Bezpieczeństwo w ujęciu teleinformatycznym ma główne dwa aspekty:

• Bezpieczeństwo w sensie uniemożliwienia nieautoryzowanego dostępu do danych i nieautoryzowanego ich przetwarzania (np. wprowadzanie nieautoryzowanych zmian)

• Dostępność lub ciągłość działania – niewiele pożytku przychodzi z bezpiecznego systemu, z którego nie da się skorzystać.

O problemach w obszarze zabezpieczeń systemu teleinformatycznego możemy się przekonać na dwa sposoby:

• Gdy nastąpi awaria lub przełamanie zabezpieczeń

• Gdy przeprowadzimy audyt bezpieczeństwa

Oczekiwania na awarię nie polecam nikomu. Proponuję przeprowadzenie audytu bezpieczeństwa. Proponuję podejście metodologiczne – zastosowanie sprawdzonej metodyki MARION. Podejście to ograniczy możliwość pominięcia jakiegoś ważnego elementu systemu.

Metoda polega na odpowiedzi na pytania ankiety przyznając punkty w zakresie:

• Prawdopodobieństwo wystąpienia

• Znaczenie w ujęciu ciągłości działalności organizacji

• Znaczenie w ujęciu biznesowym (punktacja w tym obszarze ma znaczenie pomocnicze)

Ocena ryzyka

Ryzyko = Prawdopodobieństwo wystąpienia (C) * Znaczenie w ujęciu ciągłości działalności organizacji (B)
Prawdopodobieństwo wystąpienia (C):

0. Zagrożenie jest wysoce mało prawdopodobne.

1. Zagrożenie może wystąpić rzadziej niż raz w roku

2. Zagrożenie, które może się zdarzyć raz w roku

3. Zagrożenie, które może wystąpić raz w miesiącu

4. Zdarzenie może wystąpić raz w tygodniu

5. Zagrożenie może wystąpić raz dziennie
Znaczenie w ujęciu ciągłości działalności organizacji (B):

0. Nieistotne

1. Mała lub duża transakcja nie dojdzie do skutku

2. Operacje biznesowe są niedostępne przez określony czas, utrata sprzedaży, zmniejszenie zaufania klienta (utrata klienta jest mało prawdopodobna)

3. Znacząca utrata operacji biznesowych lub zaufania klientów lub udziału w rynku. Klienci mogą być straceni

4. Katastrofa. Firma może przetrwać, ale znaczącym kosztem

5. Firma nie może przetrwać
Znaczenie w ujęciu biznesowym (A)

Ref. Znaczenie

Im1 Ujawnienie tajemnicy firmy, ujawnienie danych klientów, ujawnienie danych księgowych

Im2 Modyfikacja danych księgowych lub danych klientów

Im3 Atakujący podaje się za firmę lub jej klienta

Im4 Zła reklama dla firmy – haker ujawni naruszenie systemu bezpieczeństwa

Im5 Zła reklama dla firmy – dane o klientach zostały usunięte, zmodyfikowane, ujawnione

Im6 Zła reklama dla oddziału: Atakujący z zewnątrz użyje konkretnego oddziału, by uzyskać dostęp do sieci korporacyjnej

Im7 Znacząca dezorganizacja funkcji biznesowych

Im8 Znacząca dezorganizacja sieci.

Im9 Oszustwo

Im10 Utrata zaufania klientów (jeśli zakłócenia trwają dłuższy czas, pojawiają się często, klienci mogliby być straceni)

Im11 Firma mogłaby być oskarżona o łamanie prawa lub o brak należytej staranności

Im12 Spadek jakości świadczonych usług

Im13 Możliwy zysk konkurencji i przez to spadek sprzedaży

Im14 Sieć korporacyjna może być użyta jako baza do ataku innych firm

Im15 Sieć korporacyjna może być użyta do dystrybucji oprogramowania atakującego

Im16 Elektroniczne oszustwa