Риски сбоев vs. риски утечек

В наше время информационные системы обладают очень большой важностью практически для любого бизнеса. Соответственно, риски этих систем также имеют большое значение почти для каждой компании.
Риски, которые сопряжены со сбоями
С такими рисками каждый день сталкиваются как организации, так и рядовые пользователи. Каждому хотя бы раз в жизни попадается «сбойный» носитель данных, каждый хотя бы раз страдает от потери важного документа, который просто можно не успеть сохранить до программного сбоя. И даже очень надежное оборудование и ПО не гарантируют защиты от разных ошибок. Однако когда подобные ошибки бывают систематическими, ваш бизнес может страдать особенно сильно.
И как раз систематическими такие ошибки могут стать в двух случаях: если информационная система не отвечает требованиям к уровню надежности, которые предъявлены к таким системам в этой организации, или если некоторые компоненты данной системы изначально были реализованы не так, как нужно. Иногда эти неприятности даже объединяются.
Понятно, что в первом случае проблему можно легко решить внедрением другой системы информации, что сопряжено с какими-то издержками. Но в долгосрочной перспективе те убытки, которые возникнут благодаря несоответствующей требованиям компании системе, будут гораздо выше затрат на внедрение полностью новой системы. Во втором случае потребуется искать возможности для замены или модификации составляющих компонентов при помощи разных сервис-паков, патчей и т.п.
Риски, которые сопряжены с утечками данных
Эта группа рисков будет хорошо известна исключительно корпоративным пользователям, ведь даже если домашний пользователь по какой-то случайности и обнародует какой-то из своих конфиденциальных документов, как правило, это не будет нести для него какого-либо существенного вреда. В корпоративном же мире всё будет совсем иначе: как гласят оценки экспертов, из десяти случаев в шести будет вполне достаточно утечки 20% конфиденциальных документов для банкротства организации.
Все утечки данных можно разделять на две основные группы: случайные и преднамеренные. Преднамеренные обычно организуются недобросовестными работниками самой компании, которые продают корпоративные секреты или просто распространяют их, руководствуясь, к примеру, мстительными побуждениями. Случайные утечки конфиденциальных данных являются итогом невнимательности, небрежности, неаккуратности сотрудников компании. Как правило, какого-либо большого ущерба случайные утечки не приносят.
Стратегия борьбы с утечками данных, с одной стороны, заключена в увеличении лояльности работников, с другой стороны, необходимо организовать контроль за их действиями над информацией, которые проводятся на работе. Сегодня золотым стандартом в борьбе с утечками информации являются DLP-системы, позволяющие хорошо контролировать как входящий, так и исходящий трафик компании и обнаруживать в данном трафике конфиденциальные данные. Качественная, а также грамотно внедренная DLP-система полностью закрывает потребности компании в технических средствах для борьбы с утечками данных».
Главной задачей риск-менеджмента является создание такой системы, которая сможет позволить создать комплексный контроль за состоянием информационных систем компании, производить аудит их функционирования, а также обеспечивать постоянную готовность информсистем исполнять задачи заказчика организации. Само собой, при этом требуется придерживаться разумных границ, а также помнить, основной принцип информационной безопасности: «не бизнес существует для безопасности, а безопасность создается для бизнеса». На практике это значит, что, к примеру, система, обладающая избыточной отказоустойчивостью, в итоге стать столь  дорогой, что компании будет выгоднее пойти на некоторые риски, нежели заниматься внедрением такой системы.
Даже если не внедрять абсолютно никаких спецсистем, ваша компания все равно может своими силами разработать политику информбезопасности, которая будет содержать требования для обеспечения резервного копирования важной информации и разграничения доступности этих данных. Разграничения доступа вы можете реализовать при помощи средств, которые встроены в сами IT-ресурсы (файл-серверы, базы данных и т.п.) компании. Само собой, для контроля доступа понадобится внедрить DLP-систему, однако это уже будет следующим шагом.
Все же самое основное – понимать, что управление рисками является непрерывным процессом, и потому нельзя ждать, что вы сможете только один раз минимизировать IT-риски, после чего забыть о них.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft изучает баги обновления Windows 10 KB4556799 (BSOD, аудиобаги)

Microsoft изучает проблемы с выпущенным недавно обновлением Windows 10 под номером KB4556799. Напомним, что установившие апдейт пользователи жаловались на BSOD, баги с аудио и проблемы с производительностью.

С самого выпуска KB4556799 (12 мая 2020 года) на соответствующих онлайн-площадках появились жалобы на ошибки при установке обновления. Уже позже добавились упоминания BSOD, проблем со звуком и так далее.

Microsoft в конечном итоге признала наличие багов, отметив, что в настоящее время специалисты изучают проблемы и пытаются устранить их. Также корпорация просит любого, кто столкнулся с некорректной работой операционной системы или её компонентов, как можно быстрее уведомить о них разработчиков.

На сегодняшний день ситуация с постоянно забагованными апдейтами Windows 10 выглядит скверно. За последние года два сложно припомнить хоть одно беспроблемное обновление от разработчиков из Microsoft.

Не стоит забывать, что на этой неделе должна выйти Windows 10 2004 (сейчас можно попробовать тестовую версию). Наверняка этот крупный апдейт также не обойдётся без багов. Именно поэтому будьте внимательны и не торопитесь с установкой.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru