri mana yang tumbuh paling cepat?

Pertumbuhan arus informasi menjadi semakin nyata setiap tahun, karena perluasan inovasi teknis membuat transfer informasi yang cepat terkait dengan adaptasi teknologi baru menjadi kebutuhan yang mendesak. Di zaman kita, industri seperti industri, perdagangan, pendidikan dan keuangan berkembang secara instan. Selama transfer data, risiko informasi muncul di dalamnya.

Risiko informasi
Risiko informasi

Informasi menjadi salah satu jenis produk yang paling berharga, yang total biayanya akan segera melebihi harga semua produk produksi. Ini akan terjadi karena untukUntuk memastikan penciptaan hemat sumber daya dari semua barang dan jasa material, perlu untuk menyediakan cara baru yang fundamental dalam mentransmisikan informasi yang mengecualikan kemungkinan risiko informasi.

Definisi

Saat ini tidak ada definisi yang jelas tentang risiko informasi. Banyak ahli mengartikan istilah ini sebagai suatu peristiwa yang berdampak langsung pada berbagai informasi. Ini mungkin pelanggaran kerahasiaan, distorsi, dan bahkan penghapusan. Bagi banyak orang, zona risiko terbatas pada sistem komputer, yang menjadi fokus utama.

Perlindungan informasi
Perlindungan informasi

Seringkali, ketika mempelajari topik ini, banyak aspek yang sangat penting tidak diperhatikan. Ini termasuk pemrosesan langsung informasi dan manajemen risiko informasi. Bagaimanapun, risiko yang terkait dengan data muncul, sebagai suatu peraturan, pada tahap perolehan, karena ada kemungkinan besar persepsi yang salah dan pemrosesan informasi. Seringkali, perhatian tidak diberikan pada risiko yang menyebabkan kegagalan dalam algoritma pemrosesan data, serta malfungsi dalam program yang digunakan untuk mengoptimalkan manajemen.

Banyak yang mempertimbangkan risiko yang terkait dengan pemrosesan informasi, semata-mata dari sisi ekonomi. Bagi mereka, ini terutama merupakan risiko yang terkait dengan penerapan dan penggunaan teknologi informasi yang salah. Ini berarti bahwa manajemen risiko informasi mencakup proses seperti pembuatan, transfer, penyimpanan dan penggunaan informasi, tunduk pada penggunaan berbagai media dan sarana komunikasi.

Analisis danklasifikasi risiko TI

Apa risiko yang terkait dengan penerimaan, pemrosesan, dan pengiriman informasi? Dalam hal apa mereka berbeda? Ada beberapa kelompok penilaian risiko informasi kualitatif dan kuantitatif menurut kriteria berikut:

  • menurut sumber kejadian internal dan eksternal;
  • sengaja dan tidak sengaja;
  • langsung atau tidak langsung;
  • berdasarkan jenis pelanggaran informasi: keandalan, relevansi, kelengkapan, kerahasiaan data, dll.;
  • Menurut metode dampak, risiko adalah sebagai berikut: force majeure dan bencana alam, kesalahan spesialis, kecelakaan, dll.
  • Perlindungan data
    Perlindungan data

Analisis risiko informasi adalah proses penilaian global tingkat perlindungan sistem informasi dengan penentuan kuantitas (sumber daya tunai) dan kualitas (risiko rendah, sedang, tinggi) dari berbagai risiko. Proses analisis dapat dilakukan dengan menggunakan berbagai metode dan alat untuk menciptakan cara untuk melindungi informasi. Berdasarkan hasil analisis tersebut, adalah mungkin untuk menentukan risiko tertinggi yang mungkin menjadi ancaman langsung dan insentif untuk segera mengadopsi tindakan tambahan yang berkontribusi pada perlindungan sumber daya informasi.

Metodologi untuk menentukan risiko TI

Saat ini, tidak ada metode yang diterima secara umum yang dapat diandalkan untuk menentukan risiko spesifik teknologi informasi. Hal ini disebabkan fakta bahwa tidak ada cukup data statistik yang akan memberikan informasi yang lebih spesifik tentangrisiko umum. Peran penting juga dimainkan oleh fakta bahwa sulit untuk secara menyeluruh menentukan nilai sumber daya informasi tertentu, karena produsen atau pemilik perusahaan dapat menyebutkan biaya media informasi dengan akurasi mutlak, tetapi ia akan merasa sulit untuk menyuarakan biaya informasi yang ada di dalamnya. Itulah sebabnya, saat ini, pilihan terbaik untuk menentukan biaya risiko TI adalah penilaian kualitatif, berkat berbagai faktor risiko yang diidentifikasi secara akurat, serta area pengaruhnya dan konsekuensinya bagi seluruh perusahaan.

Metode keamanan informasi
Metode keamanan informasi

Metode CRAMM yang digunakan di Inggris adalah cara paling ampuh untuk mengidentifikasi risiko kuantitatif. Tujuan utama dari teknik ini meliputi:

  • otomatisasi proses manajemen risiko;
  • optimasi biaya pengelolaan kas;
  • produktivitas sistem keamanan perusahaan;
  • komitmen terhadap kelangsungan bisnis.

Metode analisis risiko ahli

Para ahli mempertimbangkan faktor analisis risiko keamanan informasi berikut:

1. Biaya sumber daya. Nilai ini mencerminkan nilai sumber informasi seperti itu. Ada sistem evaluasi risiko kualitatif pada skala di mana 1 adalah nilai minimum, 2 adalah nilai rata-rata dan 3 adalah maksimum. Jika kita mempertimbangkan sumber daya TI dari lingkungan perbankan, maka server otomatisnya akan memiliki nilai 3, dan terminal informasi terpisah - 1.

Sistem keamanan informasi
Sistem keamanan informasi

2. Tingkat kerentanan sumber daya. Ini menunjukkan besarnya ancaman dan kemungkinan kerusakan sumber daya TI. Jika kita berbicara tentang organisasi perbankan, server sistem perbankan otomatis akan dapat diakses semudah mungkin, sehingga serangan peretas adalah ancaman terbesarnya. Ada juga skala peringkat dari 1 hingga 3, di mana 1 adalah dampak kecil, 2 adalah kemungkinan pemulihan sumber daya yang tinggi, 3 adalah kebutuhan untuk penggantian sumber daya secara lengkap setelah bahaya dinetralkan.

3. Menilai kemungkinan ancaman. Ini menentukan kemungkinan ancaman tertentu terhadap sumber daya informasi untuk periode waktu bersyarat (paling sering - selama satu tahun) dan, seperti faktor sebelumnya, dapat dinilai dalam skala dari 1 hingga 3 (rendah, sedang, tinggi).

Mengelola risiko keamanan informasi saat terjadi

Ada opsi berikut untuk memecahkan masalah dengan risiko yang muncul:

  • menerima risiko dan bertanggung jawab atas kerugian mereka;
  • mengurangi risiko, yaitu meminimalkan kerugian yang terkait dengan terjadinya;
  • transfer, yaitu pembebanan biaya penggantian kerugian kepada perusahaan asuransi, atau transformasi melalui mekanisme tertentu menjadi risiko dengan tingkat bahaya yang paling rendah.

Kemudian, risiko dukungan informasi didistribusikan berdasarkan peringkat untuk mengidentifikasi yang utama. Untuk mengelola risiko seperti itu, perlu untuk menguranginya, dan terkadang - mentransfernya ke perusahaan asuransi. Kemungkinan transfer dan pengurangan risiko tinggi dantingkat menengah dengan persyaratan yang sama, dan risiko tingkat rendah sering diterima dan tidak dimasukkan dalam analisis lebih lanjut.

Perlindungan data
Perlindungan data

Perlu mempertimbangkan fakta bahwa peringkat risiko dalam sistem informasi ditentukan berdasarkan perhitungan dan penentuan nilai kualitatifnya. Artinya, jika interval peringkat risiko berada di kisaran 1 hingga 18, maka rentang risiko rendah adalah dari 1 hingga 7, risiko sedang dari 8 hingga 13, dan risiko tinggi dari 14 hingga 18. Esensi dari perusahaan manajemen risiko informasi adalah untuk mengurangi risiko rata-rata dan tinggi ke nilai terendah, sehingga penerimaannya seoptimal dan mungkin.

Metode mitigasi risiko CORAS

Metode CORAS adalah bagian dari program Teknologi Masyarakat Informasi. Maknanya terletak pada adaptasi, konkretisasi dan kombinasi metode yang efektif untuk melakukan analisis pada contoh risiko informasi.

CORAS metodologi menggunakan prosedur analisis risiko berikut:

  • langkah-langkah mempersiapkan pencarian dan sistematisasi informasi tentang objek yang bersangkutan;
  • penyediaan oleh klien data yang objektif dan benar tentang objek yang dimaksud;
  • deskripsi lengkap dari analisis yang akan datang, dengan mempertimbangkan semua tahapan;
  • analisis dokumen yang diserahkan untuk keaslian dan kebenarannya untuk analisis yang lebih objektif;
  • melakukan kegiatan untuk mengidentifikasi kemungkinan risiko;
  • penilaian semua konsekuensi dari ancaman informasi yang muncul;
  • menyoroti risiko yang dapat diambil perusahaan dan risiko yangperlu dikurangi atau dialihkan sesegera mungkin;
  • langkah-langkah untuk menghilangkan kemungkinan ancaman.

Penting untuk dicatat bahwa langkah-langkah yang terdaftar tidak memerlukan upaya dan sumber daya yang signifikan untuk implementasi dan implementasi selanjutnya. Metodologi CORAS cukup mudah digunakan dan tidak memerlukan banyak pelatihan untuk mulai menggunakannya. Satu-satunya kelemahan dari toolkit ini adalah kurangnya periodisitas dalam penilaian.

metode OCTAVE

Metode penilaian risiko OCTAVE menyiratkan tingkat tertentu keterlibatan pemilik informasi dalam analisis. Perlu Anda ketahui bahwa ini digunakan untuk menilai ancaman kritis dengan cepat, mengidentifikasi aset, dan mengidentifikasi kelemahan dalam sistem keamanan informasi. OCTAVE menyediakan pembuatan analisis yang kompeten, grup keamanan, yang mencakup karyawan perusahaan yang menggunakan sistem dan karyawan departemen informasi. OCTAVE terdiri dari tiga tahap:

Pertama, organisasi dinilai, yaitu kelompok analisis menentukan kriteria untuk menilai kerusakan, dan selanjutnya risiko. Sumber daya organisasi yang paling penting diidentifikasi, keadaan umum proses pemeliharaan keamanan TI di perusahaan dinilai. Langkah terakhir adalah mengidentifikasi persyaratan keamanan dan menentukan daftar risiko

Bagaimana memastikan keamanan informasi?
Bagaimana memastikan keamanan informasi?
  • Tahap kedua adalah analisis komprehensif infrastruktur informasi perusahaan. Penekanan ditempatkan pada interaksi yang cepat dan terkoordinasi antara karyawan dan departemen yang bertanggung jawab untuk iniinfrastruktur.
  • Pada tahap ketiga, pengembangan taktik keamanan dilakukan, sebuah rencana dibuat untuk mengurangi kemungkinan risiko dan melindungi sumber daya informasi. Kemungkinan kerusakan dan kemungkinan penerapan ancaman juga dinilai, serta kriteria evaluasinya.

Metode analisis risiko matriks

Metode analisis ini menyatukan ancaman, kerentanan, aset, dan kontrol keamanan informasi serta menentukan kepentingannya bagi masing-masing aset organisasi. Aset organisasi adalah objek berwujud dan tidak berwujud yang signifikan dalam hal utilitas. Penting untuk diketahui bahwa metode matriks terdiri dari tiga bagian: matriks ancaman, matriks kerentanan, dan matriks kontrol. Hasil dari ketiga bagian metodologi ini digunakan untuk analisis risiko.

Perlu mempertimbangkan hubungan semua matriks selama analisis. Jadi, misalnya, matriks kerentanan adalah penghubung antara aset dan kerentanan yang ada, matriks ancaman adalah kumpulan kerentanan dan ancaman, dan matriks kontrol menghubungkan konsep-konsep seperti ancaman dan kontrol. Setiap sel matriks mencerminkan rasio elemen kolom dan baris. Sistem penilaian tinggi, sedang, dan rendah digunakan.

Untuk membuat tabel, Anda perlu membuat daftar ancaman, kerentanan, kontrol, dan aset. Ditambahkan data tentang interaksi isi kolom matriks dengan isi baris. Kemudian, data matriks kerentanan ditransfer ke matriks ancaman, dan kemudian, menurut prinsip yang sama, informasi dari matriks ancaman ditransfer ke matriks kontrol.

Kesimpulan

Peran datameningkat secara signifikan dengan transisi sejumlah negara ke ekonomi pasar. Tanpa penerimaan tepat waktu dari informasi yang diperlukan, fungsi normal perusahaan tidak mungkin dilakukan.

Bersamaan dengan perkembangan teknologi informasi, muncul apa yang disebut risiko informasi yang mengancam aktivitas perusahaan. Itulah mengapa mereka perlu diidentifikasi, dianalisis dan dievaluasi untuk pengurangan lebih lanjut, transfer atau pembuangan. Pembentukan dan implementasi kebijakan keamanan tidak akan efektif jika aturan yang ada tidak digunakan dengan baik karena ketidakmampuan atau kurangnya kesadaran karyawan. Penting untuk mengembangkan kompleks agar sesuai dengan keamanan informasi.

Manajemen risiko adalah hal yang subjektif, kompleks, tetapi sekaligus merupakan tahapan penting dalam aktivitas perusahaan. Penekanan terbesar pada keamanan data mereka harus dilakukan oleh perusahaan yang bekerja dengan sejumlah besar informasi atau memiliki data rahasia.

Ada banyak sekali metode efektif untuk menghitung dan menganalisis risiko terkait informasi yang memungkinkan Anda memberi tahu perusahaan dengan cepat dan memungkinkannya mematuhi aturan daya saing di pasar, serta menjaga keamanan dan kelangsungan bisnis.

Direkomendasikan: