Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> การเขียนโปรแกรม

การประเมินความเสี่ยงในความปลอดภัยของข้อมูลคืออะไร?


การประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลเป็นส่วนสำคัญของแนวทางปฏิบัติในการจัดการองค์กรที่ช่วยในการระบุ หาปริมาณ และจัดลำดับความสำคัญของความเสี่ยงตามองค์ประกอบสำหรับการยอมรับความเสี่ยงและเป้าหมายที่เกี่ยวข้องกับองค์กร

การบริหารความเสี่ยงกำหนดกระบวนการที่รวมถึงการระบุ การจัดการ และการกำจัดหรือการลดโอกาสของเหตุการณ์ที่อาจส่งผลเสียต่อทรัพยากรของระบบสารสนเทศเพื่อลดความเสี่ยงด้านความปลอดภัยที่อาจมีผลกระทบต่อระบบข้อมูลภายใต้ค่าที่ยอมรับได้ ของการคุ้มครองกำหนดซึ่งรวมถึงการวิเคราะห์ความเสี่ยง การวิเคราะห์พารามิเตอร์ "ความคุ้มค่า" และการเลือก การสร้าง และการทดสอบระบบย่อยการรักษาความปลอดภัย และการศึกษาองค์ประกอบด้านความปลอดภัยทั้งหมด

การประเมินความเสี่ยงด้านความปลอดภัย (หรือ SRA) เป็นการประเมินที่ประกอบด้วยการรับรู้ถึงความเสี่ยงในบริษัท เทคโนโลยี และกระบวนการตรวจสอบว่ามีการควบคุมเพื่อป้องกันภัยคุกคามด้านความปลอดภัย โดยทั่วไปแล้ว การประเมินความเสี่ยงด้านความปลอดภัยจะกำหนดโดยมาตรฐานการปฏิบัติตามข้อกำหนด ซึ่งรวมถึงมาตรฐาน PCI-DSS สำหรับการรักษาความปลอดภัยด้วยบัตรชำระเงิน

การประเมินความเสี่ยงด้านความปลอดภัยดำเนินการโดยผู้ประเมินความปลอดภัย ซึ่งจะคำนวณองค์ประกอบทั้งหมดของระบบของบริษัทเพื่อรับรู้ถึงพื้นที่เสี่ยง สิ่งเหล่านี้สามารถทำได้ง่ายพอๆ กับระบบที่เปิดใช้งานรหัสผ่านที่ไม่รัดกุม หรืออาจเป็นปัญหาที่ซับซ้อนมากขึ้น รวมถึงกระบวนการทางธุรกิจที่ไม่ปลอดภัย โดยทั่วไป ผู้ประเมินจะตรวจสอบทุกอย่างตั้งแต่นโยบาย HR ไปจนถึงการกำหนดค่าไฟร์วอลล์ ในขณะที่ทำงานเพื่อรับทราบความเสี่ยงที่อาจเกิดขึ้น

ตัวอย่างเช่น ในระหว่างขั้นตอนการค้นพบ ผู้ประเมินจะรู้จักฐานข้อมูลทั้งหมดที่มีข้อมูลที่สำคัญ สินทรัพย์ ฐานข้อมูลนั้นเชื่อมโยงกับอินเทอร์เน็ต ซึ่งเป็นช่องโหว่ มันสามารถปกป้องทรัพย์สินนั้น มันจำเป็นต้องมีการควบคุม และในกรณีนี้ มันจะเป็นไฟร์วอลล์

การประเมินความเสี่ยงด้านความปลอดภัยระบุสินทรัพย์ที่สำคัญ ช่องโหว่ และการควบคุมในบริษัทเพื่อให้ความเสี่ยงบางอย่างได้รับการบรรเทาอย่างเหมาะสม การประเมินความเสี่ยงด้านความปลอดภัยมีความสำคัญในการปกป้องบริษัทจากความเสี่ยงด้านความปลอดภัย

การประเมินความเสี่ยงด้านความปลอดภัยสนับสนุนเราด้วยพิมพ์เขียวของความเสี่ยงที่มีอยู่ในสภาพแวดล้อมและให้ข้อมูลที่สำคัญเกี่ยวกับความสำคัญของแต่ละปัญหา สามารถทำความเข้าใจได้ว่าควรเริ่มจากจุดใดในการเพิ่มประสิทธิภาพการรักษาความปลอดภัย ซึ่งช่วยให้เราเพิ่มทรัพยากรและงบประมาณด้านไอทีของคุณได้สูงสุด ประหยัดเวลาและค่าใช้จ่าย

การประเมินความเสี่ยงด้านความปลอดภัยเป็นการคำนวณเชิงลึกของบริษัท หรืออาจเป็นโครงการไอทีที่แน่นอนหรือแม้แต่แผนกของบริษัทก็ได้ ระหว่างการประเมิน มีวัตถุประสงค์เพื่อค้นหาปัญหาและช่องโหว่ด้านความปลอดภัยก่อนที่คนร้ายจะทำ

กระบวนการประเมินต้องทบทวนและทดสอบระบบและบุคคล โดยมองหาจุดอ่อน เมื่อค้นพบแล้ว ระบบจะจัดอันดับโดยพิจารณาจากความเสี่ยงที่มีต่อบริษัท เอกสารที่ได้จะรับรู้ถึงระบบที่ทำงานได้ดีและปลอดภัย รวมถึงระบบที่มีปัญหา การประเมินความเสี่ยงด้านความปลอดภัยโดยทั่วไปจะมีผลทางเทคนิคที่ชัดเจน เช่น ผลการสแกนเครือข่ายหรือผลการกำหนดค่าไฟร์วอลล์