Et enkelt rammeverk for SMB IT-risikostyring

Nevn "risikovurdering" for folk flest, og de vil tenke på helse og sikkerhet, farlige kjemikalier, arbeid i høyden og så videre; helt riktig også. Men virksomheter står overfor mange forskjellige typer risiko, som alle bør styres aktivt. De inkluderer risiko, personell, fasiliteter - og IT-risiko.

Hva er varmt på TechRepublic

  • Hva gjør du hvis du fremdeles kjører Windows 7
  • Python programmeringsspråk: Et jukseark
  • Bilder: De 25 beste produktene fra CES 2020
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Ideelt sett bør IT-risikoen styres som en del av en bredere, organisasjonsomfattende aktivitet; Det er ikke så mye poeng å vite hvordan du gjenoppretter data hvis du ikke har noe sted å jobbe eller hvis alle ansatte er syke. Men her konsentrerer jeg meg om tilnærmingen vi tar til risikostyring med våre IT-systemer og data. Større organisasjoner kan ha dedikert stab og forskjellige metoder, men det vi gjør har i det minste gjort oss proaktive og bedt oss om å gjøre mange endringer.

Klassifisering av IT-risiko

Å klassifisere IT-risikoer kan bidra til å forhindre arbeid på en stykke måte og derved savne betydelige risikoer. Enhver klassifisering vil være vilkårlig, men tabell A viser hva vi vedtok.

Tabell A

Det er uunngåelig overlapping mellom disse kategoriene; Det som betyr noe er at risikoen ikke overses.

Vurdering av risiko

Vi bruker en typisk kvalitativ metode som ligner på helse- og sikkerhetsrisikovurderinger, der en kombinasjon av sannsynlighet og påvirkning indikerer risikonivået og det påfølgende behovet for kontroll eller avbøtning. Rammeverket er vist i tabell B.

Tabell B

De resulterende risikonivåene er da som vist i tabell C.

Tabell C

Avbøtende risiko

Begrensning handler om å redusere sjansene for at noe uønsket skal skje - eller redusere virkningen på virksomheten hvis det skjer. Tiltakene som kreves vil variere enormt, men det første vi gjorde var å avtale en hastighetsvurdering ( tabell D ) basert på det vurderte risikonivået.

Tabell D

Den andre tingen vi gjorde var å sette opp et IT-risikoregister - et dokument hvor vi sporer tidligere og nåværende risikovurdering og -reduserende aktivitet. (Det startet som et regneark, men ble vanskelig, så ble nylig gjenfødt som et enkelt Word-dokument.)

Del 1 av risikoregisteret beskriver risikokategoriene og typiske generiske risikoreduserende tiltak. For hver kategori er det en liste over spesifikke risikovurderinger, med lenker til detaljene gitt i del 2. Denne listen gir en rask oversikt over fullførte, arkiverte eller igangværende risikostyringsoppgaver, sammen med utheving av de som skal gjennomgås. (Gjennomgangsperioden er også vilkårlig; for lang, og du kan bli utsatt for nye risikoer uten å innse det på grunn av endringer i system eller organisasjon; for kort, og du vil bruke all din tid på risikovurderinger merket "ingen endring"!)

Del 2 består av detaljerte risikovurderinger og de eventuelle ytterligere risikoreduserende tiltakene som er brukt. Tabell E viser malen vi bruker.

Tabell E

"Ytterligere kontroller" kan omfatte systemendringer, nye prosedyrer, endringer i retningslinjer eller håndheving eller utdanning. For eksempel:

  • Sikkerhetskopiering av systembilde samt sikkerhetskopiering av filer
  • Kjøp av reservedeler
  • Gjennomgang av passordpolicy
  • Overvåking av datalekkasje
  • Politikk for akseptabel bruk
  • Forbedring av systemdokumentasjon
  • Due diligence når du velger leverandører

I skrivende stund er det omtrent 45 risikoer i registeret. Den siste, knyttet til fjerntilgang, ble bare lagt til som et resultat av en hendelse og påfølgende ledelsesdiskusjon. Akkurat nå legger vi til en ny policy og prosedyre for å redusere risikoen.

Til slutt gjennomfører vi en årlig gjennomgang av risikoregisteret for å se etter ufullstendige vurderinger eller avbøtende oppgaver, og for å legge til nye risikoer.

Sammendrag

IT-risikostyring må være en pågående aktivitet, ikke en engangsøvelse. Det begynner med et rammeverk, og det er dette som fungerer for oss.

© Copyright 2020 | mobilegn.com