问责IT风险管理:CIO需关注两个重点

编者按:2011年是网络安全大灾之年,各种解密各种泄漏,从索尼、花旗银行、洛克希德马丁到国内的各大互联网企业甚至金融机构,数以亿计的用户数据沦为黑客手中“大数据”,定向钓鱼和社交工程攻击从来没有今天这般“十面埋伏”,人人自危。毫无疑问,未来几年员工将成为黑客攻击的头号目标,而包括社交工程、精准钓鱼等技术的发展使得黑客“劫持”员工的成功几率大大增加,2011发生的几次重大网络安全事故究其原因,问题都出在“人”的因素上,甚至HBgary和RSA这样的顶尖网络安全公司,被入侵的跳板都是企业员工或管理层。包括金融在内的大型行业企业,提升整体网络安全水平目前最大的短板不是“技术”,而是“人”和“流程”。以下是Fullerton Securities公司的就新形势下CIO的企业IT风险管理职责和方法发表的博文。

 

作者:Anoop Handa   Fullerton Securityies首席信息官


很多人认为CIO的主要工作是管理IT基础设施和应用与软件开发生命周期管理。但CIO的职责绝不仅限于此。随着互联网和企业计算环境的高速融合与发展,IT风险管理已经成为每个CIO必须承担的本分职责。

随着虚拟化、云计算、社会化媒体等技术不断涌入企业信息架构,企业的信息围墙正在消失,IT风险管理变得日益重要起来。随着越来越多的数据在互联网和云计算平台上存储、处理和交换,对这些数据的保护需要CIO将信息安全和风险管理列入常规工作职责。

今天,消费电子和移动设备大量涌入企业IT架构,智能手机和平板电脑在工作空间随处可见,这些都给企业信息安全和数据保密带来巨大挑战。

与此同时,社交媒体也带来了新的风险。为了防范这些风险,一些公司制定了严格的政策和流程,限制员工使用企业网络登入社交媒体网站。但硬币的另一面是,一些企业意识到社交媒体与企业业务息息相关, 从而允许员工充分利用社交媒体。

过去CIO们主要把精力放在外部安全威胁上,对企业内部风险重视不够。产业报告显示,60%的信息失窃事 件来自企业内部员工或者合作伙伴。这方面,需要CIO充分利用IT风险管理框架、IT政策、内部审计与管 控等风险管理工具对企业信息基础设施进行主动式的风险评估。

CIO和CRO(首席风险官)的职责就是识别并界定不同应用场景中的最佳管控力度,使得风险管理与业务效率和员工生产力达成平衡。

就我本人的公司而言,第一:我们有一个强健的IT风险管理框架,可根据员工的职责和需求提供不同的互联网访问权限。大多数员工只可以访问与工作有关的网站。我们试图在互联网访问与监管之间达成一种平衡。

第二点,我们定期进行漏洞访问和入侵测试(VAPT),一项由第三方合作伙伴进行的模拟测试。随着企业应用的IT化和web化不断深入,这种主动安全测试是一种可靠的防范信息安全风险的方法。

最后,我们围绕员工的安全意识构建强大的IT风险管理框架。不同部门的员工,能通过各种渠道定期接受安全意识培训,例如通过屏幕保护、邮件等推送安全信息,提醒员工不要成为恶意网站的猎物,不要点击垃圾邮件里的链接等。今天,人员的安全意识和相关的政策与管控非常重要,采用各种技术工具主动识别新的风险并建立有效的政策和管控流程对于每个CIO来说,都是降低IT风险的关键。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

写评论

忘记密码

X