Главная страница

тема 4. Тема Прогнозирование и управление рисками с помощью информационных систем


Скачать 0.63 Mb.
НазваниеТема Прогнозирование и управление рисками с помощью информационных систем
Анкортема 4
Дата21.02.2023
Размер0.63 Mb.
Формат файлаpdf
Имя файла4.pdf
ТипДокументы
#949744

Менеджмент в информационно-
коммуникационных технологиях
Тема 4. Прогнозирование и
управление рисками с помощью
информационных систем
Цели изучения темы:
- прогнозирование бизнес-процессов с помощью информационных систем;
- рисками предприятия с помощью информационных систем.
Задачи изучения темы:

Изучить методы анализа временных рядов.

Ознакомиться с методами технического анализа цен акций и курсов валют.

Ознакомиться с методами финансового анализа цен акций и курсов валют.

Оценить достоверность прогнозов. Изучить управление рисками с помощью информационных систем.

Освоить технологии защиты данных и основы информационной безопасности.
В результате изучения данной темы Вы будете
знать:

основные понятия прогнозирования и управления рисками;

возможности и функции информационных систем в техническом и финансовом анализе;
уметь:

выполнить прогноз бизнес процессов предприятия;

оценить риски предприятия.
Учебные вопросы темы:
1. Временной ряд. Анализ временных рядов.
2. Технический анализ.
3. Финансовый менеджмент в IT- компании.
4. Типы кибератак.
5. Технологии защиты личных данных и бизнеса. Основы информационной безопасности.
Основные термины и понятия, которые Вам предстоит изучить:

1. Временной ряд.
2. Анализ временных рядов.
3. Технический анализ.
4. Финансовый анализ.
5. Достоверность прогнозов бизнес-процессов.
6. Управление рисками предприятия с помощью информационных систем.
7. Технологии защиты данных.
8. Основы информационной безопасности.
Вопрос 1. Временной ряд. Анализ временных рядов
Временной ряд – это последовательность значений, описывающих протекающий во времени процесс, измеренных в последовательные моменты времени, обычно через равные промежутки.
Данные типа временных рядов широко распространены в самых разных областях человеческой деятельности. В экономике

это ежедневные цены на акции, курсы валют, еженедельные и месячные объемы продаж, годовые объемы производства и так далее.
Анализ временных рядов – это процесс применения методов статистики и машинного обучения для выявления закономерностей в структуре временных рядов и предсказания будущего поведения описываемых этими рядами систем.
Прогнозирование

предсказание будущих значений временного ряда.
Тренд

долговременная тенденция в данных (снижение или возрастание).
Тренд может быть линейным или нелинейным. В некоторых временных рядах может также наблюдаться изменение направления тренда (например, когда рост сменяется спадом).
Нерегулярная компонента ряда

эффекты случайных факторов («шум»).
Пример временных рядов 22 криптовалют представлен на рисунке 1.
Рис 1. Временные ряды курсов 22 криптовалют к доллару США.

Курс криптовалюты tether постоянен, так ка криптовалюта привязана к доллару США.
На рисунке 2 представлен курс криптовалюты биткоин к доллару США.
Рис 2. Курс криптовалюты биткоин к доллару США.
Подходы к моделированию временного ряда можно разделить на два направления:

моделирование неслучайной составляющей в совокупности;

разложение временного ряда на составляющие компоненты и моделирование значений каждой компоненты в отдельности.
Статистические методы прогнозирования делятся на алгоритмические методы и аналитические методы. К алгоритмическим методам относят методы простой и взвешенной скользящей средней. К аналитическим методам относят методы прогнозной экстраполяции на основе кривых роста в виде функций времени. В случае наличия сезонной или циклической компоненты во временном ряду проводят анализ периодических колебаний или спектральный анализ временного ряда.
Временные ряды классифицируют на стационарные и нестационарные.
Для анализа и построения прогноза по стационарному временному ряду используют особые методы: модели скользящего среднего (MA-модели), модели авторегрессии (AR-модели) или смешанные модели (ARMA) или модели проинтегрированного скользящего среднего и авторегрессии (ARIMA). Отдельное направление в прогнозировании – адаптивные модели прогнозирования. Кроме того, при изучении многофакторных временных рядов для построения прогноза могут использоваться обычные регрессионные модели с приведением временных рядов к стационарному виду.
Прогнозирование тесно связано с планированием и используется для эффективного принятия решений. Прогнозирование может дать ответ на вопрос: что вероятнее всего ожидать в будущем относительно исследуемого процесса или что необходимо сделать, чтобы достичь заданного состояния исследуемого объекта прогнозирования.
Стадии анализа временных рядов:
1) графическое представление и описание поведения ВР;
2) выделение и удаление закономерных составляющих ВР, зависящих от времени: тренда, сезонных и циклических составляющих;

3) выделение и удаление низко- или высокочастотных составляющих процесса (фильтрация);
4) исследование случайной составляющей ВР, оставшейся после удаления перечисленных выше составляющих;
5) построение математической модели для описания случайной составляющей и проверка ее адекватности;
6) прогнозирование будущего развития процесса, представленного ВР;
7) исследование взаимодействий между различными ВР.
Методы анализа временных рядов:

корреляционный анализ позволяет выявить существенные периодические зависимости и их лаги (задержки) внутри одного процесса (автокорреляция) или между несколькими процессами (кросс корреляция);

спектральный анализ позволяет находить периодические и квазипериодические составляющие ВР;

сглаживание и фильтрация предназначены для преобразования временных рядов с целью удаления из них высокочастотных или сезонных колебаний;

модели авторегрессии и скользящего среднего оказываются особенно полезными для описания и прогнозирования процессов, проявляющих однородные колебания вокруг среднего значения;

прогнозирование позволяет на основе подобранной модели поведения временных рядов предсказывать его значения в будущем.
Вопрос 2. Технический анализ
Технический анализ (ТА) — это изучение истории цен и торговых объемов с целью выявления закономерностей, на основе которых прогнозируется ценовая динамика. Технический анализ применим к любому активу с историей изменений цен в прошлом, включая криптовалюты, биржевые товары и акции.
Примитивные формы технического анализа появились в Амстердаме в
XVII столетии и в Японии в XVIII столетии. Современный ТА возник благодаря трудам американского журналиста
Чарльза
Доу, основателя издания The Wall Street Journal. Доу одним из первых заметил, что активы и рынки часто развиваются в рамках трендов, которые можно фрагментировать и подвергать анализу. На основе наблюдений он создал концепцию, известную как «Теория Доу».
Ключевые положения теории Доу:

Ценообразование обусловлено всем происходящим на рынке.
Все настоящие, прошлые и будущие факторы (спрос, нормативно- правовые изменения, ожидания участников рынка и т.д.) уже учтены в текущей цене актива и объеме торгов. Изучения динамики цены/объема достаточно для прогнозирования вероятного развития событий на рынке.

Главное - «что», а не «почему».
В центре внимания технического аналитика находится цена актива, а не различные переменные величины, производящие ценовое движение. Цена — отражение противоположных сил предложения и спроса, которые тесно связаны с эмоциями страха и жадности участников рынка.


Ценовые движения не бессистемны, а подчинены тенденциям.
Совокупность изменений баланса спроса и предложения за определенный промежуток времени формирует тренды (краткосрочные, среднесрочные и долгосрочные). Если спрос превышает предложение, возникает восходящий тренд, если предложение превышает спрос — нисходящий. Когда спрос и предложение уравновешивают друг друга, возникает боковой ценовой тренд (флэт).

История склонна повторяться.
Можно предсказать рыночную психологию, поскольку трейдеры стереотипно реагируют на схожие факторы.
Технический анализ используется преимущественно как инструмент прогнозирования ценового движения и поведения рынка, фундаментальный анализ — как метод оценки стоимости актива в соответствии с его потенциалом и контекстом.
Вопрос 3. Финансовый менеджмент в IT- компании
Вопросы финансового учета, планирования и бюджетирования

острая и актуальная тема для всех IT компаний. По мере роста компании денежные потоки сложно контролировать и становится очевидно, что нужен системный подход.
В зависимости от видов продуктов и услуг, которые производит компания, методология учета в IT компаниях может существенно отличаться. Заказная разработка ПО, выпуск коробочных решений, наличие технической поддержки, выпуск обновлений, использование лицензий сторонних разработчиков могут значительно влиять на признание доходов и расходов и cash management организации. Важным базисом для организации учета и бюджетирования является деление деятельности компании на проекты и распределение затрат (не формирующих себестоимость) на пул проектов, по заранее определенной методологии.
Модель заработка.
Во-первых, менеджменту и собственникам компании следует определить и утвердить модель заработка. То есть, чем компания будет зарабатывать деньги.
Это может быть производство коробочного решения, выпуск лицензий на использование, заказная разработка и т.д.).
Чаще всего компания будет иметь два и более вариантов получения выручки. В зависимости от видов выручки будет различаться и система налогообложения доходов (лицензии не облагаются НДС, техническая поддержка и продажа услуг включают НДС). Учитывая это, можно грамотно выстроить систему расходов, как тех, которые будут формировать себестоимость, так и тех, которые будут признаны затратами периода.
Себестоимость проекта и ценообразование.
Особенность большинства IT компаний в отсутствии большого количества основных средств. Это не завод, не производственная компания и основным активом являются люди, специалисты разработчики, лингвисты, тестировщики.
Именно их знания, умения и компетенции, выраженные в услугах для заказчиков
или продуктах, генерируют доход. От того, как компания управляет этим ресурсом, и зависит ее денежный поток и финансовое благополучие.
На российском рынке принято использовать одну из двух моделей ценообразования (Fixed Price или Time&Materials).
Первая модель – это традиционная модель проектной разработки, когда заказчик и менеджер проекта определяют в тех. задании весь объем работ, согласовывают фиксированный бюджет и точные сроки реализации проекта. В
Fixed Price (или FР) клиенты оплачивают конечный результат, а исполнитель – время своих разработчиков. В этом случае, если программисты проведут больше времени за разработкой, а бюджет не изменится, то прибыль компании снижается.
Поэтому, много зависит от умения менеджеров оценить трудозатраты. В любом случае, риски и форс-мажоры могут возникнуть в процессе реализации проекта.
Вторая модель – Time&Materials (TM) – это оплата заказчиком фактически затраченных ресурсов – времени разработчика.
С чего начать:
● определить стоимость работы каждого разработчика и прочих технических специалистов;
● спланировать сроки проведения работ;
● разбить проект на этапы: разработка, тестирование, ввод в эксплуатацию и другие;
● спланировать бюджет закупки оборудования (если требуется).
Техническое оснащения для расчетов себестоимости, планирования
бюджета, формирования управленческого учета:
● На первоначальном этапе для целей планирования и учета вполне можно обойтись возможностями MS Excel или Google sheets.
● По мере роста компании, руководству необходимо заняться автоматизацией процесса.
На сегодняшний день на рынке присутствует довольно большое количество специализированного ПО.
Оценка рентабельности проектов и бизнеса.
Грамотный учет и точное распределение времени по проектам позволит оценить рентабельность проекта. Основная проблема молодых компаний - это привязанность к учету только в деньгах, фактически по денежным потокам. Такой подход существенно искажает информацию по компании.
Правильнее делать расчет рентабельности как проекта, так и бизнеса в целом, не методом начисления (то есть, формировать отчет о прибылях и убытках проектов и компании), делать анализ платежеспособности компании в разрезе
Cash flow по проектам и понесенных затрат, а на основе баланса, отчета о прибылях и убытках и отчета о движении денежных средств, производить комплексный анализ устойчивости компании.
Проектный учет методом начисления позволит разделить проектные доходы в составе общей выручки. А проектная себестоимость и ее факторный анализ покажут долю затрат на проект и причины экономии или перерасхода.
Данный подход позволит выделить убыточные проекты. Также, руководству будет понятно какие принять меры по сокращению потерь или пересмотру стратегии развития. Результатом анализа должны быть не просто в виде цифр, а в виде выводов компетентного специалиста, которые помогут принять верные управленческие решения.
Хорошим правилом будет разработка системы KPI как для проекта, так и для компании в целом. Контроль выполнения KPI даст гарантию прозрачности бизнеса для собственников и руководителей.
Расходы, не формирующие себестоимость.

Себестоимость, безусловно, является основополагающим фактором в получении приемлемой маржинальности по проекту, но помимо нее существует ряд затрат, планирование и учет которых, при формировании коммерческого предложения, также важен.
Маркетинг, затраты на продажу,
ФОТ административного и вспомогательного персонала, налоги, административно-хозяйственные, управленческие расходы, амортизация, проценты по кредитам и так далее, могут составлять значительную часть расходов. Полученную величину можно применить для определения минимально комфортной рентабельности проекта.
Контрольные точки и финансовые показатели.
Руководству компании важно выделять время на комплексный анализ текущих результатов по проектам. Важно, совместно с руководителями проектных команд, анализировать производственную и финансовую ситуацию по работам и по компании.
Себестоимость проектов: анализ реально понесенных затрат на проект.
Выявление проблемных проектов или участков работ.
Количество продуктивного времени и потерь (Время - деньги). Анализ финансовых показателей, в совокупности с производственными, даст понимание о ресурсной базе.
Для примера: списание на себестоимость большего количества часов разработчиков, чем запланировано, должно подтолкнуть руководство компании обратить внимание на компетентность штата разработчиков, принять меры по повышению уровня профессионализма работников, обучению, или необходимость пересмотреть методологию планирования производства работ по проекту.
Рентабельность проектов.
Контроль рентабельности проектов и бизнеса – необходим, на основе верного учета и планирования. Величина постоянных расходов бизнеса, как правило, статична и должна закладываться в маржинальность каждого проекта.
Руководство определяет приемлемый уровень рентабельности проектов и бизнеса.
Структура косвенных расходов: определяем, сколько денег потратили на аренду, развитие сотрудников, административный персонал и другие косвенные расходы.
Меры предотвращения косвенных расходов:
● Внедрение системы финансового планирования, учета и контроля.
● Периодический контроль уровня OPEX.
● Контроль минимальных значений рентабельности проектов.
● Активная работа с дебиторской и кредиторской задолженностями.
● Привлечение заемных средств.
● Привлечение инвестиций.
Вопрос 4. Типы кибератак
Российский рынок информационной безопасности в минувшем году вырос на
10% и достиг объема в $89 млрд. Большая часть спроса формируется бизнесом – в
2021 году, по данным IDC, только корпоративные заказчики вложат в системы защиты
$100 млрд.
Государство, также простимулирует рынок: в рамках программы «Цифровая экономика» правительство закажет у разработчиков
(преимущественно отечественных) пакет решений по защите персональных данных и платежных систем на сумму 30 млрд рублей. Вероятно, деньги будут вложены и в безопасность критической информационной инфраструктуры, на которую в минувшем году, по данным НКЦКИ, было совершено больше четырех миллиардов компьютерных атак.

Кража корпоративных данных и финансов, как и другие киберугрозы – атаки на сервера, например, с целью выведения бизнес-процессов из строя – давно стали частью реальности для большинства средних и крупных компаний. Бизнес учится закрывать одни уязвимости, но тут же открываются новые. Рассмотрим, на каких видах атак сосредоточились хакеры за последний год, и как можно усилить защиту слабых звеньев в корпоративной информационной системе.
Кража данных банковских карт у онлайн-магазинов.
На первый взгляд formjacking (взлом форм) – самая главная тенденция в киберпреступности по версии Symantec – это атака на пользователей, а не на корпорации. Однако, бизнес несет в результате этих действий огромные потери.
Ежемесячно этому виду угроз подвергается 4800 площадок, принимающих онлайн платежи. Вредоносный код пытается пробить защиту и украсть конфиденциальную информацию о реквизитах платежных средств пользователей.
Самый показательный случай – это взлом сайта British Airways, когда хакеры похитили из платежной системы данные кредитных карт 185 тысяч клиентов (включая
77 тысяч карт с СVV-кодом), с которых похитили порядка $17 миллионов. В результате, перевозчику грозит огромный штраф в размере 4% от годового оборота согласно GDPR – правилам защиты данных пользователей, то есть внушительная сумма в 500 млн фунтов стерлингов.
British Airways не раскрывает детали атаки, но эксперты полагают, что наиболее вероятная версия – вредоносный код изначально был встроен в элементы сайта, которые были созданы сторонними исполнителями. Таким образом, любой онлайн-ритейлер, который прибегает к разработке на аутсорсе, находится в зоне риска.
В этом отношении компаниям можно рекомендовать усиление собственного отдела разработки для выполнения максимума задач собственными силами.
Вымогательство криптовалюты.
Обвал биткойна на 90% имел множество последствий, но одно из них вопреки общему контексту имело положительный эффект для бизнеса. Количество кибератак на корпорации с использованием криптолокеров в 2018 году снизилось на 12%. Тем не менее, эта разновидность троянов остается одной из самых опасных. В конце 2018 года и начале этого в очередной раз громко заявил о себе, например, вирус Troldesh, который корпоративные пользователи заносили в системы разными путями, в частности – через скачивание файлов из фальшивых писем от различных компаний и банков.
С помощью криптолокеров хакеры получают контроль над корпоративными системами и шифруют данные, а после требуют выкуп в криптовалюте, чтобы вернуть информацию в исходный вид. Такие трояны были очень популярны и в предыдущие годы. Наибольший вред принесли широко известные WannaCry ($8 млрд) и Petya
($850 млн), которые распространились по миру и парализовали десятки корпораций, включая Mars и NIVEA, а в России – Мегафон и Роснефть.
К сожалению, сегодня даже самые качественное антивирусное ПО не способно обнаружить последние версии криптолокеров. Компания Troldesh, в частности, сильно эволюционировал: теперь он регулярно меняет программу - упаковщик, из-за чего ему удается обмануть фильтры корпоративных систем безопасности.
Борьба с такими угрозами лежит не только в технологической плоскости.
Необходимо принимать во внимание и человеческий фактор. Единственный путь, по которому может пойти организация, чтобы минимизировать риски – это строгий регламент поведения персонала. Некоторые действия должны быть доведены до автоматизма: например, сотрудники должны уметь отличать реальные деловые письма от фальшивых (первые имеют контакты для обратной связи, включая номер телефона), не устанавливать самостоятельно какие-либо обновления, не скачивать вложения в
письмах от незнакомых отправителей, не переходить по гиперссылкам в теме письма и так далее.
Атаки на облачную инфраструктуру.
Криптолокеры и другие атаки на сервера компаний только усилили и без того популярную тенденцию – переход на облачные хранилища данных. Эксперты Gartner прогнозируют, что мировой рынок публичных облачных услуг в 2019 году вырастет на
17,5% и составит $214,3 млрд. В России 42% компаний уже используют IaaS-решения, и еще треть перейдут на них в ближайшее время.
Теоретически, облачные хранилища защищают от угрозы потери данных в результате атаки криптолокеров. Однако, корпоративные пользователи IaaS-решений автоматически попадают в зону иных рисков.
Так, неправильная конфигурация даже одного элемента облачной инфраструктуры может повлечь за собой серьезные потери. В 2018 году, по данным
Symantec, по этой причине было похищено 70 миллионов записей, имеющих отношение к бизнес-информации. Злоумышленники использовали уязвимости аппаратных чипов (включая Meltdown, Spectre, Foreshadow). Ситуации усугубляется тем, что киберпреступники активно делятся эксплойтами, с помощью которых можно взломать самые защищенные облачные сервисы.
Выходом может быть использование специальных облачных хранилищ, данные в которых защищаются двойным сквозным шифрованием. Генератор ключей при этом хранится в не облаке, а у клиента, поэтому доступ к дешифровке получить не может никто, кроме владельца данных. Чтобы украсть информацию, злоумышленникам придется взломать одновременно и облако, и сервер, на котором хранится ключ.
Атаки на финансовый сектор.
Крупная кибератака в России была направлена на 80 тысяч сотрудников финансового сектора (банков и крупных платежных систем). Механика атаки, целью которой было получение доступа к счетам клиентов, основана на фишинге и социальной инженерии.
Персонал компаний получал рассылку якобы от организаторов финансового форума с прикрепленной архивной папкой. Ее предлагалось скачать, заполнить анкету, а в качестве стимула адресатам обещали два пригласительных на крупнейшее в отрасли мероприятие. Это не первая подобная атака: с 2017 года банковский сектор в
России регулярно испытывает прессинг группировки Silence. Во многом ее методы напоминают действия Carbanak – другого преступного клана, ущерб от которого в мире, по оценке Лаборатории Касперского, доходит до миллиарда долларов.
Говоря о мерах защиты, вновь приходится поднимать вопрос о киберграмотности персонала. В случае атаки на российские банки подозрения сотрудников могло бы вызвать несовпадение адреса электронной почты с названием форума (его даже не пытались подделать в близкий по звучанию) и многочисленные ошибки в тексте, а также, присутствие в папке вместе с «анкетой» постороннего загрузочного файла. Атаку удалось обнаружить в самом начале, и вредоносное ПО не успело развернуться в системах и украсть ценную информацию о клиентских счетах.
Очевидно, что найти универсальный рецепт защиты от каждого вида угроз невозможно, нужно действовать в комплексе. Самые базовые методы – это использование лицензированного ПО и новейших корпоративных систем безопасности, регулярное их обновление, а также прицельный выбор подрядчиков по разработке и IT-продуктов. Уязвимость персонала остается одним из самых больших рисков, поэтому некоторые компании идут по пути приобретения корпоративных устройств связи и использование закрытых мессенджеров, которые сводят вероятность атак к минимуму.

Вопрос 5. Технологии защиты личных данных и бизнеса. Основы
информационной безопасности.
Криптография.
Специалисты по безопасности особое внимание обращают на криптографическое шифрование информации.
Криптографические методы шифрования делятся на симметричные и ассиметричные. В первом случае для зашифровывания и расшифровывания данных используется один и тот же ключ. Во втором случае используются два разных ключа: один для зашифровывания, другой для расшифровывания. При этом, выбор того или иного решения зависит от целей, которые ставит перед собой специалист.
Зашифрованные с помощью криптографии данные, остаются защищенными сами по себе, а доступ к зашифрованной информации может и вовсе не ограничиваться какими - либо иными технологиями.
Действительно, сильные средства криптографической защиты могут позволить себе сегодня далеко не все развитые страны. Необходимыми для этого знаниями и инструментами обладают лишь отдельные государства, в число которых входит
Россия.
Строгая аутентификация с помощью криптографических протоколов.
Проверяемая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Доказательство знания секрета осуществляется с помощью последовательности запросов и ответов с использованием криптографических методов и средств.
Методы аутентификации, использующие пароли и PIN-коды.
Одна из распространенных схем аутентификации. Основана на применении традиционных многоразовых паролей с одновременным согласованием средств его использования и обработки. Пока в большинстве защищенных виртуальных сетей VPN (Virtual Private Network) доступ клиента к серверу разрешается по паролю.
Аутентификация,
авторизация
и
администрирование
действий
пользователей.
С каждым зарегистрированным в компьютерной системе пользователем или процессом, действующим от имени пользователя, связана информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие их.
Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем, остальные пользователи относятся к нелегальным пользователям.
ЭЦП (Электронная цифровая подпись).
Примером криптографических методов защиты данных является цифровая
(электронная) подпись. При ее разработке могут использоваться алгоритмы хэш – функций. Цифровая подпись позволяет аутентифицировать электронные документы и обладает всеми основными достоинствами обычной рукописной подписи.
На сегодняшний день используют электронную подпись далеко не все.
Обсуждается возможность сделать идентификатором личности номер мобильного телефона пользователя.
Компании активно пользуются ЭЦП. Электронная цифровая подпись — обязательный элемент при проведении некоторых операций в России, таких как сдача финансовой отчетности, участие в закупках, ведение юридически значимого документооборота и подача арбитражных исков в суды.
Квантовая криптография.
Одной из самых многообещающих технологий защиты данных сегодня аналитики называют квантовую криптографию. Эта технология позволяет обеспечить практически абсолютную защиту шифрованных данных от взлома.

В основе работы квантовой сети лежит принцип квантового распределения ключей. Ключ генерируется и передается посредством фотонов, приведенных в квантовое состояние. Скопировать такой ключ нельзя. При попытке взлома фотоны, передающие информацию, согласно законам физики, меняют свое состояние, внося ошибки в передаваемые данные. В таком случае можно только подобрать и отправить новый ключ — до тех пор, пока при передаче не будет достигнут допустимый уровень ошибок.
Квантовая криптография пока не используется на практике, однако технология уже близка к этому. Активные исследования в этой области сегодня проводят компании IBM, GAP-Optique, Mitsubishi, Toshiba, Национальная лаборатория в Лос-
Аламосе, Калифорнийский технологический институт, а также, холдинг QinetiQ, поддерживаемый британским министерством обороны.
Блокчейн.
Развитие технологий информационной безопасности тесно связано с возможностями блокчейна и смарт-контрактов. Когда исследователи поняли, что вносить в регистр можно не только данные транзакций с криптовалютами, но и различные метаданные, блокчейн начал активно расширяться на сферу защиты информации. Эта технология может гарантировать не только сохранность, но и неизменность и подлинность данных, а также делает практически невозможным обман систем идентификации.
Специалисты называют блокчейн одной из самых безопасных, прозрачных и неизменных систем хранения информации.
Возможности использования технологии распределенного реестра для верификации кредитных карт уже сейчас изучают в компании Mastercard. В платежной компании говорят, что интеграция нового решения в POS-терминалы позволит надежно защитить транзакции и избавит пользователей от необходимости носить платежные карты с собой.
Токенизация.
Одним из самых надежных способов защитить платежные данные является технология токенизации. Ее суть заключается в подмене реальных конфиденциальных данных другими значениями, или токенами. В результате в торговых компаниях может исчезнуть необходимость хранить платежные данные пользователей, а злоумышленники, которые получат доступ к информации о картах клиентов компаний, не смогут никак ею воспользоваться.
Токенизация особенно активно используется в e-commerce. В настоящий момент технологию поддерживают платежные системы VISA и MasterCard, однако, с развитием бесконтактных платежей и финансовых технологий применение токенизации может распространиться на весь рынок торговли.
Технология защиты движущейся цели.
Значительный вклад в кибербезопасность может внести технология защиты движущейся цели. Сейчас эта технология только тестируется и не используется широко на практике.
Новая система защиты впервые была представлена в 2016 году учеными из университета Пенсильвании. С помощью технологии защиты движущейся цели разработчики намерены решить одну из главных проблем защиты данных — лишить авторов кибератак доступа к коду, который используется при шифровании. Эксперты говорят, что наличия одного факта шифрования сегодня недостаточно. Чтобы защитить данные, нужно непрерывно изменять систему, и тогда злоумышленник не сможет получить актуальную информацию о ее состоянии, которую можно использовать в следующий момент времени. В итоге спланировать атаку будет крайне сложно.
Биометрическая аутентификация.

К числу перспективных направлений информационной безопасности специалисты относят также технологии биометрической аутентификации, позволяющие аутентифицировать пользователей при помощи измерения физиологических параметров и характеристик человека и особенностей его поведения.
Быстрее всего в этом сегменте развиваются технологии голосовой биометрии и распознавания лиц. Эти решения уже активно применяются в области криминалистики и социального контроля и постепенно становятся стандартной функцией в смартфонах. Однако аналитики считают, что будущее биометрии за использованием
«закрытых данных», таких как сердечный пульс, рисунок внутриглазных сосудов, форма мочек ушей и так далее. Кроме того, сделать защищенными биометрические данные позволят имплантированные под кожу чипы, таблетки-компьютеры, а также тест ДНК и анализ нейронных связей человека.
Искусственный интеллект.
Новые возможности для специалистов по информационной безопасности открывает искусственный интеллект. Технологии машинного обучения уже сейчас помогают защищать корпоративные данные в почтовом сервисе Gmail. В июне 2017 года Google представила новую систему обнаружения фишинговых атак для компаний с помощью технологий машинного обучения, которая отправляет моментальные предупреждения о переходе по подозрительным ссылкам, присылает сообщения об отправке нежелательного ответа получателям за пределами домена и предлагает встроенные функции защиты от новых угроз.
Искусственный интеллект для защиты данных активно применяет в своей работе «Лаборатория Касперского». Технология Machine Learning for Anomaly
Detection, представленная компанией в январе 2018 года, позволяет предотвращать кибератаки, направленные на датчики и контроллеры, установленные на промышленных объектах. Новое решение анализирует все изменения в производственных процессах и информирует предприятия о потенциальных атаках.
Основными причинами утечки информации являются:
- несоблюдение персоналом норм, требований, правил эксплуатации;
- ошибки в проектировании системы и систем защиты;
- ведение противостоящей стороной технической и агентурной разведок.
В соответствии с ГОСТ Р 50922–96 рассматриваются три вида утечки информации:
- разглашение;
- несанкционированный доступ к информации;
- получение защищаемой информации разведками.
Способы защиты информации:
Для безопасности личных данных, при использовании сети интернет, рекомендуется не впадать в крайности, а следовать простым советам:
1. Антивирус. По стандарту это самая распространенная мера безопасности. Программа обнаруживает вредоносное ПО, шпионские ссылки, фишинговые сайты и подозрительный трафик. Антивирус спасает от угроз, которые атакуют компьютер, но не защищает от действий клиента на сервисах.
2. VPN — сеть, скрывающая ip. Для обхождения блокировки сайта или обеспечения анонимности рекомендуется использовать данную программу. VPN оберегает от кражи информации, шифрует ее, скрывает личные данные.
3. Двухфакторная аутентификация. Для авторизации на сайте придется ввести два доказательства того, что аккаунт принадлежит пользователю. Обычно это пароль и смс-код на телефон. Если мошенник получил доступ к паролю, взломать аккаунт у него не получится.
4. Внимательность и осторожность с почтой. Не рекомендуется открывать письма от неизвестных источников и переходить по сомнительным ссылкам.

5. Регулярное обновление программного обеспечения. Разработчики ПО постоянно анализируют методы взлома сайтов мошенниками. На основе полученных данных, создается программное обеспечение, которое снижает риски хищения личных сведений. Поэтому рекомендуется регулярно обновлять ПО и пароли.
Управление рисками с помощью информационных систем.
В большинстве компаний добиться высокого уровня точности при построении прогнозов продаж нельзя как минимум по следующим причинам:
- неквалифицированные, неопытные или немотивированные аналитики не способны построить качественную модель прогноза;
- волатильность рынков препятствует построению прогнозов продаж до желаемой степени точности, и если остальные факторы можно постепенно минимизировать (совершенствование алгоритмов программного обеспечения, обучение персонала, выстраивание корпоративной культуры и т.д.);
Достоверность результатов прогноза продаж во многом зависит от применяемого в расчетах программного обеспечения, квалификации и мотивации персонала, наличия политических течений внутри компании и волатильности рынков.
На рисунке 3 показан процесс ухудшения достоверности бизнес- прогнозов.
Рис 3. Факторы понижения достоверности и точности прогнозной
бизнес-модели
Информационная система управления рисками строится при учете
следующих факторов:
1.Особенности состава информационных технологий, при этом он должен быть ориентирован на данные, приложения, или на клиента,
2.Обмен данными их согласования должен быть для распределительных баз данных. 3.Доступ к информации по управлению рисками должен носить многоуровневый характер и содержать ограничения для некоторых лиц.
4.Быстрые изменения в классификации рисков и приоритета в решении тех или иных задач по их управлению,
5. Связь анализа риска с информацией о клиентах, продажах, операциях.
6. Связь анализ риска с получением экономической и финансовой информации.
7. Оценка риска на различных уровнях, как предприятия в целом, так и его отделов, филиалов и подразделений.

8. Интеграция различных уровней управления рисками (количественная и качественная оценка рисков, анализ и выбор методов управления, определение эффективности данных методов).
Вопросы для самопроверки:
1. Какие свойства у временного ряда?
2. В чём состоит анализ временных рядов?
3. Как повысить достоверность прогнозов бизнес-процессов?
4. Как управлять рисками предприятия с помощью информационных систем?
5. Опишите технологии защиты данных.
6. Какие типы кибератак вам известны?
7. Какие методы информационной безопасности вы можете назвать?


написать администратору сайта