解。但是,现在情况变了,我们大部分的客户在对补丁进行处理的时间,已经有了很专业的方法和认识。”
但是当考虑到风险的时间,这种形式的IT管理基本是赌注。
市场分析公司Quocirca的分析师克莱夫·巴顿认为,风险管理不再是简单地锁定系统资源。对于企业来说,安全需要在更广泛的背景下考虑。(因为当考虑到企业面临的更广泛风险的时间,寻找内部控制的重点是人,而不是网络中的节点)。
“如何才能更好的和公司结构以及业务流程结合起来,”巴顿问道。“有了规则和责任,就可以确定时间和操作方式。一旦把它们结合到一起,就可以进行管理了。”
举例来说,营销人可能只需要看到一个子文件,并可能只允许他们在办公室里查看。首席执行官则可以被允许利用家中的笔记本电脑上访问所有的文件,但即使是他,也可能在使用公共Wi-Fi热点访问的时间被禁止。
比特网“我们可以对所有涉及敏感数据的活动和相关人员的身份进行记录,”潘隆特说。“记录访问数据是一种被动控制的方式。但这样操作,可以在信息安全事件发生后,进行更有效的原因分析。”
执行电子邮件归档、活动记录和配置使用的管理软件这些基本操作是非常无趣和具有挑战性的,也需要IT部门提供支持。通过安装活动目录数据库和单点登录系统可以推动问责制在整个公司的实施。但如何在个人层面上实现最佳安全效果,这将给风险管理带来挑战。贝瑞特说,即使贝宝也并还没有完全解决这些问题。
对于IT风险管理来说,需要去除流行的误解。风险是始终存在,你不可能将其杜绝,而且管理者被雇佣的原因就是清除风险。IT部门的工作是通过董事会解释如何通过风险管理减小面临的风险。这样的话,你必须使用董事会能够接受的方式进行沟通。所以说,沟通可能是所有工作中最困难的一个。