CIO的挑戰(zhàn)-如何面對新興的風(fēng)險管理

1、 cio的挑戰(zhàn):如何面對新興的風(fēng)險管理 導(dǎo)讀制定規(guī)則和處理風(fēng)險已經(jīng)成為現(xiàn)代意義上的首席信息官不可推卸的責(zé)任，他們必須保證企業(yè)能夠正常發(fā)展，而不受到暴露的薄弱環(huán)節(jié)或潛在的法律責(zé)任的影響。丹尼布拉德伯里將為你詮釋他們的兩難處境。it和規(guī)則：孤獨的風(fēng)險管理制定規(guī)則和處理風(fēng)險已經(jīng)成為現(xiàn)代意義上的首席信息官不可推卸的責(zé)任，他們必須保證企業(yè)能夠正常發(fā)展，而不受到暴露的薄弱環(huán)節(jié)或潛在的法律責(zé)任的影響。丹尼布拉德伯里將為你詮釋他們的兩難處境。對于it經(jīng)理們來說，制定規(guī)則可以說是一項艱巨的工作，畢竟最終面臨的經(jīng)營風(fēng)險是非常廣闊的。因此，對于it領(lǐng)導(dǎo)者來說，如何在空泛的法律基礎(chǔ)上滿足董事會的要求呢?這就要感謝含糊

2、的規(guī)則了。貝寶的首席信息安全官邁克爾貝瑞特宣稱，為數(shù)不多的相關(guān)法規(guī)在安全領(lǐng)域并不是普遍適用的。舉例來說，支付卡行業(yè)強制執(zhí)行的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(pci-dss)可以為信用卡付款操作設(shè)定類似使用和配置個人防火墻之類的指定操作。但貝瑞特并不喜歡個人防火墻這種選擇，因為沒有培訓(xùn)過的用戶，在收到“應(yīng)用程序nettaxi.exe正試圖訪問142號外部端口 ”之類信息的時間，經(jīng)常作出錯誤的決定?！昂芏喙靖静粫x擇使用它們，”貝瑞特說?！斑@樣的話，你將面臨大量敲詐的威脅?！睘榱私鉀Q這些問題，貝寶加入了pci advisory council的董事會。埃森哲英國的安全主管斯圖爾特歐肯認(rèn)為，即使有了更多

3、的規(guī)則，但如果不進(jìn)行協(xié)調(diào)的話，也會造成很多的問題。當(dāng)分布在不同地區(qū)的時間，它們之間可能產(chǎn)生矛盾。歐肯說，為了消除差異，“必須決定什么是需要保護(hù)的最重要的部分，再確定如何去進(jìn)行保護(hù)。”在購買解決方案加強基礎(chǔ)設(shè)施之前，在公司戰(zhàn)略和執(zhí)行層面上必須對相關(guān)的情況進(jìn)行確認(rèn)。it服務(wù)公司getronics的首席風(fēng)險策略官，信息系統(tǒng)審計與控制協(xié)會教育統(tǒng)籌部的成員約翰潘隆特解釋說，技術(shù)不應(yīng)該是出發(fā)點?！暗谝徊绞菍镜男畔⒒A(chǔ)設(shè)施進(jìn)行威脅和脆弱性分析，這包括了過程、程序、標(biāo)準(zhǔn)、人員和技術(shù)支持，使用、傳輸和儲存的數(shù)據(jù)和資料等方方面面?！彼f，完成這一步后，就可以進(jìn)入脆弱性管理計劃了。位于嚴(yán)格監(jiān)管的銀行界的貝寶在對

4、it部門作完分析后，已經(jīng)開始對全公司進(jìn)行相應(yīng)的操作。貝瑞特說，在他的企業(yè)風(fēng)險熱點圖中，it已經(jīng)不屬于高風(fēng)險區(qū)。他說：“然后，無論是否有系統(tǒng)的標(biāo)準(zhǔn)，我們都將深入信息安全領(lǐng)域的應(yīng)用。我們將使用iso 17799和iso 27001等標(biāo)準(zhǔn)來對安全管理方案進(jìn)行改善?！眎so 17799 (預(yù)計今年將改名為iso 27002 )提供了一套最佳的安全方案，可以對企業(yè)安全進(jìn)行有效的管理。為了確保其效果，iso 27001被設(shè)定為一個認(rèn)證標(biāo)準(zhǔn)。“沒人能百份之百的確定，因為你不可能覆蓋整個過程?！彼娴馈！斑@是關(guān)于如何在要求的范圍內(nèi)，將風(fēng)險降低到可接受的程度?！边@個過程涉及到了保護(hù)數(shù)據(jù)安全的費用情況。但如何對

5、所有的運作過程施加影響?潘隆特認(rèn)為，加密對于保護(hù)數(shù)據(jù)來說是一個普遍的選擇，公司可以對類似移動數(shù)據(jù)那樣不易控制的情況進(jìn)行保護(hù)。這樣可以避免象全國建筑商協(xié)會那樣，收到接近一百萬英鎊的罰款;僅僅是由于一臺含有未加密數(shù)據(jù)的筆記本電腦被人從一名雇員的家中偷去。從另外的方面來說，利用itil和cobit的服務(wù)和管理策略對it活動進(jìn)行管理，也是可以提高安全水平的。潘隆特認(rèn)為，這些策略可以對補丁管理一類的基本操作提供幫助。即使這些方案并沒有強制應(yīng)用，對于安全管理來說，了解更多的東西也是很有用處的。埃森哲的歐肯說：“三四年前，人們對補丁管理這樣的事情并不了解。但是，現(xiàn)在情況變了，我們大部分的客戶在對補丁進(jìn)行處理

6、的時間，已經(jīng)有了很專業(yè)的方法和認(rèn)識?！钡钱?dāng)考慮到風(fēng)險的時間，這種形式的it管理基本是賭注。市場分析公司quocirca的分析師克萊夫巴頓認(rèn)為，風(fēng)險管理不再是簡單地鎖定系統(tǒng)資源。對于企業(yè)來說，安全需要在更廣泛的背景下考慮。(因為當(dāng)考慮到企業(yè)面臨的更廣泛風(fēng)險的時間，尋找內(nèi)部控制的重點是人，而不是網(wǎng)絡(luò)中的節(jié)點)?！叭绾尾拍芨玫暮凸窘Y(jié)構(gòu)以及業(yè)務(wù)流程結(jié)合起來，”巴頓問道。“有了規(guī)則和責(zé)任，就可以確定時間和操作方式。一旦把它們結(jié)合到一起，就可以進(jìn)行管理了?！迸e例來說，營銷人可能只需要看到一個子文件，并可能只允許他們在辦公室里查看。首席執(zhí)行官則可以被允許利用家中的筆記本電腦上訪問所有的文件，但即使是他，也可能在使用公共wi-fi熱點訪問的時間被禁止。比特網(wǎng)“我們可以對所有涉及敏感數(shù)據(jù)的活動和相關(guān)人員的身份進(jìn)行記錄，”潘隆特說?！坝涗浽L問數(shù)據(jù)是一種被動控制的方式。但這樣操作，可以在信息安全事件發(fā)生后，進(jìn)行更有效的原因分析?！眻?zhí)行電子郵件歸檔、活動記錄和配置使用的管理軟件這些基本操作是非常無趣和具有挑戰(zhàn)性的，也需要it部門提供支持。通過安裝活動目錄數(shù)據(jù)庫和單點登錄系統(tǒng)可以推動問責(zé)制在整個公司的實施。但如何在個人層面上實現(xiàn)最佳安全效果，這將給風(fēng)險管理帶來挑戰(zhàn)。貝瑞特說，即使貝寶也并還沒有完全解決這些問題。對于it風(fēng)險管理來說，需要去除流行的誤解。風(fēng)險是始終存在，