项目管理资源网

您的位置:项目管理资源网 >> 研发制造项目管理

“2009 IT风险管理”之道

2009/12/16 9:51:26 |  5775次阅读 |  来源:网友转载   【已有0条评论】发表评论

 随着IT技术的发展,全球越来越多的企业正在逐步完善业务流程及信息处理,将其从人工操作转移到IT平台上来。

  由于微软的Windows操作系统有着易于使用、成本较低等特性,许多企业已经或者正在把Windows作为主要的业务流程和信息处理平台。从边界服务器到内部网络,从企业总部到各分支机构,企业中存在着大量使用Windows操作系统的服务器和客户端。

  但是,随着Windows作为主流平台的广泛使用,也随之出现了层出不穷的安全威胁。而当金融风暴汹涌来袭,全球企业的生存环境发生了剧烈的变化。包括敏感数据、客户信息以及公司基础设施等都面临着日益严峻的IT风险,而在经济动荡时期,企业更加无法承受自身安全所带来的问题。

  所以,如何在目前这个非常时期,严格控制有可能发生的隐患,对企业进行有效的IT风险管理,是所有企业都必须直面的问题。

  对此,畅享网走访了国际信息系统审计和控制协会(ISACA)北京事务委员会主席及微软大中华区信息安全总监 何迪生先生,请他来深入剖析现今“IT风险管理之道”。

  多角度认知IT风险

  何迪生有着多重身份: 国际信息系统审计和控制协会(ISACA)北京事务委员会主席、信息系统安全协会(ISSA)香港分会总裁、中国信息化推进联盟 (CFIP) -信息安全专业委员会 (ISA) 副主任、-业务持续管理专业委员会(BCM)高级顾问、微软大中华区信息安全总监。复杂的身份帮助他从不同的角度去思考IT风险管理的问题,因此也就对IT风险管理有了更加全景的认知。

  谈到IT风险管理,首先需要了解威胁是什么?今天有哪些威胁?未来又会有哪些威胁?

  对企业来说,任何安全技术和手段所要保护的核心内容都是数据,目的也是为了企业正常网络业务的运转。在此基础上,何迪生解释说:从企业外部来看,IT风险一直在不断加剧。对于企业IT系统的恶意攻击也在变得越来越复杂,有越来越多的方法可以对IT系统进行攻击。同时,威胁已经不仅仅单纯来自于企业外部,更多来自企业内部的威胁已经变的越发严重。

  在开放的网络环境中开展业务,至少面对四大挑战:第一,内部身份认证的安全性;第二,有组织犯罪的威胁;第三,各种来自于网络的内外部攻击;第四,各种软硬件的安全漏洞。

  从业务角度来看,在上个世纪80年代时,完全并不需要管理很多的身份,但是随着IT应用越来越复杂,越来越多的功能开始被启用。因为,需要用不同的功能应对业务发展需求,比如:进入财务系统时,有很多网关保护着数据。在访问数据之前,就首先需要经过身份的认证。显然,随着IT应用愈加复杂、数据量的激增,所以,身份认证所带来的问题也就越来越复杂。

  外部环境的变化也正在逼迫企业积极主动的应对IT风险。从发布更新到漏洞被利用的时间间隔已经越来越短,从最开始的1年降到了2天甚至是1天。另外,过往的黑客更多是出于技术目的,只是想进入系统,炫耀自己的技术水平以获得成就感。但是今天的黑客不是为了破坏系统,他们更看重的是系统里面的数据,并从中获利。所以,黑客已经从过去的技术目的,变成现在的业务目的。而且,他们所能采用的恶意攻击的形式也越来越复杂。

  此外,还有一个极其重要的问题,IT风险最重要的部分是人。人永远是最薄弱的一个环节,必须教育员工,让他们有足够的知识来理解有关的防护措施。否则,即使防护再完备,企业依然会面临巨大的风险。

  所以,IT风险是复杂的,包括了很多因素,可以想见,今天的CIO们工作异常艰巨,需要找到正确的战略、方法去管理系统。

  对于

    项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html

“项目管理生根计划”
企业项目经理能力培养和落地发展方案下载>>

分享道


网站文章版权归原作者所有,如有认为侵权请联系我们,将于1个工作日内作出处理!
网友评论【 发表评论 0条 】
网友评论(共0 条评论)..
验证码: 点击刷新

请您注意护互联网安全的决定》及中华人民共和国其他各项有关法律法规或间接导致的民事或刑事法律责任
·您在项目管理资源网新闻评论发表的作品,项目管理资源网有权在网站内保留、转载、引用或者删除
·参与本评论即表明您已经阅读并接受上述条款