管理IT风险的诀窍
1. 了解风险
Enterprise Management Associates(EMA)的安全专家暨研究主管Scott Crawford指出,IT管理不当可能会造成营运风险。知道那些风险为何,是管理它们的第一步。面对日益普遍的内部威胁,应该透过控制与身分识别管理系统的方式应付。
2. 将IT风险管理视为营运上的投资
Crawford表示,将IT风险与营运需求进行整合,能协助企业适切地分配资源给所必须管理的那些风险。
3. 定期重新评估风险
周期性地重新进行风险与管控评估,应该是所有企业IT管控策略中的一部份,而不是当问题发生时才实施。不过,假如你的管控失效的话,你应该再重新衡量你的风险管理策略,就像法国兴业银行所发生的情况那样。
4. 运用适当且值得信赖的管控机制
即便企业IT有了管控,假如方式错误或不足,在管理风险上,仍旧有很大的风险会遇上麻烦。Crawford建议,企业应部署适当的管控,并且只授权给适当的人存取系统,而后再进行监控与持续地重新评估。
5. 法规遵循不等同于安全
系统与数据的保护需求可能会督促你遵循法规,但是遵循法规却不必然能让你安全无虞。假如你的控制能够满足管理上的要求,但是却不能降低风险,那么它们仍是不能满足需求的。