Ασφάλεια Πληροφορικής

Κατηγοριοποίηση & Ταξινόμηση των Περιστατικών Ασφάλειας Πληροφοριών. Πως επηρεάζουν την Επιχειρηματικότητα και την Κοινωνία.

 
Σύμφωνα με το ISO/IEC 27000, ως περιστατικό ασφάλειας πληροφοριών ορίζεται ένα ή μια σειρά από ανεπιθύμητα ή απρόβλεπτα συμβάντα ασφάλειας πληροφοριών τα οποία μπορούν  να  δημιουργήσουν  πρόβλημα  στην  επιχειρησιακή  λειτουργία  ενός οργανισμού ή μίας επιχείρησης και να απειλήσουν την ασφάλεια των πληροφοριών, δηλαδή  την  εμπιστευτικότητα,  την  ακεραιότητα  και  τη  διαθεσιμότητα  των πληροφοριών που ο οργανισμός ή η επιχείρηση, επεξεργάζεται.
Τα περιστατικά παραβίασης ασφάλειας πληροφοριών κατηγοριοποιούνται ανάλογα με τις απειλές σε:
Κατηγορίες βαρύτητας περιστατικών παραβίασης ασφάλειας πληροφοριών
Κατηγορίες σοβαρότητας περιστατικών παραβίασης ασφάλειας πληροφοριών
Σχέση της Κατηγορίας και του βαθμού σοβαρότητας των παραβιάσεων
Η κατηγορία παραβιάσεων ασφάλειας πληροφοριών και ο βαθμός σοβαρότητας συνδέονται συχνά. Μια κατηγορία παραβίασης μπορεί να έχει διαφορετικό βαθμό σοβαρότητας, ανάλογα όχι μόνο με την επιχείρηση αλλά και με τη φύση της παραβίασης, όπως π.χ. μία τεχνική επίθεση με αποτυχημένες προσπάθειες είναι μικρής σοβαρότητας ενώ μία μαζική που εκθέτει σε κίνδυνο τα προνόμια πρόσβασης των χρηστών είναι πολύ σοβαρή. Αντίστοιχα ένα γνωστό κακόβουλο λογισμικό, το οποίο εντοπίστηκε και αποκλείστηκε από την προστασία από ιούς είναι μικρής σοβαρότητας ενώ ένα κακόβουλο λογισμικό το οποίο δεν αποκλείστηκε και προκάλεσε μαζικές μολύνσεις είναι πολύ σοβαρή.
Ταξινόμηση των περιστατικών παραβίασης ασφάλειας πληροφοριών
Μία προσέγγιση ταξινόμησης των παραβιάσεων ασφάλειας πληροφοριών είναι η παρακάτω, λαμβάνοντας υπόψη τους ακόλουθους τρεις παράγοντες:
Συμπεράσματα
Οι οργανισμοί και οι επιχειρήσεις πρέπει να βρίσκονται σε συνεχή επιφυλακή, να είναι κατάλληλα προετοιμασμένες, τόσο οργανωτικά (ανάπτυξη ασφαλών συστημάτων, διαδικασίες, δομές, κ.α. ) όσο τεχνικά και νομικά, ώστε να είναι σε θέση να αντιμετωπίσουν ενδεχόμενο περιστατικό. Η προστασία των δικαιωμάτων των ανθρώπων, ιδιαίτερα της ιδιωτικότητας του ατόμου, και η προστασία του κοινωνικού συνόλου από τις αρνητικές επιπτώσεις μίας παραβίασης, είναι ηθική υποχρέωση όλων.
Η εκπόνηση ενός Σχεδίου Αντιμετώπισης Περιστατικών είναι αναγκαία, ώστε η επιχείρηση να είναι σε θέση να διαχειριστεί αποτελεσματικά τα περιστατικά, να περιορίσει τη ζημιά, να αυξήσει την εμπιστοσύνη των πελατών αλλά και των μετόχων της, να ικανοποιήσει τις νομικές υποχρεώσεις που πιθανώς να δημιουργηθούν, να μειώσει το οικονομικό κόστος του περιστατικού και να περιφρουρήσει την φήμη της.
Πρέπει όλοι να γνωρίζουν ότι δεν υπάρχει απόλυτη ασφάλεια. Το θέμα δεν είναι αν θα υπάρξει περιστατικό αλλά το πότε θα υπάρξει και πως θα αντιμετωπιστεί.
Παντελής Ταμπακόπουλος
Image by Elchinator from Pixabay
(Συνολικές επισκέψεις 50)