由于我们的经济开始越来越依赖于互联网和IT系统,使这些系统中存在的风险尤为瞩目。但是IT风险管理涉及多方人员:首席信息官,首席信息安全官,企业风险管理团队,合规和监管人员以及内部和外部审计员等。以下五个步骤将助你开启IT风险管理大门:
第一步:选择正确的语言
通常有这样两种首席信息官:基础设施管理型的和思考家型的,一般后者能够成功开展IT风险管理工作,因为他们能够选择正确的语言与高管进行谈判,他们更多地会从对企业造成的损失来说,而不是技术名词。
最好不要谈论“零日攻击”,试着从潜在商业损失来谈潜在安全事故的影响;不要提到RTO(恢复时间目标)和PRO(恢复点目标),从因安全事故造成的收益损失和损失的客户来谈;不要不断强调还未部署的ISO控制,从那些需要与公司防火墙内外互通信息的员工损失的工作效率来谈,也可以指出员工因不能有效分享信息可能造成的对生产力的影响等问题。
第二步:使用高中低频谱描述潜在地商业损失
虽然使用正确的语言与高管谈IT风险管理能够清除部分障碍,但是如果你不能提供准确的统计和概率数据来证明你的话,部署IT风险管理仍然很难列入公司计划。你需要向相关人士提供一些案例以及数据加以说明。不管你是在一个低风险公司、风险不高的公司还是高风险公司,都可以做一些数据计算,这样用数据说话能够更加有说服力。记住,你不一定能够得到高管的认可,但是尽量拿出准确的潜在风险数据,能够帮助你更靠近目标。
第三步:强调优点
现在很多企业老总都会很关注隐私和数据泄漏问题,总是会发生这样那样的数据泄漏事故:从无意泄漏数据的备份系统管理员到将载有数据的笔记本遗忘载汽车的公司员工,再到公布公司季度财务报表的中层管理员以及存在潜在违规行为的管理人员等。可以将这些事例摆出来,利用实例证明风险和安全威胁的存在。
第四步:步步为营
将所有部署IT风险管理相关的问题都考虑齐全,然后各各击破。IT风险管理不完全是受IT部门驱动的行为,还需要结合这些人的配合工作:合规团队、IT团队、法律法规团队、审计员、企业风险管理团队以及企业领导等。从全面的角度来看问题,联合所有团队的力量,尽可能地与IT部门内部以及外部的人员进行通信。
第五步:奠定基础
在你向公司提出要求之前,确定三个你预计可能实现的目标,并让业务团队看到这些IT风险管理工作能够为他们带来的利益。举例来说,审计团队、法律团队和业务团队需要利用内容过滤来选取、跟踪和检测某些信息内容时,可以向他们提供概念证明的方法帮助他们解决问题。另外安全事故报告也能够提高用户对风险管理的积极性,因为他们将知道提高安全意识能够为公司节省一大笔开支并能维护公司形象。
结语:
IT风险管理将变得越来越重要,公司管理层也越来越意识到部署IT风险管理工作的重要性。与此同时,IT风险专家也可以建立一套基准以号召公司更多的员工参与风险管理工作。