حالة قطاع الأعمال لأمن المعلومات

حالة الأعمال لل أمن المعلومات

في عالم يزداد ترابطا ، حيث معظم المنظمات بعض اتصال بالإنترنت وإجراء الأعمال مع العديد من أصحاب المصلحة الرئيسيين الكترونيا ، يتعين علينا أن نسأل : لدينا معلومات الأعمال في خطر؟ ماذا هو التهديد الحقيقي الذي يواجه المملكة المتحدة التجارية؟ نيك كولمان ، رئيس لسان (التحالف من أجل الأمن الإنترنت والتكنولوجيات الجديدة) ورئيس الأمن الخدمات في آي بي إم ، ويناقش تهديدا لرجال الأعمال في المملكة المتحدة وكيف يمكن لحالة قطاع الأعمال يمكن أن يبنى لتبرير الانفاق على أمن المعلومات.

ومن المعلومات التي لدينا في خطر؟في الولايات المتحدة 90 في المائة من المنظمات التي شملها الاستقصاء الكشف عن انتهاك لأمن الكمبيوتر خلال ال 12 شهرا الماضية ، ومذهلة 456 مليون دولار أفيد بأنها كانت خسرت من قبل تلك المنظمات نتيجة منطقة وأهم ما زال سرقة الملكية الفكرية ، حيث مجموع ذكرت خسائر بلغت 171 مليون دولار ، ومتوسط الخسارة في المنظمة التي تعاني من هذا النوع من الحوادث الآن نحو 6.5 مليون دولار أمريكي ، مع العلم بأن 503 فقط من المنظمات التي شملتها الدراسة ، وفقط 44 في المائة من تلك المنظمات كانت قادرة على تحديد حجم خسائرهم وهذا يشير إلى أن مجموع الخسائر الامريكية للمنظمات قد تصل الى مليارات الدولارات.

وجهة نظر المملكة المتحدةفي عام 2002 ، كلفت مرحبا الوطني للتكنولوجيا وحدة الجريمة (NHTCU) نوب لإجراء مسح لجرائم الحاسوب في المملكة المتحدة المنظمات. هذه الدراسة ، التي ساعدت على ارتكاب NHTCU ، كان يستند إلى مكتب التحقيقات الفيدرالي / منظمة التضامن المسيحي الدولية فئات من الجرائم الحاسوبية ، وسمح لبعض المقارنات جديدة إلى حد ما بين الولايات المتحدة وبريطانيا في هذا المجال. وفي الأشهر ال 12 الماضية وحدها ، أكثر من 3،000 حوادث الكمبيوتر تمكين الجريمة كانت تمر بها المملكة المتحدة مقرا لها تلك المنظمات التي شملها الاستقصاء. الاستطلاع أظهر أن NHTCU :

67 في المائة من المنظمات التي شملها الاستقصاء قد شهدت الفيروسات ؛ 77 في المائة قد تعرضن لسرقة كمبيوتر محمول ، و 20 في المائة منهن عانين من الحرمان من الخدمة الهجوم.

هجمات الحرمان من الخدمة هي تلك التي يكون فيها الجاني مرارا بإرسال كميات هائلة من حزم البيانات إلى الفيضانات نظام أو شبكة كاملة مع نية الأداء أو المهينة لاغلاقه. هجمات الفيروسات لا تزال الحوادث الأكثر حدوثا ، 1612 مع الحوادث التي تقع أثناء الأشهر ال 12 الماضية alone.1 في مكتب التحقيقات الفدرالي / منظمة التضامن المسيحي الدولية دراسة اجريت عام 2002

85 في المائة من المنظمات التي شملها الاستقصاء قد شهدت الفيروسات ؛ 55 في المائة قد تعرضن لسرقة كمبيوتر محمول ، و 40 في المائة قد عانى من الحرمان من الخدمة الهجوم.

قبل إجراء مقارنات مباشرة نحن بحاجة إلى أن تأخذ في الاعتبار الاختلافات في عينة من السكان. على سبيل المثال ، كانت هناك 105 المنظمات التي شملها الاستقصاء في هذا NHTCU الأولية / نوب مسح 503 والمنظمات التي شملها الاستقصاء في مكتب التحقيقات الفيدرالى / منظمة التضامن المسيحي الدولية دراسة اجريت عام 2002. ومع ذلك ، يمكننا أن نرى أن في الولايات المتحدة بنسبة 18 في المائة عن التعرض لمزيد من منظمات الفيروسات ، ومضاعفة عدد شهدت الولايات المتحدة منظمات الحرمان من الخدمة الهجوم ، و 22 في المائة أقل من منظمات المعاناة عن سرقات المحمول.

تكلفة الأعمال إلى المملكة المتحدةالمسح NHTCU لم يكن محاولة لحساب الخسائر في المملكة المتحدة لمنظمات من هذا النوع من الجريمة. ومع ذلك ، فإن الدراسة لم تقدم لنا بعض البيانات الأساسية التي تقوم عليها افتراضات معينة يمكن تطبيقها ، مما يجعل من الممكن لوضع الرقم على كم نحن نفترض كان قد خسر من قبل الشركات البريطانية من الكمبيوتر تمكين حوادث الجريمة خلال ال 12 شهرا الماضية ، وإذا نحن نفترض أن متوسط الخسارة في شركات في المملكة المتحدة يمكن أن يكون في نفس المستويات تلك الخسائر التي تواجهها المنظمات الأمريكية ، يمكننا تقدير الخسائر التي لرجال الأعمال في المملكة المتحدة.

تحجيم تأثير الفيروس من الحوادثباستخدام هذا النهج ، إذا كان 67 في المائة من المؤسسات التي تعاني من هجمات الفيروسات ذكرت في المملكة المتحدة خلال الأشهر ال 12 الماضية ، هذا من شأنه أن نساوي بين 2 إلى 70 شركة. مضاعفة هذا الرقم متوسط الخسارة في المنظمة يتيح لنا أن تستمد من مجموع الخسائر المحتملة من الفيروسات لتلك المنظمات التي شملها الاستقصاء ، ومكتب التحقيقات الفيدرالى / منظمة التضامن المسيحي الدولية حددت الدراسة أن المنظمات التي شملها الاستقصاء شهدت 428 حادث الفيروس ، ولكن فقط من 188 من المنظمات قادرة على القياس الكمي للتكاليف مثل هذه الحوادث ، ومن بين تلك المنظمات 188 ، فإن الخسارة كانت أعلى من ذوي الخبرة بمبلغ 9 ملايين دولار ومتوسط الخسارة كانت بعض الولايات المتحدة 283،000 $. $ 283،000 ضرب الولايات المتحدة بحلول 70 يعطي فقدان تام للالمنظمات التي شملها الاستقصاء مقرها في المملكة المتحدة نحو 20 مليون دولار.

حساب التكلفة الإجمالية لرجال الأعمال في المملكة المتحدةباستخدام الأسلوب نفسه بالنسبة لكل فئة من فئات الجرائم الحاسوبية ، ويمكننا حساب الخسائر التي يمكن أن يتوقع من جميع الفئات لمنظمات معا ما مجموعه 105 شملهم الاستطلاع هذا من شأنه أن يعادل 228 مليون دولار أمريكي التي فقدت من قبل الشركات البريطانية شملهم الاستطلاع على مدى ال 12 الماضية أشهر. ومع ذلك ، فإن هذا الرقم لا بد من التعامل معها بحذر شديد ، وينبغي ألا تؤخذ على أنها تكون ذات دلالة إحصائية. NHTCU و/ نوب المسح فقط التعامل مع 105 من المنظمات وكان يقصد مطلقا لاستخلاص النتائج الإحصائية ، وصلنا الى هذا الرقم هو فقط تحقيق عندما يكون هناك عدد من الافتراضات مصنوعة. وعلاوة على ذلك ، قد يكون هذا الحساب متحفظة جدا. وكانت هناك 129 حالات سرقة أجهزة أخرى من أجهزة الكمبيوتر المحمولة. هذه الحوادث التي حذفت من 228 مليون دولار أمريكي منهجية ، ونحن ليس لديه معلومات عن الخسائر في المتوسط بالنسبة لهذا النوع من الحوادث. 63 في المائة من المنظمات التي شملها الاستقصاء في مكتب التحقيقات الفيدرالى / منظمة التضامن المسيحي الدولية المسح لعام 2002 حصلت على 1000 موظف أو أكثر في حين أن 82 في المائة من الذين شملهم الاستطلاع في NHTCU / نوب المسح حصلت على 1000 موظف أو أكثر. بحجم أكبر المنظمات ويتوقع أن يكون أعلى الخسائر ، وبالتالي فإن متوسط الخسارة ينبغي أن يكون أعلى لنموذج المملكة المتحدة وجود عدد أكبر من المؤسسات الكبيرة ، وإذا كان صحيحا ، هذا من شأنه أن يضخم الولايات المتحدة 228 مليون دولار مجموع الخسائر المحسوبة للمنظمات في المملكة المتحدة. حتى لو كان هذا الرقم ليس دقيقا ، ما يمكننا أن نستنتج أن ما يزيد على 3000 مع الحوادث والخسائر المقدرة هنا بعض من 228 مليون دولار أمريكي لمدة 105 منظمات ، فإن هناك خطرا كبيرا من هذا النوع من الجرائم في المملكة المتحدة ، والمنظمات يجب ان نكون مستعدين لمثل هذه الحوادث. ولكن على أي مستوى أنها لا تحتاج إلى خطة ، وكيف يمكننا حساب تهديد محدد للمنظمة واحدة؟

جعل هذا محددة للمنظمة واحدةلحساب هذا ، وهي منظمة بحاجة الى إجراء رسمي لتقييم المخاطر. في عمل تقييم للمخاطر من الممكن أن يحدد ، من بين أمور أخرى ، والأثر المحتمل للحادث للمنظمة ، واحتمال حدوث هذا الأثر. هذين الرقمين ، عندما ضرب معا ، وتقديم عرض واحد على مستوى التهديد القائم لتلك الحوادث.

احتمال تأثير مراتمستوى التهديد الوارد وصفها أعلاه (احتمال تأثير سيحدث تأثير مرات) سوف تحتاج إلى أن تحسب مع البيانات ذات الصلة للمنظمة البيئة الخاصة بها. قبل أن ننظر في كيفية هذا بيانات محددة قد تكون حسبت ، ينبغي لنا أن ننظر في كيفية احتمال أوقات العمل قد أثر النموذج. والصناعة سبيل المثال إذا كان عام 20 في المائة من المملكة المتحدة منظمات عانى من الحرمان من الخدمة الهجوم في ال 12 شهرا الماضية ، ثم احتمال تعرضهم لهجمات منظمة من 20 في المائة. على افتراض أن متوسط خسارة الشركة لهذا النوع من الحوادث هو 300،000 دولار كما ورد في تقرير مكتب التحقيقات الفيدرالى / منظمة التضامن المسيحي الدولية مسح عام 2002 ، عن طريق ضرب احتمال بنسبة 20 في المائة من متوسط الخسارة 300،000 دولار لهذا النوع من الحوادث يمكن أن نرى أن التهديد المتصور المستوى ستكون حوالي 60،000 دولار أمريكي. قراءة هذا ، فمن الواضح لمنظمة كبيرة أن الحرمان من الخدمة الهجوم الناجح سوف يكلف الشركة أكثر من ذلك بكثير ، وهذا يفرض إعادة الحاجة للحصول على معلومات محددة للشركة في المسألة ، الأمر الذي سوف تكون مشمولة في المقطع التالي.

تكييف هذا النموذج لمنظمة بنفسك بيئةباستخدام بيانات محددة لمؤسستك الخاصة أمر ضروري. على سبيل المثال ، لا متوسط الخسارة من صناعة تعكس الأثر الذي يمكن أن يرى في مؤسستك؟ وكيف يمكنك حساب احتمال من دون الاخذ في خصوصيات مؤسستك الخاصة والبيئة انها تعمل في؟

حساب احتمال حدوث أثر تحدث في حسابك التنظيمللوصول الى هذه المنظمة بيانات محددة ، دعونا ننظر من منظور احتمال الأول. ما هو إحتمال أن الحوادث التي سوف تحدث في أي مؤسسة خاصة؟ مع أكثر من 3،000 الحوادث التي تقع في المملكة المتحدة وثلاثة في المائة فقط من المنظمات التي لا تتمتع بأي خبرة في حوادث جرائم الكمبيوتر في ال 12 شهرا الماضية ، عليك أن تبدأ من افتراض انه قد يحدث لك. وفي الوقت نفسه ، أنه ليس من العملي لنفترض أن كل حادث سوف تؤثر على كل منظمة. عليك أن تكون مستعدة لجميع انواع الحوادث -- ولكن دون أن منظمة موقع على شبكة الانترنت لن يكون عرضة لتشويه الموقع ، الخ باستخدام عملية تقييم المخاطر يمكن للمنظمة أن نفهم وجود احتمال أكثر واقعية للتحدث أثرا. بلدي منهجية للقيام بذلك يأخذ بعين الاعتبار العديد من العوامل بما في ذلك التقنيات المستخدمة ، والموقع الجغرافي ، والسياسة الأمنية وغيرها لحساب وجود احتمال واقعي بأن الأثر الذي قد يحدث.

التحجيم الأثر المحتمل على منظمتكيبحث المقبل على أثر هذا الحادث ، وكيف يمكننا تحديد الأثر المحتمل للحادث الحرمان من الخدمة أو هجوم الفيروس على التنظيم؟ لا بد من القول مقدما أنه غالبا ما يكن من الممكن تماما حجم التأثير الذي قد يكون من ذوي الخبرة في التنظيم ، ويقول ، لهجوم الفيروس. ومع ذلك ، من خلال فهمنا لتكلفة فترة توقف في المنظمة ، لدينا قاعدة مجموعة من الفئات للعمل من أجل حساب تأثير هذه العوامل حادثة تتيح لنا أن نرى فيها الأثر الذي قد يأتي من. لحساب أثر ، نحن بحاجة إلى فهم ما الأصول قد تتأثر حادث ، ثم يحسب تأثير ذلك على أن الحادثة قد يكون بناء على تلك الأصول. هناك عدة أنواع من الأصول التي تحتاج إلى أن ينظر في القيام بذلك. الباب 5 من بكالوريوس 7799 : الجزء 1 مدونة ممارسات لإدارة أمن المعلومات هو اشارة جيدة في هذا المجال إذا كنت تبحث عن مصدر مستقل للبيانات. وأخيرا ، عندما يتعلق الأمر في الواقع تحجيم تأثير والشركات غالبا ما يقولون ان من الصعب الحصول على بيانات من داخل المنظمة ، وإذا وجدت نفسها في منظمتكم ثم المتوسط فقدان الرقم ان مكتب التحقيقات الفيدرالى / منظمة التضامن المسيحي الدولية المسح يشير إلى ذلك ، قد تكون نقطة انطلاق جيدة. ثم مع مرور الوقت يمكنك التقاط المعلومات التي من شأنها أن تحقق من صحة هذا الرقم داخل مؤسستك الخاصة ، وتحديد الأصول التي يحتمل أن تتأثر وما أثر -- يبحث في فئات في الشكل 1.1.5 -- قد يكون من ذوي الخبرة.

وهناك جوانب أخرى للنظرفي المنهجية المذكورة أعلاه لدينا فقط في الحسبان الأثر السلبي للخروق الامنية ، ونحن لم تؤخذ في الاعتبار حقيقة أن جعل الاستثمارات الأمن يمكن أن يكون لها تأثيرات إيجابية على العلامة التجارية ، وخفض تكاليف التشغيل وغيرها من الاعمال في بناء العائد على الاستثمار (دوروا) للمنظمة ، والفوائد الإيجابية السلبية يجب أن تؤخذ بعين الاعتبار. الأسلوب يعمل بالطريقة نفسها ، مضاعفة حجم الأثر الإيجابي لاحتمال أن ذلك أثر إيجابي وسوف يكون من ذوي الخبرة.

تشكيل حالة دورواالأسلوب أعلاه وقد أدخلت طريقة واحدة من الاستيلاء على بعض معلومات رقمية حول مستوى التهديد لمنظمتكم. والخطوة التالية هي أن تقرر ما إذا كان هذا هو مستوى مقبول من المخاطر بالنسبة للمنظمة. المنظمة تحتاج لاتخاذ قرار بشأن ما إذا كان يريد أن نقبل ذلك الخطر ، أو في وضع حلول للتخفيف من تلك المخاطر. برامج الأمن ، إذا ما أحسن تنفيذها ، سوف تمكن المنظمة للحد من تأثير و / أو احتمال وقوع حادث ، وأنها ضد هذا السياق أن منظمة يمكن أن يؤدي إلى عودة قضية الاستثمار. ومع ذلك ، هناك دائما مستوى معين من المخاطر المتبقية أن للمنظمة على أن تقبل ، حتى بعد أن قدم استثماراتها الأمن ، وليس هناك شيء مثل الأمن 100 في المائة.

طرق أخرى لحساب عائدات الاستثمار للمنظمةهناك عدد من النهوج المختلفة التي كان يمكن أن أثبت هنا ولكن الغرض من هذه المقالة هو تبادل المعلومات الجديدة التي قدمت من قبل NHTCU / نوب المسح ولاظهار كيف يمكن أن تساعدنا في بناء حالة قطاع الأعمال لتحقيق الأمن وفي مجموعة العمل في سان (التحالف من أجل الأمن الإنترنت والتكنولوجيات الجديدة) ونحن ندرس كل هذه التوجهات المختلفة ، وسوف نقوم بنشر ورقة بيضاء حول هذا الموضوع خلال عام 2003 الذي سيشمل مختلف النهج في مزيد من التفاصيل ، بما في ذلك واحد هو أن بناء على بكالوريوس 7799.

أفكار ختاميةوNHTCU / نوب كشف الاستطلاع 34 في المائة من المنظمات تنفق في إطار واحد في المائة من إجمالي الإنفاق على أمن أجهزة الكمبيوتر ، و 46 في المائة من الانفاق تحت اثنين في المائة و 22 في المائة من المشاركين كانوا من الانفاق بين اثنين وخمسة في المائة. بالنظر إلى أن هناك أكثر من 3،000 الحوادث المبلغ عنها من قبل تلك المنظمات 105 نفسه في الأشهر ال 12 الماضية ، وربما ينبغي أن تكون المنظمات بانتظام إعادة النظر في مستويات الإنفاق. الأدائية تقييمات المخاطر العادية للالرقيقة التي وصفتها هنا يمكن أن تساعدك على الحصول على هذه العملية التي بدأت في بلدكم التنظيم ، وكاتب لا تتحمل أية مسؤولية فيما يتعلق بدقة المعلومات التي يتم توفيرها من هنا واستخدام هذه المعلومات في المستلم المخاطر الخاصة. صاحب البلاغ لا يقدم أي ضمانات بأن أية مشاكل قد ذكرت أن تحل مع استخدام أي من المعلومات المقدمة في هذه الوثيقة. عن طريق تقديم المعلومات ، وكاتب لا تمنح أي تراخيص لأية حقوق التأليف والنشر وبراءات الاختراع أو أي حقوق الملكية الفكرية الأخرى. والمعلومات والآراء الواردة في هذه الوثيقة هي آراء الكاتب وحده ، وليس بالضرورة عن آي بي إم أو أية منظمة أخرى أن تشارك مع الكاتب.

مقال مقدم من فرانك C.

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المقالة ان "حالة قطاع الأعمال لأمن المعلومات" وقد ترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.