Information security risk assessment: Τι είναι και γιατί το χρειάζεται η επιχείρησή σας

04-11-2021

Η εκτίμηση ρίσκου (risk assessment) σε επίπεδο συστημάτων ασφαλείας πληροφορικής (Information Security) είναι η διαδικασία κατά την οποία κανείς αναγνωρίζει και αξιολογεί κινδύνους, και εν συνεχεία εφαρμόζει βασικούς ελέγχους ασφάλειας σε εφαρμογές (κυρίως) και συστήματα. Παράλληλα, μέσω μίας τέτοιας εκτίμησης, η επιχείρηση έχει τη δυνατότητα να διαβλέψει και έτσι τελικά να αποφύγει, είτε συγκεκριμένα vulnerabilities, είτε ελαττώματα και αβλεψίες των εφαρμογών.

Το να διενεργήσει κανείς ένα risk assessment, ουσιαστικά σημαίνει ότι βλέπει την επιχείρησή του «εξωτερικά», με τα μάτια ενός επιτιθέμενου.

Η διαδικασία ενός τέτοιου project μπορεί να διαφέρει σημαντικά ανάλογα με το μέγεθος του οργανισμού, τον όγκο των εφαρμογών και των δεδομένων. Αυτό το γεγονός, οδηγεί πολλές φορές τις επιχειρήσεις, στη διενέργεια «γενικών» assessments, κάτι που ναι μεν είναι καλύτερο σε σχέση με τη μη διενέργεια risk assessment συνολικά, αλλά σε καμία περίπτωση δεν καλύπτει μία επιχείρηση, αφού δεν έχει γίνει λεπτομερής αντιστοίχιση των assets της με τους πιθανούς κινδύνους και τις επιθέσεις στις οποίες είναι ανοικτή.
Ένα information security risk assessment, θα πρέπει να πραγματοποιηθεί με συγκεκριμένο τρόπο και το ενδεδειγμένο μοντέλο διενέργειάς του, αποτελείται από 4 βασικά βήματα:

1. Αναγνώριση: Σε αυτήν τη φάση, αναγνωρίζονται και καθορίζονται όλα τα κρίσιμα assets σε επίπεδο τεχνολογικής υποδομής. Στη συνέχεια, αναγνωρίζονται τα ευαίσθητα δεδομένα που δημιουργούνται στον οργανισμό, καθώς και το πως αυτά αποθηκεύονται, μεταδίδονται και χρησιμοποιούνται. Για κάθε ένα από τα παραπάνω σημεία, δημιουργείται ένας «φάκελος» πληροφοριών, το επονομαζόμενο risk profile.
2. Αξιολόγηση: Αυτή είναι η φάση του κυρίως assessment. Σε αυτό το επίπεδο καθορίζουμε τις ενέργειες και τα μέτρα που θα πρέπει να λάβουμε ώστε να μειώσουμε το ρίσκο για κάθε περίπτωση.
3. Μείωση ρίσκου: Συμπληρώνοντας την προηγούμενη φάση, σε αυτήν ορίζουμε με ακρίβεια την προσέγγισή μας στη μείωση του ρίσκου καθώς και στην εφαρμογή (πιο σωστά, στην επιβολή) ελέγχων ασφαλείας για κάθε περίπτωση.
4. Πρόληψη: Επειδή πάντοτε είναι καλύτερο να προλαμβάνεις κάτι από το να το αντιμετωπίζεις εκ των υστέρων, σε αυτήν τη φάση αναλύουμε το πως μπορούμε να εξαλείψουμε κινδύνους και απειλές προτού καν εμφανιστούν.

Μετά το πρώτο σας risk assessment

Είναι εξαιρετικά σημαντικό για κάθε οργανισμό, να κατανοήσει (και αυτό αφορά το επίπεδο του ΙΤ αλλά και του management), ότι η εκτίμηση ρίσκου και ειδικά σε τεχνολογικό επίπεδο (όπου όλα κινούνται με πολλαπλάσιες ταχύτητες), δεν είναι μία ad-hoc ενέργεια.

Οι απειλές αυξάνονται με ιλιγγιώδεις ρυθμούς (εκτιμάται ότι πάνω από 2.000 απειλές εμφανίζονται παγκοσμίως κάθε ημέρα!), τα συστήματα αναβαθμίζονται ή αλλάζουν, διαδικασίες δεν παραμένουν σταθερές, υπάλληλοι μετακινούνται κ.ο.κ.

Όλα αυτά σημαίνουν ότι το information security risk assessment είναι μία συνεχής διαδικασία και στην πραγματικότητα πρέπει να γίνει μέρος της λειτουργίας της επιχείρησης αλλά και της κουλτούρας του.