任何试图将新技术引入现有组织的人都知道,预期的风险可能与实际操作中遇到的风险完全不同. 技术及其与运营和其他组织的相互作用越复杂, 就越难将预测的风险与现实相匹配. 对于那些被称为新兴技术的东西来说,似乎更是如此. 如果风险评估的目的是解决歧义, 那么我们怎样才能让预测更接近现实呢, 特别是当我们扩展实现的时候?
新技术挑战
寻求使用新技术的组织面临多重挑战,包括:
- 实现和支持新技术,同时仍然操作旧技术、旧流程和业务模型
- 定义和实现技术团队和用户功能所需的流程变更
- 定义可以启用的新业务功能以及与之相关的业务目标
- 定义和评估组织所面临的风险,这种风险不同于现有技术的风险,原因可能是技术及其使用方式,也可能是与之相关的过程
- 考虑与第三方的角色和相互作用
技术越新,就越能支持根本性的操作变化, 影响越大,就越难以确定. 一般来说,新兴技术具有复杂的相互作用. 通常, 将服务器升级到最新型号,甚至采用最新的操作系统,与采用来自新供应商的全面的澳门赌场官方下载资源规划(ERP)应用程序相比,风险很小. 但即使是这样,也不如决定如何有效地整合人工智能复杂, 云计算或区块链变成了现有的, 运营组织.
评估风险:我们应该使用什么方法?
每个运行良好的组织都会评估引入任何新技术的风险. 第一反应通常是使用组织现有的风险方法,并将新技术硬塞进方法中. 尤其是新兴技术, 考虑到整个技术本身的模糊性,这可能令人望而生畏, 与之相关的业务模型以及成功采用可能涉及的流程和第三方. 组织使用的风险框架越受数据驱动, 使用该框架进行评估就越困难.
当我们决定更广泛地使用云计算时,我们在银行遇到了这个问题. 我们使用的风险模型类似于 风险和控制自我评估(RCSA)框架. 特别是, 我们缺乏确定影响和达到风险评估通常期望水平的可能性的数据, 所以我们决定使用一种更通用的方法,并随着我们的进展不断完善它. 我们看了各种型号,并选择了一个修改版本的 欧盟网络安全机构(ENISA)的云计算风险评估,专注于资讯安全,视野更广. 这给了我们一个初步的观点,告知决策者并确定需要注意的领域.
随着我们的进步, 我们为云定义了一个治理模型,其中包括技术, 安全, 法律, 合规, 风险和业务团队. 这增强了我们的常规风险方法. 当我们将以前的运营团队和新的云计算团队结合在一起时,我们理解了问题所在, 我们将云风险评估转移到我们现有的风险方法中.
下一个挑战:数字资产和区块链
市场上的许多参与者正在决定如何参与数字资产和区块链. 这不仅引入了新技术,而且大大增加了对合作伙伴的依赖, 这种结合使得向数字服务及其生态系统的转变充满了不确定性. 试水的方法是首先建立在为数字资产组织提供服务的现有产品的基础上,看看风险在哪里. 然而,在某种程度上,大多数组织都希望积极参与.
关于数字资产组织的漏洞的头条新闻强调了评估风险的重要性. 检查每个数字资产并确定如何围绕不同的数字资产构建服务是有帮助的. 但是在组织中部署能力意味着基于这些技术平台和网络各方以及业务和资产风险的相互关联性质来评估风险. 例如, 实现不使用数字资产的区块链用例并不能使问题变得简单,因为大多数区块链用例也涉及智能合约功能, 这些都有其固有的风险.
重新思考新兴技术风险评估
我们的组织正在采取一种慎重的方法来采用数字资产,并采用更全面的方法来进行风险评估,同时试图使用我们现有的框架来包含结果. 我们将看到它是否有效,或者我们达到了一个临界点,在那里,网络互动超越了我们的预测和模型.
现有组织和初创澳门赌场官方下载都必须开始考虑,他们可能会考虑用什么方法来评估新兴技术的总体风险, 除了数字资产和区块链之外.
编者按: 想要进一步了解这个话题,请阅读迈克尔•凯利和Adeline Chan最近在《澳门赌场官方软件》上发表的文章, 对新兴技术进行风险评估,” ISACA杂志,第6卷2022. 有关新兴技术的更多ISACA资源,请了解 通过了新兴技术(CET)证书.
