В наше время информационные системы обладают очень большой важностью практически для любого бизнеса. Соответственно, риски этих систем также имеют большое значение почти для каждой компании.
Риски, которые сопряжены со сбоями
С такими рисками каждый день сталкиваются как организации, так и рядовые пользователи. Каждому хотя бы раз в жизни попадается «сбойный» носитель данных, каждый хотя бы раз страдает от потери важного документа, который просто можно не успеть сохранить до программного сбоя. И даже очень надежное оборудование и ПО не гарантируют защиты от разных ошибок. Однако когда подобные ошибки бывают систематическими, ваш бизнес может страдать особенно сильно.
И как раз систематическими такие ошибки могут стать в двух случаях: если информационная система не отвечает требованиям к уровню надежности, которые предъявлены к таким системам в этой организации, или если некоторые компоненты данной системы изначально были реализованы не так, как нужно. Иногда эти неприятности даже объединяются.
Понятно, что в первом случае проблему можно легко решить внедрением другой системы информации, что сопряжено с какими-то издержками. Но в долгосрочной перспективе те убытки, которые возникнут благодаря несоответствующей требованиям компании системе, будут гораздо выше затрат на внедрение полностью новой системы. Во втором случае потребуется искать возможности для замены или модификации составляющих компонентов при помощи разных сервис-паков, патчей и т.п.
Риски, которые сопряжены с утечками данных
Эта группа рисков будет хорошо известна исключительно корпоративным пользователям, ведь даже если домашний пользователь по какой-то случайности и обнародует какой-то из своих конфиденциальных документов, как правило, это не будет нести для него какого-либо существенного вреда. В корпоративном же мире всё будет совсем иначе: как гласят оценки экспертов, из десяти случаев в шести будет вполне достаточно утечки 20% конфиденциальных документов для банкротства организации.
Все утечки данных можно разделять на две основные группы: случайные и преднамеренные. Преднамеренные обычно организуются недобросовестными работниками самой компании, которые продают корпоративные секреты или просто распространяют их, руководствуясь, к примеру, мстительными побуждениями. Случайные утечки конфиденциальных данных являются итогом невнимательности, небрежности, неаккуратности сотрудников компании. Как правило, какого-либо большого ущерба случайные утечки не приносят.
Стратегия борьбы с утечками данных, с одной стороны, заключена в увеличении лояльности работников, с другой стороны, необходимо организовать контроль за их действиями над информацией, которые проводятся на работе. Сегодня золотым стандартом в борьбе с утечками информации являются DLP-системы, позволяющие хорошо контролировать как входящий, так и исходящий трафик компании и обнаруживать в данном трафике конфиденциальные данные. Качественная, а также грамотно внедренная DLP-система полностью закрывает потребности компании в технических средствах для борьбы с утечками данных».
Главной задачей риск-менеджмента является создание такой системы, которая сможет позволить создать комплексный контроль за состоянием информационных систем компании, производить аудит их функционирования, а также обеспечивать постоянную готовность информсистем исполнять задачи заказчика организации. Само собой, при этом требуется придерживаться разумных границ, а также помнить, основной принцип информационной безопасности: «не бизнес существует для безопасности, а безопасность создается для бизнеса». На практике это значит, что, к примеру, система, обладающая избыточной отказоустойчивостью, в итоге стать столь дорогой, что компании будет выгоднее пойти на некоторые риски, нежели заниматься внедрением такой системы.
Даже если не внедрять абсолютно никаких спецсистем, ваша компания все равно может своими силами разработать политику информбезопасности, которая будет содержать требования для обеспечения резервного копирования важной информации и разграничения доступности этих данных. Разграничения доступа вы можете реализовать при помощи средств, которые встроены в сами IT-ресурсы (файл-серверы, базы данных и т.п.) компании. Само собой, для контроля доступа понадобится внедрить DLP-систему, однако это уже будет следующим шагом.
Все же самое основное – понимать, что управление рисками является непрерывным процессом, и потому нельзя ждать, что вы сможете только один раз минимизировать IT-риски, после чего забыть о них.