Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (99)
  • добавить в избранное
    Добавить в закладки

От умных слов - к умным поступкам

Прочитали: 16096 Комментариев: 50 Рейтинг: 74

22 апреля 2020

В своих выпусках мы часто употребляем выражения типа «пользователи не знают об угрозах», «пользователи игнорируют угрозы» и т. п. Но, как известно, если что-то можно изучить и описать, то это будет изучено, описано и приведено к стандарту. Итак, этот выпуск посвящен научному описанию лени отношения к рискам 😊

Как известно, заражение – вещь вероятностная. Можно за несколько лет не словить ни одного трояна, а можно иметь постоянные проблемы с атаками на компанию. Вероятность эта, естественно, зависит от подготовленности сотрудников, рода деятельности предприятия и т. д.

Мы можем защищаться от заражения, а можем не защищаться – риск есть в обоих случаях. Если защитимся, потратим деньги и ничего не случится, то потеряем деньги, потраченные на эти усилия. Если не защитимся и заразимся – потеряем деньги на восстановление нормальной работы компании как минимум.

Риск — это результат неточности (англ. uncertainty) при достижении целей; при этом неточность означает состояние недостатка информации, относящейся к некому событию, его последствиям или вероятности его наступления.

Источник

Проблема в том, что мы не знаем уровня вероятности заражения. И никто не знает. По сути это рулетка, мы в казино. Опасность известна, но выпадет ли «зеро»?

Мы можем установить антивирус, не устанавливать его или затянуть процесс решения. По-научному это прозвучит так:

  • избегание риска путем отказа от действий, которые могут привести к рискам;
  • принятие или увеличение риска в целях достижения бизнес-целей;
  • устранение источников риска;
  • изменение вероятности реализации риска;
  • изменение ожидаемых последствий от реализации риска;
  • перенос (разделение) риска;
  • сохранение риска.

Источник

Устранить возможность заражения – понятно, это не про вирусы и спам. Всех не перевешаешь, но есть другие варианты действий.

Самое простое – это принятие или сохранение рисков. На самом деле, вполне нормальный вариант. Если у вас старый планшет и вы пользуетесь им только для просмотра новостей и фильмов, данных никаких на нем нет, то устанавливать на него средство резервного копирования смысла не имеет. Стоимость этого планшета сравнима со стоимостью покупки системы бэкапа и антивируса.

Изменение вероятности реализации риска – тоже понятно. Вы предпринимаете некие меры, снижающие риск: разделяете данные на несколько частей, ограничиваете доступ детей к заведомо вредоносным сайтам и т. д. Риск не ушел, троян может использовать уязвимость. Но вероятность того, что все вредоносные программы ломанутся к вам, снижается.

Передача риска. Вот тут интересно.

Риск можно передать той организации, которая сможет управлять им наиболее эффективно. Таким образом, на основании оценки рисков принимается решение о передаче определенных рисков другому лицу, например, путем страхования киберрисков или путем передачи обязанности по мониторингу и реагированию на инциденты ИБ провайдеру услуг MSSP (Managed Security Service Provider) или MDR (Managed Detection and Response), т.е. в коммерческий SOC.

Источник

Интересно, что, избавившись от одного риска, мы порождаем другие:

Передача риска может являться риском, а также то, что можно переложить на другую компанию ответственность за управление риском, но нельзя переложить на нее ответственность за негативные последствия возможного инцидента.

Источник

Например, можно переложить работу с данными на стороннюю компанию. Но в случае чего отвечать все равно вам. Свежий пример:

Операторы шифровальщика DoppelPaymer выложили в Сеть конфиденциальные данные, принадлежавшие нескольким крупнейшим аэрокосмическим и военным корпорациям США, - Lockheed-Martin, SpaceX, Boeing. Утечка также затронула другие компании, в частности Tesla, Honeywell, Blue Origin, Sikorsky, Joe Gibbs Racing, а кроме них Университет штата Колорадо, Инженерный университет Кардиффа и др.

Источником данных была одна-единственная компания Visser Precision Manufacturing, разработчик инженерных решений и производитель оборудования и комплектующих для самых разных отраслей. Visser является подрядчиком всех вышеперечисленных организаций.

Источник

Избежание рисков. Меняем работу так, чтоб риск не мог реализоваться. Пользователи кликают по вложениям? Делаем так, чтобы тем, кто так поступает, вложения не приходили.

Компания может отказаться от предоставления пользователям определенных онлайн-услуг, касающихся персональных данных, исходя из результатов анализа возможных рисков утечки такой информации и стоимости внедрения адекватных мер защиты.

Источник

Модификация рисков. Нет, это не то, что вы подумали. Не подгон под требуемые значения.

При использовании опции модификации рисков выбираются оправданные и релевантные меры защиты, которые соответствуют требованиям, определенным на этапах оценки и обработки рисков.

Источник

#антивирус #бэкап #ВКИ #корпоративная_безопасность #названия #ответственность #терминология #ущерб

Антивирусная правДА! рекомендует

Применяйте на практике новые научные знания о рисках!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей