信息系统和科技服务的各种漏洞往往暴露于科技服务的运行过程中,容易受到不良的攻击和信息窃取,使得企业蒙受相应的损失。我们需要从根源上分析风险的植入场景和阶段,从预防的角度开展必要的防控措施,使之与信息科技的全生命周期日常工作行为有效融合,使之为企业持续稳定的提供业务支撑能力。
▌在安全意识方面
很多敏感信息的遗失和截取,往往是因为企业信息安全意识缺失所造成的,拥有信息的人员和使用信息的人员在很多无意识的活动中,就把企业的宝贵的、稀缺的,甚至是赖以生存的业务信息或者知识产权进行了泄密。经过蓄意的加工和交易,就演变成为影响企业声誉、经济和竞争力的重要生产资料。
▌在业务连续性管理方面
相关业务发生中断,难以在短时间内快速恢复,并采取有效的措施积极应对突发的事件,突出反应企业在业务连续性管理上的不足,具体可能体现在业务连续性计划、应急预案、应急资源、应急演练、灾难恢复及内部沟通和对外发布等环节存在执行不到位或者存在缺陷。其中任何一个环节的断层都可能导致业务难以及时恢复,加大了企业的损失,扩大了安全事件对企业的负面影响。
▌在信息科技建设管理方面
企业信息系统建设由很多个系统、模块、接口和团队构成,不同团队运用不同的方法协同合作,最终上系统上线运行,产生价值。但在系统的开发过程中,由于开发人员技能多样性、技能不足、经验溃泛、意识缺失导致了应用程序漏洞在所难免,同时从测试的角度,上线周期紧导致测试案例不完整、测试不充分等原因导致的安全漏洞未被监测出来也是造成开发安全风险的主要原因。这种漏洞被逐级的传递并暴露于生产环境,最终导致的风险发生。
▌在信息科技变更方面
企业信息系统多了其承担的责任也会越来越多,一方面业务部门越来越多的依赖于它们进行业务的操作和流程的系统,一方面也会因为业务需求的不断变化带来各个组件的修改和维护工作。安全事件大都发生在企业对其系统进行升级或变更之后,反映了企业在信息系统变更投产流程上的不足,具体可能体现在系统变更计划、系统变更测试、系统变更回退、系统发布及验收等存在缺陷。系统的变更缺少明确的计划、未进行彻底的测试、系统发布前未经过全面的验收和审核,都可能直接导致系统上线的失败,无法尽快有效地进行回退,保障业务的正常、稳定运行。
▌在信息科技运维管理方面
企业的IT运维都配备相应的监控系统来监控各种应用、主机、网络及存储等的状态,而且有专人负责。从系统故障的产生到处理的整个过程来看,也暴露了企业可能在信息科技运维管理上还不够完善,具体可能体现在系统可用性管理、服务水平管理、事件管理、监控管理上等存在缺陷。运维管理存在缺陷,使得系统中的故障难以被及时发现并采取有效措施,影响了系统的可靠性,降低了服务水平,放大了系统产生的风险。
▌在信息科技风险评估方面
可能在业务运营的监测机制及工具、运营中断事件的风险预警体系及信息科技风险的沟通上不够完善。在业务功能、关键资源、系统运行等发生重大变更时,无法监测信息科技风险发展趋势,预防信息科技风险事件的发生。在安全事件发生时,风险监控和预警业务条线部门与信息科技部门等相关部门之间缺乏信息沟通、风险提示,无法协同做好应急准备,将安全事件损失降低到最小。
▌在外包管理方面
一般性的企业信息服务范围很广,外包的分类和层次也是多样的,有的负责方案规划,有的负责软件开发,有的负责系统集成,有的负责服务运维,各方面的外包团队与内部团队紧密结合形成庞大的IT服务运转体系。从服务供应商的业务运行角度,其自身规模化发展和专业化发展需要借助于已有的经验进行业务开拓,同时也要提升某领域的资源复用率,这些都是有助于其积累经验、提高效率和增强营收的,但在与本企业进行合作是,就难免会有知识产权相关内容的相互博弈。
▌小结
几年来,科技风险发生的案例层出不穷,已经给企业造成了造成的相当大的损害,而这其中直接性的损失是经济和声誉损失,而间接性的损失则包括时间被延误、修复的成本、可能造成的法律诉讼的成本 、商业机会的损失等等。通过上述的常见风险来源的总结与分析,企业应当意识到从源头上开始加强风险管理工作,要通过加强信息科技的治理能力、提升信息技术服务水平和加强风险管理能力逐步避免和减弱风险的发生概率和影响度。
想了解更多IT资讯,请访问中培伟业官网:中培伟业