高风险时代的企业IT风险管理
2009/4/22 

    核心提示:关于esg-sino,

在如今的信息时代,信息安全事故已经是司空见惯的事情,资深的IT专家能够轻而易举地指出历史上的安全事故,如1977年英国帝国化工发生的磁带被盗事件,或者1988年造成大多数网络流量中止的Morris蠕虫。虽然这些事故似乎已经成为历史,但是如今的信息安全管理基本模式仍然和30年前相同,。然而,当前的形势与30年前相比,不仅数据量是以前无法想象的,而IT环境的复杂性也远远在企业的意料之外,给企业的正常运行,甚至整个企业的生存都带来风险,而对于中小型企业而言,企业IT 风险管理机制的匮乏,更使其日日难以安枕而眠。

ESG 认为,健全的安全管理应该建立在风险管理的原则上:威胁+漏洞=风险。根据这一公式,存储风险管理的重点是查找和修补漏洞,同时准确地评估威胁。在大幅削减威胁和漏洞的基础上,配之以完善的风险管理活动来有效地防御安全事故。如果按照以上的描述,安全管理似乎显得很简单,那么企业又为什么有如此多的风险问题呢? ESG认为,主要是IT的复杂性增加了漏洞数量,以及IT的客观因素助长了威胁载体的发展。

因此,在2009年经济危机持续蔓延之际,尽管大多数企业的IT预算都很紧张,但是企业IT风险管理措施仍是其考虑的头等大事。ESG对500多名中型企业(即员工人数在100至999的企业)的IT决策者进行的调查表明,2009年,企业的IT支出将重点投入到那些支持或保护业务的措施中,受访者表示,改善业务进程、降低成本以及加强安全控制以降低风险将成为他们优先考虑的三项IT支出(见图1)。


图 1. 2009年IT 优先性

ESG的这些调研数据还进一步表明,安全甚至比新技术预防措施和IT控制更为重要。IT优先性前两位—改善业务进程以及降低成本必须辅之以强有力的安全保障。譬如,当首席执行官想与海外厂商共享数据并加强合作时,风险管理专家就必须提供强大的访问控制、数据加密以及终端用户审查等,将企业IT风险降至最低,从而保障这些业务进程的顺利进行。

过去几年里,众目睽睽之下各种违法行为层出不穷,经验老道的计算机犯罪愈演愈烈,恶意病毒变种更是成指数级增加,总总不足一列举。而扫除这些风险,则需要强大的安全技术保障以及经验丰富的风险管理专家的协同合作。遗憾的是,中型企业在信息安全人员和技术上都尤显薄弱。有14%的受访者认为他们的企业正面临信息安全人员和/或技术匮乏的窘境。另外有44%的受访者认为他们企业的风险管理技术需要改进和/或完善。该图表明,当前IT在信息安全处理这块还比较薄弱。而人员和技术方面的差距在纵向行业如零售业、政府部门、专业服务以及医疗保健尤为明显。


图 2.  中型企业的IT 技术评估

虽然宏观经济环境不够理想,但是总体而言,中型企业将继续在IT上进行投入,并将优先考虑改善安全控制以及规避IT风险。而明智的企业,在IT 风险管理上,则应该考虑:

着重短期......点击查阅全文......↓