CIO如何面对新兴的风险管理

标签:CIO风险管理

访客:21457  发表于:2012-04-23 22:23:47

IT和规则:孤独的风险管理

    制定规则和处理风险已经成为现代意义上的首席信息官不可推卸的责任,他们必须保证企业能够正常发展,而不受到暴露的薄弱环节或潜在的法律责任的影响。丹尼·布拉德伯里将为你诠释他们的两难处境。

    对于IT经理们来说,制定规则可以说是一项艰巨的工作,毕竟最终面临的经营风险是非常广阔的。因此,对于IT领导者来说,如何在空泛的法律基础上满足董事会的要求呢?

    这就要感谢含糊的规则了。

    贝宝的首席信息安全官迈克尔·贝瑞特宣称,为数不多的相关法规在安全领域并不是普遍适用的。

    举例来说,支付卡行业强制执行的支付卡行业数据安全标准(PCI-DSS)可以为信用卡付款操作设定类似使用和配置个人防火墙之类的指定操作。但贝瑞特并不喜欢个人防火墙这种选择,因为没有培训过的用户,在收到“应用程序nettaxi.exe正试图访问142号外部端口 ”之类信息的时间,经常作出错误的决定。  “很多公司根本不会选择使用它们,”贝瑞特说。“这样的话,你将面临大量敲诈的威胁。”

    为了解决这些问题,贝宝加入了PCI advisory council的董事会。

    埃森哲英国的安全主管斯图尔特·欧肯认为,即使有了更多的规则,但如果不进行协调的话,也会造成很多的问题。当分布在不同地区的时间,它们之间可能产生矛盾。欧肯说,为了消除差异,“必须决定什么是需要保护的最重要的部分,再确定如何去进行保护。”

    在购买解决方案加强基础设施之前,在公司战略和执行层面上必须对相关的情况进行确认。

    IT服务公司Getronics的首席风险策略官,信息系统审计与控制协会教育统筹部的成员约翰·潘隆特解释说,技术不应该是出发点。

    “第一步是对公司的信息基础设施进行威胁和脆弱性分析,这包括了过程、程序、标准、人员和技术支持,使用、传输和储存的数据和资料等方方面面。”他说,完成这一步后,就可以进入脆弱性管理计划了。

    位于严格监管的银行界的贝宝在对IT部门作完分析后,已经开始对全公司进行相应的操作。贝瑞特说,在他的企业风险‘热点图’中,IT已经不属于高风险区。

    他说:“然后,无论是否有系统的标准,我们都将深入信息安全领域的应用。我们将使用ISO 17799和ISO 27001等标准来对安全管理方案进行改善。”

    ISO 17799 (预计今年将改名为ISO 27002 )提供了一套最佳的安全方案,可以对企业安全进行有效的管理。为了确保其效果,ISO 27001被设定为一个认证标准。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");