信息是企业的命脉。员工、业务伙伴和承包商可以通过本地、云计算和虚拟环境访问有价值的企业数据,为非公共重要信息提供即时访问。然而,员工经常将第三方软件或应用程序加载到笔记本电脑和智能手机上,这些设备连接到企业网络和数据存储。
“信息无处不在”它不仅带来便利,创造商业价值,而且带来风险。虽然企业希望支持设备、软件和应用程序,使员工能够顺利完成工作,但企业也必须仔细监督、管理和使用这些信息IT相关业务风险。
信息安全无处不在,但这是不现实和不可能的。企业需要确定什么时候方便会导致巨大的风险,以及如何限制风险。这是一个巨大的挑战,尤其是当你认为大多数企业无法回答这个简单的问题时,“我们企业目前的信息风险是什么?”
根据IT Policy Compliance Group关于与信息使用和IT根据资源相关企业风险的研究,只有8%的政策合规企业能够确定企业当前的信息风险。此外,2%的企业根本无法回答这个问题,或者只能在9个月或9个月以上给出答案。70%的企业不能在3个月内回答这个问题,20%需要一周到三个月。这些不合理的延误是由于企业风险定义不明确、信息收集不当、报告系统设备不良和优先控制不当造成的。
优先级分配合理
IT Policy Compliance Group发现企业在准备、定义和管理企业风险方面存在明显差异,以满足无处不在的信息挑战。IT与资源相关的风险***由于部署了正确的企业流程、控制和报告系统,企业可以立即回答企业目前的信息风险。
这些企业通常从上到下定义业务风险,然后确定其优先级。风险主要来自现金管理、采购风险、账户安全、信用风险、法律风险、市场集中风险、监管风险、竞争风险、声誉风险和运营风险。
最成功的企业将利用多个部门和职能的技能来定义和管理和使用IT与资源相关的业务风险。更多利益相关者的参与可以帮助企业优先考虑外部压力和业务风险,确定信息和使用IT利用报告系统更好地监控、管理和平衡政策、风险、异常和控制平衡与资源相关的核心企业风险。
关于IT业务风险***一些企业通常部署几种独特的做法。几乎四分之三的企业定期对敏感信息资产进行分类,并根据访问关键信息的权利确定IT几乎三分之二的资产将存档敏感信息的存储位置,检测或防止敏感信息泄漏,并使用信息安全控制来保护敏感信息。
此外,IT Policy Compliance Group还发现,企业之间选择评估的风险和控制比率也非常不同。风险和控制评估的间隔和运行时间与最终结果直接相关,业务风险***企业部署了最频繁的风险和控制评估,评估(每周到两个月)之间的运行也很短,而频率为季度或间隔较长的企业则有风险***。
自动化带来更好的结果
信息收集和生成关于信息风险和控制的报告的自动化水平也与实现更好的结果直接相关。简单地说,表现最差的企业部署了最少的自动化程序,而表现最差的企业***企业部署了最多的自动化程序来收集信息,并生成关于运营、财务、声誉和品牌风险的报告。
业务风险***围绕企业IT控制和自动处理企业流程的信息收集,并对业务风险和信息进行控制IT生成资源使用报告。IT Policy Compliance Group发现,表现***在企业中,80%的企业将信息收集过程和生成使用和IT业务风险报告自动化。
相比之下,丢失数据或者被盗数据最多的企业通常都是业务停机时间最长和最难维持审计结果的企业,通常他们只有11%到12%的信息收集和生成报告流程是自动化的。
使用有效的报告来显示风险
在业务风险***企业不仅有更高的自动化流程,而且有更频繁的业务影响摘要、异常报告、关键报告和基于web的仪表板。
这些关于业务风险的企业报告主要是基于优先级和涉及的IT资产类型以及各种IT特别是关于控制IT资产配置检查失败,标记和确定信息与系统完整性的不一致性。
它们还包括管理总结报告IT显示有效性指标IT服务水平的可用性,IT资产和信息的完整性、财务系统和信息的完整性、客户数据的完整性、敏感企业数据的完整性,以及审计和信息安全控制的完整性。
IT Policy Compliance Group研究还表明,定期报告IT边界互联网安全威胁的变化和对业务部门和职能部门影响的企业可以获得更高的安全性。他们利用这些信息来预测业务风险与控制之间的平衡,从而管理风险,确定早期警告,将信息丢失、盗窃和业务停机时间提高到合理和可管理的水平。
了解信息的下落可以更好地帮助***执行官、***信息官、***财务官、部门经理、业务部门经理***信息安全官,IT运营经理和涉及管理信息使用的业务风险的相关人员做出决策,这与报告同意很重要,可以为不同的决策者提供清晰的信息。Web管理业务风险的数据表***格式,因为它们可以提供这样的优如根据颜色对风险进行分类。
开始回答问题
没有能力快速准确地判断企业的信息风险,许多企业会发现风险状况、信息安全计划和控制可以在事故发生后降低风险。
显然,一天内就能回答“信息风险状况如何”8%的企业处理问题的方式完全不同,也得到了回报。这些企业有***业务服务水平,***(与使用信息和IT与资产财务风险有关,***由于业务停机时间最少,数据丢失或盗窃率IT故障很少故障,维持监督审计只需花费最少的费用。
试图阻止员工和业务伙伴使用新的强大的客户设备。相反,企业需要关注确定风险、简历风险优先级和自动化流程,收集信息,生成可用的报告,并向其他高级管理人员解释问题。
【编辑推荐】