过去20年来,风险管理的性质发生了变化. 以前孤立的IT基础设施与外部世界的联系更加紧密, 澳门赌场官方下载面临着不断扩大的威胁. 大多数组织以被动模式运作, 通常是由一种由外而内的恐惧和回避方法驱动的,在这种方法中,优先考虑的是最新已知的威胁或新法规. 这种方法的挑战, 此外,它是反动的,受外部势力的驱使, 是因为它促进了一种保持灯亮着的心态吗, 导致资源使用效率低下,并分散了保护组织最关键数据资产的优先级.
其动机主要是担心罚款和声誉风险. 一个安全计划要成功并降低信息技术风险, 优先考虑通过有效地降低风险来推动业务价值.
ISACA制定的风险IT框架包括以下核心原则:使IT风险管理成为一个持续的过程,成为日常活动的一部分.
这一原则是有先见之明的,因为今天的威胁形势永远不会停止. 数字转换, SensorNet, 云和DevOps正在创造急剧扩大的攻击面. 攻击者一直在寻找进入的途径, 员工们也在寻找新的方法来意外暴露敏感信息. 每年的渗透测试或安全审查并不能解决这个问题. 以监管为重点的安全项目跟不上. 那么,组织如何从被动的方法转向主动的、以风险为中心的计划呢?
- 了解你的业务-了解什么信息对组织最重要. 了解哪些信息资产驱动业务,需要更多的保护. 一刀切的安全性是无效的,并且在没有保证的情况下会增加大量成本. 与内部部门领导交谈,了解安全项目如何为他们的业务线增加价值.
- 进行全面的风险评估-这样做会发现你现有的项目中有哪些漏洞违反了适当的规定, 标准和最佳实践. 评估将提供风险模型,以帮助识别最有可能的攻击者, 他们最有可能追求的资产,以及在事件发生时对组织的总体影响.
- 不要在检查清单上停下来-而全面的评估将提供需要解决的项目清单, 超越简单的清单. 每一个确定的差距都应该被控制、计划和持续的风险监控所包围.
信息安全和风险管理不是一个容易取得成功的领域. 这3个基本步骤可以帮助您开始转变组织的网络安全方法. 这样做的好处包括减少安全技术的混乱, 最小化运营支出, 并创建一个与业务一致的项目,更有效地降低风险.
读读Brian Golumbeck最近的文章 杂志 文章:
“将风险管理从恐惧和回避转向绩效和价值,” ISACA杂志, 2019年第3卷.
